Презентация с бесплатного воркшопа по аудиту беспроводных сетей Wi-Fi. Данное мероприятие проводилось в г.Алматы и г.Астана. Речь шла о фундаментальных основах работы сетей Wi-Fi, чипсетах, антеннах и, конечно, атаках на точку и клиентов. Был продемонстрирован арсенал инструментов атакующей стороны, а также разновидности средств защиты.

2. #whoami
• Кирилл Мурзин
• Инженер ИБ
• Arduino, Raspberry, Wi-Fi, SDR

3. Повестка дня
• Концепты беспроводных сетей Wi-Fi:
• Стандарты, топология, определения
• Hardware: радио, каналы, антенны, чипы
• Software: режимы, сканирование, фреймы
• Инструменты
• Атаки и защита
• Теория
• Практика

4. Wi-Fi | 802.11

5. Стандартов Wi-Fi > 30
• 802.11 — изначальный 1 Мбит/с и 2 Мбит/c, 2.4 ГГц и ИК стандарт (1997).
• 802.11a — 54 Мбит/c, 5 ГГц стандарт (1999, выход продуктов в 2001).
• 802.11b — улучшения к 802.11 для поддержки 5,5 и 11 Мбит/с (1999).
• 802.11c — процедуры операций с мостами; включен в стандарт IEEE 802.1D (2001).
• 802.11d — интернациональные роуминговые расширения (2001).
• 802.11e — улучшения: QoS, пакетный режим (packet bursting) (2005).
• 802.11F — Inter-Access Point Protocol (2003).
• 802.11g — 54 Мбит/c, 2.4 ГГц стандарт (обратная совместимость с b) (2003).
• 802.11h — распределённый по спектру 802.11a 5 GHz) для совместимости в Европе (2004).
• …
• 802.11ac — Скорость передачи данных — до 6.77 Гбит/с для устройств, имеющих 8 антенн. Обратно
совместим с IEEE 802.11n Утвержден в январе 2014 года.
• 802.11ad — стандарт с дополнительным диапазоном 60 ГГц (частота не требует лицензирования).
Скорость передачи данных — до 7 Гбит/с.

6. Основные стандарты Wi-Fi
Стандарт Частота Максимальная скорость Комментарий
802.11 Legacy 2.4 ГГц 1 Мбит/с и 2 Мбит/c 1997 Год, 22 MHz, DSSS, FHSS
802.11A 3.7/5 ГГц 54 Мбит/c 1999 Год, 20 MHz, OFDM
802.11B 2.4 ГГц 5.5 Мбит/с и 11 Мбит/с 1999 Год, 22 MHz, DSSS
802.11G 2.4 ГГц 54 Мбит/с 2003 Год, 20 MHz, OFDM
802.11N 2.4/5 ГГц 600 Мбит/с 2009 Год, 20/40 MHz, 4x4 MIMO-OFDM
802.11AC 2.4/5 ГГц 6.7 Гбит/с 2013 Год, 20/160 MHz, 8x8 MIMO-OFDM

7. Топология и определения
• Базовая зона обслуживания (BSS)
• SSID – Имя сети
• BSSID – Мак адрес
• Расширенная зона обслуживания (ESS)
• ESSID
• Независимая базовая зона обслуживания (ISSID)

8. Радио, измерения
• Децибелмиливаты (дБм, dBm) – выходная мощность передатчика
• Изотропные децибелы (ДБи, dBi) – усиление антенны
• Эффективная мощность излучения - EIRP = dBm + dBi
• Отношение сигнал/шум (англ. Signal to noise ratio, SNR)
• Показатель уровня принимаемого сигнала (англ. Received signal
strength indicator, RSSI)

9. Типичные показатели измерений
Оценка Сигнал (dBm)
Отличный > -35
Очень хороший от -51 до -35
Хороший от -81 до -50
Плохой от -101 до 80
Нет соединения < -100
Мощность излучателя
dBm mW
33 2000
30 1000
27 500
20 100
17 50
0 1
Усиление антенны
dBi Фактор
12 Х 16
9 Х 8
6 Х 4
3 Х 2
1 Х 1.25
0 Х 1

10. Помехи
Препятствие Дополнительные потери (dB) Эффективное расстояние
Открытое пространство 0 100%
Окно без тонировки (отсутствует
метализированное покрытие)
3 70%
Окно с тонировкой (метализированное
покрытие)
5-8 50%
Деревянная стена 10 30%
Межкомнатная стена (15,2 см) 15-20 15%
Несущая стена (30,5 см) 20-25 10%
Бетонный пол/потолок 15-25 10-15%
Монолитное железобетонное
перекрытие
20-25 10%

11. Каналы Wi-Fi 2.4 ГГц
• Северная Америка 1-6-11
• Остальной мир 1-5-9-13
• Япония 1-5-9-13-14

12. Каналы Wi-Fi 2.4 ГГц

13. Каналы Wi-Fi 5 ГГц
TDWR – Погодный радар
5150-5350 МГц 36 - 64
5470-5725 МГц 100 - 144

14. Wi-Fi Cactus

15. Демо
• Wi-Fi Commander - модный
• Acrylic WiFi Home - бесплатный
• SDR Spectrum Analyzer - хардкорный
• Wi-Fi Throwie

16. Антенны
• Всенаправленная / Спиральная / Omni-directional / Dipole
• Узконаправленная / Волновой канал / Uda-Yagi
• Панельная / Patch
• Секторная / Sector
• Параболическая / Parabolic Grid
• Зеркальная / Reflector
• Волноводно-щелевая / Waveguide-slit array

17. Всенаправленная / Dipole

18. Dipole

19. Uda-Yagi

20. Patch

21. Мисо суп

22. SU-MIMO/MU-MIMO

23. Классические чипсеты
• Realtek 8187L
• Qualcomm Atheros AR9271(L)
• Ralink RT3070(L)
• Ralink RT3572(L)

24. Режимы работы чипсетов Wi-Fi
• Master
• Access Point
• Managed / Infrastructure
• Clients
• Monitor (injection)
• Ad-Hoc / IBSS
• Peer to Peer
• Mesh
• Many to Many
• Repeater / WDS

25. Демо
• iw list | grep -A8 modes
• iw dev wlan0 interface add mon0 type monitor
• iw dev mon0 set channel 1
• airplay-ng -9
• aircrack-ng -S
• iw reg set
• nmcli dev wifi
• netsh wlan show wirelesscapabilities OR drivers OR all

26. Типы фреймов 802.11
• Management
• Control
• Request to Send
• Clear to Send
• Acknowledge
• Data

27. Management Frames 802.11
• Beacons
• Probes
• Requests
• Responses
• Authentication
• Authentication
• Open, WEP, WPA/WPA2, WPA-Radius
• DeAuthentication
• Association
• Requests
• Responses
• DisAssociation

28. Beacon / Маяк
• Имя сети
• Тип шифрования
• Канал
• Мак адрес
• Временные метки
• Дополнительная информация вендора

29. Probes / Зондирование
• Request - Клиент активно сканирует эфир
• Response - Точки доступа отвечают
• Response похож на Beacon
• Используется для атак на клиентов

30. Инструменты
• PC + Wi-Fi
• Raspberry + Wi-Fi
• OpenWRT Device
• Smartphone / Tablet + Kali NetHunter + Wi-Fi
• Esp8266
• Wi-Fi Pineapple
• AirPcap

31. Инструменты
• Aircrack-ng Suite
• Kismet / Horst
• Pyrit / Cowpatty / Hashcat
• Wifite / Reaver
• Mana / Hostapd
• Airegeddon / Fluxion
• Python & Scapy

32. Демо
• Wireshark
• iw dev wlan0 scan passive
• iw wlan0 scan
Mac Filter wlan.addr == aa:aa:aa:aa:aa:aa
Probe Request wlan.fc.type_subtype==4
Probe Response wlan.fc.type_subtype==5
Beacon wlan.fc.type_subtype==8

33. Состояния соединений Wi-Fi
• Аутентификация:
• Open
• Shared
• Не аутентифицировано и не ассоциировано
• Аутентифицировано но не ассоциировано
• Аутентифицировано и ассоциировано

34. WEP
• 1997
• 40 Бит или 5/10 символов (ограничения на экспорт крипты США)
• 104 Бита или 13/26 символов
• 24 Бит IV - Векторов Инициализации (50% вероятность
повторения через 5000 пакетов)
• RC4 для конфиденциальности
• CRC-32 для целостности
• Статические ключи
• Устарел в 2004

35. WEP Аутентификация

36. WPA/WPA2
• 2004
• Пароль от 8 до 63 символов
• TKIP(RC4) и CCMP(AES)
• Динамические ключи
• WPA-Personal или PSK
• WPA-Enterprise или 802.1x + Radius
• Group keys
• WPS

37. Ключи PMK и PTK

38. Ключи PMK и PTK
• PTK = Функция(PMK, ANounce, SNounce, Authenticator MAC,
Supplicant MAC)
• PMK = PBKDF2 (Пароль, SSID, Размер SSID, 4096, 256)
• ANounce = Случайная последовательность от Точки Доступа
• SNounce = Случайная последовательность от Клиента
• Authenticator MAC = MAC Адрес Точки Доступа
• Supplicant MAC = MAC Адрес Клиента

39. WPA 4-way handshake

40. WPA/WPA2 Enterprise
• RADIUS Server
• PEAP
• EAP-TTLS
• EAP-TLS

41. WPA/WPA2 Enterprise

42. Типы атак
• На точку доступа:
• DOS
• WEP
• WPS
• WPA/WPA2
• На клиентов:
• DOS
• Beacon Flood
• Evil Twin / Karma / Channel MitM

43. WEP Техники
• Пассивный режим
• Не обнаружить
• Активный режим
• Replay
• ARP Replay
• ARP пакет зашифрованы, НО:
• Фиксированный размер пакета
• ARP Request – broadcast, ARP Response - unicast

44. Демо: WEP ARP Replay Attack
• airmon-ng -c 1 --bssid AP-MAC -write wep wlan0mon
• aireplay-ng --arpreplay -e SSID -h STA-MAC wlan0mon
• aireplay-ng --deauth 0 --e AP-SSID wlan0mon
• aircrack-ng wep.cap

45. WEP – Модификация сообщений
• ChopChop
• Caffe Latte
• Fragmentation
• Hirte

46. WPS
• USB/ETHER/LABEL/DISPLAY/NFC/KEYPAD/PBC
• Pin - 8 символов, 8-ой - чек-сумма
• 107 = 10 млн. комбинаций
• 104 + 103 = 11 000 комбинаций
• Наличие дефолтных пинов у вендоров
• Online bruteforce
• Offline bruteforce - pixie dust

47. Демо: WPS
• clone reaver-wps-fork-t6x
• reaver -i wlan0mon -b AA:AA:AA:AA:AA:AA -c 1 -vv
• reaver -i wlan0mon -b AA:AA:AA:AA:AA:AA -c 1 -K 1 -vv
• Android: WiFree WPS

48. Wi-Fi Backdoor
• Wireless Hosted Network
• Windows 7+
• Virtual Wi-Fi over Phy
• WPA2-PSK/AES

49. Windows CMD
• netsh wlan show interfaces
• netsh wlan show drivers
• netsh wlan show networks - scan
• netsh wlan show profiles
• netsh wlan show profiles name="SSID"
• netsh wlan connect name="SSID"
• netsh wlan export profile name="SSID"
• netsh wlan set hostednetwork mode=allow ssid=SSID key=PASSWORD
• netsh wlan start hostednetwork

50. Демо: Перехват рукопожатия
• airodump-ng --bssid de:ad:be:ef:c0:fe -w filename mon0
• pyrit -r mon0 -o out.pcap stripLive

51. Стойкость паролей
• 10^8 = 100 000 000
• 26^8 = 208 827 064 576
• 10^10 = 10 000 000 000
• 26^10 = 141 167 095 653 376
• (10+26)^8 = 2 821 109 907 456
• (10+26+26)^8 = 218 340 105 584 896
• (10+12+26+26)^8 = 899 194 740 203 776
• (10+26+26)^16 = 47 672 401 706 823 533 450 263 330 816

52. Брут на EDPR
Пароль CPU 12k/s GPU GTX1070 – 391k/s
10^8 2 часа 4 минуты
26^8 201 день 6 дней
10^10 9 дней 7 часов
26^10 373 года 11 лет
(10+26)^8 7 лет 83 дня
(10+26+26)^8 576 лет 17 лет
(10+12+26+26)^8 2376 лет 72 года
(10+26+26)^16 1.25973E+17 лет 3.86619E+15 лет

53. Рекомендации Стэнфорда

54. 2017
• BroadPWN
• BCM43XX
• Wireless Multimedia Extensions – overflow
• Beacon, Probe Request, Probe Response,
• Association Request and Association Response
• KrackAttacks
• key reinstallation attack
• WPA/WPA2/PSK/ENT
• Decrypt, Forge, Inject

55. Демо: Атака на клиента
• iw dev wlan0 interface add mon0 type monitor *n
• iw dev mon0 set channel 1
• airbase-ng --essid open -a aa:aa:aa:aa:aa:aa -c 1 mon1
• airbase-ng --essid wep -a aa:aa:aa:aa:aa:bb -c 1 -W 1 mon2
• airbase-ng --essid wpa -a aa:aa:aa:aa:aa:cc -c 1 -W 1 -z 2 mon3
• airbase-ng --essid wpa2 -a aa:aa:aa:aa:aa:dd -c 1 -W 1 -Z 4 mon4
• aircrack-ng -w wordlist clienthandshake.cap

56. Защита
• Active:
• 802.11w
• Security Vendor AP & Controller
• Open Source: Sentygun, Waidps
• Passive:
• AP SysLog + Siem
• Open Source: nzyme + graylog

57. Security Vendor AP

58. Waidps

59. Nzyme

60. Материалы
• http://www.allitebooks.com/?s=wireless+security
• https://en.wikipedia.org/wiki/List_of_WLAN_channels
• https://en.wikipedia.org/wiki/Wi-Fi_Protected_Access
• https://help.keenetic.net/hc/ru/articles/213968869
• https://www.cisco.com/c/en/us/products/collateral/wireless/aironet-antennas-
accessories/prod_white_paper0900aecd806a1a3e.html
• https://www.welotec.com/de/lte-mimo-antennen
• http://twistedminds.ru/2015/05/802-11ac-beamforming-mu-mimo/
• https://mrncciew.com/2014/09/29/cwap-802-11-mgmt-frame-types/
• https://hackaday.com/2016/01/14/inject-packets-with-an-esp8266/
• http://www.wirelesshack.org/
• https://wikidevi.com/wiki/Category:Linux_driver/802dot11
• https://en.wikipedia.org/wiki/Wired_Equivalent_Privacy
• http://user.it.uu.se/~carle/Notes/01_802.11_Security.html
• http://h20565.www2.hpe.com/hpsc/doc/public/display?sp4ts.oid=6796025&docLocale=en_US&docId=emr_na-c04498304

61. Материалы
• http://www.rc4nomore.com/
• http://revolutionwifi.blogspot.com/2012/07/is-wpa2-security-broken-due-to-defcon.html
• http://www.willhackforsushi.com/?page_id=37
• http://help.fortinet.com/fos50hlp/56/Content/FortiOS/fortigate-wireless/wids.htm
• https://habrahabr.ru/post/226431/
• https://github.com/vanhoefm
• https://www.slideshare.net/vanhoefm
• https://www.wigle.net/
• https://xakep.ru/2016/09/27/wardriving-devices/
• https://msdn.microsoft.com/en-us/library/windows/desktop/dd815243(v=vs.85).aspx
• https://xakep.ru/2017/08/16/edpr-nvidia-passcrack/
• https://blog.exodusintel.com/2017/07/26/broadpwn/
• https://www.krackattacks.com/
• http://www.securitytube.net/groups?operation=view&groupId=9
• Youtube: Hak5 Wi-Fi hacking workshop/Wi-Fi Haktip, PHDays 2017 Аудит беспроводных сетей