INFORMATIKAI WLAN-HÁLÓZATOK ZAVARÁSA

VÉDELMI INFOKOMMUNIKÁCIÓ

GYÁNYI SÁNDOR

INFORMATIKAI WLAN-HÁLÓZATOK ZAVARÁSA

Az elektronikai eszközök méretének és elektromos teljesítményfelvételének csökkenésével egyre népszerűbbé válnak a hordozható eszközök. Egy hordozható elektronikus eszköz esetében a fix telepítésű adatátviteli hálózatok használata nehézkessé válik, mivel éppen a mobilitás veszik el ilyenkor a rendszerből. Ez az oka a vezeték nélküli számítógépes hálózati eszközök iránti igény megnövekedésének: a használójuk számára a működtetés kényelmes, nem kell egy íróasztal mellett görnyedni, akár a kertben, napozás közben is elérhető a kívánt hálózat. Azonban az ilyen hálózatok használatának vannak árnyoldalai is. A népszerű mondás szerint a rádióhullámok nem állnak meg a falak mentén (bár megfelelő árnyékolás esetén ez a hatás kiküszöbölhető), így az információátvitel mások számára is láthatóvá, lehallgathatóvá válik. Sőt, fordított irány is szóba jöhet, egy támadó nem csak lehallgathatja, de akár meg is zavarhatja a kommunikációt, lehetetlenné téve az üzemszerű állapot fenntartását. Napjaink legnépszerűbb WLAN szabványának vizsgálatával igyekeztem áttekinteni a zavarás lehetőségeit, megvizsgáltam a piacon egyszerűen beszerezhető eszközök képességeit. Kulcsszavak: Wireless LAN, vezeték nélküli hálózatok, DOS támadások, rádiótechnikai zavarás

The smaller the sizes and electric power consumption of electronic devices, the more popular they will become. With a portable electronic device it is hard to use fixed data communication networks, for the whole system loses mobility. That is why the need of wireless computer network appliances has increased. Their usage is very comfortable, users don’t have to spend the day behind an office desk they can easily reach the needed network even while sunbathing in the garden. Nevertheless, there are also some disadvantages of these networks. There is a saying that radio waves don’t stop at walls (otherwise this effect can be eliminated by proper shielding), so data transfer can be seen or sniffed by others. Moreover, an attacker can not only sniff but also jam communication, and mocks the normal operation. By examination of today’s most popular WLAN standard I have tried to review the possibilities of jamming, and studied the abilities of commercial jamming devices.

WLAN hálózati szabványok Bár a Wireless LAN fizikai közege nem csak rádiós csatorna lehet (a szabvány az infravörös fényt és a lézert is említi), de a legszélesebb körben mégis ezt használják. Az IEEE 802.11 szabványcsalád több átviteli 119


módot és protokollt is definiál, amelyek közül jelenleg a 802.11b (maximum 11 Mbps átviteli sebességgel) és a 802.11g (maximum 54 Mbps átviteli sebességgel) változatokat használják a legszélesebb körben, ezért a továbbiakban ezek zavarási lehetőségeit vizsgálom meg. Mindkét átviteli mód a 2400-2500 MHz közti frekvenciát használja, amelyek az úgynevezett ISM (Industrial, Scientific and Medical) sávba tartoznak, az itt forgalmazó állomásokra nem kell külön engedélyt kérni, amennyiben betartják az engedélyezett effektív adóteljesítményt. Az ISM sávok szabályozása a világ egyes részein eltérő, ami jelentősen befolyásolja a használhatóságot. Magyarországon (az EU többi államához hasonlóan) a következő adóértékek betartása szükséges [1]: Sáv [MHz]

Max. sávszélesség [MHz]

Max. antenna nyereség [dBi]

Max. effektív adóteljesítmény [dBm/mW]

2400-2482 MHz

40 MHz

—

20 dBm/100 mW

Az Egyesült Államokban ettől eltérően jelentősen nagyobb, 1 W adóteljesítményt engedélyeznek [2]. A 2400 MHz körüli frekvenciatartományban jelentős zavarokra kell felkészülni, mivel itt rengeteg berendezés üzemel (mikrohullámú sütők, egyes telefonok, kép és hangátviteli rendszerek).A rendelkezésre álló frekvenciatartományt csatornákra osztották, amelyek adatai az alábbi táblázatban láthatók [3]:

120

Csatorna

Alsó határ MHz

Közép MHz

Felső határ MHz

1.

2 401

2 412

2 423

2.

2 404

2 417

2 428

3.

2 411

2 422

2 433

4.

2 416

2 427

2 438

5.

2 421

2 432

2 443

6.

2 426

2 437

2 448


Csatorna

Alsó határ MHz

Közép MHz

Felső határ MHz

7.

2 431

2 442

2 453

8.

2 436

2 447

2 458

9.

2 441

2 452

2 463

10.

2 451

2 457

2 468

11.

2 451

2 462

2 473

12.

2 456

2 467

2 478

13.

2 461

2 472

2 483

14.

2 473

2 484

2 495

A 14-es csatornát kizárólag Japánban használják. Egyetlen WLAN kap-

csolat számára 22 MHz sávszélességre van szükség, azonban az egyes csatornák csak 5 MHz távolságra találhatók egymástól, vagyis átlapolódás történik.

1. ábra WLAN csatornák a 2.4 GHz sávban [3]

Emiatt a vételi távolságon belül egy időben csak három különböző WLAN hálózat üzemelhet (1,6,11 vagy 2,7,12 vagy 3,8,13 vagy 5,10 számú csatornákat használva), vagyis a helytelenül megválasztott csatorna használata már önmagában is jelentős sávszélesség csökkenést (zavarást) jelenthet. A 802.11b és g szabványok a közeghozzáférés vezérlésére 121


a CSMA/CA (Carrier Sense Multiple Access/Collision Avoidance) eljárást alkalmazzák. A CSMA rövidítés a vivőérzékelésre utal, vagyis egy állomás addig nem kezdheti meg az adást, amíg a csatornába belehallgatva annak foglaltságát érzékeli. Természetesen ez önmagában még nem elegendő, mivel előfordulhat olyan eset, amikor nem csak egyetlen adó várakozik, ekkor a csatorna felszabadulását követően mindannyian egyszerre kezdenék meg az adást. Az ilyenkor bekövetkező „ütközés” (collision) kettőnél több állomás esetén gyakorlatilag lehetetlenné tenné a kommunikációt, ezért szükséges ellene védekezni. A szabvány előírja azt, hogy az ütközést érzékelő végpontnak a csatorna felszabadulását követően egy véletlenszerűen kiválasztott időtartamig még várakoznia kell, majd újra belehallgatni a csatornába. Ha az még továbbra is szabad, akkor megkezdheti az adást. Feltételezve, hogy betartják ezt a szabályt, valamint a véletlenszám generálás egyenletes eloszlású (valamennyi állomás egyaránt generál kisebb és nagyobb számokat is), akkor hosszabb távon mindenki egyforma eséllyel jut a felszabaduló csatornához. Van azonban egy jelenség, ami megnehezíti az ütközések elkerülését. Ezt a rejtett állomás problémájának (hidden node problem) nevezik, és kivédésére egy új mechanizmust kellett bevezetni a protokollba, amelyet CA (Collision Avoidance) névvel láttak el. A probléma lényegét az alábbi ábra szemlélteti:

1. végpont

2. végpont

3. végpont

2. ábra Rejtett állomás problémája

122


Az ábrán látható, hogy a 2. sorszámú állomást az 1. és a 3. sorszámú állomások is látják, itt tehát probléma nélkül működik a CSMA/CA alap mechanizmusa. Azonban az 1. végpont közvetlenül nem képes kommunikációt folytatni a 3. végponttal, mivel egymás hatótávolságán kívül esnek. Ez azt is jelenti, hogy a 3. végpont a 2. végpont számára küldött adása közben az 1. végpont a vivő érzékelésére sem képes, így a csatornát szabadnak ítélve azonnal megkezdené saját információinak küldését a középen álló végpont számára. Ennek kivédésére a normál CSMA eljáráshoz képest egy plusz feladata van az adni szándékozó végpontnak: egy speciális keret segítségével le kell foglalnia saját átvitele számára a megfelelő időtartamot, adását pedig csak akkor kezdheti meg, ha erre a nyugtát megkapta. A folyamat a következő módon zajlik [4]: — az adni szándékozó állomás egy RTS (Request to Send) kerettel jelzi adási szándékát, ami tartalmazza a küldendő adatmennyiség adási időtartamát; — a vevő egy CTS (Clear to Send) kerettel nyugtázza ezt, a keret tartalmazza az igényelt adási időt (mivel a többi állomás az RTS keretet nem biztos, hogy megkapta); — a CTS keret alapján az összes állomás az igényelt időtartamig a csatornát foglaltnak tekinti. A CSMA/CA mechanizmus feltételezi az eszközök szabványkövető magatartását, azonban megfelelően felkészített adatok elküldésével jelentősen lehet csökkenteni a hatékonyságát. A CSMA mechanizmus kijátszásával (a csatorna szabaddá válása után azonnali adáskezdés) illetve CTS keretek küldésével (állandó csatornafoglaltság szimulálásával) megzavarható a forgalom. A 802.11 szabványcsalád megtartotta a 802.3 által használt fizikai eszközazonosítókat (MAC address), az adatok átvitele keretrendszerben történik, vagyis minden küldendő adatot nagyobb egységekbe rendeznek, ezek elé fejlécet tesznek, és így továbbítják az átviteli közegbe. A keretek fejléce hasonló az IEEE802.3 (Ethernet) keretekhez, de a vezeték nélküli átvitelnek megfelelő módon módosították. Az átvitel közben keletkezett hibák felfedésére egy 32 bites CRC (Cyclic Redundancy Check) értéket használnak. Ha az átvitel során egyetlen bit is módosul, akkor a CRC felfedi a hibát, és a teljes keretet eldobják. 123


Zavarási lehetőségek a fizikai rétegben Ha az ISO/OSI rétegmodell szerint vizsgáljuk a 802.11 család lehetséges zavarási módszereit, akkor azt látjuk, hogy a zavarásra legegyszerűbb módon a fizikai illetve az adatkapcsolati rétegben van mód. A hagyományos, szélessávú vagy csúszó zavarás mellett lehetséges a 802.11 által alkalmazott protokollokra speciális zavarást is végezni, amivel a kisugárzott teljesítményt lehet drasztikusan csökkenteni. Mivel az adatátvitel keretekben történik, ezért ilyen esetben a cél a teljes keret zavarása helyett csak annak egy kis részét megváltoztatni. A keret sértetlenségét mindössze egy 32 bites CRC segítségével ellenőrzik, ezért hibajavításra nincs lehetőség, a keret sérülése esetén a küldő félnek a teljes keretet meg kell ismételnie. A WLAN által használt keretek formátuma szándékosan olyan, hogy azokat a fejléc lecserélésével probléma nélkül lehessen továbbítani egy vezetékes, IEEE802.3 vagy Ethernet-II szabványnak megfelelő hálózatba. Ez magával vonzza azt is, hogy a keretek maximális hossza körülbelül 1500 byte lehet, tehát 12000 bit zavarásához elegendő akár 1 bit tartalmát az ellenkezőjére változtatni, ekkor a CRC értéke hibás lesz, így a keretet a küldőnek meg kell ismételnie. A 802.11b hálózatok által használt modulációk (adatátviteli sebességek) szerint a zavarás hatékonysága a következőképpen alakul [8]: Kódolás BPSK QPSK CCK (5.5 Mbps) CCK (11 Mbps)

Maximális csomaghossz 12000 bit (1500 byte) 12000 bit (1500 byte) 12000 bit (1500 byte) 12000 bit (1500 byte)

Bit/szimbólum

Hatékonyság

1

1:12000

2

1:6000

4

1:3000

8

1:1500

Látható, hogy ha a zavaróegység figyeli az adatátvitel keretszerkezetét, és csak a megfelelő időben, egy szimbólumnyi időre kapcsolja be a zavaró adót, akkor jelentős effektív teljesítménycsökkenést lehet elérni. A leg124


jobb hatékonyság a kis átviteli sebességű hálózatoknál érhető el, mivel ebben az esetben a keret átviteléhez szükséges idő nagy, így az 1 bit megváltoztatásához elegendő ritkán bekapcsolni az adót. A nagyobb átviteli sebességnél sűrűbben kell zavarni, a szimbólumidő ráadásul nem is tér el jelentősen (a nagyobb átviteli sebesség a fejlettebb moduláció és kódolás által biztosított nagyobb bit/szimbólum érték miatt van), így a bekapcsolási periódus sem lehet kisebb. Az ilyen zavarókészülék megvalósítható intelligens kivitelben (a keretek figyelésével csak a tényleg szükséges időközökben kapcsolja be az adót) vagy egyszerűbb esetben egy átlagos keretidőnkénti automatikus bekapcsolással. Ekkor a készülék egyszerűbb lehet, hiszen a keretfigyelő elektronika helyett elegendő egy időzítő is. A másik egyszerűsítési lehetőség a zavart sávok számának csökkentése. Bár a 2400-2500 MHz sávban 14 csatornát jelöltek ki, a WLAN által használt szórt spektrumú adás 22 MHz sávszélessége miatt több csatornát is átfog a sugárzás. Így elegendő a 14 csatorna helyett kevesebbet — ám azt nagyobb adási jelszinttel — zavarni a lefedéshez.

Zavarókészülékek A kereskedelmi forgalomban kapható WLAN zavaró eszközök a gyártók marketing anyagai szerint nem a hálózatok megzavarására készültek, a fő cél az adatlopás, lehallgatás megakadályozása. Ezt a célt igyekeznek elérni azzal, hogy a készülék körzetében minden olyan rádiós kommunikációt meggátolnak, ami a működési frekvenciatartományban folyna. Magyarországon a 2400-2500 MHz közti tartomány használata nem engedélyköteles, így egy megfelelő zavarókészülék használata nem illegális. Ellenben a maximális adóteljesítmény szabályozott, így a következőkben ismertetett zavaró berendezések túlnyomó többségének használata jogszabályokba ütközik! WBJ01 hordozható WLAN/Bluetooth zavaró [5] Kézi, kisméretű zavarókészülék. Működési frekvenciatartománya a 2410-2480MHz tartományba esik. 125


Zavarási hatókör Kimeneti teljesítmény Teljesítményfelvétel Akkumulátor

5m 7 dB 200 mA/12V DC 1500 mAh (2-3 óra folyamatos működés)

Spymodex Wlan/Bluetooth/rádiós kamerazavaró [6] Kézi zavarókészülék. Működési frekvenciatartománya a 900-2500 MHz (900-1000 MHz, 1200-1300 MHz, 2400-2500 MHz) tartományba esik, így a WLAN hálózatokon kívül alkalmas egyéb adatátviteli rádiós utak zavarására is.

Zavarási hatókör Kimeneti teljesítmény Teljesítményfelvétel

30 m 1W 1.6 A/12 V DC

Spymodex nagyteljesítményű WLAN/Bluetooth/rádiós kamerazavaró Nagy teljesítményű zavarókészülék. Működési frekvenciatartománya a 9002500 MHz (900-1000 MHz, 1200-1300 MHz, 2400-2500 MHz) tartományba esik. Beépített akkumulátorral nem rendelkezik.

Zavarási hatókör Kimeneti teljesítmény Tápfeszültség 126

70 m 4W 12 V DC


WFBTJ WLAN/Bluetooth-zavaró [6] Közepes teljesítményű zavarókészülék a 2400-2500MHz közti frekvenciatartományra.

Zavarási hatókör Kimeneti teljesítmény Tápfeszültség

30-40 m 1.3 W 12 V (110/230 V adapterrel)

ECS Griffin IED elleni rádiózavaró [7] Professzionális zavaró-berendezés, ami a 20-2500 MHz közti frekvenciatartományban képes zavarni az összes ismert rádiós adatátviteli szolgáltatást (GSM, WLAN, rádiós távirányítók).

Zavarási hatókör

200 m

Zavarási lehetőségek az adatkapcsolati rétegben Ha a WLAN hálózatok második, adatkapcsolati rétegét vizsgáljuk, akkor is találhatunk zavarási lehetőségeket. Ebben az esetben a zavaróeszköz megfelelő fedélzeti logikával kell, hogy rendelkezzen, amely segítségével képes lehet megfelelő adatokat a többi eszköz számára érthető keretekbe szervezni, és így magának a hálózatnak a működését befolyásolni. 127


A WLAN hálózatok alapvetően két üzemmódban működnek: egy központi eszköz (Access Point) köré szerveződött kliensekből álló hálózat, vagy „egyenrangú” kliensekből felépült, „Ad hoc” hálózat kiépítése lehetséges. Mivel a legelterjedtebb az AP köré szerveződött WLAN hálózat, ezért a legtöbb második rétegbeli zavarás is ezt a mechanizmust érinti. Kivitelezésére több módszer is lehetséges, azonban ezek már inkább az informatikában ismert DoS (Denial of Service) támadások kategóriájába tartoznak. — Association Flood: az AP-k nyilvántartják a hozzájuk kapcsolódott klienseket egy úgynevezett Association Táblázatban. A támadó hamisított csatlakozási üzenetekkel feltölti ezt a táblázatot, így az AP nem képes újabb klienseket fogadni. [9] — EAPOL-Start Attack: az EAP (Extensible Authentication Protocol) egy hitelesítési protokoll, amely segítségével a kliensek képesek magukat azonosítani. A támadás során a kliens egy EAPOL-Start üzenettel kezdi meg a folyamatot. Erre az AP egy válaszüzenetet generál (kihívás), amely során természetesen erőforrásokat különít el a hitelesítési folyamat számára. A kliens nem válaszol a kihívásra, így ezek a lefoglalt erőforrások csak egy időkorlát túllépése után szabadulnak fel. Kellő számú hamisított MAC című EAPOL-Start üzenet elküldésével a támadó lefoglalhatja az AP összes erőforrását. [10] — RTS Flood: a támadó speciális RTS keretekkel árasztja el a WLAN hálózatot, így lefoglalva magának az adási időréseket. [11] Ugyanez megvalósítható az RTS üzenetre válaszul adott CTS üzenetek hamisításával is. — Authentication-Failure Attack: a támadó az AP nevében „Authentication Failed” üzeneteket küld a hálózat tagjai számára. A kliensek emiatt nem képesek csatlakozni az AP-hoz. [12] — Disassociation Flood: a támadó első lépésben azonosítja az AP-hez csatlakozott klienseket, majd az AP nevében a kapcsolat bontására szolgáló üzeneteket kezd küldeni. A kliensek az üzenetet fogadva bontják a kapcsolatot, így a hálózat működése lehetetlenné válik. [13] — Beacon Flood: a támadó hamis Beacon üzeneteket küld, amikben hamis, nem létező AP-kat hirdet. Emiatt a még nem csatlakozott kliens nem tudja kiválasztani a számára fontos AP-t, így csatlakozni sem tud. [14] 128


A fentieken kívül még rengeteg támadási módszert dolgoztak ki a téma ismerői, amelyek mindegyikéhez rendelkezésre állnak a könnyen beszerezhető eszközök.

Zavaró eszközök Zavaró eszközként bármilyen WLAN adapter vagy speciálisan átalakított AP alkalmas, így a konkrét megoldások száma a létező szoftvereszközöktől függően több százra tehető. Egy eszközt emelnék ki a sok közül, ezt kifejezetten WLAN zavarási célokra alakították át. A „Fon Bomb” egy hordozható WLAN zavaróeszköz, amely a Fonera nevű cég Access Point készülékén alapszik. A Fonera a hozzá csatlakozott tagok számára végez WLAN szolgáltatást olyan módon, hogy a tagok WLAN hálózatait osztja meg a fizetős ügyfelekkel, a bevételből pedig a hálózatba lépett tagok is részesednek. A megosztáshoz egy speciális AP szükséges, ami elkülöníti a tulajdonos saját hálózati forgalmát a fizetős ügyfelek forgalmától. A „Fon Bomb” lényegében egy letölthető firmware, ami egy Fonera AP-re tölthető. A lehetőségei sokrétűek: — képes a Beacon Flood támadási módszer segítségével hamis AP-kat generálni; — képes Authentication Flood támadásra, amivel a környező AP-k működése válhat lehetetlenné; — a Deauthentication/Deassociation Attack segítségével az összes kliens eltávolítható a környező WLAN hálózatokról; — emellett még néhány tervezési hibára épülő támadást is képes kivitelezni, valamint a behatolás érzékelő (IDS) rendszerek elleni tevékenység is az eszköztárában szerepel. A firmware Linux alapokon nyugszik, nyílt forráskódú, így fejlesztése várhatóan folyamatos lesz.

Összefoglalás A WLAN hálózatok használata kockázatot jelent a használói számára, amelyet az ilyen hálózatok tervezése során figyelembe kell venni. Az ismerten gyenge hitelesítési és titkosítási megoldások mellett a szándékos és véletlen zavarokra is meglehetősen érzékeny, így használata csak a 129


megfelelő biztonsági rendszabályok mellett javasolt. Bizalmas információcserére csak az alkalmazási szinten végrehajtott, megfelelő titkosítás mellett lehet használni, kiemelt figyelmet kell fordítani a támadásokat észlelő rendszerek használatára, a keletkezett naplóállományok rendszeres vizsgálatára.

130


Felhasznált irodalom [1] Regulatory definitions http://wireless.kernel.org/en/developers/ Regula-toryDatabase?alpha2=HU [2] 47 CFR Ch. I (10–1–06 Edition) http://edocket.access.gpo.gov/cfr_2006/ octqtr/pdf/47cfr15.247.pdf [3] Wi-Fi/WLAN channels, frequencies and bandwidths http://www. radio-electronics.com/info/wireless/wi-fi/80211-channels-numberfrequencies-bandwidth.php [4] Dr. Kovács Szilveszter: Számítógép hálózatok. Miskolci Egyetem tananyaga; 2004. [5] 2.4ghz RF Jammer, Wifi Wlan Blocker, Bluetooth Disabler Scrambler WBJ01. http://www.tayx.co.uk/wbj01-wifi-bluetooth-jammer.html [6] WFBTJ Wi-Fi & Bluetooth Jammer. http://www.3dsecurity.biz/ wi-fi-bluetooth-jammer.php [7] Griffin – Digital Jamming System. http://www.enterprisecontrol.co.uk/ index.php?url=products_details&products_id=56&cat_id=16&id=16 [8] Guevara Noubir, Guolong Lin: Low-Power DoS Attacks in Data Wireless LANs and Countermeasures. http://www.sigmobile.org/mobihoc/ 2003/posters/p223-noubir.pdf [9] Association Flood Attack. http://www.manageengine.com/products/ wifi-manager/association-flood-attack.html [10] EAPOL-Start Attack. http://www.manageengine.com/products/ wifi-manager/eapol-start-attack.html [11] The Last Resort: Wireless DoS Attacks. http://www.informit.com/ articles/article.aspx?p=353735&seqNum=9 [12] Authentication Failure Attack. http://www.manageengine.com/products/ wifi-manager/authentication-failure-attack.html [13] Disassociation Flood Attack. http://www.manageengine.com/products/ wifi-manager/disassociation-flood-attack.html

131


[14] Wireless Hacking Tools. http://www.cs.wustl.edu/~jain/cse57107/ftp/wireless_hacking/index.html [15] „Fon Bomb” Portable Wireless Jammer. http://fonerahacks.com/ index.php/Tutorials-and-Guides/The-Fon-Bomb-WirelessJammer.html Valamennyi internetes forrás 2009. június 22-én elérhető volt.

132

INFORMATIKAI WLAN-HÁLÓZATOK ZAVARÁSA

Recommend Documents