1. Безопасность беспроводных ЛВС:
как взломали вашу сеть
и как вы могли этого избежать.
Дмитрий Рыжавский
системный инженер
dryzhavs@cisco.com
1

2. Правила взлома беспроводных ЛВС
Содержание
• О чем эта презентация?
• Немного теории и систематизация атак
• Инструментарий – «набор хакера»
• DoS-атаки (отказ в обслуживании)
• Уязвимости протокольного уровня
• Ошибки имплементации (внедрения)
• Рассказ о пропавшем абоненте – защита ноутбуков
• Абоненты за пределами офиса
• Посторонние устройства (Rogues)
• Внеканальные посторонние устройства (Rogues)
• Уязвимости WEB-аутентификации
• CUWM – правила самообороны
2

3. Вы получите представление…
• об особенностях обеспечения безопасности WiFi сетей
• какие инструменты доступны для защиты
• о том как могут выглядеть реальные атаки
• к каким проблемам может привести некорректное применение
технологий
• Не справочник по криптографии и методам аутентификации
• Не всеобъемлющий справочник
3

4. Немного теории

5. Семиуровневая модель
TCP/UDP Шифрование?
IP Шифрование?
5

6. Архитектура аутентификации IEEE 802.1X
Терминология IEEE802.1x
• Рекомендована IEEE 802.11 Task Клиент
Group i Сапликант
• Реализована у Cisco с 12/2000
• Основные положительные качества
Extensible
Authenticatio
– Разнообразные типы аутентификации n
– EAP-TLS, PEAP, EAP-FAST, LEAP Protocol
– Централизованное управление (EAP)
временем жизни ключей, проч. Аутентификатор AP
– Генерация индивидуальных сессионных
ключей
– Новые алгоритмы шифрования, в т.ч.
AES как альтернатива RC4 RADIUS
– Взаимная аутентификация
– Использования аппаратных средств
аутентификации
– Централизованный учет доступа Сервер аутентификации
RADIUS
пользователей Server
База
пользователей
6

7. Cisco ACS User Policy Steps
Phase 1 User Authentication
EAP
ACS
Phase 2 User Policy
Allowed WLC
Limited
Access User?
QoS • Silver
ACL • Allow-All
Allowed
Access
VLAN • Employee
7

8. Cisco’s User-Based Policy Solution with ISE
User and Device
Specific Attributes • Device Profiling
ISE • Dynamic Policy
Employees
• Employee VLAN
• Gold QoS
Employee Mobiles
• Employee VLAN
• Gold QoS
• Restrictive ACL Employee
VLAN
Contractors
WLC
• Contractor VLAN Contractor
• No QoS VLAN
• Restrictive ACL
• With the ISE, Cisco wireless can
Contractor Mobiles
support multiple users and device
• No Access types on a single SSID.
8

9. Терминология
Стандарты 802.11i – WPA –
защиты WiFi WPA2
Аутентификация PSK - 802.1x(EAP)
TKIP – WEP – AES-
Шифрование
CCMP
9

10. 5 главных целей злоумышленника:
1. Заблокировать возможность нормальной работы сети
(отказ в обслуживании) - DoS
2. Украсть информацию с клиентских компьютеров
3. Получить доступ к сети как клиент – для этого нужно
украсть учетную запись легитимного пользователя
4. Реализовать атаку Man in the middle, встав на пути
данных между пользователями и информационными
ресурсами
5. Получить возможность пассивно захватывать и
расшифровывать передаваемые данные
10

11. Классификация атак
• Что такое уязвимость?
– Это недостаток, который дает возможность злоумышленнику
снизить защищенность системы (wikipedia)
• Что такое атака?
– Способ использовать уязвимость
11

12. Классификация атак
• Возможны разные способы классификации
– Пассивные атаки:
– Прослушивание
– Анализ передаваемых данных
– Активные атаки На основе протоколов
– Denial of Service
– Выдать себя за другого Исчерпание ресурсов
– Эскалация прав доступа
12

13. Hidden SSID (non-Broadcast)
• Администраторы по прежнему «скрывают» SSID в качестве
меры безопасности
• Многие клиентские утсройства лучше работают при
широковещаемом SSID
• Сокрытие даже не экономит РЧ ресурс
• Единственный плюс: нет случайных попыток подлючения со
стороны случайных абонентов
• Разве что, может быть полезно при аудите
13

14. Можно ли обнаружить скрытые SSID (non-Broadcast)
 Можно ли их обнаружить? Ведь в beacon их нет…
• Подождать подключающегося клиента… или организовать DoS
(deauth отключить) чтобы клиент был вынужден
переподключиться вновь
14

15. Набор инструментов

16. Инструментарий – борьба за расстояние
Как далеко находится хакер?
100 метров…. 200 метров .....1000 метров…..?
парковка, соседнее здание, кафе этажом ниже….
Ubiquity SWX-SRC
300mW
16

17. ALFA USB WiFi AWUS036H
Поддерживается в BackTrack 5 Linux, Ubuntu
Доступны драйверы для OSX 10.4, 5, 6, 7* и Windows 98, 2000, XP, Vista and 7.
•Adapter with standard RP-SMA antenna connector
•High gain 5dBi Antenna
•Micro USB Cable
•Best of WiFi DVD
Supports 802.11 b/g, 2.4-2.487 GHz channels 1-14, Managed and Monitor modes a
1000mW txpower.
$34.99
17

18. Инструментарий – борьба за
расстояние
магнитная
антенна на антенна
крышу авто 18dB
8dB
Yagi-антенна 14dB антенные переходники и адаптеры
Примеры:
адаптеры Ubiquiti Networks http://ubnt.com
антенны Cushcraft http://www.lairdtech.com
кабели и переходники www.digikey.com
18

19. Мобильность
Backtrack
19

20. Отказ в обслуживании

21. DoS Атаки
• Исчерпание ресурсов
– ―Всегда можно отправить чрезмерное количество чего-то‖
• На основе протокольных уязвимостей
– ―Ping Death‖
– Могут быть проблемами определенных устройств или протоколов
• И еще много потенциала в беспроводной среде для DoS атак:
– TKIP MIC, Auth flood, Assoc flood, Deauth, NAV, RF Jamming, etc
– Необходимо оборудование, которое умеет фиксировать и, оптимально,
предотвращать. Cisco?
22

22. DoS – генерация помех
• Легко реализовать, легко обнаружить, невозможно
предотвратить
23

23. DoS TKIP MIC
• Пример атаки на базе протокольной уязвимости
• MIC используется для защиты целостности данных
• Если обнаружены 2 ошибки группового ключа, ТД начинает
включать предотвращающий алгоритм на 60 секунд для данной
SSID
• Уязвимость MIC используется как часть TKIP injection атак
(Beck-Tews, Halvorsen, Ohigashi-Morii)
• Эффект: можно за-DoS-ить любую TKIP сеть
–
24

24. DoS TKIP MIC, рецепт атаки
 Что нам понадобиться?
 Инструмент атаки: mdk3 (поддерживает различные технологии DoS)
25

25. DoS TKIP MIC, можно ли обнаружить атаку?
• Да, ошибки MIC контролируются
– show trapl
– Number of Traps Since Last Reset ............ 427
– Number of Traps Since Log Last Displayed .... 2
– Log System Time Trap
– --- ------------------------ -------------------------------------------------
– 1 Mon May 3 15:26:11 2010 WPA MIC Error counter measure activated on Radio
– with MAC 00:1c:b0:ea:63:00 and Slot ID 0. Station
– MAC Address is 00:40:96:b5:11:19 and WLAN ID is 6
• Можно отключить алгоритм востановления ->
последствия: больше уязвимостей для атак подмены
• Могут присутствовать случайные ошибки
• Оптимальное решение для защиты: использовать
WPA2+AES
26

26. DoS 802.11 floods
• Трафик управления (сигнализация) 802.11 может быть
подменен, т.к. не защищается
• Flood приводит к исчерпанию ресурсов:
• Тысячи источников пытаются подключиться к одной ТД
• Память зарезервирована, association ID использовано,
использование CPU высокое, etc
• Нет простого решения:
• Ограничение скорости обмена информации на ТД
• Client MFP единственный ограничивающий фактор
• Эффект ограничен: временная потеря сервиса
27

27. DoS в 802.11
• Как защититься:
– WLC, 12.4(21a)JY имеет алгоритм предотвращения DoS auth
• Детектирование – оптимальный вариант
• Flood отображаются со стандартными сигнатурами WLC
• Атаки на базе протоколов типа подмены NAV легко
детектируются
• WCS карты могут указать местоположение
• MFP может обнаружить инперсонализированные ТД
• Правила обнаружения посторонних устройств быстро
обнаружат посторонние ТД
28

28. Функция MFP и ее преимущества
• Обнаружение атак: посторонние AP, man-in-the-middle и другие
атаки с манипуляцией управляющими кадрами
– Повышает надежность обнаружения AP и WLAN IDS signature
detection
• Предотвращение атак: будет поддерживаться на абонентах с
функцией проверки ЭЦП (CCXv5 clients)
• Инновации Cisco для обеспечения безопансоти
• Стандарт в разработке—IEEE 802.11w
CCX: http://www.cisco.com/web/partners/pr46/pr147/partners_pgm_concept_home.html
29

29. Management Frame Protection
Concept
Problem Solution
 Wireless management frames are not  Insert a signature (Message Integrity
authenticated, encrypted, or signed Code/MIC) into the management frames
 A common vector for exploits  Clients and APs use MIC to validate
authenticity of management frame
 APs can instantly identify
rogue/exploited management frames
Infrastructure MFP Protected
Probe Requests/
AP Beacons
Probe Responses
Associations/Re-associations Disassociations
Authentications/
Action Management Frames
De-authentications
Client MFP Protected
TECEWN-2020 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 30

30. Infrastructure MFP
MIC is added at end of Mngt Frame (before FCS)
 infrastructure MFP is enabled/disabled on the WLC
 1 key for every AP / WLAN
 can be selectively disabled per WLAN, and
validation can be selectively disabled per AP.
 can be disabled on the WLANs that are used by
devices that cannot cope with extra IEs.
 Validation must be disabled on APs that are
overloaded or overpowered
TECEWN-2020 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 31

31. Рассказ об украденном абоненте

32. Самое слабое звено – клиентские устройства
• Беззащитные ноутбуки
У злоумышленника больше всего Корпоративная
шансов на успех в случае сеть
организации атаки против
клиентских устрйств
Internet
4. Man in the middle!!!
33

33. Что это?
34

34. Intel ProSet
35

35. Cisco Secure Services Client
36

36. Пользователи…….!!!!!!!!
37

37. http://www.oxid.it/
38

38. WiFi Pineapple
Mark III puts Karma, URL Snarf, DNS
Spoof, ngrep, deauth via Aircrack-NG and
much more at the click of the link. Internet
Connection Sharing has also been greatly
simplified with the Mark III acting as DHCP
server for connecting clients. Phishing
attacks are also built-in with the DNS
Spoofing capabilities -- all configurable
from the PHP-driven web interface.
http://hakshop.myshopify.com 39

39. Social Engineer Toolkit (SET)
http://www.social-engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engineer_Toolkit_%28SET%29
40

40. Karmetasploit is a new implementation of Dino Dai Zovi's original and excellent tool KARMA.
"KARMA is a set of tools for assessing the security of wireless clients at multiple layers.
Wireless sniffing tools discover clients and their preferred/trusted networks by passively
listening for 802.11 Probe Request frames. From there, individual clients can be targeted by
creating a Rogue AP for one of their probed networks (which they may join automatically) or
using a custom driver that responds to probes and association requests for any
SSID. Higher-level fake services can then capture credentials or exploit client-side
vulnerabilities on the host." -http://theta44.org
The main differences between Karma and Karmetasploit it that is Karmetasploit does not
have the limitation of only working on hardware configured with the patched Mad-wifi drivers,
and it also comes with the powerful exploit framework that is metasploit.
41

41. За стенами офиса...
“Маленькие дети! Ни за что на свете
Не ходите в Африку, В Африку
гулять!”
-Корней Чуковский

42. На охоту за сотрудниками
Алгоритм действий:
1. Хакер узнает MAC адрес
компьютера сотрудника
2. По user id можно узнать
имя
3. База данных «прописка» –
информация об адресе
4. Подкараулить возле дома
43

43. Wi-Fi Positioning System
• Позволяет узнать местоположение
маршрутизатора или точки доступа по его
MAC адресу (BSSID)
• Провайдеры
– Skyhook Wireless, доступен SDK
– Google
– Apple –iPhone/iPad до версии ПО 3.2 в
апреле 2010 использовал Skyhook
• Как можно использовать?
www.eye.fi
44

44. Extends Borderless Network services
from the core to the home
Application of
Borderless Network Industry Standard CAPWAP Encryption using DTLS
services and policies No Impact to controllers | Line rate support for broadband connections
Corporate
Network
WiSM2 / 5500 Home OfficeExtends
Controller modem / router 600 AP
Segments and Supports
Home Network Activities
45

45. Интеграция с сетевыми IPS Cisco
Задача
Предотвратить неправомерное
использование и вредоносную активность
со стороны абонентов WLAN Client Shun
• Анализирует клиентский трафик на
предмет вредоносной активности и
блокирует подключение абонента L2
Вредоносный трафик
IDS
• Глубокий анализ трафика на 3-7 уровнях
OSI
L3-7
• Снижает риск проникнофения «инфекций» IDS
от беспроводных абонентов
Сеть
• Защита нулевого дня от вирусов, предприятия
вредоносного ПО и подозрительных
действий
• IPS блокирует IP aдрес, WLC – MAC адрес
Cisco ASA 5500
Series
w/ IPS
http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example0
9186a00807360fc.shtml#ov2 46

46. AnyConnect 3.0
Highlights
• New Look and Feel—
Tile-based UI
• Broad protocol support
–IPsec IKE v2 (+ SSL and DTLS)
• Unification of 4 Cisco clients
• Enhanced Security and Mobility
–Integrated connection
management (L2 supplicant)
–Integrated posture assessment
(HostScan)
–Wired network identity/security
(802.1x and MACsec)
–Support for ScanSafe cloud security
–Endpoint telemetry feeds
47

47. Протокольные уязвимости

48. Атаки против протокола EAP
• Что такое EAP?
– Extensible Authentication Protocol, RFC 3748
– Архитектура аутентикации на канальном уровне
– Часто используется совместно с протоклами PPP или 802.1x
• Какие протоколы работают поверх EAP? -> множество…
– EAP-MD5: разработка IETF, минимальная безопасность
– LEAP: разработка Cisco, устаревший и уязвимый
– EAP-TLS: RFC 5126, базируется на PKI, защищенный, сложный
– PEAP: общая разработка, поддерживается большинством, много
внутренних методов
– EAP-Fast: базируется на TLS, эволюция LEAP/PEAP, направлен на
более простое внедрение
– И много других: EAP-IKE, EAP-AKA, EAP-TTLS, EAP-SIM, etc, etc…
49

49. EAP Protocols: особенности
EAP- EAP-
PEAP LEAP
TLS FAST
Vulnerable to Off-Line
No No Yes1 No
Dictionary Attacks
Fast Secure Roaming (CCKM) Yes Yes Yes Yes
Local WLC Authentication Yes Yes Yes Yes
Server Certificates Yes Yes No No
Client Certificates Yes No No No
Deployment Complexity High Medium Low Low
RADIUS Server Scalability Low/
High High Low
Impact Medium
1Strong Password Policy Recommended. Please Refer to:
http://www.cisco.com/en/US/products/hw/wireless/ps430/prod_bulletin09186a00801cc901.html
50

50. Односторонняя
аутентификация в EAP-TLS
“…. Человека по одежке встречают”
Пример некорректного использования
технологии

51. EAP-TLS – очень надежен, но если
использовать некорректно…
EAP-TLS защищенный алгоритм аутентификации
– Позволяет двусторонний процесс аутентификации между
сапликантом и сервером аутентификации
– Поддерживается практически всеми производителями
беспроводных решений и клиентов
– Существуют трудности при внедрении: использование PKI
трудоемко, процедура автообновления сертификатов может
быть сложна для реализации в ряде случаев
– Активная поддержка двухфакторных систем (смарткарты,
токены, и т.п.)
– Должным образом защищено: так как же сломать?
– Если правила доверия некорректно настроенны.
52

52. EAP-TLS – защищен, но можно взломать…
EAP-TLS требует 2 сертификата
1. Сервера: идентифицирует аутентикатора, и позволяет
клиенту понять к кому он подключается…
2. Клиента: идентифицирует клиента для проверки
аутентикатором (ТД/WLC, пр)
Типичная проблема: вместо покупки сертификатов у сторонних
служб или разверывания собственной службы CA, клиентские
устройства настраиваются «не проверять сертификат
сервера»(―do not validate‖)
53

53. EAP-TLS – защищен, но можно взломать…
ADU
ProSet
54

54. Рецепт атаки на EAP-TLS
• Необходимые ингридиенты:
– Сервер аутнетификации который умеет игнорировать
сертифкат клиента
– Пример: Cisco WLC с соответсвующими настройками, или
FreeRadius www.freeradius.org
– Жертва
– Механизм чтобы вынудить клиента выбрать ―свою‖ точку
доступа для подключения
55

55. Рецепт атаки на EAP-TLS
• Пример настройки контроллера – игнорируем все возможные параметры
– (Cisco Controller) >show local-auth config
– User credentials database search order:
– Primary ..................................... Local DB
– Timer:
– Active timeout .............................. 300
– Configured EAP profiles:
– Name ........................................ cisco
– Certificate issuer ........................ vendor
– Peer verification options:
– Check against CA certificates ........... Disabled
– Verify certificate CN identity .......... Disabled
– Check certificate date validity ......... Disabled
– EAP-FAST configuration:
– Local certificate required .............. No
– Client certificate required ............. No
– Enabled methods ........................... tls
– Configured on WLANs ....................... 1
56

56. FreeRADIUS WPE
Патч к FreeRADIUS для Linux
• FreeRADIUS - Wireless Pwnage
Edition
http://www.willhackforsushi.com/FreeRADIUS_WPE.html 57

57. 58

58. EAP-TLS, методы борьбы
• Политики на Adaptive WIPS позволяют
обнаруживать «фальшивые» точки доступа
• Функционал MFP предупредит о
переиспользовании BSSID
• Встроенная в контроллеры IDS определяет это
как злонамеренную атаку
• Используйте серверные сертификаты!!!
59

59. Cisco LEAP
Устаревший метод EAP

60. LEAP
• Поддерживал возможность динамической смены ключа WEP.
• Активно используется для беспроводного, не проводного
разворачивания 802.1x.
• Легко настраиваемый – отсюда название Lightweight EAP.
• Мог быть легко добавлен в беспроводный адаптер, позволяя на
аппаратном уровне реализовать аутентификацию.
61

61. LEAP, рецепт атаки
• Восстановление тривиальных паролей
• Необходимые компоненты:
– Перехват обмена аутентификацией
– Быть терпеливым
• Основные доступные инструменты:
– Asleap (linux, windows port)
http://www.willhackforsushi.com/Asleap.html
– THC-leapcracker
http://freeworld.thc.org/releases.php?q=leap&x=0&y=0
62

62. LEAP – Шаг 1
• Asleap: Использует просчет хэш на основе словаря
• THC-leapcracker: полный перебор (brute force)
• По словарю быстрее, но результат зависит от качества словаря
• Полный перебор: медленно, но позволяет подобрать любой
вариант
63

63. LEAP – Можно ли обнаружить атаку?
• Нет, если атакующий терпелив
• Да, если атакующий использует атаку Deauth (DoS)
• Лучшее предотвращение: не использовать LEAP
64

64. WPA-PSK
“…. Человека по одежке встречают”
Пример протокольной уязвимости

65. WPA(2)-PSK
• Позволяет аутентифицировать обе стороны без Radius сервера
• Простое внедрение, используется домохозяйками
• Если ключ стал доступен, требуется поменять его на всех
устройствах в сети
• Как любой алгоритм с «общим ключом», уязвим к атакам со
словарем/подбору
• Множество ключей от 8 до 63 байт
• Если у хакера есть ключ (PSK) + и записана аутентификация
(EAPoL), он может дешифровать записанный трафик!
66

66. WPA-PSK, рецепт атаки
• Основные компоненты: EAPoL (M1 to M4) + название SSID
• Для 8 символов + чисел: полный подбор, инструмент
www.oxid.itCain: 750 лет
• Для 10 символов + чисел: полный подбор, инструмент Cain tool :
673706 лет
• Слишком долго!!
67

67. 68

68. WPA-PSK GPU атаки
• Простой рабочий компьютер анализирует 2200 комбинаций
ключей в секунду при атаке полного подбора
• Высокопроизводительная GPU видеоадаптер- 52400
комбинаций
• Это между 2.5 года и 61.5 лет против 750 на том же множестве
ключей
69

69. 280 PMK/S - http://pyrit.wordpress.com/
70

70. 71

71. WPA-PSK Rainbow table атаки
• Rainbow table: используют базы
данных хэш-сум для
восставновления паролей
• Можно сгенерировать свою: pyrit (с
поддержкой GPU )
• Можно скачать: ―Church of WiFi‖ 40
GB для 1000 наиболее популярных
имен SSID и 1M возможных паролей,
генерируется микросхемой в течении
3 дней
• Открытые инструменты для
использования Rainbow table
(coWPAtty)
http://imgs.xkcd.com/comics/security.png
• Если SSID подошло, и пароль в
словаре, то востановление пароля
занимает секунды.
73

72. WPA-PSK подводя итоги
• Для того, чтобы по настоящему защититься, Вам необходим по
настоящему случайный пароль, более 12 символов
• Использовать нестандартные SSIDs
• Помнить, что WPA и WPA2 атаки, не зависят от шифрования.
• Если есть PSK, и EAPoL, можно расшифровать весь траффик
для данной сессии
• Если PSK ключ утерян, необходимо его заменить на всех
устройствах: не лучший вариант для корпоративной защиты
74

73. Уязвимость 196
“…. Человека по одежке встречают”
Пример протокольной уязвимости

74. Архитектура стандартов
Pairwise Transient Key (PTK) Group Temporal Key (GTK)
- Свой у каждого абонента - Общий на всех клиентах АР
- Защищает юникаст трафик - Защищает броадкаст и
мультикаст трафик
76

75. Самое слабое звено – клиентские устройства
Проводной сегмент
gateway
3 2
Данные
Данные жертвы в сеть
жертвы в сеть
4
Я gateway
зашифровано GTK
1
77

76. Рецепт
Что можно получить: возможность для Man In The Middle в
условиях невидимости для проводного IDS
Какие протоколы подвежены: 802.1x, WPA-PSK WPA2-PSK,
все!!!
Что нужно для осуществления:
•быть легитимным клиентом сети
•узнать GTK – wpa_supplicant (0.7.0) http://hostap.epitest.fi
•послать в эфир фальшивый ARP ответ - Madwifi (0.9.4)
http://madwifi.org/
Методы защиты:
•Wireless IPS – узнать вовремя
•peer-to-peer blocking mode, функция контроллера -
предотвратить
78

77. Обнаружение, локализация и
подавление посторонних
устройств.
Беспроводная сеть двойного назначения

78. Какие бывают посторонние WiFi устройства?
• Точки доступа
• Домашние маршрутизаторы
• Ноутбуки
• Смартфоны и планшеты
• Принтеры – ad-hoc режим работы

79. Принтер – плацдарм для атаки
Уязвимости ОС и пароли по
умолчанию могут дать
возможность хакеру настроить
встроенный Linux в режим
маршрутизатора
TECEWN-2020 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 81

80. Если немного пофантазировать...
• Подарок в виде флэшки, мышки, клавиатуры…
• Пример – USB Rubber Ducky
– http://hakshop.myshopify.com/
82

81. Три этапа работы с посторонними устройствами
• Прослушивание эфира для обнаружения посторонних точек
доступа, клиентов и одноранговых устройств
Поиск
• Классификация на основе RSSI, SSID, наличия клиентов и т.д.
• Проверка на наличие подключения к проводной
инфраструктуре
Описание • Определение порта – Switch Port Tracing
• Отключение портов на коммутаторах
• Определение местоположения
Борьба • Блокировка радиопередачи информации
83

82. Особенности для 802.11n Поиск
802.11n - Mixed Mode
• Детектируется 11a/g устройствами
• Наиболее распространенный режим для 11n АР
• Обеспечивает совместимость с 802.11a/g
устройствами благодаря использованию 11a/g
модуляции для management и control фреймов.
802.11n – Greenfield Mode
• Определяется только 802.11n устройствами
• В этом случае, management, control и data
фреймы передаются с использованием 11n
методов модуляции
84

83. АР в режиме Rogue Detector Classify
Принцип работы
Rogue AP
Authorized AP
Client ARP
L2 коммутируемая сеть
Trunk Port
Rogue Detector AP «на проводе»
 Обнаруживает все ARP пакеты, в т.ч.
Посторонних устройств Rogue Detector
 Контроллер получает от АР-детектора список
MAC-адресов из ARP пакетов
 Не работает с маршрутизаторами и NAT APs 85

84. Rogue Location Discovery Protocol Classify
Принцип работы
Connect as
Client
Managed AP Rogue AP
Send Packet
Routed/Switched Network to WLC
RLDP (Rogue Location Discovery Protocol)
 Подкючаемся к посторонней AP как клиент
 Отправляем IP пакет на собственный IP адрес Controller
 Работает только если не включено
шифрование 86

85. Classify
Трассировка порта коммутатора Switchport Tracing
Принцип работы
Match
Found
2 3
CAM CAM
Table Table
WCS
1
Show CDP
Neighbors
Managed AP Rogue AP
WCS Switchport Tracing
 Определяем по CDP коммутатор, к которому подключена наша AP,
обнаружившая угрозу
 Получение с коммутаторов CAM таблиц и поиск соответствующего MAC
адреса
 Может использоваться при наличии шифрования и использовании NAT 87

86. WCS Switchport Tracing Classify
Как работает
Tracing
выполняется по
запросу по
каждому ПУ
WCS Switch port tracing started for rogue AP 00:09:5B:9C:87:68
Rogue AP 00:09:5B:9C:87:68 vendor is Netgear
Following MAC addresses will be searched:
00:09:5B:9C:87:68, 00:09:5B:9C:87:67, 00:09:5B:9C:87:69
Following rogue client MAC addresses will be searched:
00:21:5D:AC:D8:98
Following vendor OUIs will be searched:
00:0F:B5, 00:22:3F, 00:1F:33, 00:18:4D, 00:14:6C, 00:09:5B
Rogue AP 00:09:5B:9C:87:68 was reported by following APs: 1140-1
Reporting AP 1140-1 is connected to switch 172.20.226.193
Following are the Ethernet switches found at hop 0: 172.20.226.193
Started tracing the Ethernet switch 172.20.226.193 found at hop 0
Tracing is in progress for Ethernet switch 172.20.226.193
MAC entry 00:09:5B:9C:87:69 (MAC address +1/-1) found.
Ethernet Switch: 172.20.226.193, VLAN: 113, Port: GigabitEthernet1/0/33
Finished tracing all the Ethernet switches at hop 0

87. Cisco Rogue Management Diagram
Доступные методы
Switchport Tracing
Ядро сети
Si
Si Si
Wireless Control
System (WCS)
Wireless Распределение
LAN
Controller
Доступ
RRM
RLDP Scanning
Rogue Rogue Rogue Rogue
AP Authorized AP Detector AP
AP
89

88. Методы детектирования проводного Classify
подключения
Сравнение Алгоритм работы Определение… Надежность
1. AP определяет постороннее Open APs Средняя
устройство в эфире Secured APs
2. АР сообщает IP ближайшего NAT APs
коммутатора
Switchport
3. Трассировка начинается с
Tracing
ближайших коммутаторов
4. Администратор отключает порт
1. AP определяет постороннее Open APs 100%
устройство в эфире
NAT APs
2. АР подлючается в качестве клиента
RLDP 3. При успешном подлючении
отправляется RLDP пакет
4. При получении на WLCRLDP пакета
делается соотвествующий вывод
1. Подключение detector AP к транковому Open APs Высокая
порту коммутатора
Secured APs
Rogue 2. АР-детектор получает все
Detector посторонние MAC от WLC NAT APs
3. АР-детектор сопоставляет
посторонние MACs с ARP
90

89. Определение местоположения ПУ Mitigate
По запросу при помощи WCS
• Позволяет определить местоположение отдельных ПУ по запросу
• Не сохраняет историю измения координат ПУ
• Не определяет местоположение клиентов ПУ
WCS

90. Локализация посторонних устройств Борьба
при помощи WCS и MSE
• Единовременная локализация множества посторонних устройств
• Сохранение истории перемещений
• Локализация посторонних клиентских устройств
• Локализация одноранговых клиентских устройств
WCS
92

91. Подавление посторонних устройств Борьба
Принцип работы
Mitigate
Rogue Client
Authorized AP
De-Auth
Packets
Rogue AP
Подавление посторонней AP
 Отправка De-Authentication фреймов посторонним
клиентам и АР
 Могут использоваться local, monitor mode или H-
REAP AP
 Может оказывать негативное влияние на
производительность
93

92. Правила классификации ПУ Classify
Принцип
 Классификация основана на степени опасности угрозы и
действиях по обезвреживанию
 Правила классификации соотносятся с моделью рисков
заказчика
Низкий уровень Высокий уровень
Вне сети Внутри сети
Защищенный SSID Открытый SSID
Неизвестный SSID «Наш» SSID
Слабый RSSI Сильный RSSI
Удаленное расположение На территории КЛВС
Нет клиентов Привлекает клиентов

93. Правила классификации ПУ Classify
Пример
Rogue Rule:
Помечается как
SSID: tmobile
Friendly
RSSI: -80dBm
Rogue Rule:
Помечается как
Обнаружено ПУ SSID: Corporate
Malicious
RSSI: -70dBm
ПУ не
удовлетворяет Помечается как
установленным Unclassified
правилам
Правила хранятся и выполняются на радио-контроллере

94. Автоматическое подавление Борьба
96

95. Изоляция посторонних устройств
Как работает Mitigate
Mitigate
WCS
WLC
От 1 до 4 ТД могут
быть использованы
00:09:5b:9c:87:68 для проведения
изоляции

96. Изоляция посторонних устройств Mitigate
Методы изоляции посторонних ТД
Mitigate
Сценарий Метод изоляции
Только
ПУ
Только Broadcast Deauth кадры
ПУ и их
клиенты
Broadcast и Unicast Deauth кадры

97. Изоляция ПУ
Как работает Mitigate
• Каждые 100мс отсылаются минимум 2 de-auth пакета (20 пакетов в
секунду)
~100мс
3
 ТД в режиме local mode может осуществлять
Local Mode изоляцию до 3-х ПУ на 1 радиоинтерфейс
6  ТД в режиме monitor mode может
осуществлять изоляцию до 6-ти ПУ на 1
Monitor Mode радиоинтерфейс

98. Внеканальные посторонние
устройства
“…. Человека по одежке встречают”
-Народная мудрость

99. 101

100. Атаки при помощи внеканальных посторонних
устройств
• Некоторые Open Source прошивки и драйверы позволяет
очень точно настраивать частоты:
– MadWiFi (http://madwifi-project.org/)–open source
драйверы для микросхем Atheros где доступен hardware
abstraction layer, что позволяет настроить частоту
передачи.
• Проблема – постороннее устройство, передающее не на
стандртном канале (например между 36 и 40) не может
быть обнаружено стандартными мерами.
103

101. Как выглядит внеканальный передатчик?
WiFi Channel 36 Off-Channel Rogue WiFi Channel 40
Center Frequency: Center Frequency: Center Frequency:
5.180GHz 5.189GHz 5.200GHz
• Несущяя частота посторонней АР настроена на
нестандартынй для WiFi канал.
104

102. CleanAir позволяет обнаруживать внеканальные
передатчики
 Cisco CleanAir дает возможность обнаруживать
и определять местоположение любых устройств
на любых частотах.
 Предоставляется информация о
местоположении и пострадавших каналах.
105

103. Wi-Fi и контроль за состоянием РЧ–спектра.
Почему микропроцессорная обработка важна?
• Обычный Wi-Fi чип это по сути процессор-МОДЕМ
• Он знает 2 вещи:
– ВЧ-сигнал, который можно демодулировать = Wi-Fi
– Набор ВЧ-сигналов, который нельзя демодулировать = Шум
• Структура шума сложна –
– Коллизии, фрагменты, повреждения
– Wi-Fi –сигнал ниже порога чувствительности приемника
• Пики Wi-Fi активности могут вызвать все вышеназванные
«эффекты»

104. Высокое спектральное разрешение – ключ к
точному анализу спектра
ЕДИНСТВЕННЫЙ в индустрии потоковый анализатор спектра с
высоким разрешением интегрированный в точку доступа
Обычный Wi-Fi чипсет Cisco CleanAir Wi-Fi чипсет
Спектр. сетка с 5 MHz шагом Спектральная сетка с шагом от 78 to 156 KHz
Microwave oven Microwave oven
Power
Power
?
BlueTooth
BlueTooth
‘Восприятие’ чипсетом куска спектра с интерференцией микроволновки и
bluetooth

105. Cisco Unified Wireless Network –
архитектура и принципы
работы механизмов
обеспечения безопасности

106. Отличия адаптивной wIPS от базовой IDS
радио-контроллера
Корреляция • Меньше ложных сигналов
сигналов
тревоги тревоги
Число атак
• Только 17 в базовой IDS
контроллера
Расследования
(Forensics) • Захват пакетов атаки
Историческая • Больше глубина архива и
отчетность обнаружение аномалий

107. Адаптивная wIPS Отличие #1
Аггрегация и корреляция сигналов тревоги
Базовая IDS контроллера Адаптивная wIPS
WCS
WCS
WLC MSE
ТД WLC
ТД
• Нет корреляции сигналов
тревоги

108. Адаптивная wIPS Отличие #2
Обнаруживается большее количество типов атак
Базовая IDS контроллера Адаптивная wIPS
• Только 17 сигнатур

109. Адаптивная wIPS Отличие #3
«Захват» пакетов для проведения расследования

110. Адаптивная wIPS Отличие #3
«Захват» пакетов для проведения расследования

111. Адаптивная wIPS Отличие #4
Историческая отчетность
• Информация о сигналах тревоги хранится в базе данных
(БД) MSE
– Максимум 6 миллионов сигналов тревоги может храниться в
базе данных MSE
• WCS посылает запросы в БД MSE во время создания отчета
• Отчеты создаются и просматриваются в WCS

112. Сканирование радиоэфира в поисках
посторонних устройств Detect
Два различных режима ТД для РЧ-сканирования
ТД в режиме Monitor Алгоритмы обнаружения
ТД в режиме Local Mode
Mode посторонних устройств
• Обслуживание клиентов • Предназначена для • Любая ТД, которая
с переключением на сканирования имеет неизвестные
другие каналы для • Прослушивает каждый значения RF Group
сканирования канал в течение 1.2сек name или mobility group,
• Каждый канал • Сканируются все считается посторонним
прослушивается в каналы устройством
течение 50мс • Автономные ТД,
• В режиме сканирования управляемые с WCS,
можно настроить: автоматически
• Все каналы заносятся в «белый»
список
• Каналы данного
регуляторного домена
(настройка по
умолчанию)
• DCA-каналы

113. РЧ-алгоритм сканирования каналов Detect
точка доступа в режиме Local Mode
ТД на канале 1 - 802.11 b/g/n – Разрешенные в США каналы
10мс10мс
с
16с 50мс 16с 50мс 16с 50мс 16с 50мс 16с 50мс 16с 50мс 16с
1 2 1 3 1 4 1 5 1 6 1 7 1 …
 Каждые 16с новый канал сканируется в течение 50мс
ТД на канале 36 - 802.11 a/n – Разрешенные в США каналы (без UNII-2 Extended)
10мс 10мс
14.5с 50мс 14.5с 50мс 14.5с 50мс 14.5с 50мс 14.5с 50мс 14.5с 50мс 14.5с 50мс 14.5с 50мс
36 40 36 44 36 48 36 52 36 56 36 60 36 64 36 149 …
 Каждые 14.5с, новый канал сканируется в течение 50мс

114. РЧ-алгоритм сканирования каналов Detect
точка доступа в режиме Monitor Mode
802.11b/g/n – Все каналы
10мс 10мс
1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с
1 2 3 4 5 6 7 8 9 10 11 12 …
802.11a/n – Все каналы
10мс 10мс
1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с
36 40 44 48 52 56 60 64 100 104 108 112 116 132 136 140 …

115. Адаптивная wIPS
Компоненты и функции
ТД Обнаруж.
атаки
24x7 скан
Over-the-Air Обнаруж.
WLC Настройка
Управление wIPS ТД
Архив. Хранение
MSE сигналов
тревоги
«захват»-
пакетов
Комплексн. Анализ атак,
Криминалистика, Событий
Централиз. Историч.
WCS мониторинг отчетность
Мониторинг,
Отчетность

116. Mobility Services Engine
Поддержка сервисов Cisco Motion
3310 Mobility Services Engine 3355 Mobility Services Engine
Поддержка адаптивной wIPS для 2000 Поддержка адаптивной wIPS для 3000
ТД в Monitor Mode ТД в Monitor Mode
Поддержка Context Aware для Поддержка Context Aware для
отслеживания до 2000 устройств отслеживания до 18000 устройств
Требует WLC ПО версии 4.2.130 или Требует WLC ПО версии 6.0 или выше
выше и WCS версии 5.2 или выше. и WCS версии 6.0 или выше.
• Сервисы мобильности могут иметь другие требования к ПО
WLC/WCS
• Адаптивная wIPS лицензируется по количеству ТД в wIPS
monitor mode

117. • 1. Attack Launched against infrastructure device (‗trusted‘ AP)
• 2. Detected on AP
Communicated via CAPWAP to WLC
• 3. Passed transparently to MSE via NMSP
• 4. Logged into wIPS Database on MSE
Sent to WCS via SNMP trap
• 5. Displayed at WCS
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 120

118. Option A Option B
Enhanced
Local Mode Local Mode
WIPS Monitor
Mode/CleanAi
r MMAP +
WIPS MM
WIPS Monitor Mode or CleanAir MM Turn on ELM on all APs
+ WIPS MM on CleanAir AP: (including CleanAir)
Recommendation – Ratio of
1:5 MMAP to Local Mode APs
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 121

119. Руководства по внедрению
• Management Frame Protection
–http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09
186a008080dc8c.shtml
• Wired/Wireless IDS Integration
–http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09
186a00807360fc.shtml
• Adaptive wIPS Deployment Guide
–http://www.cisco.com/en/US/docs/wireless/technology/wips/deployment/guide/wipsde
p.html

120. Выводы

121. Невзламываемая сеть – возможно ли?
• Максимальный уровень безопасности
– Аутентификация EAP-TLS + смарт-карты (eToken)
– Принудительное отключение автоматического выбора
профиля на клиентских устройствах
– Проверка серверных сертификатов
– Интеграция с проводными IDS
– Адаптивная беспроводная IDS система с возможностью
Forensics
• Пример Cisco Systems – 75000 сотрудников
– Автоматический выбор профиля, сертификат сервера не
проверяется
– Аутентификация EAP-FAST по логину и паролю
– Шифрование – TKIP с постепенным переходом на AES
124

122. Выводы
• не используйте уязвимые протоколы
• используйте для защиты корпоративных сетей
технологии корпоративного класса, MFP
• контролируйте радиосреду на предмет наличия DoS атак
– необходима IDS система
• контролируйте настройки (сапликант) на клиентских ПК -
они самое слабое звено
• используйте заложенные в оборудование функции
• отделяйте зерна от плевел оценивая реальность угроз –
о каких то угрозах можно просто забыть
• Посторонние устройства представляют серьезную угрозу
• Возможность провести расследование НЕОБХОДИМА!!!
А что дальше делал хакер? Получилось?
126

123. Фокус на абонентов
• Автоматизированные средства распространения обновления для
ПО и антивирусоов
• Принудительное использование VPN при работе вне
корпоративной беспроводной стеи
• От уязвимостей нулевого дня невозможно защититься
127

124. Рекомендованная литература
• Глава 28 УК РФ. Преступления
в сфере компьютерной
информации
 Статья 272 УК РФ.
Неправомерный доступ к
компьютерной информации
 Статья 273 УК РФ. Создание,
использование и
распространение вредоносных
программ для ЭВМ
 Статья 274 УК РФ. Нарушение
правил эксплуатации ЭВМ,
системы ЭВМ или их сети
128

125. Спасибо!
Просим Вас оценить эту лекцию.
Ваше мнение очень важно для нас.

126. WEB аутентификация
“…. Человека по одежке встречают”
-Народная мудрость

127. Атаки против Webauth
• Используются в хотспотах или гостевых сетях
• Основываются на Web аутентификации поверх открытой L2
сети
131

128. Атаки Webauth
• Открытые сети означают отсутствие защиты на канальном
уровне
– Нет шифрования или аутентификации!
• Легко запустить атаку L2 и взломать соединения
• MAC spoofing чрезвычайно просто реализуем
132

129. Атаки Webauth
• Атака просто реализуется отсоединением клиента или
использованием его адреса во время его неактивности
• 802.11 практически не позволяет предотвратить MAC spoofing,
если не включить шифрование/аутентификацию на L2 (WPA,
WPA2)
• Предотвращение: PSK + Webauth
133

130. User-Based Policy and
Device Identification
BRKEWN-2021 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 134

131. Cisco User-Based Policy Offering
• Dynamic Policy
ISE User Specific Attributes
• Device Profiling
ACS • Static Policy
WLC
• Cisco ACS (or other RADIUS server which can provide Vendor
Specific Attributes) can provide static user-based policy which is
assigned upon initial authentication.
• Cisco Identity Services Engine can provide dynamic user-based
policy which can be assigned upon initial authentication and changed
during a session using CoA (Change of Authorization).
BRKEWN-2021 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 135

132. Cisco User-Based Policy Solution with ACS
Employees
User • Employee VLAN
Specific Attributes • Gold QoS
Contractors
• Contractor VLAN
• No QoS
• Restrictive ACL
User Specific Attributes
ACS* • Static Policy
Employee
Employee
VLAN
Employee WLC
Contractor
VLAN
Contractor
ACLs
*This could also be any RADIUS server that supports VSAs.
BRKEWN-2021 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 136

133. Cisco ACS User Policy Steps
Phase 1 User Authentication
EAP
ACS
Phase 2 User Policy
Allowed WLC
Limited
Access User?
QoS • Silver
ACL • Allow-All
Allowed
Access
VLAN • Employee
BRKEWN-2021 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 137

134. Cisco Controller User-Based Policy
Attributes
Network Access
• “Airespace-Interface-Name”
• Sets the Interface to which the client is connected.
Network Restrictions
• “Airespace-ACL-Name”
• Sets the Access Control List used to filter traffic to/from the client.
Quality of Service
• “Airespace-QOS-Level”
• Sets the maximum QoS queue level available for use by the client
(Bronze, Silver, Gold or Platinum).
• “Airespace-802.1p-Tag” and/or “Airespace-DSCP-Tag”
• Sets the maximum QoS tagging level available for use by the client.
BRKEWN-2021 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 138

135. Cisco Wireless LAN Controller ACLs
Inbound
Wired
LAN
Outbound
Implicit Deny All at the End
• ACLs provide L3-L4 policy and can be applied per interface or per
user.
• Cisco 5508 and WiSM2 implement line-rate ACLs.
• Upto 64 rules can be configured per ACL.
BRKEWN-2021 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 139

136. Endpoint Access Challenges
• IT is struggling with:
- Classifying managed vs.
unmanaged endpoints
- ID devices that cannot authenticate
Attribute X
Location
- User <-> Device association
Device
Time
User
• But there barriers:
- Multiple access mediums
- Endpoint certainty
- No automated way to discover
new endpoints
PC and Non-PC Devices
BRKEWN-2021 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 140

137. Endpoint Profiling Solution - Cisco Identity
Services Engine (ISE)
• New ground up solution
- Multiple sensors – rich profiling
- Complete visibility and tracking
- Holistic (wired + wireless)
Attribute X
- Integrated Authentication,
Location
Authorization
Device
Time
User
- Other services (Guest,
Posture, Device Registration)
- Flexible deployment
ISE
BRKEWN-2021 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 141

138. Integrated, Enhanced Device Profiling with
Cisco Identity Services Engine
―iPad Template‖
―Custom Template‖
Visibility for Wired and Simplified ―Device Create Your Own
Wireless Devices Category‖ Policy Device Templates
BRKEWN-2021 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 142

139. Powerful Policy Deployments with ISE
Consolidated Services, Session Directory Flexible Service
SW Packages Deployment
ACS
NAC Manager User ID Device (and IP/MAC)
All-in-One Admin M&T
HA Pair Console
NAC Profiler
NAC Server ISE
Distributed PDPs
NAC Guest Location Access Rights
Simplify Deployment and Admin Tracks Active Users and Devices Optimize Where Services Run
Policy Extensibility Manage Security System-Wide Monitoring
Group Access and Troubleshooting
SGT Public Private
Staff Permit Permit
Guest Permit Deny
Link in Policy Information Points Keep Existing Logical Design Consolidated Data, 3 Click Drill-In
BRKEWN-2021 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 143

140. Cisco’s User-Based Policy Solution with ISE
User and Device
Specific Attributes • Device Profiling
ISE • Dynamic Policy
Employees
• Employee VLAN
• Gold QoS
Employee Mobiles
• Employee VLAN
• Gold QoS
• Restrictive ACL Employee
VLAN
Contractors
WLC
• Contractor VLAN Contractor
• No QoS VLAN
• Restrictive ACL
• With the ISE, Cisco wireless can
Contractor Mobiles support multiple users and device
• No Access types on a single SSID.
BRKEWN-2021 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 144

141. Cisco ISE Device Profiling and Policy Steps
EAP Phase 1 Device Authentication
MAC, DHCP, DNS, HTTP Phase 2 Device Identification
ISE
Phase 3 Device Policy
Allowed WLC
Limited
Access Device?
QoS • Silver
ACL • Allow-All
Allowed
Access
VLAN • Employee
BRKEWN-2021 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 145

142. ISE Device Profiling Capabilities
Smart
Phones
Minimum
Confidence for a
Match
Multiple
Rules to Establish
Confidence Level
Gaming
Consoles
Workstations
BRKEWN-2021 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 146

143. ISE Device Profiling Example - iPad
• Once the device is profiled, it is stored within
the ISE for future associations:
Is the MAC Address
from Apple?
Does the Hostname
Contain ―iPad‖?
Is the Web Browser
Safari on an iPad?
ISE
Apple iPad
BRKEWN-2021 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 147

144. Cisco ISE Provides Policy for Wired and
Wireless LANs
NCS Centralized Monitoring
of Wired and Wireless
ISE Networking, Users and
Endpoints
Central Point of Policy for
Wired and Wireless Users
and Endpoints
• Unified wired and wireless policy (ISE) and management (NCS).
BRKEWN-2021 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 148

145. Client Type and Policy Visibility with NCS
and ISE Integration
Device Identity
from ISE
Integration
AAA Override
Parameters
Applied to
Client
Policy
Information
Including
Posture
BRKEWN-2021 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 149

146. NCS Provides Cross-Linking to ISE Reports
on Profiling
BRKEWN-2021 © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Public 150