3. Какие бывают посторонние WiFi устройства?
• Точки доступа
• Домашние маршрутизаторы
• Ноутбуки
• Смартфоны и планшеты
• Принтеры – ad-hoc режим работы
7. Три этапа работы с посторонними устройствами
• Прослушивание эфира для обнаружения посторонних точек
доступа, клиентов и одноранговых устройств
Поиск
• Классификация на основе RSSI, SSID, наличия клиентов и т.д.
• Проверка на наличие подключения к проводной
инфраструктуре
Описание • Определение порта – Switch Port Tracing
• Отключение портов на коммутаторах
• Определение местоположения
Борьба • Блокировка радиопередачи информации
7
8. Особенности для 802.11n Поиск
802.11n - Mixed Mode
• Детектируется 11a/g устройствами
• Наиболее распространенный режим для 11n АР
• Обеспечивает совместимость с 802.11a/g
устройствами благодаря использованию 11a/g
модуляции для management и control фреймов.
802.11n – Greenfield Mode
• Определяется только 802.11n устройствами
• В этом случае, management, control и data
фреймы передаются с использованием 11n
методов модуляции
8
9. АР в режиме Rogue Detector Classify
Принцип работы
Rogue AP
Authorized AP
Client ARP
L2 коммутируемая сеть
Trunk Port
Rogue Detector AP «на проводе»
Обнаруживает все ARP пакеты, в т.ч.
Посторонних устройств Rogue Detector
Контроллер получает от АР-детектора список
MAC-адресов из ARP пакетов
Не работает с маршрутизаторами и NAT APs 9
10. Rogue Location Discovery Protocol Classify
Принцип работы
Connect as
Client
Managed AP Rogue AP
Send Packet
Routed/Switched Network to WLC
RLDP (Rogue Location Discovery Protocol)
Подкючаемся к посторонней AP как клиент
Отправляем IP пакет на собственный IP адрес Controller
Работает только если не включено
шифрование 10
11. Classify
Трассировка порта коммутатора Switchport Tracing
Принцип работы
Match
Found
2 3
CAM CAM
Table Table
WCS
1
Show CDP
Neighbors
Managed AP Rogue AP
WCS Switchport Tracing
Определяем по CDP коммутатор, к которому подключена наша AP,
обнаружившая угрозу
Получение с коммутаторов CAM таблиц и поиск соответствующего MAC
адреса
Может использоваться при наличии шифрования и использовании NAT 11
12. WCS Switchport Tracing Classify
Как работает
Tracing
выполняется по
запросу по
каждому ПУ
WCS Switch port tracing started for rogue AP 00:09:5B:9C:87:68
Rogue AP 00:09:5B:9C:87:68 vendor is Netgear
Following MAC addresses will be searched:
00:09:5B:9C:87:68, 00:09:5B:9C:87:67, 00:09:5B:9C:87:69
Following rogue client MAC addresses will be searched:
00:21:5D:AC:D8:98
Following vendor OUIs will be searched:
00:0F:B5, 00:22:3F, 00:1F:33, 00:18:4D, 00:14:6C, 00:09:5B
Rogue AP 00:09:5B:9C:87:68 was reported by following APs: 1140-1
Reporting AP 1140-1 is connected to switch 172.20.226.193
Following are the Ethernet switches found at hop 0: 172.20.226.193
Started tracing the Ethernet switch 172.20.226.193 found at hop 0
Tracing is in progress for Ethernet switch 172.20.226.193
MAC entry 00:09:5B:9C:87:69 (MAC address +1/-1) found.
Ethernet Switch: 172.20.226.193, VLAN: 113, Port: GigabitEthernet1/0/33
Finished tracing all the Ethernet switches at hop 0
13. Cisco Rogue Management Diagram
Доступные методы
Switchport Tracing
Ядро сети
Si
Si Si
Wireless Control
System (WCS)
Wireless Распределение
LAN
Controller
Доступ
RRM
RLDP Scanning
Rogue Rogue Rogue Rogue
AP Authorized AP Detector AP
AP
13
14. Методы детектирования проводного Classify
подключения
Сравнение Алгоритм работы Определение… Надежность
1. AP определяет постороннее Open APs Средняя
устройство в эфире Secured APs
2. АР сообщает IP ближайшего NAT APs
коммутатора
Switchport
3. Трассировка начинается с
Tracing
ближайших коммутаторов
4. Администратор отключает порт
1. AP определяет постороннее Open APs 100%
устройство в эфире
NAT APs
2. АР подлючается в качестве клиента
RLDP 3. При успешном подлючении
отправляется RLDP пакет
4. При получении на WLCRLDP пакета
делается соотвествующий вывод
1. Подключение detector AP к транковому Open APs Высокая
порту коммутатора
Secured APs
Rogue 2. АР-детектор получает все
Detector посторонние MAC от WLC NAT APs
3. АР-детектор сопоставляет
посторонние MACs с ARP
14
15. Определение местоположения ПУ Mitigate
По запросу при помощи WCS
• Позволяет определить местоположение отдельных ПУ по запросу
• Не сохраняет историю измения координат ПУ
• Не определяет местоположение клиентов ПУ
WCS
16. Локализация посторонних устройств Борьба
при помощи WCS и MSE
• Единовременная локализация множества посторонних устройств
• Сохранение истории перемещений
• Локализация посторонних клиентских устройств
• Локализация одноранговых клиентских устройств
WCS
16
17. Подавление посторонних устройств Борьба
Принцип работы
Mitigate
Rogue Client
Authorized AP
De-Auth
Packets
Rogue AP
Подавление посторонней AP
Отправка De-Authentication фреймов посторонним
клиентам и АР
Могут использоваться local, monitor mode или H-
REAP AP
Может оказывать негативное влияние на
производительность
17
18. Правила классификации ПУ Classify
Принцип
Классификация основана на степени опасности угрозы и
действиях по обезвреживанию
Правила классификации соотносятся с моделью рисков
заказчика
Низкий уровень Высокий уровень
Вне сети Внутри сети
Защищенный SSID Открытый SSID
Неизвестный SSID «Наш» SSID
Слабый RSSI Сильный RSSI
Удаленное расположение На территории КЛВС
Нет клиентов Привлекает клиентов
19. Правила классификации ПУ Classify
Пример
Rogue Rule:
Помечается как
SSID: tmobile
Friendly
RSSI: -80dBm
Rogue Rule:
Помечается как
Обнаружено ПУ SSID: Corporate
Malicious
RSSI: -70dBm
ПУ не
удовлетворяет Помечается как
установленным Unclassified
правилам
Правила хранятся и выполняются на радио-контроллере
21. Изоляция посторонних устройств
Как работает Mitigate
Mitigate
WCS
WLC
От 1 до 4 ТД могут
быть использованы
00:09:5b:9c:87:68 для проведения
изоляции
22. Изоляция посторонних устройств Mitigate
Методы изоляции посторонних ТД
Mitigate
Сценарий Метод изоляции
Только
ПУ
Только Broadcast Deauth кадры
ПУ и их
клиенты
Broadcast и Unicast Deauth кадры
23. Изоляция ПУ
Как работает Mitigate
• Каждые 100мс отсылаются минимум 2 de-auth пакета (20 пакетов в
секунду)
~100мс
3
ТД в режиме local mode может осуществлять
Local Mode изоляцию до 3-х ПУ на 1 радиоинтерфейс
6 ТД в режиме monitor mode может
осуществлять изоляцию до 6-ти ПУ на 1
Monitor Mode радиоинтерфейс
26. Атаки при помощи внеканальных посторонних
устройств
• Некоторые Open Source прошивки и драйверы позволяет
очень точно настраивать частоты:
– MadWiFi (http://madwifi-project.org/)–open source
драйверы для микросхем Atheros где доступен hardware
abstraction layer, что позволяет настроить частоту
передачи.
• Проблема – постороннее устройство, передающее не на
стандртном канале (например между 36 и 40) не может
быть обнаружено стандартными мерами.
27
27. Как выглядит внеканальный передатчик?
WiFi Channel 36 Off-Channel Rogue WiFi Channel 40
Center Frequency: Center Frequency: Center Frequency:
5.180GHz 5.189GHz 5.200GHz
• Несущяя частота посторонней АР настроена на
нестандартынй для WiFi канал.
28
28. CleanAir позволяет обнаруживать внеканальные
передатчики
Cisco CleanAir дает возможность обнаруживать
и определять местоположение любых устройств
на любых частотах.
Предоставляется информация о
местоположении и пострадавших каналах.
29
29. Wi-Fi и контроль за состоянием РЧ–спектра.
Почему микропроцессорная обработка важна?
• Обычный Wi-Fi чип это по сути процессор-МОДЕМ
• Он знает 2 вещи:
– ВЧ-сигнал, который можно демодулировать = Wi-Fi
– Набор ВЧ-сигналов, который нельзя демодулировать = Шум
• Структура шума сложна –
– Коллизии, фрагменты, повреждения
– Wi-Fi –сигнал ниже порога чувствительности приемника
• Пики Wi-Fi активности могут вызвать все вышеназванные
«эффекты»
30. Высокое спектральное разрешение – ключ к
точному анализу спектра
ЕДИНСТВЕННЫЙ в индустрии потоковый анализатор спектра с
высоким разрешением интегрированный в точку доступа
Обычный Wi-Fi чипсет Cisco CleanAir Wi-Fi чипсет
Спектр. сетка с 5 MHz шагом Спектральная сетка с шагом от 78 to 156 KHz
Microwave oven Microwave oven
Power
Power
?
BlueTooth
BlueTooth
‘Восприятие’ чипсетом куска спектра с интерференцией микроволновки и
bluetooth