Ako si (ne)zabezpečiť Wi-Fi

Niečo málo o Wi-Fi

Bezpečnostné protokoly

Bezpečnostné opatrenia

Iné

Ako si (ne)zabezpečiť Wi-Fi Roman Hudec

Klub Trojstenu 2014

Roman Hudec

Ako si (ne)zabezpečiť Wi-Fi

1 / 24




Iné

Nutný úvod

Varovanie Táto prednáška obsahuje ukážky metód na prekonanie zabezpečenia bezdrôtových sietí. Slúžia na ukážku, ako sú niektoré dnes bežne používané Wi-Fi štandardy slabo zabezpečené. Nabúravať sa do cudzích sietí je protizákonné, prosím nerobte to :)

Roman Hudec


2 / 24




Iné

Wi-Fi • Elektromagnetické žiarenie • Frekvenčné pásma väčšinou 2.4GHz, zriedkavejšie aj 5GHz • Drtivá väčšina antén na routroch je všesmerová ->

komunikácia neprúdi len medzi klientom a routrom • Wi-Fi protokoly (napr. pripájanie na router, odpájanie od

routra) sú nešifrované • Komunikácia medzi dvomi klientami chodí cez router • Spravidla ak je sieť zaheslovaná, tak je komunikácia medzi

klientom a routrom šifrovaná

Roman Hudec


3 / 24




Iné

Prihlasovanie na Wi-Fi • Router pravidelne vysiela do okolia správu (beacon), že existuje

a že sa naň dá pripojiť. Táto správa je nešifrovaná a obsahuje: • • • •

(Voliteľne) meno siete (ESSID) Svoju MAC adresu (BSSID) Vyžadovaný bezpečnostný protokol Podporované rýchlosti, módy, atď...

• Wi-Fi scan: Klient chvíľku počká a zobrazí užívateľovi zoznam

takýchto zachytených správ • Klient sa pripojí na sieť (pošle svoju MAC adresu a ESSID

siete na ktorú sa pripája, nešifrovane) • Klient sa prihlási na sieť (podľa použitého protokolu, šifrovane) • Klient je pripojený (šifrované podľa použitého bezpečnostného

protokolu) Roman Hudec


4 / 24




Iné

Typy zabezpečenia

• Bezpečnostné protokoly • Bez zabezpečenia • WEP • WPA/WPA2 • Bezpečnostné opatrenia • Skrytie ESSID • Vypnutie DHCP / filtrovanie IP adries • Filtrovanie MAC adries • Zabezpečenie administrátorského rozhrania

Roman Hudec


5 / 24




Iné

Zaujímavosti • Jedna Wi-Fi sieť môže byť zložená z viacerých routrov, vtedy

sa im vraví Access Point-y (AP). Potom jedno ESSID patrí viacerým BSSID • Pri vypínaní router pošle všetkým klientom odpájací paket

(nešifrovane) • Pri odpájaní sa od routra pošle klient routru odpájací paket

(nešifrovane) • Ak tieto pakety pošleme my, môžeme niekoho odpojiť. Ten sa

však zvyčajne do pár milisekúnd znovu prihlási.. • Ak však pošlem veľa takýchto paketov za sebou...

Roman Hudec


6 / 24




Iné

Bez zabezpečenia

• Každý kto routeru poskytne správne ESSID sa pripojí (Router

ho štandardne prezrádza) • Hocikto vidí komunikáciu na tejto sieti, aj ľudia ktorí nie sú

pripojení • Ďalšie bezpečnostné opatrenia (napr. vypnutie DHCP servera)

môžu zabrániť ľuďom sieť používať, ale nie vidieť, čo sa na sieti deje

Roman Hudec


7 / 24




Iné

WEP • Wired Equivalent Privacy • Predstavený v roku 1999 • Používa 40 (5 znakov) alebo 104 (13 znakov) "kľúče"(heslo na

Wi-Fi) a 24 bitové IV = náhodné, pre každú správu sa generuje nový, z ktorých potom zloží 64-bitový resp. 128-bitový kľúč pre šifru RC4, ktorou potom šifruje správu. • Všetci pripojení klienti používajú tie isté kľúče na šifrovanie

komunikácie s routrom = pripojení klienti vidia všetku komunikáciu na sieti

Roman Hudec


8 / 24




Iné

WEP • Prelomený (nájdená chyba v krypto umožňujúca zistiť heslo

inak ako skúšaním) prvý krát v roku 2001 • Odvtedy nájdených viacero spôsobov útokov. • Väčšina útokov zakladá na zachytení veľkého množstva

rôznych IV • IV sa môžu opakovať (keďže ich je len 224 ) -> môžu sa

opakovať aj pakety..., stačí zachytiť jeden samostatne použiteľný request na router (väčšinou sa používajú ARP request-y) a môžeme spamovať router a chytať nové IV z odpovedí

Roman Hudec


9 / 24




Iné

WEP Zistíme meno a MAC našej wi-fi karty iwconfig

Zapneme na nej monitor mode airmon-ng start <wireless device>

Nájdeme si kanál a BSSID siete ktorú chceme hacknúť airodump-ng mon0

Začneme vedľa zachytávať pakety airodump-ng mon0 -w capture -c -d

Pripojíme sa na sieť bez prihlásenia aireplay-ng -1 -0 -a -h <MAC> mon0 Roman Hudec


10 / 24




Iné

WEP

Začneme vedľa hľadať a duplikovať ARP pakety aireplay-ng -3 -b -h <MAC> mon1

Začneme "crack-ovať" aircrack-ng capture-01.cap

Roman Hudec


11 / 24




Iné

WPA(2)

• Wi-Fi Protected Access • Verzia 1 predstavená v roku 2003 • Verzia 2 predstavená v roku 2004 prinášajúc ďalšie možnosti

šifrovania • 2 módy • PSK: Všetci užívatelia sa prihlasujú tým istým heslom • Enterprise: Každý užívateľ má svoje prihlasovacie meno a heslo

• Zatiaľ neprelomený, ale...

Roman Hudec


12 / 24




Iné

WPA(2) • Social engineering • Offline brute-force attack – Ak sa útočníkovi podarí zachytiť

komunikáciu klienta s routrom pri prihlasovaní (WPA handshake), vie slovníkovým alebo brute-force útokom zistiť heslo. • Nepoužívajte krátke a slabé heslá • Príklad: • TP-LINK routre majú štandardne 8 číselné heslá == 10 000 000 možností • Napr. môj notebook dokáže odskúšať 20000 hesiel za sekundu == všetky 8 číselné heslá viem vyskúšať do 1 a pol hodiny • Nepoužívajte predvídateľné (jednoslovné) heslá

Roman Hudec


13 / 24




Iné

WPA(2) Zistíme meno našej wi-fi karty iwconfig


Nájdeme si kanál a BSSID siete ktorú chceme hacknúť airodump-ng mon0

Začneme zachytávať pakety airodump-ng mon0 -w handshake -c -d

Odpojíme všetky zariadenia zo siete aireplay-ng mon0 -a –deauth 10 Roman Hudec


14 / 24




Iné

WPA(2)

Prekonvertujeme zachytený paket do formátu pre Hashcat aircrack-ng handshake.cap -J hashcat

Overíme všetky slová v slovníku hashcat -m 2500 hashcat.hccap slovnik.txt

Alebo vhodne spustíme brute-force hashcat -m 2500 -a3 hashcat.hccap ?d?d?d?d?d?d?d?d

Roman Hudec


15 / 24




Iné

WPA(2) • Pri WEP mi na odpočúvanie komunikácie na sieti stačilo heslo

k sieti. Pri WPA si pre každého klienta ktorého chcem odpočúvať potrebujem vypočuť jeho prihlásenie • To už vieme, že problém nerobí :) • Zachytávať pakety môžeme napr. cez airodump, na

dekryptovanie poslúži napr. wireshark • Na Enterprise variantu teoreticky fungujú rovnaké útoky ako

na WPA-PSK • Avšak hesiel je veľa, ak sa jednému užívateľovi na heslo príde,

vieme mu ho zmeniť bez toho aby sme museli nové heslo povedať všetkým ostatným ktorí ho majú vedieť • Also, ak chcem odpočúvať človeka pripojeného k

WPA-Enterprise potrebujem vedieť jeho heslo Roman Hudec


16 / 24




Iné

Skrytie ESSID • Na prihlásenie k sieti treba vedieť meno siete (ESSID). Toto •

• •

•

meno siete môže router skryť vo svojom beacon-e. Ak je ESSID v beacon-e skryté, tak sa sieť nezobrazí v zozname sietí, ktoré vám telefón / počítač nájde (Alebo sa tam zjaví ako "Iná sieť") Každé pripojené zariadenie pri pripájaní na sieť posiela routru ESSID v nešifrovanom tvare Z rôznych dôvodov (presun medzi AP v rámci jednej siete, zistenie či sme ešte stále pripojený) každé pripojené zariadenie periodicky posiela Probe request na zistenie či má ešte v dosahu nejaký router z tej siete s ESSID v nešifrovanom tvare Zistiť ESSID skrytej siete cez špecializovaný program (napr. airodump-ng) trvá pár sekúnd ak je na nej napojený aspoň jeden človek

Roman Hudec


17 / 24




Iné

Vypnutie DHCP / filtrovanie IP adries • Ak router nemá zapnutý DHCP, pripájajúce sa počítače

nedostanú automaticky IP adresu • Musia si ju nastaviť manuálne a teda musia vedieť v akom

rozsahu sa nachádza • Opäť komplikuje pripájanie sa • Problémy • Niektoré programy sa snažia hľadať počítače na sieti cez Broadcast (Paket poslaný na poslednú adresu z rozsahu IP adries na sieti je doručený na všetky počítače v sieti), napr. Dropbox • Slušných rozsahov IP adries použiteľných pre lokálne siete je málo

Roman Hudec


18 / 24




Iné

Filtrovanie MAC adries

• Každé zariadenie v sieti má MAC adresu, ktorá by mala byť

unikátna. Vieme na routri spraviť zoznam povolených zariadení • Avšak od každého povoleného zariadenia treba najskôr adresu

zistiť • Navyše štandardne sa dá MAC adresa zariadenia ľubovoľne

zmeniť • Stačí zistiť jednu z povolených MAC adries • To sa dá napr. z Probe request-ov ktoré chodia každú chvíľu :)

Roman Hudec


19 / 24




Iné

Zabezpečenie administrátorského rozhrania

• Existujú rôzne databázy štandardných hesiel k jednotlivým

routrom • Zmeňte si heslo čo najskôr po kúpení routra • Heslo je posielané nešifrovane • Ak nepoužívate WPA-Enterprise neodporúčam sa pripájať do

administračného rozhrania cez Wi-Fi, väčšina routrov má aj možnosť pripojiť sa naň káblom

Roman Hudec


20 / 24




Iné

WPS • Wi-Fi "protected"setup • Dve oddelené veci v jednom štandarde • Systém na jednoduché prvotné nastavenie Wi-Fi. Na spodku routra sa nachádza 8 miestny PIN. Vo (napr.) Windows 7 v zozname zariadení na sieti sa zjaví router. Po rozkliknutí si Windows vypýta PIN, po zadaní sa zjaví možnosť prestaviť meno siete a WPA(2) heslo. • Systém na jednoduché pripojenie k Wi-Fi. Na routri sa nachádza tlačítko. Na wi-fi sieť sa dá pripojiť tak, že sa v pár sekundovom rozostupe počítač/mobil začne pripájať a niekto na routri stlačí tlačítko

Roman Hudec


21 / 24




Iné

WPS

• Všetky rôzne 8-miestne PIN-y == 100 miliónov možností • 8. číslica je kontrolný súčet (podobne ako v rodných číslach)

== 10 miliónov možností • Prvá polovica PIN-u a druhá polovica PIN-u sa kontrolujú

nezávisle == 11000 možností • Na veľa veľa routroch sa dá vyskúšať tak 1 pin za 3 sekundy

== prístup na sieť máme do dňa

Roman Hudec


22 / 24




Iné

WPS Zistíme meno a MAC našej wi-fi karty iwconfig


Nájdem zraniteľné zariadenie a odpíšem si BSSID wash -i mon0

Začnem brute-force a čakám reaver -i mon0 -b -vv

Roman Hudec


23 / 24




Iné

WPS • Kvôli tomu, že to slúži na prvotné nastavenie siete je to na

všetkých podporovaných routroch štandardne zapnuté • Občas sa nedá vypnúť tlačítkový prístup bez vypnutia prístupu

cez PIN • Na prvých routroch ktoré toto podporovali sa to nedalo vypnúť

vôbec • Niektorí výrobcovia si túto "feature" premenujú, čo môže

zmiasť menej znalých ľudí (napr. na TP-LINK-och sa volá QSS)

Roman Hudec


24 / 24

Ako si (ne)zabezpečiť Wi-Fi

Recommend Documents