Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Безопасность беспроводных ЛВС:      как взломали вашу сеть      и как вы могли этого избежать.Дмитрий Рыжавскийсистемный и...
Правила взлома беспроводных ЛВС Содержание •   О чем эта презентация? •   Немного теории и систематизация атак •   Инструм...
Вы получите представление…• об особенностях обеспечения безопасности WiFi сетей• какие инструменты доступны для защиты• о ...
Немного теории
Семиуровневая модель           TCP/UDP     Шифрование?             IP        Шифрование?                                  ...
Архитектура аутентификации IEEE 802.1X                                     Терминология IEEE802.1x• Рекомендована IEEE 802...
Cisco ACS User Policy Steps                                  Phase 1     User Authentication             EAP              ...
Cisco’s User-Based Policy Solution with ISEUser and DeviceSpecific Attributes                     • Device Profiling      ...
Терминология                 Стандарты       802.11i – WPA –                защиты WiFi           WPA2               Аутен...
5 главных целей злоумышленника:1. Заблокировать возможность нормальной работы сети   (отказ в обслуживании) - DoS2. Украст...
Классификация атак• Что такое уязвимость?   – Это недостаток, который дает возможность злоумышленнику     снизить защищенн...
Можно ли обнаружить скрытые SSID (non-Broadcast)  Можно ли их обнаружить? Ведь в beacon их нет…• Подождать подключающегос...
Hidden SSID (non-Broadcast)• Администраторы по прежнему «скрывают» SSID в качестве  меры безопасности• Многие клиентские у...
WPA-Personal aka WPA-PSK              “Бывает ли безопасность              домашней?”               Пример протокольной уя...
WPA-Personal•   Разрабатывалася для использования в домохозяйствах и    сетях небольших офисов, не требует наличия сервера...
WPA(2)-PSK• Позволяет аутентифицировать обе стороны без Radius сервера• Простое внедрение, используется домохозяйками• Есл...
WPA-PSK, механизм работы                           17
WPS• Wireless Protection Services                                 18
Лабораторная работа №1• Произвести онлайн подбор WPS PIN    – Создать интерфейс mon0 при помощи airmon-ng    – Оценить обс...
WPA-PSK, рецепт атаки• Основные компоненты: EAPoL (M1 to M4) + название SSID• Для 8 символов + чисел: полный подбор, инстр...
21
WPA-PSK GPU атаки• Простой рабочий компьютер анализирует 2200 комбинаций  ключей в секунду при атаке полного подбора• Высо...
280 PMK/S - http://pyrit.wordpress.com/                                          23
24
WPA-PSK, особенности• Обыкновенная атака полного подбора не лучшее решение для  ключей длинее 8 символов• Атаки со словаре...
Если хочется побыстрее...                            26
WPA-PSK Rainbow table атаки• Rainbow table: используют базы  данных хэш-сум для  восставновления паролей• Можно сгенериров...
WPA-PSK подводя итоги• Для того, чтобы по настоящему защититься, Вам необходим по  настоящему случайный пароль, более 12 с...
Лабораторная работа №2 - De-authentication attacks• Деаутентификация:   – Всех клиентов:       • iwconfig mon0 channel 6 –...
Лабораторная работа №3• WPS-PSK захват четырехэтапного захвата ключа• Рашифровка ключа   – Грубой силой (с использованием ...
Набор инструментов             “Готовь сани летом, а телегу –             зимой.”              -русская народная поговорка
Инструментарий – борьба за расстояниеКак далеко находится хакер?  100 метров…. 200 метров .....1000 метров…..?  парковка, ...
ALFA USB WiFi AWUS036HПоддерживается в BackTrack 5 Linux, UbuntuДоступны драйверы для OSX 10.4, 5, 6, 7* и Windows 98, 200...
Инструментарий – борьба за           расстояние    магнитная   антенна на                                                 ...
Мобильность              35
BackTrack 5 R2 Released! Mar 1st, 2012                 http://www.backtrack-linux.org/   36
Домашнее задание•   airbase-ng -•   aircrack-ng -•   airdecap-ng -•   airdecloak-ng -•   airdriver-ng -•   airdrop-ng -•  ...
Cain & Abel v4.9.43 released 03/12/2011                      http://www.oxid.it/   38
Airmagnet WiFi Analyzer  Quickly understand any Wi-Fi problem      Automatic analysis of hundreds of problems      Mobil...
Отказ в обслуживании
DoS Атаки•   Исчерпание ресурсов    – “Всегда можно отправить чрезмерное количество чего-то”•   На основе протокольных уяз...
DoS – генерация помех• Легко реализовать, легко обнаружить, невозможно  предотвратить                                     ...
DoS TKIP MIC• Пример атаки на базе протокольной уязвимости• MIC используется для защиты целостности данных• Если обнаружен...
DoS TKIP MIC, рецепт атаки Что нам понадобиться?    Инструмент атаки: mdk3 (поддерживает различные технологии DoS)      ...
DoS TKIP MIC, можно ли обнаружить атаку? • Да, ошибки MIC контролируются    –   show trapl    –   Number of Traps Since La...
DoS 802.11 floods• Трафик управления (сигнализация) 802.11 может быть  подменен, т.к. не защищается• Flood приводит к исче...
DoS в 802.11• Как защититься:   – WLC, 12.4(21a)JY имеет алгоритм предотвращения DoS auth• Детектирование – оптимальный ва...
Функция MFP и ее преимущества• Обнаружение атак: посторонние AP, man-in-the-middle и другие  атаки с манипуляцией управляю...
Management Frame Protection   ConceptProblem                                                                             S...
Infrastructure MFPMIC is added at end of Mngt Frame (before FCS) infrastructure MFP is enabled/disabled on the WLC 1 key...
Рассказ об украденном абоненте
Самое слабое звено – клиентские устройства• Беззащитные ноутбуки У злоумышленника больше всего           Корпоративная шан...
Что это?           53
Intel ProSet               54
Cisco Secure Services Client                               55
Пользователи…….!!!!!!!!                          56
WiFi Pineapple                               Mark III puts Karma, URL Snarf, DNS                               Spoof, ngre...
Social Engineer Toolkit (SET)http://www.social-engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engi...
Karmetasploit is a new implementation of Dino Dai Zovis original and excellent tool KARMA."KARMA is a set of tools for ass...
Лабораторная работа N4AP-less WPA-Personal cracking                                60
AnyConnect 3.0                                                 Беспалтно вместе с Cisco APs      Основные особенности     ...
За стенами офиса...              “Маленькие дети! Ни за что на свете              Не ходите в Африку, В Африку            ...
На охоту за сотрудникамиАлгоритм действий:1. Хакер узнает MAC адрес   компьютера сотрудника2. По user id можно узнать   им...
Wi-Fi Positioning System                 • Позволяет узнать местоположение                   маршрутизатора или точки дост...
Extends Borderless Network services                                     from the core to the home   Application of Borderl...
Интеграция с сетевыми IPS Cisco    Задача    Предотвратить неправомерное    использование и вредоносную активность    со с...
Протокольные уязвимости
Атаки против протокола EAP• Что такое EAP?   – Extensible Authentication Protocol, RFC 3748   – Архитектура аутентикации н...
EAP Protocols: особенности                                          EAP-                               EAP-               ...
Односторонняяаутентификация в EAP-TLS              “…. Человека по одежке встречают”               Пример некорректного ис...
EAP-TLS – очень надежен, но еслииспользовать некорректно…EAP-TLS защищенный алгоритм аутентификации   – Позволяет двусторо...
EAP-TLS – защищен, но можно взломать…EAP-TLS требует 2 сертификата   1. Сервера: идентифицирует аутентикатора, и позволяет...
EAP-TLS – защищен, но можно взломать…                                    ADU         ProSet                               ...
Рецепт атаки на EAP-TLS•   Необходимые ингридиенты:    –   Сервер аутнетификации который умеет игнорировать        сертифк...
Рецепт атаки на EAP-TLS•   Пример настройки контроллера – игнорируем все возможные параметры    –   (Cisco Controller) >sh...
FreeRADIUS WPE  Патч к FreeRADIUS для Linux  • FreeRADIUS - Wireless Pwnage    Editionhttp://www.willhackforsushi.com/Free...
77
EAP-TLS, методы борьбы  • Политики на Adaptive WIPS позволяют    обнаруживать «фальшивые» точки доступа  • Функционал MFP ...
Лабораторная работа №5Атака на PEAP и EAP-TTLS:В случае если на клиентской стороне не верифицируется используемыйRADIUS се...
Cisco LEAPУстаревший метод EAP
LEAP• Поддерживал возможность динамической смены ключа WEP.• Активно используется для беспроводного, не проводного  развор...
LEAP, рецепт атаки• Восстановление тривиальных паролей• Необходимые компоненты:   – Перехват обмена аутентификацией   – Бы...
LEAP – Шаг 1•   Asleap: Использует просчет хэш на основе словаря•   THC-leapcracker: полный перебор (brute force)•   По сл...
LEAP – Можно ли обнаружить атаку?• Нет, если атакующий терпелив• Да, если атакующий использует атаку Deauth (DoS)• Лучшее ...
Уязвимость 196                 “…. Человека по одежке встречают”                  Пример протокольной уязвимости
Архитектура стандартовPairwise Transient Key (PTK)   Group Temporal Key (GTK)- Свой у каждого абонента      - Общий на все...
Самое слабое звено – клиентские устройства                   Проводной сегмент                                          ga...
Рецепт   Что можно получить: возможность для Man In The Middle в   условиях невидимости для проводного IDS   Какие протоко...
Обнаружение, локализация иподавление постороннихустройств.Беспроводная сеть двойного назначения
Какие бывают посторонние WiFi устройства?•   Точки доступа•   Домашние маршрутизаторы•   Ноутбуки•   Смартфоны и планшеты•...
Принтер – плацдарм для атаки                                                                 Уязвимости ОС и пароли по    ...
Если немного пофантазировать...• Подарок в виде флэшки, мышки, клавиатуры…• Пример – USB Rubber Ducky   – http://hakshop.m...
Три этапа работы с посторонними устройствами             • Прослушивание эфира для обнаружения посторонних точек          ...
Особенности для 802.11n                         Поиск802.11n - Mixed Mode• Детектируется 11a/g устройствами• Наиболее расп...
АР в режиме Rogue Detector                                    Classify  Принцип работы                                    ...
Rogue Location Discovery Protocol                             Classify  Принцип работы                                    ...
Classify      Трассировка порта коммутатора Switchport Tracing       Принцип работы                                       ...
WCS Switchport Tracing                                                   ClassifyКак работает              Tracing        ...
Cisco Rogue Management DiagramДоступные методы               Switchport Tracing                                           ...
Методы детектирования проводного                                                 ClassifyподключенияСравнение     Алгоритм...
Определение местоположения ПУ                                     MitigateПо запросу при помощи WCS  • Позволяет определит...
Локализация посторонних устройств                                  Борьбапри помощи WCS и MSE •   Единовременная локализац...
Подавление посторонних устройств                               Борьба Принцип работыMitigate                              ...
Правила классификации ПУ                                   ClassifyПринцип   Классификация основана на степени опасности ...
Правила классификации ПУ                            ClassifyПример                      Rogue Rule:                       ...
Автоматическое подавление   Борьба                              106
Изоляция посторонних устройствКак работает                                         MitigateMitigateWCSWLC                 ...
Изоляция посторонних устройств                           MitigateМетоды изоляции посторонних ТДMitigate           Сценарий...
Изоляция ПУ    Как работает                                                   Mitigate• Каждые 100мс отсылаются минимум 2 ...
Внеканальные посторонниеустройства             “…. Человека по одежке встречают”              -Народная мудрость
111
Атаки при помощи внеканальных постороннихустройств• Некоторые Open Source прошивки и драйверы позволяет  очень точно настр...
Как выглядит внеканальный передатчик?   WiFi Channel 36      Off-Channel Rogue     WiFi Channel 40    Center Frequency:   ...
CleanAir позволяет обнаруживать внеканальныепередатчики Cisco CleanAir дает возможность обнаруживать  и определять местоп...
Wi-Fi и контроль за состоянием РЧ–спектра.Почему микропроцессорная обработка важна?• Обычный Wi-Fi чип это по сути процесс...
Высокое спектральное разрешение – ключ кточному анализу спектра   ЕДИНСТВЕННЫЙ в индустрии потоковый анализатор спектра с ...
Cisco Unified Wireless Network –архитектура и принципыработы механизмовобеспечения безопасности
Отличия адаптивной wIPS от базовой IDSрадио-контроллера   Корреляция     • Меньше ложных сигналов    сигналов     тревоги ...
Адаптивная wIPS Отличие #1Аггрегация и корреляция сигналов тревогиБазовая IDS контроллера          Адаптивная wIPS        ...
Адаптивная wIPS Отличие #2Обнаруживается большее количество типов атакБазовая IDS контроллера         Адаптивная wIPS  • Т...
Адаптивная wIPS Отличие #3«Захват» пакетов для проведения расследования
Адаптивная wIPS Отличие #3«Захват» пакетов для проведения расследования
Адаптивная wIPS Отличие #4Историческая отчетность  • Информация о сигналах тревоги хранится в базе данных    (БД) MSE     ...
Сканирование радиоэфира в поискахпосторонних устройств                                                       DetectДва раз...
РЧ-алгоритм сканирования каналов                                                                                          ...
РЧ-алгоритм сканирования каналов                                                                                          ...
Адаптивная wIPSКомпоненты и функции       ТД        Обнаруж.                  атаки                               24x7 ска...
Mobility Services EngineПоддержка сервисов Cisco Motion  3310 Mobility Services Engine        3355 Mobility Services Engin...
• 1. Attack Launched against infrastructure device (‘trusted’ AP)  • 2. Detected on AP               Communicated via CAPW...
Option A         Option B                                                                                                 ...
Руководства по внедрению• Management Frame Protection   –http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configur...
Выводы
Невзламываемая сеть – возможно ли? • Максимальный уровень безопасности    – Аутентификация EAP-TLS + смарт-карты (eToken) ...
Выводы  • не используйте уязвимые протоколы  • используйте для защиты корпоративных сетей    технологии корпоративного кла...
Фокус на абонентов• Автоматизированные средства распространения обновления для  ПО и антивирусоов• Принудительное использо...
Рекомендованная литература                      • Глава 28 УК РФ. Преступления                        в сфере компьютерной...
Рекомендованная литература                             138
http://www.oxid.it/http://www.remote-exploit.org/http://www.shmoo.com/http://airsnarf.shmoo.com/http://rainbowtables.shmoo...
Спасибо!
Upcoming SlideShare
Loading in …5
×

Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого избежать.

5,212 views

Published on

Published in: Technology
  • Be the first to comment

Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого избежать.

  1. 1. Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого избежать.Дмитрий Рыжавскийсистемный инженерdryzhavs@cisco.com 1
  2. 2. Правила взлома беспроводных ЛВС Содержание • О чем эта презентация? • Немного теории и систематизация атак • Инструментарий – «набор хакера» • Атаки против WPA-Personal • DoS-атаки (отказ в обслуживании) • Уязвимости протокольного уровня • Ошибки имплементации (внедрения) • Рассказ о пропавшем абоненте – защита ноутбуков • Абоненты за пределами офиса • Посторонние устройства (Rogues) • Внеканальные посторонние устройства (Rogues) • Уязвимости WEB-аутентификации • CUWM – правила самообороны 2
  3. 3. Вы получите представление…• об особенностях обеспечения безопасности WiFi сетей• какие инструменты доступны для защиты• о том как могут выглядеть реальные атаки• к каким проблемам может привести некорректное применение технологий• Не справочник по криптографии и методам аутентификации• Не всеобъемлющий справочник 3
  4. 4. Немного теории
  5. 5. Семиуровневая модель TCP/UDP Шифрование? IP Шифрование? 5
  6. 6. Архитектура аутентификации IEEE 802.1X Терминология IEEE802.1x• Рекомендована IEEE 802.11 Task Клиент Group i Сапликант• Реализована у Cisco с 12/2000• Основные положительные качества Extensible Authenticatio – Разнообразные типы аутентификации n – EAP-TLS, PEAP, EAP-FAST, LEAP Protocol – Централизованное управление (EAP) временем жизни ключей, проч. Аутентификатор AP – Генерация индивидуальных сессионных ключей – Новые алгоритмы шифрования, в т.ч. AES как альтернатива RC4 RADIUS – Взаимная аутентификация – Использования аппаратных средств аутентификации – Централизованный учет доступа Сервер аутентификации RADIUS пользователей Server База пользователей 6
  7. 7. Cisco ACS User Policy Steps Phase 1 User Authentication EAP ACS Phase 2 User Policy Allowed WLCLimitedAccess User? QoS • Silver ACL • Allow-All Allowed Access VLAN • Employee 7
  8. 8. Cisco’s User-Based Policy Solution with ISEUser and DeviceSpecific Attributes • Device Profiling ISE • Dynamic Policy Employees • Employee VLAN • Gold QoS Employee Mobiles • Employee VLAN • Gold QoS • Restrictive ACL Employee VLAN Contractors WLC • Contractor VLAN Contractor • No QoS VLAN • Restrictive ACL • With the ISE, Cisco wireless can Contractor Mobiles support multiple users and device • No Access types on a single SSID. 8
  9. 9. Терминология Стандарты 802.11i – WPA – защиты WiFi WPA2 Аутентификация PSK - 802.1x(EAP) TKIP – WEP – AES- Шифрование CCMP 9
  10. 10. 5 главных целей злоумышленника:1. Заблокировать возможность нормальной работы сети (отказ в обслуживании) - DoS2. Украсть информацию с клиентских компьютеров3. Получить доступ к сети как клиент – для этого нужно украсть учетную запись легитимного пользователя4. Реализовать атаку Man in the middle, встав на пути данных между пользователями и информационными ресурсами5. Получить возможность пассивно захватывать и расшифровывать передаваемые данные 10
  11. 11. Классификация атак• Что такое уязвимость? – Это недостаток, который дает возможность злоумышленнику снизить защищенность системы (wikipedia)• Что такое атака? – Способ использовать уязвимость• Возможны разные способы классификации – Пассивные атаки: – Прослушивание – Анализ передаваемых данных – Активные атаки На основе протоколов – Denial of Service – Выдать себя за другого Исчерпание ресурсов – Эскалация прав доступа 11
  12. 12. Можно ли обнаружить скрытые SSID (non-Broadcast)  Можно ли их обнаружить? Ведь в beacon их нет…• Подождать подключающегося клиента… или организовать DoS (deauth отключить) чтобы клиент был вынужден переподключиться вновь 12
  13. 13. Hidden SSID (non-Broadcast)• Администраторы по прежнему «скрывают» SSID в качестве меры безопасности• Многие клиентские утсройства лучше работают при широковещаемом SSID• Сокрытие даже не экономит РЧ ресурс• Единственный плюс: нет случайных попыток подлючения со стороны случайных абонентов• Разве что, может быть полезно при аудите 13
  14. 14. WPA-Personal aka WPA-PSK “Бывает ли безопасность домашней?” Пример протокольной уязвимости
  15. 15. WPA-Personal• Разрабатывалася для использования в домохозяйствах и сетях небольших офисов, не требует наличия сервера аутентификации• WPA-PSK использует pass-phrase, длиной от 8 до 63 ASCII симоволов• На основе passphrase генерируется ключ длиной 256 бит
  16. 16. WPA(2)-PSK• Позволяет аутентифицировать обе стороны без Radius сервера• Простое внедрение, используется домохозяйками• Если ключ стал доступен, требуется поменять его на всех устройствах в сети• Как любой алгоритм с «общим ключом», уязвим к атакам со словарем/подбору• Множество ключей от 8 до 63 байт• Если у хакера есть ключ (PSK) + и записана аутентификация (EAPoL), он может дешифровать записанный трафик! 16
  17. 17. WPA-PSK, механизм работы 17
  18. 18. WPS• Wireless Protection Services 18
  19. 19. Лабораторная работа №1• Произвести онлайн подбор WPS PIN – Создать интерфейс mon0 при помощи airmon-ng – Оценить обстановку в радиоэфире используя airodump-ng – Запустить подбор PIN кода при помощи reaver• airmon-ng – отображается список поддерживаемых интерфейсов• airmon-ng start wlan0 – создать мониторинговый интерфейс• airmon-ng – должен появиться еще один интерфейс mon0• airodump-ng mon0 – осмотреться в эфире• wash -i mon0 – кто поддерживает WPS• reaver –I mon0 –b “BSSID” –e “ESSID” –dh –small – онлайн атака 19
  20. 20. WPA-PSK, рецепт атаки• Основные компоненты: EAPoL (M1 to M4) + название SSID• Для 8 символов + чисел: полный подбор, инструмент www.oxid.itCain: 750 лет• Для 10 символов + чисел: полный подбор, инструмент Cain tool : 673706 лет • Слишком долго!! 20
  21. 21. 21
  22. 22. WPA-PSK GPU атаки• Простой рабочий компьютер анализирует 2200 комбинаций ключей в секунду при атаке полного подбора• Высокопроизводительная GPU видеоадаптер- 52400 комбинаций• Это между 2.5 года и 61.5 лет против 750 на том же множестве ключей 22
  23. 23. 280 PMK/S - http://pyrit.wordpress.com/ 23
  24. 24. 24
  25. 25. WPA-PSK, особенности• Обыкновенная атака полного подбора не лучшее решение для ключей длинее 8 символов• Атаки со словарем реальны, но от них легко защититься• Существуют способы «оптимизации» просчетов для взлома PSK – Инструменты на базе видео процессора (GPU) – Аналитические гибридные словари (Rainbow Tables) – Бот-сети 25
  26. 26. Если хочется побыстрее... 26
  27. 27. WPA-PSK Rainbow table атаки• Rainbow table: используют базы данных хэш-сум для восставновления паролей• Можно сгенерировать свою: pyrit (с поддержкой GPU )• Можно скачать: “Church of WiFi” 40 GB для 1000 наиболее популярных имен SSID и 1M возможных паролей, генерируется микросхемой в течении 3 дней• Открытые инструменты для использования Rainbow table (coWPAtty) http://imgs.xkcd.com/comics/security.png• Если SSID подошло, и пароль в словаре, то востановление пароля занимает секунды. 27
  28. 28. WPA-PSK подводя итоги• Для того, чтобы по настоящему защититься, Вам необходим по настоящему случайный пароль, более 12 символов• Использовать генераторы сложных паролей• Использовать нестандартные SSIDs• Помнить, что WPA и WPA2 атаки, не зависят от шифрования.• Если есть PSK, и EAPoL, можно расшифровать весь траффик для данной сессии• Если PSK ключ утерян, необходимо его заменить на всех устройствах: не лучший вариант для корпоративной защиты• Не использовать WPS и проверять, что он действительно отключен• Обновляйте ПО на точках доступа 28
  29. 29. Лабораторная работа №2 - De-authentication attacks• Деаутентификация: – Всех клиентов: • iwconfig mon0 channel 6 – перевод интерфейса на канал атакуемой AP • aireplay-ng --deauth 25 –a [BSSID] mon0 – указывается число деаутентификационных пакетов – Отдельного клиента: • aireplay-ng --deauth 25 –a [BSSID] –c [client MAC] mon0 – Всех клиентов: mdk3 [interface] d• Переполнение таблицы аутентификаций:mdk3 [interface] a -a [bssid] 29
  30. 30. Лабораторная работа №3• WPS-PSK захват четырехэтапного захвата ключа• Рашифровка ключа – Грубой силой (с использованием сопроцессора) – По словарю – При помощи rainbow таблиц Для выполнение этой лабораторной работы установите предоставленный инструктором скрипт на ваш дистрибутив BT5 R2, запустите его и следуйте инструкциям. 30
  31. 31. Набор инструментов “Готовь сани летом, а телегу – зимой.” -русская народная поговорка
  32. 32. Инструментарий – борьба за расстояниеКак далеко находится хакер? 100 метров…. 200 метров .....1000 метров…..? парковка, соседнее здание, кафе этажом ниже….Ubiquity SWX-SRC 300mW 32
  33. 33. ALFA USB WiFi AWUS036HПоддерживается в BackTrack 5 Linux, UbuntuДоступны драйверы для OSX 10.4, 5, 6, 7* и Windows 98, 2000, XP, Vista and 7.•Adapter with standard RP-SMA antenna connector•High gain 5dBi Antenna•Micro USB Cable•Best of WiFi DVDSupports 802.11 b/g, 2.4-2.487 GHz channels 1-14, Managed and Monitor modesand 1000mW txpower.$34.99 33
  34. 34. Инструментарий – борьба за расстояние магнитная антенна на антенна крышу авто 18dB 8dB Yagi-антенна 14dB антенные переходники и адаптерыПримеры: адаптеры Ubiquiti Networks http://ubnt.com антенны Cushcraft http://www.lairdtech.com кабели и переходники www.digikey.com 34
  35. 35. Мобильность 35
  36. 36. BackTrack 5 R2 Released! Mar 1st, 2012 http://www.backtrack-linux.org/ 36
  37. 37. Домашнее задание• airbase-ng -• aircrack-ng -• airdecap-ng -• airdecloak-ng -• airdriver-ng -• airdrop-ng -• aireplay-ng -• airgraph-ng -• airmon-ng -• airodump-ng -• airolib-ng -• airserv-ng -• airtun-ng -• easside-ng -• packetforge-ng -• tkiptun-ng -• wesside-ng - http://www.aircrack-ng.org/doku.php 37
  38. 38. Cain & Abel v4.9.43 released 03/12/2011 http://www.oxid.it/ 38
  39. 39. Airmagnet WiFi Analyzer Quickly understand any Wi-Fi problem  Automatic analysis of hundreds of problems  Mobile software goes where the problem is  AirWISE® Engine provides diagnosis, recommendation  Hands-on education and guidance WLAN security  Ensure every device complies with security policies  Detect intrusions and vulnerabilities Expert performance analysis  Interference analysis  Investigate any device, channel or traffic Complete set of active tools to identify, resolve Wi-Fi issues AirMagnet Confidential 39
  40. 40. Отказ в обслуживании
  41. 41. DoS Атаки• Исчерпание ресурсов – “Всегда можно отправить чрезмерное количество чего-то”• На основе протокольных уязвимостей – “Ping Death” – Могут быть проблемами определенных устройств или протоколов• И еще много потенциала в беспроводной среде для DoS атак: – TKIP MIC, Auth flood, Assoc flood, Deauth, NAV, RF Jamming, etc – Необходимо оборудование, которое умеет фиксировать и, оптимально, предотвращать. Cisco? 41
  42. 42. DoS – генерация помех• Легко реализовать, легко обнаружить, невозможно предотвратить 42
  43. 43. DoS TKIP MIC• Пример атаки на базе протокольной уязвимости• MIC используется для защиты целостности данных• Если обнаружены 2 ошибки группового ключа, ТД начинает включать предотвращающий алгоритм на 60 секунд для данной SSID• Уязвимость MIC используется как часть TKIP injection атак (Beck-Tews, Halvorsen, Ohigashi-Morii)• Эффект: можно за-DoS-ить любую TKIP сеть – 43
  44. 44. DoS TKIP MIC, рецепт атаки Что нам понадобиться?  Инструмент атаки: mdk3 (поддерживает различные технологии DoS) 44
  45. 45. DoS TKIP MIC, можно ли обнаружить атаку? • Да, ошибки MIC контролируются – show trapl – Number of Traps Since Last Reset ............ 427 – Number of Traps Since Log Last Displayed .... 2 – Log System Time Trap – --- ------------------------ ------------------------------------------------- – 1 Mon May 3 15:26:11 2010 WPA MIC Error counter measure activated on Radio – with MAC 00:1c:b0:ea:63:00 and Slot ID 0. Station – MAC Address is 00:40:96:b5:11:19 and WLAN ID is 6 • Можно отключить алгоритм востановления -> последствия: больше уязвимостей для атак подмены • Могут присутствовать случайные ошибки • Оптимальное решение для защиты: использовать WPA2+AES 45
  46. 46. DoS 802.11 floods• Трафик управления (сигнализация) 802.11 может быть подменен, т.к. не защищается• Flood приводит к исчерпанию ресурсов: • Тысячи источников пытаются подключиться к одной ТД • Память зарезервирована, association ID использовано, использование CPU высокое, etc• Нет простого решения: • Ограничение скорости обмена информации на ТД • Client MFP единственный ограничивающий фактор• Эффект ограничен: временная потеря сервиса 46
  47. 47. DoS в 802.11• Как защититься: – WLC, 12.4(21a)JY имеет алгоритм предотвращения DoS auth• Детектирование – оптимальный вариант • Flood отображаются со стандартными сигнатурами WLC • Атаки на базе протоколов типа подмены NAV легко детектируются • WCS карты могут указать местоположение • MFP может обнаружить инперсонализированные ТД • Правила обнаружения посторонних устройств быстро обнаружат посторонние ТД 47
  48. 48. Функция MFP и ее преимущества• Обнаружение атак: посторонние AP, man-in-the-middle и другие атаки с манипуляцией управляющими кадрами – Повышает надежность обнаружения AP и WLAN IDS signature detection• Предотвращение атак: будет поддерживаться на абонентах с функцией проверки ЭЦП (CCXv5 clients)• Инновации Cisco для обеспечения безопансоти• Стандарт в разработке—IEEE 802.11w CCX: http://www.cisco.com/web/partners/pr46/pr147/partners_pgm_concept_home.html 48
  49. 49. Management Frame Protection ConceptProblem Solution Wireless management frames are not  Insert a signature (Message Integrity authenticated, encrypted, or signed Code/MIC) into the management frames A common vector for exploits  Clients and APs use MIC to validate authenticity of management frame  APs can instantly identify rogue/exploited management frames Infrastructure MFP Protected Probe Requests/ AP Beacons Probe Responses Associations/Re-associations Disassociations Authentications/ Action Management Frames De-authentications Client MFP Protected TECEWN-2020 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 49
  50. 50. Infrastructure MFPMIC is added at end of Mngt Frame (before FCS) infrastructure MFP is enabled/disabled on the WLC 1 key for every AP / WLAN can be selectively disabled per WLAN, and validation can be selectively disabled per AP. can be disabled on the WLANs that are used by devices that cannot cope with extra IEs. Validation must be disabled on APs that are overloaded or overpoweredTECEWN-2020 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 50
  51. 51. Рассказ об украденном абоненте
  52. 52. Самое слабое звено – клиентские устройства• Беззащитные ноутбуки У злоумышленника больше всего Корпоративная шансов на успех в случае сеть организации атаки против клиентских устрйств Internet 4. Man in the middle!!! 52
  53. 53. Что это? 53
  54. 54. Intel ProSet 54
  55. 55. Cisco Secure Services Client 55
  56. 56. Пользователи…….!!!!!!!! 56
  57. 57. WiFi Pineapple Mark III puts Karma, URL Snarf, DNS Spoof, ngrep, deauth via Aircrack-NG and much more at the click of the link. Internet Connection Sharing has also been greatly simplified with the Mark III acting as DHCP server for connecting clients. Phishing attacks are also built-in with the DNS Spoofing capabilities -- all configurable from the PHP-driven web interface. http://hakshop.myshopify.com 57
  58. 58. Social Engineer Toolkit (SET)http://www.social-engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engineer_Toolkit_%28SET%29 58
  59. 59. Karmetasploit is a new implementation of Dino Dai Zovis original and excellent tool KARMA."KARMA is a set of tools for assessing the security of wireless clients at multiple layers.Wireless sniffing tools discover clients and their preferred/trusted networks by passivelylistening for 802.11 Probe Request frames. From there, individual clients can be targeted bycreating a Rogue AP for one of their probed networks (which they may join automatically) orusing a custom driver that responds to probes and association requests for anySSID. Higher-level fake services can then capture credentials or exploit client-sidevulnerabilities on the host." -http://theta44.orgThe main differences between Karma and Karmetasploit it that is Karmetasploit does nothave the limitation of only working on hardware configured with the patched Mad-wifi drivers,and it also comes with the powerful exploit framework that is metasploit. 59
  60. 60. Лабораторная работа N4AP-less WPA-Personal cracking 60
  61. 61. AnyConnect 3.0 Беспалтно вместе с Cisco APs Основные особенности • Усовершенствованный пользовательский интерфейс • Большой набор протоколов –IPsec IKE v2 (+ SSL and DTLS) • Унификация 4 Cisc-клиентов • Расширенная безопасность и мобильность –Интегрированный 802.1xFREE!!! саппликант (L2 supplicant) –Integrated posture assessment (HostScan) –Wired network identity/security (802.1x and MACsec) –Support for ScanSafe cloud security –Endpoint telemetry feeds 61
  62. 62. За стенами офиса... “Маленькие дети! Ни за что на свете Не ходите в Африку, В Африку гулять!” -Корней Чуковский
  63. 63. На охоту за сотрудникамиАлгоритм действий:1. Хакер узнает MAC адрес компьютера сотрудника2. По user id можно узнать имя3. База данных «прописка» – информация об адресе4. Подкараулить возле дома 63
  64. 64. Wi-Fi Positioning System • Позволяет узнать местоположение маршрутизатора или точки доступа по его MAC адресу (BSSID) • Провайдеры – Skyhook Wireless, доступен SDK – Google – Apple –iPhone/iPad до версии ПО 3.2 в апреле 2010 использовал Skyhook • Как можно использовать? www.eye.fi 64
  65. 65. Extends Borderless Network services from the core to the home Application of Borderless Network Industry Standard CAPWAP Encryption using DTLSservices and policies No Impact to controllers | Line rate support for broadband connections Corporate Network WiSM2 / 5500 Home OfficeExtends Controller modem / router 600 AP Segments and Supports Home Network Activities 65
  66. 66. Интеграция с сетевыми IPS Cisco Задача Предотвратить неправомерное использование и вредоносную активность со стороны абонентов WLAN Client Shun • Анализирует клиентский трафик на предмет вредоносной активности и блокирует подключение абонента L2 Вредоносный трафик IDS • Глубокий анализ трафика на 3-7 уровнях OSI L3-7 • Снижает риск проникнофения «инфекций» IDS от беспроводных абонентов Сеть • Защита нулевого дня от вирусов, предприятия вредоносного ПО и подозрительных действий • IPS блокирует IP aдрес, WLC – MAC адрес Cisco ASA 5500 Series w/ IPShttp://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a00807360fc.shtml#ov2 66
  67. 67. Протокольные уязвимости
  68. 68. Атаки против протокола EAP• Что такое EAP? – Extensible Authentication Protocol, RFC 3748 – Архитектура аутентикации на канальном уровне – Часто используется совместно с протоклами PPP или 802.1x• Какие протоколы работают поверх EAP? -> множество… – EAP-MD5: разработка IETF, минимальная безопасность – LEAP: разработка Cisco, устаревший и уязвимый – EAP-TLS: RFC 5126, базируется на PKI, защищенный, сложный – PEAP: общая разработка, поддерживается большинством, много внутренних методов – EAP-Fast: базируется на TLS, эволюция LEAP/PEAP, направлен на более простое внедрение – И много других: EAP-IKE, EAP-AKA, EAP-TTLS, EAP-SIM, etc, etc… 68
  69. 69. EAP Protocols: особенности EAP- EAP- PEAP LEAP TLS FAST Vulnerable to Off-Line No No Yes1 No Dictionary Attacks Fast Secure Roaming (CCKM) Yes Yes Yes Yes Local WLC Authentication Yes Yes Yes Yes Server Certificates Yes Yes No No Client Certificates Yes No No No Deployment Complexity High Medium Low Low RADIUS Server Scalability Low/ High High Low Impact Medium1Strong Password Policy Recommended. Please Refer to:http://www.cisco.com/en/US/products/hw/wireless/ps430/prod_bulletin09186a00801cc901.html 69
  70. 70. Односторонняяаутентификация в EAP-TLS “…. Человека по одежке встречают” Пример некорректного использования технологии
  71. 71. EAP-TLS – очень надежен, но еслииспользовать некорректно…EAP-TLS защищенный алгоритм аутентификации – Позволяет двусторонний процесс аутентификации между сапликантом и сервером аутентификации – Поддерживается практически всеми производителями беспроводных решений и клиентов – Существуют трудности при внедрении: использование PKI трудоемко, процедура автообновления сертификатов может быть сложна для реализации в ряде случаев – Активная поддержка двухфакторных систем (смарткарты, токены, и т.п.) – Должным образом защищено: так как же сломать? – Если правила доверия некорректно настроенны. 71
  72. 72. EAP-TLS – защищен, но можно взломать…EAP-TLS требует 2 сертификата 1. Сервера: идентифицирует аутентикатора, и позволяет клиенту понять к кому он подключается… 2. Клиента: идентифицирует клиента для проверки аутентикатором (ТД/WLC, пр)Типичная проблема: вместо покупки сертификатов у сторонних служб или разверывания собственной службы CA, клиентские устройства настраиваются «не проверять сертификат сервера»(“do not validate”) 72
  73. 73. EAP-TLS – защищен, но можно взломать… ADU ProSet 73
  74. 74. Рецепт атаки на EAP-TLS• Необходимые ингридиенты: – Сервер аутнетификации который умеет игнорировать сертифкат клиента – Пример: Cisco WLC с соответсвующими настройками, или FreeRadius www.freeradius.org – Жертва – Механизм чтобы вынудить клиента выбрать “свою” точку доступа для подключения 74
  75. 75. Рецепт атаки на EAP-TLS• Пример настройки контроллера – игнорируем все возможные параметры – (Cisco Controller) >show local-auth config – User credentials database search order: – Primary ..................................... Local DB – Timer: – Active timeout .............................. 300 – Configured EAP profiles: – Name ........................................ cisco – Certificate issuer ........................ vendor – Peer verification options: – Check against CA certificates ........... Disabled – Verify certificate CN identity .......... Disabled – Check certificate date validity ......... Disabled – EAP-FAST configuration: – Local certificate required .............. No – Client certificate required ............. No – Enabled methods ........................... tls – Configured on WLANs ....................... 1 75
  76. 76. FreeRADIUS WPE Патч к FreeRADIUS для Linux • FreeRADIUS - Wireless Pwnage Editionhttp://www.willhackforsushi.com/FreeRADIUS_WPE.html 76
  77. 77. 77
  78. 78. EAP-TLS, методы борьбы • Политики на Adaptive WIPS позволяют обнаруживать «фальшивые» точки доступа • Функционал MFP предупредит о переиспользовании BSSID • Встроенная в контроллеры IDS определяет это как злонамеренную атаку • Используйте серверные сертификаты!!! 78
  79. 79. Лабораторная работа №5Атака на PEAP и EAP-TTLS:В случае если на клиентской стороне не верифицируется используемыйRADIUS сервером сертификат, данного клиента возможно обманутьпредоставив ему фальшивую точку доступа:1. Атакующий производит настройку AP с идентичным SSIDс более сильным сигналом, чтобы перебить оригинальную точку доступа и перенаправитьподключающихся клиентов на себя.2. При подключении клиента к фальшивой APпроисходит переброс сообщения клиента на RADIUSсервер атакующего с определением внутреннего протокола аутентификации клиента, а также происходит завершение TLSтуннеля. При этом происходит захват хэша пароля клиента для последющей словарной атаки или атаки грубой силой.Для выполнение этой лабораторной работы установите предоставленныйинструктором скрипт на ваш дистрибутив BT5 R2, запустите его и следуйтеинструкциям. Будет создана программная точка доступа, при подключении ккоторой соотвествующего абонента будет захвачен хэш пароля. 79
  80. 80. Cisco LEAPУстаревший метод EAP
  81. 81. LEAP• Поддерживал возможность динамической смены ключа WEP.• Активно используется для беспроводного, не проводного разворачивания 802.1x.• Легко настраиваемый – отсюда название Lightweight EAP.• Мог быть легко добавлен в беспроводный адаптер, позволяя на аппаратном уровне реализовать аутентификацию. 81
  82. 82. LEAP, рецепт атаки• Восстановление тривиальных паролей• Необходимые компоненты: – Перехват обмена аутентификацией – Быть терпеливым• Основные доступные инструменты: – Asleap (linux, windows port) http://www.willhackforsushi.com/Asleap.html – THC-leapcracker http://freeworld.thc.org/releases.php?q=leap&x=0&y=0 82
  83. 83. LEAP – Шаг 1• Asleap: Использует просчет хэш на основе словаря• THC-leapcracker: полный перебор (brute force)• По словарю быстрее, но результат зависит от качества словаря• Полный перебор: медленно, но позволяет подобрать любой вариант 83
  84. 84. LEAP – Можно ли обнаружить атаку?• Нет, если атакующий терпелив• Да, если атакующий использует атаку Deauth (DoS)• Лучшее предотвращение: не использовать LEAP 84
  85. 85. Уязвимость 196 “…. Человека по одежке встречают” Пример протокольной уязвимости
  86. 86. Архитектура стандартовPairwise Transient Key (PTK) Group Temporal Key (GTK)- Свой у каждого абонента - Общий на всех клиентах АР- Защищает юникаст трафик - Защищает броадкаст и мультикаст трафик 86
  87. 87. Самое слабое звено – клиентские устройства Проводной сегмент gateway 3 2 Данные Данные жертвы в сеть жертвы в сеть 4 Я gateway зашифровано GTK 1 87
  88. 88. Рецепт Что можно получить: возможность для Man In The Middle в условиях невидимости для проводного IDS Какие протоколы подвежены: 802.1x, WPA-PSK WPA2-PSK, все!!! Что нужно для осуществления: •быть легитимным клиентом сети •узнать GTK – wpa_supplicant (0.7.0) http://hostap.epitest.fi •послать в эфир фальшивый ARP ответ - Madwifi (0.9.4) http://madwifi.org/ Методы защиты: •Wireless IPS – узнать вовремя •peer-to-peer blocking mode, функция контроллера - предотвратить 88
  89. 89. Обнаружение, локализация иподавление постороннихустройств.Беспроводная сеть двойного назначения
  90. 90. Какие бывают посторонние WiFi устройства?• Точки доступа• Домашние маршрутизаторы• Ноутбуки• Смартфоны и планшеты• Принтеры – ad-hoc режим работы
  91. 91. Принтер – плацдарм для атаки Уязвимости ОС и пароли по умолчанию могут дать возможность хакеру настроить встроенный Linux в режим маршрутизатораTECEWN-2020 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 91
  92. 92. Если немного пофантазировать...• Подарок в виде флэшки, мышки, клавиатуры…• Пример – USB Rubber Ducky – http://hakshop.myshopify.com/ 92
  93. 93. Три этапа работы с посторонними устройствами • Прослушивание эфира для обнаружения посторонних точек доступа, клиентов и одноранговых устройств Поиск • Классификация на основе RSSI, SSID, наличия клиентов и т.д. • Проверка на наличие подключения к проводной инфраструктуре Описание • Определение порта – Switch Port Tracing • Отключение портов на коммутаторах • Определение местоположения Борьба • Блокировка радиопередачи информации 93
  94. 94. Особенности для 802.11n Поиск802.11n - Mixed Mode• Детектируется 11a/g устройствами• Наиболее распространенный режим для 11n АР• Обеспечивает совместимость с 802.11a/g устройствами благодаря использованию 11a/g модуляции для management и control фреймов.802.11n – Greenfield Mode• Определяется только 802.11n устройствами• В этом случае, management, control и data фреймы передаются с использованием 11n методов модуляции 94
  95. 95. АР в режиме Rogue Detector Classify Принцип работы Rogue AP Authorized AP Client ARP L2 коммутируемая сеть Trunk PortRogue Detector AP «на проводе» Обнаруживает все ARP пакеты, в т.ч. Посторонних устройств Rogue Detector Контроллер получает от АР-детектора список MAC-адресов из ARP пакетов Не работает с маршрутизаторами и NAT APs 95
  96. 96. Rogue Location Discovery Protocol Classify Принцип работы Connect as Client Managed AP Rogue AP Send Packet Routed/Switched Network to WLCRLDP (Rogue Location Discovery Protocol) Подкючаемся к посторонней AP как клиент Отправляем IP пакет на собственный IP адрес Controller Работает только если не включено шифрование 96
  97. 97. Classify Трассировка порта коммутатора Switchport Tracing Принцип работы Match Found 2 3 CAM CAM Table Table WCS 1 Show CDP Neighbors Managed AP Rogue APWCS Switchport Tracing Определяем по CDP коммутатор, к которому подключена наша AP, обнаружившая угрозу Получение с коммутаторов CAM таблиц и поиск соответствующего MAC адреса Может использоваться при наличии шифрования и использовании NAT 97
  98. 98. WCS Switchport Tracing ClassifyКак работает Tracing выполняется по запросу по каждому ПУWCS Switch port tracing started for rogue AP 00:09:5B:9C:87:68 Rogue AP 00:09:5B:9C:87:68 vendor is Netgear Following MAC addresses will be searched: 00:09:5B:9C:87:68, 00:09:5B:9C:87:67, 00:09:5B:9C:87:69 Following rogue client MAC addresses will be searched: 00:21:5D:AC:D8:98 Following vendor OUIs will be searched: 00:0F:B5, 00:22:3F, 00:1F:33, 00:18:4D, 00:14:6C, 00:09:5B Rogue AP 00:09:5B:9C:87:68 was reported by following APs: 1140-1 Reporting AP 1140-1 is connected to switch 172.20.226.193 Following are the Ethernet switches found at hop 0: 172.20.226.193 Started tracing the Ethernet switch 172.20.226.193 found at hop 0 Tracing is in progress for Ethernet switch 172.20.226.193 MAC entry 00:09:5B:9C:87:69 (MAC address +1/-1) found. Ethernet Switch: 172.20.226.193, VLAN: 113, Port: GigabitEthernet1/0/33 Finished tracing all the Ethernet switches at hop 0
  99. 99. Cisco Rogue Management DiagramДоступные методы Switchport Tracing Ядро сети Si Si Si Wireless Control System (WCS) Wireless Распределение LAN Controller Доступ RRM RLDP Scanning Rogue Rogue Rogue Rogue AP Authorized AP Detector AP AP 99
  100. 100. Методы детектирования проводного ClassifyподключенияСравнение Алгоритм работы Определение… Надежность 1. AP определяет постороннее Open APs Средняя устройство в эфире Secured APs 2. АР сообщает IP ближайшего NAT APs коммутатора Switchport 3. Трассировка начинается с Tracing ближайших коммутаторов 4. Администратор отключает порт 1. AP определяет постороннее Open APs 100% устройство в эфире NAT APs 2. АР подлючается в качестве клиента RLDP 3. При успешном подлючении отправляется RLDP пакет 4. При получении на WLCRLDP пакета делается соотвествующий вывод 1. Подключение detector AP к транковому Open APs Высокая порту коммутатора Secured APs Rogue 2. АР-детектор получает все Detector посторонние MAC от WLC NAT APs 3. АР-детектор сопоставляет посторонние MACs с ARP 100
  101. 101. Определение местоположения ПУ MitigateПо запросу при помощи WCS • Позволяет определить местоположение отдельных ПУ по запросу • Не сохраняет историю измения координат ПУ • Не определяет местоположение клиентов ПУ WCS
  102. 102. Локализация посторонних устройств Борьбапри помощи WCS и MSE • Единовременная локализация множества посторонних устройств • Сохранение истории перемещений • Локализация посторонних клиентских устройств • Локализация одноранговых клиентских устройств WCS 102
  103. 103. Подавление посторонних устройств Борьба Принцип работыMitigate Rogue Client Authorized AP De-Auth Packets Rogue APПодавление посторонней AP Отправка De-Authentication фреймов посторонним клиентам и АР Могут использоваться local, monitor mode или H- REAP AP Может оказывать негативное влияние на производительность 103
  104. 104. Правила классификации ПУ ClassifyПринцип  Классификация основана на степени опасности угрозы и действиях по обезвреживанию  Правила классификации соотносятся с моделью рисков заказчика Низкий уровень Высокий уровень Вне сети Внутри сети Защищенный SSID Открытый SSID Неизвестный SSID «Наш» SSID Слабый RSSI Сильный RSSI Удаленное расположение На территории КЛВС Нет клиентов Привлекает клиентов
  105. 105. Правила классификации ПУ ClassifyПример Rogue Rule: Помечается как SSID: tmobile Friendly RSSI: -80dBm Rogue Rule: Помечается какОбнаружено ПУ SSID: Corporate Malicious RSSI: -70dBm ПУ не удовлетворяет Помечается как установленным Unclassified правиламПравила хранятся и выполняются на радио-контроллере
  106. 106. Автоматическое подавление Борьба 106
  107. 107. Изоляция посторонних устройствКак работает MitigateMitigateWCSWLC От 1 до 4 ТД могут быть использованы 00:09:5b:9c:87:68 для проведения изоляции
  108. 108. Изоляция посторонних устройств MitigateМетоды изоляции посторонних ТДMitigate Сценарий Метод изоляцииТолько ПУ Только Broadcast Deauth кадрыПУ и ихклиенты Broadcast и Unicast Deauth кадры
  109. 109. Изоляция ПУ Как работает Mitigate• Каждые 100мс отсылаются минимум 2 de-auth пакета (20 пакетов в секунду) ~100мс3  ТД в режиме local mode может осуществлятьLocal Mode изоляцию до 3-х ПУ на 1 радиоинтерфейс6  ТД в режиме monitor mode может осуществлять изоляцию до 6-ти ПУ на 1Monitor Mode радиоинтерфейс
  110. 110. Внеканальные посторонниеустройства “…. Человека по одежке встречают” -Народная мудрость
  111. 111. 111
  112. 112. Атаки при помощи внеканальных постороннихустройств• Некоторые Open Source прошивки и драйверы позволяет очень точно настраивать частоты: – MadWiFi (http://madwifi-project.org/)–open source драйверы для микросхем Atheros где доступен hardware abstraction layer, что позволяет настроить частоту передачи.• Проблема – постороннее устройство, передающее не на стандртном канале (например между 36 и 40) не может быть обнаружено стандартными мерами. 113
  113. 113. Как выглядит внеканальный передатчик? WiFi Channel 36 Off-Channel Rogue WiFi Channel 40 Center Frequency: Center Frequency: Center Frequency: 5.180GHz 5.189GHz 5.200GHz • Несущяя частота посторонней АР настроена на нестандартынй для WiFi канал. 114
  114. 114. CleanAir позволяет обнаруживать внеканальныепередатчики Cisco CleanAir дает возможность обнаруживать и определять местоположение любых устройств на любых частотах. Предоставляется информация о местоположении и пострадавших каналах. 115
  115. 115. Wi-Fi и контроль за состоянием РЧ–спектра.Почему микропроцессорная обработка важна?• Обычный Wi-Fi чип это по сути процессор-МОДЕМ• Он знает 2 вещи: – ВЧ-сигнал, который можно демодулировать = Wi-Fi – Набор ВЧ-сигналов, который нельзя демодулировать = Шум• Структура шума сложна – – Коллизии, фрагменты, повреждения – Wi-Fi –сигнал ниже порога чувствительности приемника• Пики Wi-Fi активности могут вызвать все вышеназванные «эффекты»
  116. 116. Высокое спектральное разрешение – ключ кточному анализу спектра ЕДИНСТВЕННЫЙ в индустрии потоковый анализатор спектра с высоким разрешением интегрированный в точку доступа Обычный Wi-Fi чипсет Cisco CleanAir Wi-Fi чипсет Спектр. сетка с 5 MHz шагом Спектральная сетка с шагом от 78 to 156 KHz Microwave oven Microwave oven Power Power ? BlueTooth BlueTooth ‘Восприятие’ чипсетом куска спектра с интерференцией микроволновки и bluetooth
  117. 117. Cisco Unified Wireless Network –архитектура и принципыработы механизмовобеспечения безопасности
  118. 118. Отличия адаптивной wIPS от базовой IDSрадио-контроллера Корреляция • Меньше ложных сигналов сигналов тревоги тревоги Число атак • Только 17 в базовой IDS контроллера Расследования (Forensics) • Захват пакетов атаки Историческая • Больше глубина архива и отчетность обнаружение аномалий
  119. 119. Адаптивная wIPS Отличие #1Аггрегация и корреляция сигналов тревогиБазовая IDS контроллера Адаптивная wIPS WCS WCS WLC MSE ТД WLC ТД• Нет корреляции сигналов тревоги
  120. 120. Адаптивная wIPS Отличие #2Обнаруживается большее количество типов атакБазовая IDS контроллера Адаптивная wIPS • Только 17 сигнатур
  121. 121. Адаптивная wIPS Отличие #3«Захват» пакетов для проведения расследования
  122. 122. Адаптивная wIPS Отличие #3«Захват» пакетов для проведения расследования
  123. 123. Адаптивная wIPS Отличие #4Историческая отчетность • Информация о сигналах тревоги хранится в базе данных (БД) MSE – Максимум 6 миллионов сигналов тревоги может храниться в базе данных MSE • WCS посылает запросы в БД MSE во время создания отчета • Отчеты создаются и просматриваются в WCS
  124. 124. Сканирование радиоэфира в поискахпосторонних устройств DetectДва различных режима ТД для РЧ-сканирования ТД в режиме Monitor Алгоритмы обнаружения ТД в режиме Local Mode Mode посторонних устройств• Обслуживание клиентов • Предназначена для • Любая ТД, которая с переключением на сканирования имеет неизвестные другие каналы для • Прослушивает каждый значения RF Group сканирования канал в течение 1.2сек name или mobility group,• Каждый канал • Сканируются все считается посторонним прослушивается в каналы устройством течение 50мс • Автономные ТД,• В режиме сканирования управляемые с WCS, можно настроить: автоматически • Все каналы заносятся в «белый» список • Каналы данного регуляторного домена (настройка по умолчанию) • DCA-каналы
  125. 125. РЧ-алгоритм сканирования каналов Detect точка доступа в режиме Local Mode ТД на канале 1 - 802.11 b/g/n – Разрешенные в США каналы 10мс10мс с 16с 50мс 16с 50мс 16с 50мс 16с 50мс 16с 50мс 16с 50мс 16с 1 2 1 3 1 4 1 5 1 6 1 7 1 … Каждые 16с новый канал сканируется в течение 50мс ТД на канале 36 - 802.11 a/n – Разрешенные в США каналы (без UNII-2 Extended) 10мс 10мс 14.5с 50мс 14.5с 50мс 14.5с 50мс 14.5с 50мс 14.5с 50мс 14.5с 50мс 14.5с 50мс 14.5с 50мс 36 40 36 44 36 48 36 52 36 56 36 60 36 64 36 149 … Каждые 14.5с, новый канал сканируется в течение 50мс
  126. 126. РЧ-алгоритм сканирования каналов Detectточка доступа в режиме Monitor Mode 802.11b/g/n – Все каналы 10мс 10мс 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1 2 3 4 5 6 7 8 9 10 11 12 … 802.11a/n – Все каналы 10мс 10мс 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 36 40 44 48 52 56 60 64 100 104 108 112 116 132 136 140 …
  127. 127. Адаптивная wIPSКомпоненты и функции ТД Обнаруж. атаки 24x7 скан Over-the-Air Обнаруж. WLC Настройка Управление wIPS ТД Архив. Хранение MSE сигналов тревоги «захват»- пакетов Комплексн. Анализ атак, Криминалистика, Событий Централиз. Историч. WCS мониторинг отчетность Мониторинг, Отчетность
  128. 128. Mobility Services EngineПоддержка сервисов Cisco Motion 3310 Mobility Services Engine 3355 Mobility Services Engine Поддержка адаптивной wIPS для 2000 Поддержка адаптивной wIPS для 3000 ТД в Monitor Mode ТД в Monitor Mode Поддержка Context Aware для Поддержка Context Aware для отслеживания до 2000 устройств отслеживания до 18000 устройств Требует WLC ПО версии 4.2.130 или Требует WLC ПО версии 6.0 или выше выше и WCS версии 5.2 или выше. и WCS версии 6.0 или выше. • Сервисы мобильности могут иметь другие требования к ПО WLC/WCS • Адаптивная wIPS лицензируется по количеству ТД в wIPS monitor mode
  129. 129. • 1. Attack Launched against infrastructure device (‘trusted’ AP) • 2. Detected on AP Communicated via CAPWAP to WLC • 3. Passed transparently to MSE via NMSP • 4. Logged into wIPS Database on MSE Sent to WCS via SNMP trap • 5. Displayed at WCS© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 130
  130. 130. Option A Option B Enhanced Local Mode Local Mode WIPS Monitor Mode/CleanAi r MMAP + WIPS MM WIPS Monitor Mode or CleanAir MM Turn on ELM on all APs + WIPS MM on CleanAir AP: (including CleanAir) Recommendation – Ratio of 1:5 MMAP to Local Mode APs© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 131
  131. 131. Руководства по внедрению• Management Frame Protection –http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09 186a008080dc8c.shtml• Wired/Wireless IDS Integration –http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09 186a00807360fc.shtml• Adaptive wIPS Deployment Guide –http://www.cisco.com/en/US/docs/wireless/technology/wips/deployment/guide/wipsde p.html
  132. 132. Выводы
  133. 133. Невзламываемая сеть – возможно ли? • Максимальный уровень безопасности – Аутентификация EAP-TLS + смарт-карты (eToken) – Принудительное отключение автоматического выбора профиля на клиентских устройствах – Проверка серверных сертификатов – Интеграция с проводными IDS – Адаптивная беспроводная IDS система с возможностью Forensics • Пример Cisco Systems – 75000 сотрудников – Автоматический выбор профиля, сертификат сервера не проверяется – Аутентификация EAP-FAST по логину и паролю – Шифрование – TKIP с постепенным переходом на AES 134
  134. 134. Выводы • не используйте уязвимые протоколы • используйте для защиты корпоративных сетей технологии корпоративного класса, MFP • контролируйте радиосреду на предмет наличия DoS атак – необходима IDS система • контролируйте настройки (сапликант) на клиентских ПК - они самое слабое звено • используйте заложенные в оборудование функции • отделяйте зерна от плевел оценивая реальность угроз – о каких то угрозах можно просто забыть • Посторонние устройства представляют серьезную угрозу • Возможность провести расследование НЕОБХОДИМА!!! А что дальше делал хакер? Получилось? 135
  135. 135. Фокус на абонентов• Автоматизированные средства распространения обновления для ПО и антивирусоов• Принудительное использование VPN при работе вне корпоративной беспроводной стеи• От уязвимостей нулевого дня невозможно защититься 136
  136. 136. Рекомендованная литература • Глава 28 УК РФ. Преступления в сфере компьютерной информации  Статья 272 УК РФ. Неправомерный доступ к компьютерной информации  Статья 273 УК РФ. Создание, использование и распространение вредоносных программ для ЭВМ  Статья 274 УК РФ. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети 137
  137. 137. Рекомендованная литература 138
  138. 138. http://www.oxid.it/http://www.remote-exploit.org/http://www.shmoo.com/http://airsnarf.shmoo.com/http://rainbowtables.shmoo.com/http://renderlab.net/projects/WPA-tables/ - WPA-PSK lookup tables for Cowpatty and Aircrack-nghttp://www.digininja.org/http://www.digininja.org/jasager/usage_web.phphttp://hakshop.myshopify.com/ == hakshop.comhttp://pyrit.wordpress.com/http://code.google.com/p/pyrit/http://www.tomshardware.com/reviews/wireless-security-hack,2981-8.htmlhttp://www.theta44.org/tools.htmlhttp://www.theta44.org/karma/index.htmlhttp://www.wirelessdefence.org/ - база знанийhttp://insecure.org/ - http://nmap.org/http://habrahabr.ru/company/xakep/blog/143834/http://code.google.com/p/reaver-wps/ - http://www.tacnetsol.com/products/https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CFIQFjAA&url=https%3A%2F%2Fdocs.google.com%2Fspreadsheet%2Flv%3Fkey%3D0Ags-JmeLMFP2dFp2dkhJZGIxTTFkdFpEUDNSSHZEN3c&ei=1wXFT62IBcOAOuzoieYJ&usg=AFQjCNExS2mfRUkvDFNeV8ed6Ng7Ey_0ww&cad=rjahttp://sviehb.files.wordpress.com/2011/12/viehboeck_wps.pdfhttp://openwips-ng.org/index.htmlhttp://www.kismetwireless.net/http://www.aircrack-ng.org/doku.phphttp://www.securitytube.net/ 139
  139. 139. Спасибо!

×