Vulnerabilidades IEEE 802.11 en la capa MAC

Introducción IEEE 802.11 (Wi-Fi) Ensalada de siglas y protocolos: 802.11, 802.11a, 802.11b, 802.11g, 802.11n. IR, FHSS, DSSS, HR/DSSS, OFDM. PCF, DCF, CSMA/CD. WEP, WEP+, DynamicWEP, WPA, WPA2, 802.11i, RSN. RC4, AES, TKIP, CCMP, EAP.

IEEE 802.11 (Wi-Fi)

Ensalada de siglas y protocolos:

802.11, 802.11a, 802.11b, 802.11g, 802.11n.

IR, FHSS, DSSS, HR/DSSS, OFDM.

PCF, DCF, CSMA/CD.

WEP, WEP+, DynamicWEP, WPA, WPA2, 802.11i, RSN.

RC4, AES, TKIP, CCMP, EAP.

Introducción Pila de protocolos OSI: Capa física. Capa de enlace de datos. Capa de red. Capa de transporte. Capa de sesión. Capa de presentación. Capa de aplicación.

Pila de protocolos OSI:

Capa física.

Capa de enlace de datos.

Capa de red.

Capa de transporte.

Capa de sesión.

Capa de presentación.

Capa de aplicación.

La capa MAC en IEEE 802.11 En IEEE 802.11 se definen dos mecanismos de acceso al medio (MAC): PCF: Point Coordination Function. DCF: Distributed Coordination Function.

En IEEE 802.11 se definen dos mecanismos de acceso al medio (MAC):

PCF: Point Coordination Function.

DCF: Distributed Coordination Function.

La capa MAC en IEEE 802.11 PCF: Utiliza un nodo central (AP). Mecanismo de consulta (“polling”): AP a STA: tienes algo que transmitir? Dos periodos diferentes: CFP: periodo libre de contienda. CF-Poll: parecido a un token. CP: periodo de contienda . Similar a DCF. El estándar dice que es opcional: prácticamente ningún AP comercial implementa PCF. A excepción del WarpLink AOI-706 de AOpen.

PCF:

Utiliza un nodo central (AP).

Mecanismo de consulta (“polling”):

AP a STA: tienes algo que transmitir?

Dos periodos diferentes:

CFP: periodo libre de contienda.

CF-Poll: parecido a un token.

CP: periodo de contienda .

Similar a DCF.

El estándar dice que es opcional: prácticamente ningún AP comercial implementa PCF.

A excepción del WarpLink AOI-706 de AOpen.

La capa MAC en IEEE 802.11 DCF: El acceso al medio es coordinado de forma distribuida. Se usa un mecanismo similar al CSMA/CD de 802.3: CSMA/CA. CSMA/CA: Carrier Sense Multiple Access with Collision Avoidance. Evitar las colisiones: ACK. RTS/CTS. DFWMAC: Distributed Foundation Wireless Medium Access Control .

DCF:

El acceso al medio es coordinado de forma distribuida.

Se usa un mecanismo similar al CSMA/CD de 802.3: CSMA/CA.

CSMA/CA:

Carrier Sense Multiple Access with Collision Avoidance.

Evitar las colisiones:

ACK.

RTS/CTS.

DFWMAC: Distributed Foundation Wireless Medium Access Control .

La capa MAC en IEEE 802.11 DFWMAC:

DFWMAC:

La capa MAC en IEEE 802.11 Tipos de tramas: Tramas de gestión: Beacon Frames . Probe-request/response Frames. (Dis/Re)Association Frames. (De)Authentication Frames. Tramas de control: Request to Send (RTS) Frames . Clear to Send (CTS) Frames. Acknowledgement (ACK) Frames. Tramas de datos: Data Frames .

Tipos de tramas:

Tramas de gestión:

Beacon Frames .

Probe-request/response Frames.

(Dis/Re)Association Frames.

(De)Authentication Frames.

Tramas de control:

Request to Send (RTS) Frames .

Clear to Send (CTS) Frames.

Acknowledgement (ACK) Frames.

Tramas de datos:

Data Frames .

DCF a bajo nivel Cómo funciona DCF: Una STA quiere transmitir: Detecta si el medio está libre usando CCA de la capa física. Si el medio no está libre, inicializar el “backoff time” (random(CWmin, CWmax)). Comprobación del medio cada DIFS (Distributed InterFrame Space time) microsegundos. ¿Libre? > backoff--. backoff = 0 > transmitir. ¿Colisión? Espera EIFS (Extended InterFrame Space time ) microsegundos. CWmax = CWmax * 2.

Cómo funciona DCF:

Una STA quiere transmitir:

Detecta si el medio está libre usando CCA de la capa física.

Si el medio no está libre, inicializar el “backoff time” (random(CWmin, CWmax)).

Comprobación del medio cada DIFS (Distributed InterFrame Space time) microsegundos. ¿Libre? > backoff--.

backoff = 0 > transmitir.

¿Colisión?

Espera EIFS (Extended InterFrame Space time ) microsegundos.

CWmax = CWmax * 2.

DCF a bajo nivel Cómo funciona DCF: Transmisión correcta: STA receptora envía un ACK después de esperar SIFS (Short InterFrame Space time) microsegundos. El resto de STAs: Durante la transmisión, escuchan el intercambio de tramas y ajustan su NAV (Net Allocation Vector): Predicción del tiempo que estará ocupado el medio.

Cómo funciona DCF:

Transmisión correcta:

STA receptora envía un ACK después de esperar SIFS (Short InterFrame Space time) microsegundos.

El resto de STAs:

Durante la transmisión, escuchan el intercambio de tramas y ajustan su NAV (Net Allocation Vector):

Predicción del tiempo que estará ocupado el medio.

DCF a bajo nivel DCF: DFC en modo básico (ACK) no es capaz de resolver el problema de “estaciones ocultas”: A puede comunicarse con B y C. B no ve a C y C no ve a B. B ve el canal libre y envía algo a A. C ve el canal libre y envía algo a A. ¿Solución? Uso de RTS/CTS: Gestión de la contienda. Introduce una latencia mayor por el paso de mensajes añadido.

DCF:

DFC en modo básico (ACK) no es capaz de resolver el problema de “estaciones ocultas”:

A puede comunicarse con B y C.

B no ve a C y C no ve a B.

B ve el canal libre y envía algo a A.

C ve el canal libre y envía algo a A.

¿Solución? Uso de RTS/CTS:

Gestión de la contienda.

Introduce una latencia mayor por el paso de mensajes añadido.

DCF a bajo nivel RTS/CTS: Muy similar al DCF básico . Mecanismo de “backoff” > envío de RTS (Request To Send). El destino responde con un CTS (Clear To Send) después de esperar SIFS microsegundos. El emisor recibe el CTS, espera SIFS microsegundos y finalmente envía los datos.

RTS/CTS:

Muy similar al DCF básico .

Mecanismo de “backoff” > envío de RTS (Request To Send).

El destino responde con un CTS (Clear To Send) después de esperar SIFS microsegundos.

El emisor recibe el CTS, espera SIFS microsegundos y finalmente envía los datos.

DCF a bajo nivel DCF básico:

DCF básico:

DCF a bajo nivel DCF con RTS/CTS:

DCF con RTS/CTS:

Ataques a la capa MAC de IEEE 802.11 Vulnerabilidades y ataques: Comportamiento malicioso, codicioso, egoista ( “malicious, greedy, selfish behaviour” ) : Subvertir el protocolo para el propio beneficio.

Vulnerabilidades y ataques:

Comportamiento malicioso, codicioso, egoista ( “malicious, greedy, selfish behaviour” ) :

Subvertir el protocolo para el propio beneficio.

Ataques a la capa MAC de IEEE 802.11 Misbehaviour MAC: Ventajas para quien lo hace : Acaparamiento del medio físico, mejora de su throughput. Comportamiento transparente a capas superiores (los IDS normales “no lo ven”). No precisa de condiciones especiales, solamente una red IEEE 802.11. Funciona para todo tipo de tráfico (no como TCP Misbehaviour y UDP, por ejemplo).

Misbehaviour MAC:

Ventajas para quien lo hace :

Acaparamiento del medio físico, mejora de su throughput.

Comportamiento transparente a capas superiores (los IDS normales “no lo ven”).

No precisa de condiciones especiales, solamente una red IEEE 802.11.

Funciona para todo tipo de tráfico (no como TCP Misbehaviour y UDP, por ejemplo).

Ataques a la capa MAC de IEEE 802.11 Tipos de ataque, tráfico uplink: STA > AP: aprox. 10% de tráfico. Echar a perder tramas de otras STAs con colisiones para aumentar su CW: Ataques contra tramas CTS: escuchar RTS y ocupar el medio. Ataques contra tramas ACK y DATA: no evita la emisión. Manipular protocolo: Emitir tras un SIFS en lugar de un DIFS. Enviar una trama RTS o DATA que anuncie un tamaño mayor para que el NAV del resto aumente. Reduciendo su cálculo del “backoff”.

Tipos de ataque, tráfico uplink:

STA > AP: aprox. 10% de tráfico.

Echar a perder tramas de otras STAs con colisiones para aumentar su CW:

Ataques contra tramas CTS: escuchar RTS y ocupar el medio.

Ataques contra tramas ACK y DATA: no evita la emisión.

Manipular protocolo:

Emitir tras un SIFS en lugar de un DIFS.

Enviar una trama RTS o DATA que anuncie un tamaño mayor para que el NAV del resto aumente.

Reduciendo su cálculo del “backoff”.

Ataques a la capa MAC de IEEE 802.11 Tipos de ataque, tráfico downlink: AP > STA: aprox. 90% de tráfico. Poco que hacer a nivel MAC: En tráfico UDP o ICMP, no hay mucha opción. En TCP puede hacerse TCP Misbehaviour.

Tipos de ataque, tráfico downlink:

AP > STA: aprox. 90% de tráfico.

Poco que hacer a nivel MAC:

En tráfico UDP o ICMP, no hay mucha opción.

En TCP puede hacerse TCP Misbehaviour.

802.11e y WME/WMN 802.11e: Mejoras en: Calidad de servicio (QoS). Gestión de energía. Dos nuevos mecanismos de control de acceso al medio HCCA (HCF Controlled Channel Access). EDCA (Enhanced Distributed Channel Access).

802.11e:

Mejoras en:

Calidad de servicio (QoS).

Gestión de energía.

Dos nuevos mecanismos de control de acceso al medio

HCCA (HCF Controlled Channel Access).

EDCA (Enhanced Distributed Channel Access).

802.11e y WME/WMN EDCA: Mejora de DCF: contienda. Cada estación define 4 colas: AC[BK]: tráfico background. AC[BE]: tráfico best-effort. AC[VI]: tráfico video streaming. AC[VO]: tráfico VoIP.

EDCA:

Mejora de DCF: contienda.

Cada estación define 4 colas:

AC[BK]: tráfico background.

AC[BE]: tráfico best-effort.

AC[VI]: tráfico video streaming.

AC[VO]: tráfico VoIP.

802.11e y WME/WMN EDCA, contienda a dos niveles: A nivel de STA: Las 4 colas compiten. Colisiones virtuales. A nivel de red: Colisiones reales. Nuevas variables (TXOP, AIFS, CW).

EDCA, contienda a dos niveles:

A nivel de STA:

Las 4 colas compiten.

Colisiones virtuales.

A nivel de red:

Colisiones reales.

Nuevas variables (TXOP, AIFS, CW).

802.11e y WME/WMN EDCA, nuevas variables: TXOP: Transmission Oportunity. Intervalo de tiempo máximo de transmision: bursting y fragmentación. AIFS: Arbitration InterFrame Space time.. Similar a DIFS en DCF. DIFS = SIFS * SlotTime AIFS = SIFS * AIFS[AC] * SlotTime CW: Contention Window. Igual que en DCF, pero 4 valores CWmin y CWmax.

EDCA, nuevas variables:

TXOP:

Transmission Oportunity.

Intervalo de tiempo máximo de transmision: bursting y fragmentación.

AIFS:

Arbitration InterFrame Space time..

Similar a DIFS en DCF.

DIFS = SIFS * SlotTime

AIFS = SIFS * AIFS[AC] * SlotTime

CW:

Contention Window.

Igual que en DCF, pero 4 valores CWmin y CWmax.

802.11e y WME/WMN EDCA:

EDCA:

802.11e y WME/WMN EDCA, relación entre AIFS y CW:

EDCA, relación entre AIFS y CW:

802.11e y WME/WMN EDCA, valores para 802.11b:

EDCA, valores para 802.11b:

802.11e y WME/WMN HCCA: Mejora de PCF. Tres periodos: CP: contienda. CFP: libre de contienda. CAP: Controlled Access Phase, iniciado por al AP para enviar/recibir una trama. Definición de TCs (Traffic Classes) y TSs (Traffic Streams): en lugar de colas por STAs, colas por tipo de servicio.

HCCA:

Mejora de PCF.

Tres periodos:

CP: contienda.

CFP: libre de contienda.

CAP: Controlled Access Phase, iniciado por al AP para enviar/recibir una trama.

Definición de TCs (Traffic Classes) y TSs (Traffic Streams): en lugar de colas por STAs, colas por tipo de servicio.

802.11e y WME/WMN EDCA vs HCCA:

EDCA vs HCCA:

802.11e y WME/WMN 802.11e, otras mejoras: APSD: Automatic Power Save Delivery. A través de CAP o similar, habilitar el envío/recepción. BA: Block Acknowledge. Enviar solamente un ACK en tramas burst. NoACK: Desactivar ACKs para todo. DLS: Direct Link Setup. STA <> STA sin parar por el AP. Virtual Wi-Fi (M$).

802.11e, otras mejoras:

APSD: Automatic Power Save Delivery.

A través de CAP o similar, habilitar el envío/recepción.

BA: Block Acknowledge.

Enviar solamente un ACK en tramas burst.

NoACK:

Desactivar ACKs para todo.

DLS: Direct Link Setup.

STA <> STA sin parar por el AP.

Virtual Wi-Fi (M$).

802.11e y WME/WMN WME/WMM: Wireless Multimedia Extensions o Wi-Fi Multimedia Network. Implementación de la Wi-Fi Alliance de 802.11e. Objetivos: Mejora de QoS. Mejora de gestión de energía.

WME/WMM:

Wireless Multimedia Extensions o Wi-Fi Multimedia Network.

Implementación de la Wi-Fi Alliance de 802.11e.

Objetivos:

Mejora de QoS.

Mejora de gestión de energía.

Práctica Linksys WRT54g: wl wme 1 wl cwmin 15 wl cwmax 1023 Atheros: iwpriv ath0 wmm 1 iwpriv ath0 aifs <#AC> <X> <Y> iwpriv ath0 cwmin <#AC> <X> <Y> iwpriv ath0 cwmax <#AC> <X> <Y> iwpriv ath0 txop <#AC> <X> <Y> iwpriv ath0 noack <#AC> 1

Linksys WRT54g:

wl wme 1

wl cwmin 15

wl cwmax 1023

Atheros:

iwpriv ath0 wmm 1

iwpriv ath0 aifs <#AC> <X> <Y>

iwpriv ath0 cwmin <#AC> <X> <Y>

iwpriv ath0 cwmax <#AC> <X> <Y>

iwpriv ath0 txop <#AC> <X> <Y>

iwpriv ath0 noack <#AC> 1

Referencias Presentaciones y trabajos de Alberto López Toledo (U.Columbia), Xiadong Wang (U.Columbia), Jean Pierre Hubaux (EPFL), M. Acharya, S. Chung, A. Banchs, P. Serrano y otros investigadores. Todas las imágenes son propiedad de sus respectivos dueños. Esta obra está protegida por una licencia CC by-sa 2.5, siéntete libre de usarla bajo esos términos.

Presentaciones y trabajos de Alberto López Toledo (U.Columbia), Xiadong Wang (U.Columbia), Jean Pierre Hubaux (EPFL), M. Acharya, S. Chung, A. Banchs, P. Serrano y otros investigadores.

Todas las imágenes son propiedad de sus respectivos dueños.

Esta obra está protegida por una licencia CC by-sa 2.5, siéntete libre de usarla bajo esos términos.