Vladimír Vyskočil Bezpečnostní rizika bezdrátových sítí

Univerzita Karlova v Praze Matematicko-fyzikální fakulta

BAKALÁŘSKÁ PRÁCE

Vladimír Vyskočil Bezpečnostní rizika bezdrátových sítí Ústav formální a aplikované lingvistiky

Vedoucí bakalářské práce: Mgr. Jan Votrubec Studijní program: Informatika programování

2007

Prohlašuji, že jsem svou bakalářskou práci napsal samostatně a výhradně s použitím citovaných pramenů. Souhlasím se zapůjčováním práce a jejím zveřejňováním. V Praze dne 24. dubna 2010

Vladimír Vyskočil

2

Obsah 1 Úvod 1.1 Cíle práce . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Historie a vývoj standardu WiFi . . . . . . . . . . . . . . . . 1.3 Proč zabezpečovat bezdrátovou síť . . . . . . . . . . . . . .

6 6 8 10

2 Zabezpečení sítě 802.11 a možné útoky 2.1 Architektura IEEE 802.11 . . . . . . . . . . . . 2.2 Metody zabezpečení sítě . . . . . . . . . . . . . 2.2.1 Skrývání SSID . . . . . . . . . . . . . . . 2.2.2 Kontrola MAC adres . . . . . . . . . . . 2.2.3 WEP 64 / 128 / 256 bit . . . . . . . . . 2.2.4 WEP2 a WEPplus . . . . . . . . . . . . 2.2.5 WPA, WPA2 . . . . . . . . . . . . . . . 2.2.6 VPN . . . . . . . . . . . . . . . . . . . . 2.3 Ostatní útoky . . . . . . . . . . . . . . . . . . . 2.3.1 Útoky proti fyzické vrstvě 802.11 . . . . 2.3.2 Útoky typu DoS . . . . . . . . . . . . . . 2.3.3 Man in the middle (MITM) útoky . . . . 2.4 Průzkum zabezpečení bezdrátových sítí v Praze

13 13 16 17 19 20 33 34 41 42 42 43 46 48

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

. . . . . . . . . . . . .

3 Závěr

50

A Malý seznam užitečných nástrojů A.0.1 Kismet . . . . . . . . . . . A.0.2 Netstumbler . . . . . . . . A.0.3 Wicrawl . . . . . . . . . . A.0.4 BackTrack . . . . . . . . . A.0.5 Aircrack . . . . . . . . . .

51 51 51 52 53 53

3

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

B Jak vypadá rušení?

54

Literatura

58

4

Název práce: Bezpečnostní rizika bezdrátových sítí Autor: Vladimír Vyskočil Katedra (ústav): Ústav formální a aplikované lingvistiky Vedoucí bakalářské práce: Mgr. Jan Votrubec e-mail vedoucího: [email protected] Abstrakt: Cílem práce je zhodnotit rizika možných útoků na bezdrátové sítě. Vypracovat jejich seznam a navrhnout adekvátní způsoby obrany proti nim. Součástí práce by měl být návod, který by pomohl k rychlému rozpoznání typu útoku na danou síť a zároveň by navrhoval metody, které by minimalizovaly dopad těchto útoků na uživatele. Práce také poukáže na nové technologie a postupy pomáhající v zabezpečení zařízení před některými druhy útoků. V neposlední řadě bude také rozvedeno téma o aktuálním stavu zabezpečení bezdrátových sítí v našich městech a možnostech, kterými se dají získat soukromá data uživatelů na těchto sítích Klíčová slova: zabezpečení bezdrátových sítí,rizika technologie Wifi, WEP, WPA

Title: Safety risks of wireless networks Author: Vladimír Vyskočil Department: Institute of Formal and Applied Linguistics Supervisor: Mgr. Jan Votrubec Supervisor’s e-mail address: [email protected] Abstract: The aim of the work is to review security risks of potencial attacks upon wireless networks.To draw up detailed list and propose sufficient methods for defend against them. Instruction, which would help to fast recognition type of an attack on given network together with instruction which would minimalize impact of these attacks on users, should be a part of the work Keywords: wireless security, wifi safete risks, WEP, WPA

5

Kapitola 1 Úvod 1.1

Cíle práce

V posledních několika letech zažívají bezdrátové sítě neuvěřitelný rozmach. Mnohem častěji se můžeme setkat s lidmi, jež i přestože nemají větší počítačové znalosti, rozumí základním mechanismům fungování bezdrátové sítě. Tyto znalosti začínají pomalu opouštět uzavřený svět počítačových odborníků nebo síťových administrátoru. Nezřídka se setkáváme s lidmi, kteří se dokonale orientují v slangu používaném v bezdrátových sítí, ale vůbec nic jim neříká slovo „ethernetÿ. Možná by nás to mohlo překvapovat, neboť první zmínky o ethernetu se objevují v roce 1973 zatímco předchůdce standardu wifi se objevuje až v roce 1991. Co způsobilo takovou popularitu bezdrátových sítí? Jedná se především o zvýšenou mobilitu a snadnou instalace celé technologie. Konkurencí radiových spojů jsou spoje optické a kabelové. Obě tyto technologie nabízejí výrazně vyšší rychlost a spolehlivost, ale za cenu velmi vysokých počátečních nákladů. V oblasti připojování domácností k internetu a budování tzv. poslední míle jsou konkurencí pouze různé varianty technologie DSL, v Čechách především její odnož ADSL a ve větších městech rozvody kabelové televize. Tyto technologie totiž dovedou využívat telefonní kabely (rozvody kabelové televize), které má velká část domácností již instalované a nejsou tedy potřeba žádné větší zásahy. Specialitou České republiky je vysoká míra využívání bezdrátového připojení k internetu. Podle výzkumu společnosti Factum [1] z roku 2005 je nejčastějším typem připojení domácností k internetu právě bezdrátová technologie, která je využívána 25 procenty aktivních uživatelů internetu v ČR. Podobný závěr získáme pomocí nástroje Google Trends [2], necháme-li vyhledat slovo 6

wifi. Právě standard Wi-Fi je nejčastější realizací bezdrátového připojení domácností. Nástroj Google Trends zachycuje v grafu, jak často bylo dané slovo vyhledáváno uživateli. Navíc si můžeme zobrazit i zemi, region a jazyk uživatelů, kteří dané slovo vyhledáli. Ve všech těchto výběrech je na prvním místě právě ČR. O příčinách takového rozložení můžeme spekulovat, ale je pravděpodobné, že jej způsobilo chování monopolního operátora Český Telekom na našem trhu. Ten v dobách bouřlivého rozvoje internetu nabízel pouze vytáčené připojení k internetu tzv. dial-up nebo ISDN, které bylo zpoplatňováno časovou tarifikací. Rychlosti, která tato služba nabízela byly navíc velmi omezené a ve většině případů nepřesáhly 50 Kbit/s u vytáčeného připojení( resp. 64 Kbit/s na jeden kanál u ISDN) . V době, kdy se na trhu objevila technologie wifi tedy neexistovala konkurence, která by nabízela stejné možnosti. Bezdrátové připojení nabízelo příjemnou alternativu, kde většina poskytovatelů internetu (ISP) nezpoplatňovala čas strávený na internetu, ale obvykle pouze objem přenesených dat, což koncoví uživatelé přivítali. Ani v dnešní době, kdy převzala Český Telecom společnost Telefonica se nedaří ztracenou část trhu získat zpět. Jedním z důvodů je i nutnost pořízení hlasového tarifu spolu se službou ADSL. Pro zákazníka tak opět narůstá výsledná cena za připojení a je pravděpodobnější, že bude hledat alternativy. Možná proto se ani dnes nezastavuje nárůst počtu uživatelů připojených pomocí bezdrátových technologií. Neustále vznikají nové firmy a komunitní sítě, jež nabízejí zákazníkům celé spektrum rychlostí. Bohužel má takové připojení i své nevýhody. Mezi ty největší patří možnost zarušení přístupového bodu (AP). Každý takový přístupový bod běží na určité frekvenci a ty se dají využít v dané lokalitě pouze některé. Navíc se při provozu více AP na stejné frekvenci začíná projevovat rušení, které pro uživatele může znamenat až nefunkčnost celého spoje. Přirozeně tak vznikají mezi bezdrátovými provozovateli spory, které by mohli přerůst až k vzájemným útokům. Jedním z cílů této práce je sestavit seznam známých typů útoků proti bezdrátovým sítím standardu Wi-Fi. Výsledek mohou ocenit především poskytovatelé Internetu pomocí této technologie, dále také pokročilější uživatelé, kteří již mají s bezdrátovými pojítky nějakou zkušenost a v neposlední řadě i všichni ostatní, kteří plánují výstavbu bezdrátového spoje a chtějí znát předem možná rizika.

7

1.2

Historie a vývoj standardu WiFi

Bezdrátové sítě mají za sebou více než dvacetiletou historii. První radiové spoje se používaly např. v telemetrii a jejich přenosová rychlost byla daleko pod 1 Mbps. V roce 1980 Michael Marcus, jeden z inženýrů americké vládní organizace FCC1 , podal návrh na uvolnění několika radiových frekvencí pro užití bez potřeby vládní licence. Tehdy se jednalo o velmi kontroverzní počin, vždyť také celý schvalovací proces trval více než 5 let a v jeho průběhu se proti uvolnění postavilo několik velkých telekomunikačních společností. Návrh spočíval v uvolnění 3 částí z průmyslového, vědeckého a zdravotnického spektra a otevření je pro podnikatelský sektor. Tyto takzvané „garbage bandsÿ na frekvencích 900 Mhz, 2,4 GHz a 5,8 GHz byly do té doby vyhrazena pouze pro zařízení, která používala radiové frekvence k jiným účelům než ke komunikaci. Jednalo se především o mikrovlnné trouby, u kterých slouží radiové vlny k ohřevu jídla. FCC dala tyto frekvence k volnému použití pro komunikační účely za podmínek, že se nově vzniklá zařízení budou umět vypořádat s rušením. K tomu měla být využíta technologie přenosu v rozprostřeném spektru, která byla původně rozvíjena především pro vojenské účely. Signál se vysílá rozprostřen do několika frekvencí oproti tradičnímu vysílání na jedné předem známé frekvenci. To způsobuje mnohem obtížnější odposlouchávání a větší odolnost vůči možnému rušení. Frekvence byly uvolněny až v roce 1985, avšak ještě dlouhou dobu poté se nic nedělo. Několik výrobců (Proxim, Symbol) začalo vyrábět svoje zařízení, která však byla vzájemně nekompatibilní. Inspirováni tehdejším úspěchem Ethernetu si výrobci uvědomili, že jim vznik standardu může pomoci, neboť zákazník snáze přijme technologii, která ho nebude vázat pouze k produktům jedné strany. V roce 1988 požádala společnost NCR o vytvoření takového standardu. Chtěla jej využít k bezdrátovému propojení systému svých pokladen. Vznikla tak komise s názvem 802.11 při organizaci IEEE (Institute of Electrical and Electronics Engineers), která měla za úkol vytvořit jednotný průmyslový standard. Trvalo ovšem mnoho let, než se podařilo vytvořit návrh, který by byl přijatelný pro většinu (75 procent) členů komise. V roce 1997 se konečně podařilo nalézt shodu vedoucí k vytvoření základní specifikace. Ta povolovala maximální přenosovou rychlost 2 Mbit/s s využitím následujících dvou technik přenosu. Buď kmitočtové skákání FHSS 1

Federal Communications Commission - americký telekomunikační regulátor

8

(Frequency-hopping Spread Spectrum)2 nebo techniku přímého rozprostřeného spektra DSSS (Direct Sequence Spread Spectrum). Kmitočtové skákání se výhýbá rušení rychlými a náhodnými přeskoky mezi frekvencemi, zatímco technika přímého rozprostřeného spektra „roztahujeÿ signál do několika frekvencí, takže je menší šance poškození signálu vlivem rušení. Nový standard byl publikován v roce 1997 a firmy okamžitě začaly pracovat na prototypech zařízení, které by mu vyhovovaly. Bohužel se délka schvalovacího procesu projevila i v tom, že byl standard 802.11 v době svého schválení už zastaralý, především z důvodu nedostatečné rychlosti. Vznikly tak dvě varianty, první se nazývá 802.11b a pracuje na frekvency 2,4 GHz (využívá pouze modulaci DSSS, neboť nebylo možné kvůli předpisům FCC zvyšovat rychlost u FHSS), druhá 802.11a pracuje na frekvenci 5,8 GHz. Varianta 802.11b umožňuje přenosy rychlostí až 11 Mbps zatímco varianta 802.11a dokonce až 54 Mbps. Obě byly schváleny koncem roku 1999 (resp. začátkem roku 2000). Nyní stačilo už jen vymyslet dobrou obchodní značku, pod kterou se budou výrobky prodávat. Z mnoha návrhů bylo nakonec vybráno jméno „Wi-Fiÿ. Slovo zní podobně jako Hi-Fi a většina zákazníků je zvyklá na to, že může propojit CD přehrávač od jedné firmy s zesilovačem od jiné a ty pak společně fungují. Známá představa, že Wi-Fi je zkratkou z Wireless Fidelity je tedy zavádějící. Standard a dobře vymyšlené jméno ale k úspěchu často nestačí. Byla potřeba společnost, která by výrobek protlačila. Apple tehdy nabídl Lucentu, že když zvládnou vyrobit bezdrátovou kartu s cenou pod 100 dolarů, tak ji umístí do všech svých notebooků. To se podařilo a v červnu 1999 Apple představil světu svůj nový iBook s možností připojení bezdrátové karty AirGo. Ostatní výrobci následovali kroky Applu, což odstartovalo vlnu popularity pro zařízení kompatibilní se standardem WiFi. Mezitím FCC uvolnila další metodu pro přenosy v rozprostřeném spektru. Jedná se o ortogonální multiplex s kmitočtovým dělením OFDM (Orthogonal Frequency-Division Multiplexing), která dovoluje dosáhnout rychlosti 54 Mbps v pásmu 2,4 GHz. Některá zařízení dovedou komunikovat rychlostí až 108 Mbps tím, že zaberou dvojnásobný počet kanálů. U nás se uvolnilo frekvenční pásmo 2,4 GHz až 6. září 2000, kdy ČTU vydal novou generální licenci GL-12/R/2000 a pásmo 5,8 GHz od 1. září 2005 v generální licenci VO-R/12/08.2005-6. Také bychom měli pro úplnost zmínit i dvě evropské 2

Technika frekvenčního skákání byla poprvé použita americkým námořnictvem během Kubáncké raketové krize v roce 1962. Patentování techniky přenosů v rozprostřeném spektru proběhlo ale už v roce 1940. Majitelkou byla rakouská herečka Hedy Lamarr, která se proslavila svoji odvážnou rolí ve filmu Extase Gustava Machatého

9

varianty standardů příbuzných IEEE 802.11. Jedná se o RLAN (Radio Local Area Network) a HIPERLAN (HIgh PERformance Radio Local Area Network). Ani jeden z nich ovšem nedosáhl většího rozšíření a zařízení pro jejich provoz se téměř neprodávají.

1.3

Proč zabezpečovat bezdrátovou síť

Možná jste si právě položili podobnou otázku. Proč by měl provozovatel vlastně zabezpečovat svoji síť? Obzvláště uvědomíme-li si, že jakékoliv zabezpečení obvykle znamená dražší zařízení, vyšší nároky na obslužný personál, často i komplikovanější instalaci. Bohužel neexistuje obecná odpověď. Každý provozovatel by měl zvážit jakou cenu pro něj má bezpečí jeho dat a jakou škodu by mohl způsobit případný útočník. Někteří ISP nepoužívá složité systémy zabezpečení, místo toho poskytuje na exponovaných přístupových bodech své sítě volný přístup k internetu, který je omezen na velmi malou rychlost (třeba 32 Kb/s). Z jejich zkušeností se jim výrazně snížil počet útoků, neboť většina pokusů o průnik je způsobena požadavkem na připojení k internetu zadarmo. Mnoho druhů útoků znemožní pravému uživateli připojení k přístupovému bodu. ISP tak raději část kapacity AP uvolní pro útočníky, kteří by se jinak snažili do sítě proniknout a mohli by tím poškodit řádné zákazníky. Aplikace zabezpečení bezdrátových pojítek má u ISP ještě jednu důležitou rovinu. Nedá se předpokládat, že je zákazník zkušeným uživatelem internetu, tudíž by pro něj mohla být instalace dodatečného zabezpečení obtížná. Po několika neúspěšných pokusech by hrozilo, že své snažení vzdá a raději přejde ke konkurenci, kde to všechno „ jde úplně samo a bez nastavováníÿ. Výsledkem pak často bývá nezabezpečená síť plná spokojených uživatelů, jež nebyli zatěžování dodatečným nastavováním a ISP je také šťastný, protože ušetřil na výdajích. Všechno funguje skvěle až do chvíle než se v dosahu sítě objeví útočník. Ten totiž může velmi snadno přesměrovat veškerý provoz na síti přes sebe a protékající data libovolně měnit. Odposlouchávání pošty, ICQ spojení a webových požadavků je jenom začátek. Na internetu je dostupné množsví utilit, které dovedou odposlouchávat i VOIP hovory a dovolují útočníkovi do nich i zasahovat. Šifrované protokoly (https,smtp tls) jsou častou obětí MITM útoků (viz další kapitoly). Oblíbenou technikou je i nahrazení skriptů tak, že pracují pro útočníka. V nejhorším případě může dojít ke krádeži citlivých údajů z počítačů uživatelů. Tyto skutečnosti už si ale většina uživatelů neuvědomuje. Stejně tak by ISP měli zvážit jakou škodu by pro ně takový útok mohl znamenat. 10

Trochu jiná situace je při používání bezdrátových pojítek v průmyslových provozech. Tam by vyhrazení části kapacity pro případné útočníky určitě nebylo tím správným krokem. Výhoda je, že zde můžeme zajistit dostatečně vyškolený personál, takže nám některé problémy odpadnou. Často se využívají bezdrátové sítě pro sběr dat v průmyslovém provozu. Ať už se jedná o různá kotrolní čidla, bezdrátové kamery nebo pokladní systémy. Snadno si můžeme představit, jaké problémy by nám mohl způsobit útočník, který by napadl takovou síť, vyřadil původní čidlo (kameru,pokladnu. . .) a vysílal by pozměněná data. Vyřazením kamerového systému by se ohrozila bezpečnost celého objektu, zasíláním falešných dat o počtu prodaných výrobků by se mohlo ochromit zásobování obchodu a jistě bychom vymysleli mnoho ještě horších scénářů. Rozhodnutí o stupni zabezpečení bude tedy vždy záležet především na tom, „co je v sázceÿ. Bezdrátové sítě zažily po vydání generální licence v roce 2000 na našem území bouřlivý rozvoj. Sám autor si vzpomíná, jak koncem roku 2002 zjišťoval, jaké jsou v jeho lokalitě bezdrátové sítě. Tehdy byl výsledek měření velmi jednoznačný. Jedna. Po čtyrech letech bylo provedeno podobné měření a podařilo se zachytit 31 přístupových bodů ve frekvenčním pásmu 2,4 GHz. Jedná se o venkovskou oblast, s nižší hustotou obyvatelstva, a tak je výsledek vcelku překvapivý. Zcela jistě můžeme přepokládat, že se počet takovýchto sítí bude neustále zvětšovat. Důsledkem bude vyšší rušení, které povede k pomalé migraci poskytovatelů připojení na jiné frekvence. Dnes je tento přesun znatelný především v budování páteřním spojů ve frekvenčním pásmu 5,8 GHz, které nabízí vyšší přenosové rychlosti a obvykle i nižší zpoždění bezdrátového přenosu. Toto pásmo je v ČR použitelné od konce roku 2005, takže se mezi širokou veřejnost ještě nestihlo příliš rozšířit. Ve větších městech se ale už běžně začínají připojovat i koncoví uživatelé na přístupové body v tomto pásmu kvůli rostoucímu zarušení nižších frekvencí. Téměř každý nový notebook je dnes vybaven bezdrátovou kartou, většinou schopnou komunikovat i na více frekvencích, často navíc doplněné o BlueTooth modul. ADSL modemy běžně obsahují bezdrátovou část, která je v konfiguraci od výrobce zapnutá. Některé dražší domácí spotřebiče umí přenášet video pomocí Wi-Fi, vyrábějí se digitální fotoaparáty, které komunikují s tiskárnou bezdrátově, různé „chůvičkyÿ pro malé děti též využívají stejný frekvenční rozsah, lepší typy mobilních telefonů obsahují modul Wi-Fi. S tím jak roste objem vysílaných informací, roste i možnost, že je někdo zachytí a zneužije. Tato práce se bude zajímat především o možnosti zabezpečení větších bezdrátových sítí ISP nebo průmyslových sítí, ale budou zmíněny i některé 11

metody použitelné pro nasazení v domáctnostech.

12

Kapitola 2 Zabezpečení sítě 802.11 a možné útoky 2.1

Architektura IEEE 802.11

IEEE 802.11 rozlišuje dva základní režimy fungování zařízení. První je „adhocÿ mód, kde každé dva terminály komunikují přímo mezi sebou a jsou si rovnocenné. Při větším počtu terminálů je výhodnější druhý režim tzv. „Infrastructureÿ. Ten využívá další zařízení tzv. přístupový bod AP (Access Point), ke kterému se jednotlivé terminály STA (Station) připojují. Jedná se vlastně o analogii zapojení do hvězdy, která se používá v Ethernetu. Výhoda tohoto režimu spočívá v odbourání potřeby viditelnosti mezi jednotlivými koncovými zařízeními, neboť ty komunikují pouze s AP a stačí tak zajistit dobrý příjem signálu jen z tohoto bodu. Nevýhodou je sdílení kapacity mezi všemi právě připojenými stanicemi. Architektura IEEE 802.11 se skládá z několika komponent, které se vzájemně ovlivňují. Nejmenším prvkem bezdrátové sítě je BSS (Basic Service Set). Jedná se o 2 či více počítačů, které jsou v dosahu, rozpoznaly se a komunikují spolu. BSS nemusí obsahovat přístupový bod, pak se označuje jako IBSS (Independent BSS). Jednotlivé uzly pak pracují v režimu ad-hoc a tento typ BSS nebývá dále provázán s okolím. Častější je ovšem řešení BSS se začleněním přístupového bodu, který vytváří rozhraní mezi drátovou a bezdrátovou sítí. Za předpokladu přítomnosti AP v dané BSS by spolu uzly neměly komunikovat přímo a veškerý provoz tak prochází pouze přes přístupový bod. Uzly v rámci BSS pak pracují v režimu Infrastructure. BSS si můžeme představovat jako buňku v mobilní síti. Ta bývá často 13

Obrázek 2.1: Režim Infrastructure a ad-hoc napojena na další sítě, ať už jsou drátové nebo bezdrátové. Ke vzájemnému propojení mezi sebou slouží distribuční systém DS, který jednotlivé sítě propojuje na úrovni linkové vrstvy. Ten může být drátový (Wired Distribution System) nebo bezdrátový (Wireless Distibution System). Drátové řešení je mnohem častější, k realizaci se využívají přepínače a routery, stejně v Ethernetu. Bezdrátový DS je vidět zřídka, obvykle transparentně propojuje dvě drátové sítě, ale může být použit i jinak. Způsob implementace DS není ve standardu IEEE 802.11 definován. Poslední komponentou systému je ESS (Extended Service Set), který vzniká propojením několika BSS. ESS odpovídá bezdrátové síti, tak jak si ji představuje většina lidí. Zajištujě především mobilitu uživatelů, tedy přechod mezi jednotlivými BSS, ale dokonce i ESS. Jednotlivá AP spolu s příslušným distibučním systémem (DS) vytvářejí ESS. Všechny AP ve stejné ESS mají jednotný identifikátor jména sítě SSID (Service Set IDentifier), ale mají odlišné identifikátor jména buňky BSSID (Basic SSID). Většině zařízení stačí zadat pouze SSID, což dovoluje mobilitu mezi jednotlivými BSS, které mají stejnou SSID. Možnosti mobility jsou • No transition - Stanice zůstává ve stejné BSS, nevyžaduje žádnou akci • BSS transition - Stanice může přecházet mezi jednotlivými BSS, ale nesmí opustit danou ESS, implementace pomocí Reassociation • ESS transition - Stanice má dovoleno přecházet i mezi jinými ESS, není podporováno, stanice si to řeší obvykle sama pomocí softwaru Standard IEEE 802.11 nespecifikuje implementaci DS, ale definuje služby, která by měl poskytovat pomocí AP. Typy služeb se rozdělují do dvou skupin: 1. Station Services (SS) - Řeší vlastní komunikaci mezi AP a stanicí • Authentication - Ověření stanice vzhledem k AP, používá se několik technik, které probereme v samostatné kapitole • Deauthentication - Ukončení spoje mezi AP a stanici např. při přechodu mezi BSS 14

• Privacy - Obsahuje šifrovací algoritmus, který se aplikuje na přenášená data • MAC Service Data Unit (MSDU) Delivery - Stará se o vlastní přenos MAC rámců 2. Distribution System Services (DSS) -řeší příslušnost stanic do buněk a DS • Association - Zajišťuje asociaci s konkrétním AP v jedné BSS. V jejím průběhu může dojít k autentizaci stanice vůči AP. Přenos dat může začít až po jejím úspěšném dokončení. • Reassociation - Opakovaná asociaci při přechodu mezi různými BSS v rámci jedné ESS. Postačuje pro BSS-transition. • Disassociation - Zrušení asociace, kterou může vyvolat AP nebo koncová stanice. Zmanená ukončení komunikace. • Distribution - Přenos dat v rámci ESS po DS. Odesílatel předá data svému AP, to je prostřednictvím DS přenese na cílové AP, které je předá koncovému příjemci. • Integration - Přenos dat mimo ESS. IEEE 802.11 definuje tři druhy identifikátorů • SSID - Service Set IDentifier je 32-znakové jméno sítě přenášené nešifrovaně. V rámci ESS musí být všude stejné. • ESSID - Extended SSID jen rozšířuje SSID. Používá ve stejném významu jako SSID. • BSSID - Basic SSID se skládá ze 6 bytů,které jsou pro každé BSS jiné. V režimu Infrastructure se používá MAC adresu AP, zatímco v režimu ad-hoc si jej generuje náhodně. Ještě uvedeme seznam některých rámců, které jsou definovány v standardu IEEE 802.11: • RTS/CTS - Slouží pro koordinaci vysílání mezi jednotlivými body. • ACK - Pro potvrzování přijatých datových rámců. • BEACON - Využívá AP pro inzerování své přítomnosti. 15

• PROBE REQUEST/PROBE RESPONSE - Využívá se pro zjišťování přítomnosti. • ASSOCIATION REQUEST/RESPONSE - Žádost/odpověď na asociaci stanice k AP. • REASSOCIATION REQUEST/RESPONSE - Žádost/odpověď na asociaci s jiným AP ve stejné ESS. • DIASSOCIATION - Žádost o ukončení asociace stanice s AP. • AUTHENTIFICATION - Žádost o ověření uzlu vůči AP. • DEAUTHENTIFICATION - Žádost o ukončení autentizace uzlu vůči AP.

2.2

Metody zabezpečení sítě

V původním standardu IEEE 802.11 z roku 1999 existují pouze dvě autentizační metody pro linkovou vrstvu: Open System a Shared Key. Open System povolí přístup všem klientským zařízením, která se pokusí připojit k síti. Všechna prodávaná zařízení mají výrobcem přednastavenou právě tuto metodu. Shared key využívá zabezpečení pomocí WEP (Wired Equivalent Privacy), ale standard podporuje možnost rozšíření i na další metody.

Obrázek 2.2: Zabezpečení přístupu pomocí Open Authetication

Obrázek 2.3: Zabezpečení přístupu pomocí Shared Key Authetication

V této kapitole probereme několik nejdůležitějších způsobů zabezpečení bezdrátové sítě. Ať už se jedná o metody, které pracují přímo na linkové vrstvě a pro uživatele se chovají transparentně, nebo takové, které potřebují ke svému fungování nějakou aktivitu ze strany uživatele. V další kapitole navážeme několika útoky, které se nevztahují k žádnému konkrétnímu zabezpečení. 16

2.2.1

Skrývání SSID

Popis Jedná se o jednu z nejjednodušších metod zabezpečení, kterou podporují téměř všechny bezdrátová zařízení. V úvodní kapitole jsme zmínily některé typy rámců, s kterými se můžeme setkat v síťovém provozu. Jeden z nich byl BEACON, kterým každé AP inzeruje svoji přítomnost pro své okolí. Ten obsahuje jako svoji součást i informaci o SSID daného AP a je vysílán opakovaně v přednastaveném intervalu, obvykle 100 ms. Klientská zařízení pak využívají právě informace z těchto rámců, aby zjistila, jaké sítě jsou k dispozici v jejich okolí. Jestliže se pak zařízení chce připojit k AP, potřebuje znát jeho SSID. Bez této informace nelze provést asociaci. Metoda skrývání SSID umožňuje zakázat vysílání identifikátoru SSID v BEACON rámci, takže se případný klient nemůže připojit bez její znalosti. Ve skutečnosti je uvádění SSID v BEACON rámci povinné. Může se jednat buď o 32 bytovou hodnotu nebo NULL kódované jako x00. Právě druhá možnost se využívá u techniky skrývání SSID. Zajímavý je její vznikl. Objevila se už ve standardu IEEE 802.11, ale tehdy nesloužila k zabezpečení, ale spíše k řešení problémů s kompatibilitou starších zařízení některých výrobců, která nevyužívala k identifikaci SSID. Tato možnost se ovšem nikdy nevyužila. Později se začaly objevovat zařízení (Orinoco, Enterasys), která nabízela možnost vypnout vysílání SSID a prezentovala to jako zabezpečovací prvek. Důležité je připomenout, že zapnutí této volby neovlivní vysílání BEACON rámců (ty jsou nutné pro správné fungování sítě) a ani intervaly v kterých jsou vysílány. Hrozby Možnost zakázat vysílání SSID pro AP je spíše dobrý reklamní tah než jakýkoliv prvek zabezpečení. Na mnoha diskuzních fórech se i dnes vytváří fáma, že lze touto metodou poměrně dobře skrýt bezdrátovou síť před potenciálním útočníkem. V následujících řádcích se to pokusíme vyvrátit. Klientské stanice provádějí buď pasivní nebo v naprosté většině aktivní skenování okolí. Při aktivním skenování se vysílá rámec PROBE REQUEST, který obsahuje SSID hledaného AP nebo hodnotu NULL (alternativně také hodnota ANY). Jestliže AP obdrží PROBE REQUEST s NULL hodnotou v poli SSID, může na něj odpověděť rámcem PROBE RESPONSE obsahujícím jeho SSID nebo může přijatý rámec ignorovat. V případě, že PROBE REQUEST obsahuje

17

vyplněné SSID přístupového bodu, je tento bod povinnen odpovědět zprávou PROBE RESPONSE, ve které vyplní svoje SSID. Klientská zařízení, která jsou zkonfigurována a snaží se připojit k bezdrátové síti ,vysílají PROBE REQUEST a předvyplňují v něm správné SSID. Toto chování je společné pro většinu bezdrátových karet, neboť jinak by v případě zapnutého skrývání SSID nenašly žádnou síť a připojení by se nezdařilo. Zde přichází chvíle pro našeho útočníka, který může pasivně poslouchat na dané frekvenci a jakmile se některý klient pokusí připojit k AP odposlechne správné SSID. Tím je toto zabezpečení prolomené. K rámcům, které obsahují informace o SSID, se řadí také ASSOCIATION REQUEST A REASSOCIATION REQUEST. Získat potřebné informace je obdobně snadné. Čekání na správné rámce se dá velmi zkrátit zasláním DEAUTHENTIFICATION rámce s podvrženou zdrojovou adresou. Dotyčné klientské zařízení tak bude okamžitě odpojeno. Jeho reakcí bude zaslání několika PROBE REQUEST požadavků s hledanou SSID a následné znovupřipojení pomocí ASSOCIATION REQUEST. Útočník získá tedy hned několik příležitostí k prolomení tohoto zabezpečení. Doporučení: Jediné rozumné nasazení této techniky může být na AP s velmi malým a pouze řídkým provozem. Totiž v případě, že není žádný klient asociován, nelze zjistit SSID pomocí odposlouchávání. Zbývá tak pouze slovníkový útok nebo útok hrubou silou, kde se bude útočník snažit SSID uhodnout. To je ovšem časově nepoměrně zdlouhavější. K zjištění SSID slouží utility Kismet, Essid-jack a další.

2.2.2

Kontrola MAC adres

Popis Kontrola MAC adres je zabezpečení přístupu k síti na linkové vrstvě. Přístupový bod obsahuje seznam povolených MAC adres klientů tzv. ACL (Access control list). Při pokusu klientské stanice o asociaci na AP, se pak povoluje přístup jen v případě, že MAC adresa klienta je v seznamu adres na AP (ACL). Jestliže seznam takovou adresu neobsahuje, je požadavek na asociaci ignorován. Časté jsou implementace, kde seznam není fyzicky přítomný na AP, ale využívá se služeb Radius serveru[3], který může být napojen na databázi. Každému AP pak stačí znát heslo k Radius serveru a mít k němu síťový přístup. Při pokusu o asociaci s AP se odešle MAC adresa klientské stanice na Radius server a ten následně odpoví, zda asociaci povolit či ne. S tímto řešením se lze setkat poměrně často u středně velkých sítí, neboť 18

je potřeba udržovat pouze jednu databázi a v případě poškození některého přístupového bodu není nutné zdlouhavé zadávání ACL seznamu do nového zařízení. Použití centrální ověřovací služby (Radius) sebou nese i další výhody. Velmi snadné je přidávání MAC adres zařízení, které budou mít povolenou asociaci s jakýmkoliv AP na dané síti. Při využití volně dostupného software FreeRadius[4] a databáze MySql lze stlačit náklady na pořízení software k nule. Mají-li síťový administrátoři v plánu využít i některé pokročilé techniky zabezpečení (WPA[5], WPA2[6]), bude stejně Radius server nutnost a náklady na provozování MAC kontroly, tak ještě klesnou. Základní nastavení MAC ACL je obsaženo téměř ve všech WiFi zařízeních, zatímco možnost propojení s Radius serverem je pouze v těch lepších. Hrozby Bohužel je toto zabezpečení málo účinné. Každý rámec, který je vysílán při komunikaci dvou bezdrátových zařízení, totiž obsahuje MAC adresu obou koncových stanic. Pomocí programu Kismet nebo jakéhokoliv snifferu je tedy možné odposlouchávat komunikaci a z ní získat správnou MAC adresu. Tu je pak už velmi snadné změnit na počítači záškodníka (MAC spoofing) a tím je tato ochrana prolomena. Je možné se buď okamžitě po změně pokusit o přihlášení k AP nebo počkat až se klient s odposlechnutou MAC adresou odpojí a pak se teprve připojit. Druhá možnost je bezpečnější, protože snižuje šanci na odhalení takového pokusu pomocí IDS (Intrusion Detection System). Zabezpečení pomocí pomocí kontroly MAC adres má smysl pouze na sítích s jen občasným provozem, protože platí stejně jako u metody skrývání SSID, že kde není síťový provoz, nedá se odposlechnout MAC adresa a síť je tedy bezpečná. Mnoho ISP používá filtrování MAC adres spíše k zakázání přístupu určitého zařízení na AP. Některá zařízení se totiž při výpadku nebo při slabém signálu pokouší přepojit na jiná AP v dosahu a v případě úspěšné asociace tam zůstanou i přestože spoj jede na hranici možností. Tím pak způsobují problémy ostatním zařízením ,která jsou na AP. Použitím ACL na daných AP pak tedy povolíme pouze některé MAC adresy a ostatní se nepřipojí. V případě, že na přístupovém bodě není připojena žádná stanice, je možné pokusit se o útok hrubou silou a zkusit hádat různé kombinace. MAC adresa se skládá z 6 bytů, kde první tři byty jsou označení výrobce. Stačilo by tak pro každého výrobce provést 2563 pokusů o auntentizaci k AP. Jedná se bohužel o aktivní útok a je zde velká šance, že bude brzy rozpoznán pomocí IDS a podniknuta protiopatření.

19

Doporučení: MAC address control slouží dobře k řešení problému přepojování bezdrátových stanic, ale jako zabezpečení je velmi slabé a ve většině případů je jeho prolomení otázka několika minut. Proto jej nelze doporučit.

2.2.3

WEP 64 / 128 / 256 bit

Popis WEP (Wired Equivalent Privacy) je zabezpečení WiFi sítě, které se objevilo už v standardu IEEE 802.11[7]. Cílem bylo poskytnout stejné zabezpečení, jaké je dostupné v drátové sítí. Setkat se s ním můžeme u všech WiFi zařízení, neboť byla jeho implementace pro výrobce povinná. Standard definuje šifrování pomocí 64 bitového klíče, ale v dnešní době většina zařízení obsahuje vylepšení na 128 bitový klíč a některé dokonce až 256 bitový klíč. Původní délka 64 bitů byla zvolena z důvodů platného omezení americké vlády na vývoz technologié obsahující některé kryptografické metody. Poté, co byla tato omezení odvolána, přišla většina výrobců s 128 bitovým klíčem Úkolem WEP šifrování je hlavně ochrana proti odposlechu a zajištění integrity dat. Ta je zajišťována připojením kontrolního součtu z dat na jejich konec ještě před samotným šifrováním. WEP se dá používat buď pouze k přenosu dat nebo lze rozšířit i na proces autentizace klientské stanice vzhledem k AP. V případě, že přístupový bod obdrží rámec, který není zašifrován pomocí správného klíče, může jej ignorovat. Pro správné fungování je tedy nutné, aby měly všechny stanice a AP nastavené stejné klíče. WEP podle standardu IEEE 802.11 neimplementuje žádný protokol pro jejich správu ani automatické nahrazování. U většiny zařízení je tedy nutný manuální zásah obsluhy, která provede změnu klíčů. To je často ve větších sítích časově náročné a obvykle to vede k tomu, že se klíče mění až po dlouhých intervalech. Zabezpečení využívá proudové šifry RC4 (Rivest Cipher 4) od Rona Rivesta, která se používá i v populárním protokolu SSL. Ve skutečnosti se u 64 bitové (resp. 128 bitové) verze nepoužívá 64 (resp. 128) bitový klíč, ale pouze 40 (resp. 104) bitový. Zbylých 24 bitů je doplněno tzv. inicializačním vektorem IV. Ten se pro každý rámec mění, ale specifikace již nenařizuje, jak má tato změna probíhat. Právě proto, že RC4 je proudovou šifrou, bylo nutné pro bezpečné šifrování měnit průběžně klíč. Toho se dosáhlo spojením klíče a IV za sebe. Pro každý rámec tak vzniká jedinečný řetězec, který se zašifruje pomocí RC4 a výsledkem je tzv RC4 klíč. K původním nezašifrovaným datům se připojí na konec jejich kontrolní součet a výsledek se použije v operaci XOR s RC4 klíčem. Výsledný řetězec se pak odvysílá spolu s IV. 20

Obrázek 2.4: Metoda šifrování WEP

Postup šifrování vstupních dat 1. 32-bitový kontrolní řetězec ICV (Integrity check value) je spočítán nad vstupními daty Data. 2. ICV je připojen za Data. 3. Vygeneruje se 24-bitový inicializační vektor,který se připojí za klíč. 4. Výstup předchozího kroku je poslán na pseudonáhodný generátor PRNG, který vrátí řetězec stejné délky jako Data + ICV, ten se označuje jako keystream. 5. Nad Data + ICV a keystreamem se provede operace XOR. K výsledku je připojen IV a některé další povinné pole a výsledek se odešle.

Obrázek 2.5: Metoda dešifrování WEP

Postup dešifrování vstupních dat 1. Přijatý paket se skládá z IV v nezašifrované podobě a šifrovaných dat. 2. K IV se připojí klíč a výsledek je puštěn jako vstup pro pseudonáhodný generátor PRNG, tím získáme stejný keystream, který byl použit při šifrování. 3. Na výstup z PRNG a keystream se použije operace XOR (⊕). Ta je asociativní a XOR provedený na dva stejné řetězce vrátí nuly. Tímto postupem se nám tedy podařilo dešifrovat zprávu. Rámec určený k přenosu obsahuje kromě zašifrovaných dat i zdrojovou a cílovou adresu v nešifrované podobě. Neposkytuje tedy žádnou ochranu proti replay útokům, kde záškodník může znovuodvysílat zachycený paket a AP jej rozpozná jako správný. 21

Hrozby WEP patří mezi jedno z nejčastěji používaných zabezpečení, i přestože je dnes známo mnoho útoků, které dovedou získat potřebný klíč odposloucháváním provozu. Nejdříve si vysvětlíme základní nedostatky WEP šifrování a na závěr probereme některé známé druhy útoků. Použití 64 bitové verze WEP, která je jako jediná obsažena v původním standardu IEEE 802.11 je z hlediska bezpečnosti zcela nedostatečné. Útok hrubou silou zkoušením klíče je totiž realizovatelný i na velmi průměrných počítačích[8]. Tomu zabráníme použitím 128 bitového nebo 256 bitového klíče, u kterých je získání klíče hrubou silou prakticky nemožné. Dalším slabým článkem zabezpečení WEP je možnost používat šifrování pouze u některých stanic na síti zatímco ostatní stanice šifrování nepoužívají. Taková síť je velmi snadnou obětí pro útočníka, který odposlouchává provoz pomocí snifferu. Každý paket ze AP je totiž odeslán dvakrát, jednou šifrovaně a jednou nešifrovaně. Ze znalosti původní zprávy a šifrovaného řetězce se dá operací XOR získat keystream. S každou šifrovanou zprávou je odesílaný i inicializační vektor IV. Útočník si snadno vytvoří databázi keystreamů spolu s příslušnými IV. Maximální délka IV je 24 bitů, tedy existuje 22 4 různých hodnot. Jakmile se povede útočníkovi zachytit všechny hodnoty IV a příslušné keystreamy, je zabezpečení prolomeno a záškodník může i aktivně zasahovat do spojení mezi stanicí a přístupovým bodem. Další nepříjemnou vlastností jsou důsledky vzniklé ze znovupoužití keystremu (keystream reuse). Známou nevýhodou proudových šifer je, že získáním dvou zpráv zašifrovaných pomocí stejných IV a klíčů, lze odhalit důležité informace o obou původních zprávách. Písmenem C označme zašifrovanou zprávu a písmenem P označme nešifrovaná data. Nechť C1 = P1 ⊕ keystream C2 = P2 ⊕ keystream pak platí, že C1 ⊕ C2 = (P1 ⊕ keystream) ⊕ (P2 ⊕ keystream) = P 1 ⊕ P2 V případě získání jedné původní nezašifrované zprávy, bychom tedy byli schopni rekonstruovat všechny ostatní. Takové chování může být obzvláště nebezpečné, protože některé pakety vyskytující se v běžném síťovém provozu mají pevně daný formát (hlavičky protokolů často obsahují neměnné 22

úseky) a jejich obsah se dá s jistou pravděpodobností předpovídat. To spolu se znalostí části nešifrované zprávy, dovoluje použití různých dešifrovacích technik, které mohou vést až na získání původní zprávy a následnému vytvoření knihovny keystreamů. Při odhadu 1500 bytů na keystream a použití 24 bitové hodnoty IV, tak budou nároky na paměť přibližně 24 GB. WEP používá inicializační vektor IV právě jako obranu proti technice keystream reuse. Tím, že je pro každý rámec generován nový IV se zabrání odvysílání zprávy šifrované pomocí stejného keystreamu. Standard IEEE 802.11 ve skutečnosti nenařizuje změnu IV po odvysílání každého paketu, jedná se pouze o doporučení. Implementace tak bývá často velmi pochybná. Některé bezdrátové karty nastavují IV na 0 po každé reasociaci nebo vypnutí počítače. Výrazně se tak zvyšuje pravděpodobnost, že se útočníkovi podaří získat dva rámce se stejným IV. Bohužel i v případě, že se nám podaří vyhnout podobným zařízením, nemáme vyhráno. Šifrování WEP nařizuje použití 24-bitové hodnoty pro IV. Na přístupovém bodě, který by vysílal rychlostí průměrně 5 mbps (max 11mbps pro 802.11b) by došlo k vyčerpání všech IV přibližně po polovině jednoho dne. Pak musí být keystreamy nutně použity znovu a trpělivý útočník dostane další šanci. Bohužel se toto chování projevuje u všech zařízení vyhovujících standardu IEEE 802.11. Někteří výrobci, ve snaze usnadnit uživatelům práci se zadáváním hexadecimálních hodnot klíče, přišli s možností zadat jej pomocí ASCII řetězce, který se následně automaticky převede. Některá zařízení mají chybnou implementaci[9], kde při převodu nepočítají s tím, že nejvyšší bit hodnoty v ASCII je vždy nula. Výsledkem je, že se 40 bitový klíč chová stejně jako 21 bitový klíč. Použitím běžného počítače s procesorem Pentium III 500 Mhz, tak bylo dosaženo prolomení klíče hádáním za 35 sekund. Podobné chování nebylo pozorováno u generátorů pro 128 bitové klíče. Existují i velmi rafinované způsoby, jak získat původní i zašifrovanou zprávu. Je-li přístup na bezdrátové stanice z Internetu můžeme použít různé druhy záplavových útoku. Tím zvýšíme nejen provoz na AP (a tedy zachytíme více IV), ale dokonce navíc budeme znát i obsah šifrovaných zpráv, což povede k snadnému prolomení WEP zabezpečení. Vynalézavosti se meze nekladou, takže si lze vypomoci i zasíláním spamu na mailové adresy uživatelů, jež si je pak vyzvednou z počítačů za bezdrátovou stanicí. WEP není náchylný pouze k odposluchávání ale v následujícím odstavci ukážeme, že je možné provést změnu dat, aniž by mělo AP šanci takové chování detekovat. Obec-

23

nou vlastností všech CRC kontrolních součtů je jejich linearita. Platí, že ∀x, y : c(x ⊕ y) = c(x) ⊕ c(y) Označme M původní nezašifrovanou zprávu, c(M) její kontrolní součet a (M,c(M)) zřetězení M a c(M). Zašifrovaná zpráva C má pak tento tvar C = keystream ⊕ (M, c(M )) V následujících několika krocích ukážeme, že lze provést úpravu původní zprávy, tak že nebude odhalitelná na AP. Označme novou zprávu M’, pak M0 = M ⊕ 4 Nyní lze již snadno odvodit C0 = = = = =

C ⊕ (4, c(4)) keystream ⊕ (M, c(M )) ⊕ (4, c(4)) keystream ⊕ (M ⊕ 4, c(M ) ⊕ c(4)) keystream ⊕ (M 0 , c(M ⊕ 4)) keystream ⊕ (M 0 , c(M 0 ))

Pro útočníka tedy není příliš obtížné provést nahrazení určité části přenášeného rámce svojí verzí. Velmi důležité je, že pro útok nepotřebujeme znát původní zprávu. Stačí pouze umět určit význam některých polí a tato pole pak vhodně upravit. V případě nasazení by se ještě muselo řešit zamezení přijetí původní zprávy na AP. WEP sice nemá obranu proti útoku znovuposláním stejné (nebo pomocí této metody upravené) zprávy, ale je pravděpodobné, že by další vrstvy duplicitní paket zahodily. Tento problém lze relativně snadno vyřešit pomocí silné směrové antény, která se namíří proti anténě přístupového bodu a bude generovat provoz na stejné frekvenci jako přístupový bod. Vzniklé rušení tak způsobí, že AP neobdrží zprávu od připojené stanice. Jakmile upravíme rámec, vypneme naše rušící zařízení a odešleme jej. IP redirection útok Těchto úprav rámců se dá využít velmi vynalézavě pro útok přeměrováním cílové IP adresy (IP redirection attack)[10]. Je-li bezdrátová síť připojena k internetu, mohl by se útočník pokusit nahradit cílovou IP adresu rámce na adresu stroje v internetu, který 24

ovládá. V přechozím odstavci bylo nastíněno, jak se taková změna provádí. Jediné zařízení, které má vždy správné klíče v bezdrátové síti, je totiž přístupový bod. Tím, že přesměrujeme cílovou adresu na počítač v internetu, způsobíme, že AP bude pracovat pro nás a veškerou komunikaci nám rozšifruje a pošle na naši adresu. Pro úspěšné provedení tohoto útoku je nutné splnit následující podmínku. Především musí souhlasit kontrolní součet IP hlavičky v upraveném paketu. Existuje hned několik technik, jak to splnit. Jednou z nich je další úprava paketu, která bude negovat vliv té první na kontrolní součet. Nejvhodnější může být provádět úpravy v dolních 16 bitech zdrojové IP adresy, takže minimalizujeme šanci, že bude paket cestou zahozen firewallem. Reaction attack Poprvé s jeho myšlenkou přišli Bellovin a Wagner ve spojistosti s protokolem IP Security[11]. Ten je v případě nepoužívání MAC (Message authentication code) podobně zranitelný jako WEP. Myšlenka je použít přístupový bod jako soudce a důmyslnou úpravou paketů beze změny kontrolního součtu zkoušet, jestli budou přijaty nebo zahozeny. Není tedy nutné připojení AP k internetu jako u předchozího útoku. V případě, že se nám podařilo úspěšně změnit šifrovanou zprávu a bude tedy sedět kontrolní součet hlavičky TCP, obdržíme nazpět paket TCP ACK od příjemce. Ten už lze snadno rozpoznat podle své velikosti a můžeme tedy detekovat úspěšnost naší upravy. Nyní by nás mohlo zajímat, jak provést takovou „důmyslnouÿ úpravu původního paketu. Kontrolní součet TCP hlavičky souhlasí, jestliže pro nešifrovanou zprávu P platí P ≡0

(mod 216 − 1)

Nyní vytvoříme upravenou šifrovanou zprávu C0 = C ⊕ 4 , kde 4 specifikuje, které bity se mají změnit. 4 získáme následujícím postupem. Náhodně zvolíme pozici i a pozici i + 16, na které umístíme jedničku, na ostatní pozice nulu. Jednou z vlastností počítání modulo 216 je, že platí P ⊕4≡P

(mod 216 − 1) jestliže Pi ⊕ Pi+16 = 1

Předpokládáme-li platnost původního kontrolního součtum můžeme podle přijetí nebo nepřijetí TCP ACK paketu odvodit zda v původní 25

zprávě platila nebo neplatila rovnost P ≡ 0 (mod 216 − 1). Tím jsme získali část informace a bez problémů můžeme daný postup opakovat do té doby, než získáme celou původní zprávu. Postup se dá ještě dále vylepšit paralelním odesláním většího množsví paketů a v každém změnit jeden bit. Abychom dovedli vzájemně přiřadit pozice upravených bitů a ACK odpovědi na tyto úpravy, vyšleme pakety na různé multicast adresy, které si zapamatujeme. Budeme-li tedy vysílat 256 paketů paralelně, získáme jeden byte keystreamu pro každé vysílání. Někdy způsobí zvýšené zahazování paketů na AP probuzení IDS (Intrusion Detection System), který může probíhající útok překazit. K provedení tohoto útoku se dá využít utilita chopchop[12] od hackera známého pod předívkou KoreK. Ta provádí odesílání a následnou kontrolu reakce automaticky a je schopna po několika sekundách zobrazit původní nešifrovaný paket. FMS útok V roce 2001 se objevila vůbec první implementace statistického útoku FMS (Fluhrer, Mantin, Shamir)[16] proti zabezpečení WEP. Jednalo se o program Airsnort[13], který dovedl analyzovat zachycená data a případně z nich dovedl odvodit šifrovací WEP klíč. Původní implementace[14] potřebovala 5 až 10 miliónů šifrovaných paketů. Hlavní výhodou útoku FMS je jeho praktická nedetekovatelnost. Stačí pouze pasivně odposlouchávat pakety, aktivní vysílání není potřeba. Prvenství v implementaci útoku FMS patří Adamu Stubblefieldovi, který ovšem svůj program nedal veřejně k dispozici. Začátkem roku 2002 se objevila další utilita dwepcrack od hackera s přezdívkou h1kari. Obsahovala několik vylepšení, která zkrátila dobu potřebnou k získání klíče. Pravou revoluci v zabezpečení WEP způsobilo vydání utility chopper od hackera se jménem Korek. Té k úspěšnému prolomení klíče stačilo několik stovek tisíc paketů oproti miliónům u předchozích útoků. Utilita chopper je v současnosti neudržovaná a její dokonalejší implementace jsou obsaženy v programech Aircrack[15] a WepLab. K prolomení 64 bitového klíče je potřeba průměrně 200 000 paketů s unikátním inicializačním vektorem IV, u 128 bitové verze je objem potřebných paketů přibližně 500 000. Další výhodou útoku FMS je, že čas potřebný k prolomení klíče je lineární funkcí jeho délky. Tedy 128 bitový klíč není o mnoho bezpečnější než klíč 64 bitový. Útok FMS je založen na objevení vztahu mezi keystreamem a původ-

26

ním klíčem[16]. Využívá se tzv. slabých IV, u kterých existuje s určitou pravděpodobností korelace mezi některými částmi klíče a keystreamu. Ta vede při získání velkého množství slabých paketů k odhalení celého šifrovacího klíče. Kleinův útok V roce 2005 přišel Andreas Klein s novou analýzou šifry RC4[17]. Tato studie vycházela z původní práce Fluhrera, Mantina a Shamira a dále rozšiřuje množinu zjištěných závislotí mezi klíčem a keystreamem. Po uveřejnění FMS útoku totiž vylepšili někteří výrobci svá zařízení tak, aby vynechávala slabé IV a ty nemohly být zneužity. To vedlo k výrazně delšímu shromažďování potřebného množsví slabých IV a původní varianta FMS se stala nepoužitelnou. Kleinovy se podařilo vylepšení FMS útoku, tak že podává velmi dobré výsledky i v případě, že AP nevysílá slabé IV. Tato úprava dokonce neklade žádné požadavky na IV zachyceného paketu a je navíc i velmi rychlá. K úspěšnému útoku na 64 bitový klíč ji stačí podle autora 25 000 zachycených šifrovaných paketů, ale skutečná čísla se mohou lišit, neboť se jedná o statistický útok. Weinmann, Pyshkin, Tews útok V době psaní této práce se jedná o nejnovější typ útoků. Byl publikován 1.4. 2007 v práci „Breaking 104 bit WEP less than 60 secondsÿ[18]. Už podle jména si lze vytvořit základní představu o tom, jak WEP obstálo v další zkoušce. Autoři využili metodu Arp injecting spolu s upravým Kleinovým útokem. Výsledkem je prolomení 128 bitového šifrování s pravděpodobností 50 procent u 40 000 zachycených paketů. K získání spolehlivosti 95 procent je potřeba odposlechnout přibližně 85 000 paketů. Autoři této studie připravili i ukázkový program Aircrack-ptw, který si sám zajistí zvýšení objemu přenášených dat na síti a s pravděpodobností 50 procent bude hledaný klíč objeven do 58 sekund od jeho spuštění. Arp injecting, Icmp flooding Nejedná se o přímo o typ útoku, spíše o metodu, která jej často doprovází. Slouží k zvýšení objemu provozu na bezdrátové síti, což dovede urychlit sestavení knihovny všech inicializačních vektorů nebo získat potřebné množství paketů pro provedení útoku na šifru RC4 (varianty FMS útoku). Existuje velké množsví paketů, které se dají využít, ale princip je podobný. Odposlechneme 27

Obrázek 2.6: Pravděpodobnost nalezení klíče u útoku Weinmann, Pyshkin, Tews

paket a ten pak mnohokrát odvysíláme nazpět. Vybíráme ale pouze pakety, které vytvoří na síti potřebnou odezvu. Vhodný je například ARP REQUEST nebo ICMP ECHO REQUEST nejlépe na broadcast adresu cílové sítě. Pakety se odesílají buď naslepo s tím, že sledujeme reakci sítě, nebo využitím Reaction či fragmentačního útoku zjistíme keystream a následně už můžeme vytvořit jakýkoliv paket s délkou menší než délka keystreamu. Velmi dobrá implementace injecting technik je obsažena v softwaru Aircrack-ng[15]. Shared Key Authentication útok Jak už jsme si předvedli v úvodní kapitole o fungování bezdrátových sítí, přístupový bod může pracovat buď v režimu Open Authentication nebo Shared Key Authentication za pomoci šifrování WEP. V původních představách tvůrců standardu IEEE 802.11 měla poskytovat druhá možnost vyšší úroveň zabezpečení. Mechanismus funguje na principu metody challenge-response. Bezdrátová stanice požaduje připojení k AP. To odpoví nějakým nešifrovaným textem. Stanice jej zašifruje pomocí klíče a vygenerovaného inicializačního vektoru IV a odešle nazpět. Přístupový bod ji rozšifruje pomocí svého klíče a porovná s původní zprávou. Jestliže se shodují, je klientská stanice ověřena a povolí se asociace s AP. V současnosti je překvapivě doporučováno používat raději Open Authentication, neboť v případě Shared verze by případný útočník mohl při autentizaci 28

zachytit nejen původní zprávu, ale i její zašifrovanou podobu. Tím by získal keystream a příslušný IV, ale také by k sobě dovedl jednoznačně přiřadit šifrovanou a nešifrovanou zprávu. Existují kryptografické techniky analýzy textů, které mu pak můžou pomoci odhalit šifrovací klíč. Zní to až ironicky, ale použití „pokročilejšíÿ metody zabezpečení, by tak usnadnilo prolomení sítě. Ve chvíli kdy se podaří útočníkovi získat alespoň jeden keystream, může využít metod podvrhování paketů (packet injecting). K automatizování této činnosti se dá využít utilitka WEPWedgie[19]. Mezi možnosti, které nabízí patří právě Shared Key Authentication útok, pingování libovolných IP dres na cílové síti nebo skenování portů. Můžeme libovolně nastavovat zdrojovou IP adresu, čímž lze efektivně přesměrovat výsledky našeho průzkumu na kontrolovaný stoj v internetu. Fragmentační útok Úvodní část každého 802.11 paketu je téměř konstantní. Prvních 8 bytů obsahuje LLC a SNAP hlavičku, jejíž formát je stejný jako u ethernetu. Jedinou neznámou hodnotu je ethertype, který je buď ARP nebo IP. Ten ale můžeme snadno odvodit z velikosti paketu, neboť ARP má pevně stanovenou délku 36 bytů. Znalost prvních 8 bytů nešifrované zprávy nám po provedení operace XOR odhalí i prvních 8 bytů keystreamu. Tento nedostatek byl znám už v době vytváření standardu IEEE 802.11, ale přepokládalo se, že těchto 8 bytů povede v nejhorším pouze k odhalení právě té konstantní a nezajímavé části zprávy. Tak by to asi i zůstalo, kdyby se v roce 2005 neobjevil Andrea Bittau s novým typem útoku[8]. Ten důmyslným využitím fragmentace paketů dovoluje po krátké době odvysílat jakékoliv data v zašifrované podobě tak, že jsou přijata přístupovým bodem. Standard IEEE 802.11 totiž dovoluje fragmentaci paketův podobě, kdy jsou všechny vzniklé fragmenty šifrovány nezásvisle. Dále se připouští až 16 paketů šifrovaných pomocí stejného keystreamu. Útočník by tedy mohl odvysílat až 16 paketů, každý délky 8 bytů. Nedá se ovšem využít celá délka, neboť musí být na konec připojen kontrolní součet. Ten zabíra 4 byty. Ze znalosti úvodní části keystreamu jsme tedy získaly možnost, jak odvysílat až 16 x 4 = 64 bytů libovolných dat. Nejsme ale omezeni pouze na svoji tvorbu. Můžeme využít přístupový bod, aby pracoval pro nás. Jedná se o využití fragmentace spolu s útokem Ip Redirection. K jeho provedení je nutná spolupráce s dalším počítačem na internetu. Útoč-

29

ník bude pasivně odposlouchávat provoz na bezdrátové síti. Jakmile zachytí paket, vytvoří speciální IP hlavičku s adresou počítače v internetu, kterou připojí před šifrovaná data. Vzniklý řetězec rozseká na 4 bytové kousky a ty zašifruje pomocí keystreamu, jež získal z prvních 8 bytů zachyceného paketu. Výsledné fragmenty pak pošle na AP. To je přijme, rozšifruje a označí jako platné. Následně je spojí do jednoho celku, najde IP hlavičku (zflašovanou) a odešle na adresu příjemce. Tímto způsobem se podaří rozšifrovat všechny pakety menší 64 bytů. Chceme-li rozšířit metodu na všechny pakety, stačí provést malý trik. Obrázek 2.7: Fragmentování větších dat na pakety délky 8 bytů

Obrázek 2.8: Zfalšování IP hlavičky při fragmentačním útoku

Vytvoříme broadcast (je určen pro všechny stanice v podsíti) paket o délce 64 bytů, který rozdělíme na 16 fragmentů, zašifrujeme a odešleme na AP. To jej přijme a v případě, že je součet velikosti fragmentů menší než hodnota MTU1 , tak je sloučí do jednoho velkého paketu s délkou 64 bytů. Ten zašifruje a odešle na bezdrátové rozhraní. 1

Maximum Transmission Unit - maximální velikost paketu, který může být poslán přes rozhraní, obvykle 1500 bytů

30

V případě, že se nám jej povede zachytit, máme k dispozici původní nešifrovanou zprávu a i její šifrovanou podobu. Z toho můžeme aplikací operace XOR získat tentokráte už 64 bytový keystream. Postup můžeme opakovat až do získání keystreamu s maximální možnou délkou (MTU). Často se setkáme s opačným problémem, kdy bezdrátová stanice vysílá pakety maximální možné velikosti(MTU) a když se pokusíme připojit před šifrovaná data naši IP hlavičku, tak bude MTU překročeno a AP by tento paket po přijetí zahodilo. V případě překročení MTU generuje stanice ICMP zprávu „Packet Too Bigÿ. Příjemce této zprávy zareaguje snížením velikosti paketů. Toho můžeme využít i my a v případě, že stanice posílá příliš dlouhé pakety, které nám nevyhovují. Pošleme ji pomocí naší fragmentovací metody zmiňovanou ICMP zprávu, což upraví její chování a umožní nám tak další přeposílání zpráv. Podobných opatření existuje hned několik, ale jejich popis je nad rámec tohoto textu. Odkazuji zvýdavého čtenáře na publikaci [8]. Útok by se dal shrnout do následujících kroků 1. Odposlechnout alespoň jeden paket. 2. Podle jeho velikosti určit typ (ARP nebo IP). Provést operaci XOR na prvních 8 konstantních bytů a šifrovaný text. Výsledkem je získání 8 bytového začátku keystreamu. Nyní můžeme vysílat libovolná data do velikosti 64 bytů. 3. Odeslat velký broadcast rozdělený na 16 fragmentů. Provést několik opakování. Získání 1500 bytového keystreamu povede k možnosti odesílat data jakékoliv velikosti. 4. V případě, že je AP připojeno k internetu, využít Reaction útoku a ze zachycených dat odhalit jakoukoliv platnou IP adresu na bezdrátové síti. Tu použít jako zdrojovou adresu ve falšované IP hlavičce. Tento krok není nutný, ale zvýší pravděpodobnost, že nebude paket zahozen firewallem. Teď jsme schopni přijímat nešifrovaná data na speciálním stroji v internetu. 5. V případě, že síť není připojena do internetu, nezbývá než použít fragmentační útok k zvýšení provozu na síti a získání velkého objemu šifrovaných dat pro jiné typy útoků. Vhodné je pingovat broadcast adresu dané sítě, což vyvolá odpověď každého počítače a výrazně tak zvýší provoz na síti. 31

Tento typ útoku je využit v utilitě Wesside[20], která napsal Andrea Bittau jako program, demonstrující jeho účinnost. V případě, že je cílová síť připojena k internetu, trvá přibližně minutu než se podaří provést první 4 kroky z předchozího seznamu. U 64 bitového klíče pak trvá jeho prolomení přibližně 15 minut, u 128 bitové verze je to jedna až dvě hodiny. Doporučení: WEP je v současnoti jako účinná ochrana nepoužitelný. Téměř na každé webové stránce zabývající se zabezpečením bezdrátové sítě je detailní návod, jak proti takové síti provést útok a získat potřebné klíče. Aktivací šifrování se navíc snižuje datová propustnost na přístupovém bodě. Doporučujeme jej tedy nepoužívat.

2.2.4

WEP2 a WEPplus

Popis WEP2[21] měl za úkol vylepšit ochranu pomocí WEP na zařízeních, která by nesplnila hardwarové nároky nových metod WPA a WPA2. Nařizuje tak využívat pouze 128 bitové šifrování a zvětšuje délku IV. Bezdrátová zařízení s WEP2 jsou k vidění pouze zřídka. WEPplus[22] je vylepšené šifrování od společnosti Agere Systems, které zabraňuje vysílání tzv. slabých IV. Toto zabezpečení tedy znemožňuje využít první verzi FMS útoku. V současnosti je toto vylepšení implementováno ve většině zařízení. Pro správné fungování je nutné, aby byly tímto mechanismem vybaveny všechny bezdrátové stanice připojené na AP. V případě, že tomu tak není, může některá stanice vysílat slabé IV a AP je musí přijmout, neboť WEPplus je kompatibilní s WEP. Hrozby Šifrování WEP2 je stejně zranitelné jako WEP. Kvůli delšímu klíči a IV zaberou některé útoky více času, ale bezpečnost sítě není vyšší než u klasického WEP. WEPplus neznamená pro útočníka větší překážku, neboť novější varianty FMS útoku (Klein,. . . ) nepotřebují slabé IV k prolomení klíče. WEPplus byl zamýšlen pouze jako ochrana proti FMS útoku, jiným typům nedovede zabránit.

32

2.2.5

WPA, WPA2

Popis S rostoucím počtem bezpečnostních nedostatků šifrování WEP začalo být zřejmé, že bude potřeba vytvořit zcela novou metodu, která by řešila všechny předchozí problémy. Původně měl být zranitelný WEP nahrazen novým standardem IEEE 802.11i[23]. Ten ale v době hledání nástupce WEP nebyl ještě schválen. Situace kolem nedostatatečného zabezpečení bezdrátových sítí začala být natolik vážná, že bylo rozhodnuto použít některé části rozpracovaného standardu IEEE 802.11i jako dočasné řešení, než bude tento standard schválen. Začátkem roku 2003 tak vzniklo zabezpečení WPA (WiFi Protected Access)[24], které mělo čelit hlavním nedostatkům WEP. Je zpětně kompatibilní s WEP a dopředně s IEEE 802.11i. To ale také znamená, že pokud se v síti sejdou produkty s podporou WPA a WEP, použije se slabší WEP. Standard WPA zvyšuje bezpečnost bezdrátové sítě několika způsoby. Nejzřetelnějším je šifrovací protokol TKIP (Temporal Key Integrity Protocol). Přestože je v něm opět použita šifra RC4, způsob jakým jsou měněny a vybírány klíče řeší řadu původních problému. Výběr RC4 byl nutností, neboť téměř všechny bezdrátové zařízení obsahovaly v době schvalování WPA hardware urychlující práci s touto šifrou. V případě výběru jiné metody by trvalo šifrování každého paketu minimálně 20 milisekund [5] vedoucí ke snížení komunikační rychlost z 11 mbps na 1 mbps. Volba RC4 tak umožnila přidat WPA do stávajících zařízení pouhou změnou firmwaru. TKIP obsahuje: • Vylepšenou ochranu integrity zpráv - Kontrolní součet byl u TKIP nahrazen mechanismem MIC (Message Integrity Check). Ten využívá 12 bytů namísto 4 u WEP. Šifrování je provedeno pomocí algoritmu Michael, jehož parametry jsou i zdrojová a cílová MAC adresa. Ačkoliv tento mechanismus zabraňuje změně zprávy při přenosu, není Michael odolný vůči útoku hrubou silou. Součástí TKIP je detekce takového útoku a jako reakce je provedena okamžitá změna všech hesel na AP a vypnutí veškeré komunikace na 60 sekund. • Zvětšení velikosti IV z 24 na 48 bitů - Tato změna zabraňuje útoku znovupoužitím keystreamu. Ve skutečnosti je nová délka 56 bitů, ale 33

některé „slabéÿ2 IV jsou vynechány, což vede k zmenšení rozsahu o 1 byte. I přesto by ale vyčerpání všech hodnot při maximální komunikační rychlosti 11 mbps trvalo 900 let [5]. Dalším vážným nedostatkem protokolu WEP byla možnost opakovaně vyslat zachycený paket tak, že to AP nepozná. TKIP zavádí novou hodnotu TSC (TKIP Sequence Number), která musí být jediněčná pro každý odeslaný rámec. Přístupový bod si pro všechny připojené stanice uchovává číselný rozsah, do kterého musí hodnota TSC padnout. V případě, že se tak nestane, je paket zahozen. V praktickém nasazení je TSC realizováno pomocí hodnoty IV. • Změnu klíče pro každý paket (Per-Packet Key Mixing) - Většina WiFi zařízení v době schvalování WPA obsahovala hardware urychlující šifrování pomocí RC4 s pevnou délkou klíče (64, 128). Ten se vytvořil spojením 24 bitového IV spolu s tajným klíčem. TKIP ale zvětšuje velikost IV na 48 bitů, takže se z něj pro tento účel využívá pouze prvních 24 bitů. Zbytek je využit jednoduchým algoritmem, který na jeho základě upraví tajný klíč. WPA tedy mění nejen IV pro každý paket (stejne jako WEP), ale navíc mění i tajný klíč pro každý paket. Tato metoda tedy zvyšuje bezpečnost a zároveň dovoluje zachovat délku šifrovacího klíče pro RC4. • Změna dočasných klíčů (Rekeying) - WEP využíval k šifrování provozu pouze jeden klíč, který nemohl být měněn automaticky. V případě, že byl klíč prozrazen, měl útočník volný přístup k síti až do doby, než byly tyto klíče změněny u všech zařízeních na AP. WPA přichází se změnou klíčů, která probíhá automaticky po přenesení 10 000 rámců (lze změnit). Při připojení uživatele do sítě získá uživatel PMK (Pairwise Master Key). Z toho je následně odvozena celá struktura klíčů, které jsou dále potřebné ke komunikaci. WPA totiž používá rozdílné klíče pro komunikaci s jednotlivými stanicemi, pro vysílání broadcast zpráv a speciální klíče jsou použity i pro šifrování přenosu nových klíčů. Změna probíhá pomocí šifrované zprávy Rekey key, která vyvolá generování nového klíče na straně stanice. Tento mechanismus tedy zabraňuje získat dostatečný počet paketů se stejným klíčem i pro nejlepší útok typu FMS. Ve velmi nepravděpodobném případě uhodnutí šifrovacího klíče, by jeho znalost vedla pouze k dešifrování malého 2

Vektory, které mohou vést k snažšímu odhalení klíče. Viz FMS útok

34

množství dat. Z tohoto klíče totiž nelze odvodit nový šifrovací klíč pro dalších 10 000 rámců a stejně tak není možné získat z něj jakoukoliv informaci o PMK. TKIP tedy řeší zabezpečení komunikace mezi bezdrátovými stanice a distribuci klíčů. V předchozím seznamu bylo uvedeno, že po úspěšném provedení autentizace získá stanice hlavní klíč PMK, z kterého jsou odvozeny všechny další klíče pro přenos. Zbývá tedy vyřešit provedení autentizace na nezabezpečeném spoji. WPA tento problém vyřešila převzetím části standardu IEEE 802.1x[25] využívající protokol EAP (Extensible Authentication Protocol)[26]. Ten slouží pro řízení přístupu k síti povolující nebo zakazující jednotlivé porty (zásuvky) například na switchi. Podle výsledku autentizace zařízení připojeného k síťovému portu, buď poskytne připojení k síti, nebo tomuto připojení zamezí, pokud autentizace selhala. Zavádí se tři druhy entit: Supplicant, Authenticator a Authentication Server. V případě bezdrátových sítí je Supplicant bezdrátová stanice a Authenticator je AP. Authentication server má stejný význam jako v 802.1x. Nejčastěji je realizován pomocí Radius serveru, ale lze využít i jiné prostředky (Kerberos, . . . ). K provedení autentizace se mezi AP a stanicí používá protokol EAPoL (EAP over LAN). EAP byl totiž původně navržen pro provoz na dial-up linkách a pro použití na LAN musí být zapouzdřen. Přidáme-li k zapouzdření ještě 5 nových typů zpráv získáme protokol EAPoL. Pro komunikaci mezi AP a autentizačním serverem se nejčastěji používá zapouzdření EAP do protokolu Radius. AP na začátku nevlastní žádné klíče a do celého procesu nezasahuje pouze předává šifrovaná data na autentizační server. V případě úspěšné autentizace se AP ověří vůči Radius serveru a poté obdrží stejný PMK klíč jako stanice. Schéma průběhu autentizace je na obrázku 2.2.5. Po jejím úspěšném dokončení vlastní AP i stanice nový hlavní klíč PMK a na řadu přichází protokol TKIP. EAP spojení se využívá pouze k provedení autentizace a po jejím dokončení je uzavřeno. Autentizační mechanismus nabízí 2 režimy zabezpečení.

• WPA-Personal je určeno pro domácí uživatele u kterých se nepředpokládá žádná další síťová infrastruktura. Nejčastěji se v něm využívá protokolu TKIP s předsdíleným klíčem (PSK). Ten se skládá z 256 bitů, které většina zařízení generuje ze zadaného ASCII řetězce. Některá zařízení nabízejí možnost zvolit pro každou bezdrátovou stanici 35

Obrázek 2.9: Před připojením do sítě musí proběhnout autentizace (IEEE 802.1x)

jiný klíč. Uložený klíč spolu s SSID a MAC adresy AP a klienta pak slouží k vytvoření PMK (Pairwise Master Key), který se využívá při autentizaci na AP. To funguje jako autentizační server a Authenticator zároveň. Předsdílený klíč PSK je uložen v paměti stanice i AP a ke změně je potřeba zásah uživatele. Při využití této metody je tedy vynecháno úvodní získání PMK klíče z Radius serveru. Obtížnost nastavení zařízení je podobná jako u WEP. • WPA-Enterprise je určeno pro využití ve firemním sektoru, kde jej lze začlenit do stávajícího systému zabezpečení. Nevyužívá se zde metody s předsdíleným klíčem, ale řízení přístupu k sítí je provedeno podle standardu IEEE 802.1x. Heslo zadávané uživatelem při přihlašování může být nahrazeno přístupovou kartou, biometrickými údaji nebo přihlašovacími údaji do systému. Po provedení autentizace vygeneruje autentizační server náhodně nový klíč PMK. Není tedy potřeba mít uložené citlivé bezpečnostní údaje na klientském počítači. Tento systém přináší firmám možnost centrální správy zabezpečovacích údajů pro mnoho přístupových bodů. Pro domáctnosti by byl ale z důvodů potřeby autentizačního serveru nevhodný. 36

Obrázek 2.10: Mechanismus autentizace stanice k síti

V červnu 2004 schválilo IEEE definitivní podobu standardu 802.11i[23], který nahradil původní WEP. Wi-Fi Alliance, organizace sdružující výrobce bezdrátových zařízení, označilo svoji implementaci standardu IEEE 802.11i jako WPA2[6]. Začlenění tohoto bezpečnostního prvku do nových bezdrátových zařízení bylo pro všechny členy povinné od konce roku 2006. Všechná nová bezdrátová zařízení tedy nyní podporují WPA2. WPA2 obsahuje původní metody z WPA (TKIP,Michael,MIC) a navíc přidává i algoritmus CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol), který nahrazuje předchozí TKIP s RC4. Tento algoritmus je založen na symetrické blokové šifře AES[27], která byla vyvinuta americkou vládou pro šifrování svých dokumentů. V době schválení

37

WPA už byla tato šifra součástí návrhu IEEE 802.11i, ale nemohla být použita na stávajícím hardware kvůli své vyšší výpočetní náročnosti než RC4. WPA2 obsahuje IV stejné délky jako WPA, ale ten je použit pouze při číslování rámců jako obrana proti replay útokům. Neprovádí se tedy Per-Packet Key Mixing jako u WPA. Tento účel zde plní speciální AES klíč. Zatímco WPA bylo použitelné pouze pro Infrastrucure mód, WPA2 rozšiřuje podporu i na ad-hoc mód, navíc je zpětně kompatibilní s WPA, takže není problém provozovat síť s kombinací WPA a WPA2. Kombinace WPA2 a WEP je však striktně zakázána. Dalším vylepšením je zrychlení autentizace stanice k síti a podpora roamingu. WPA2 nabízí také stejně jako WPA dva režimy zabezpečení. Přehled vlastností různých zabezpečení je v následující tabulce: WEP WPA Šifrovací funkce RC4 RC4 Velikost klíče 40 bit/ 104 bit 128 bit Velikost IV 24 bit 48 bit Klíč paketu Klíč + IV TKIP Key-Mixing Integrita dat CRC-32 Michael Detekce replay útoku Žádná Pomocí IV Získání PMK Žádné 802.1X

WPA2 AES 128 bit 48 bit CCM CCM Pomocí IV 802.1X

Hrozby Sítě využívající WPA lze označit jako velmi bezpečné. V současnosti je známo pouze několik málo možných útok[28], ale ty se dají nasadit pouze tam, kde nebyly splněny některé bezpečnostní zásady při nastavování. Příkladem může být útok na WPA-Personal variantu, jež využívá k autentizaci předsdílený klíč. Hlavní klíč PMK je zde vytvořen několika hašovacími algoritmy za pomoci čtyř hodnot[5]: PSK klíče, SSID AP, MAC adresy AP a MAC adresy klienta. Tři poslední údaje se dají zjistit z odposlouchávání dat. Tento hlavní klíč je po celou dobu trvání relace stejný a průběžně je z něj odvozován šifrovací klíč pro přenášená data. V případě, že by se nám podařilo získat klíč PSK uměli bychom rozšifrovat všechna data mezi daným klientem a AP. Znalost PSK by nám navíc umožnila nejen rozšifrovat současnou relaci, ale mohli bychom se libovolně připojovat na AP a komunikovat s ním, neboť z PSK jsou odvozeny všechny ostatní klíče[5]. Slovníkovým útokem nebo útokem hrubou silou by se dalo zjisti PSK za předpokladu znalosti 38

PMK[29]. Stejný typ útoku se používá na zjištění PMK z šifrovacího klíče pro přenos dat. Nejedná se tedy o chybu v návrhu, ale pouze o nebezpečí plynoucí ze špatně nastaveného hesla. Pomoc při provedení takového útoku nám může poskytnout hned několik utilit. Neznámější z nich je coWPAtty[30]. Ta potřebuje k činnosti pouze SSID cílového AP a 4 odposlechuté pakety z úvodního domlouvání přenosového klíče. Získání těchto dat není problém, neboť lze podvržením deautentifikačního paketu odpojit cílovou stanici a následně odposlechnout vše potřebné. Hesla delší 20 znaků nejsou tímto postupem zranitelná[29]. Stejně tak verze WPA-Enterprise, neboť tam je heslo generováno náhodně a je vždy dostatečně dlouhé. Navíc by útočník získal pouze schopnost rozšifrovat současnou relaci. Tento útok je použitelný i u WPA2, protože je využíváno stejného úvodního mechanismu na domluvu hesel. WPA i WPA2 jsou zranitelné také proti některým DOS útokům[28], ale tyto metody se v praxi téměř nepoužívají z důvodu snadné detekce pomocí IDS. Pro úplnost našeho seznamu je ještě vhodné zmínit slovníkový útok proti protokolu LEAP[31] a EAP-MD5[32]. LEAP je nadstavba3 EAP od společnosti Cisco sloužící pro vzájemné ověření mezi stanicí a autentizačním serverem u verze WPA-Enterprise. Obě tyto metody jsou zranitelné proti slovníkovému útoku v případě odposlechnutí zahašovaného hesla, které je přenášeno po síti. EAP-MD5 plní obdobnou funkci jako LEAP, ale pro přenos hesla mezi stanici a autentizačním serverem využívá šifrování hesla pomocí MD54 . Existuje několik bezpečných alternativ jako třeba EAP-TLS, EAP-TTLS nebo PEAP. Doporučení: WPA tak i WPA2 můžeme označit jako dostatečné prostředky[28], které při správném nastavení zaručují vysoký stupeň bezpečnosti. Budeme-li se rozhodovat mezi WPA a WPA2 je vhodnější použít WPA2 z důvodů využití silnějšího šifrovacího mechanismu. Obě tyto metody jsou v současnosti označovány jako standard a všechny nové bezdrátové zařízení je musejí pdoporovat. 3

EAP v současnosti obsahuje 48 rozšíření[33] EAP-MD5 neprovádí ověření identity serveru. Server zašle klientovi náhodný řetězec a ten jej s pomocí svého hesla zahašuje a odešle nechráněně zpět. Při zachycení této výměny pak lze použít slovníkový útok. Microsoft z bezpečnostních důvodů nepovoluje využití této metody v systému Windows 4

39

2.2.6

VPN

Popis Virtuální privátní sítě (VPN) umožňují využít veřejné telekomunikační infrastruktury, třeba Internetu, k poskytování bezpečného přístupu do domovské sítě uživatele. Protože jsou Wi-Fi sítě provozovány v bezlicenčním pásmu a mohou tak být snadněji přístupné pro potenciální útočníky, nabízí se možnost chovat se k této síti stejně jako by byla nezabezpečená a pro přístup uživatelů využívat pouze VPN. Dovoluje se tak uživatelů asociace k přístupovému bodu a poskytnutí IP adresy bez nutnosti zadání přihlašovacích údajů. Komunikace pak může být omezena pouze na spojení mezi IP adresou AP a připojené stanice. Pro připojení do zbytku sítě musí být provedeno přihlášení k VPN serveru. Po jeho úspěšném dokončení je mezi VPN serverem a stanicí vytvořen šifrovaný tunel. Bezdrátová síť tak slouží stejně jako Internet pouze k spojení mezi dvěma body (VPN Server a klient) a je považována za nedůvěryhodnou. Nevýhodou použití VPN je snížení propustnosti sítě kvůli režii šifrování a další obvykle velmi vysoké náklady spojené s jejím vytvořením. Na větší bezdrátové síti je totiž nutné implementovat VPN server přímo v každém přístupovém bodu a k propojení těchto bodů vytvořit samostatné bezpečné tunely. V opačném případě by se při komunikaci dvou bezdrátových stanic přenášela data nejdříve ze zdrojové stanice na centrální VPN server a z něj pak na cílovou stanici, a to i za předpokladu, že stanice jsou na jednom AP a mohla by spolu bez VPN komunikovat přímo jen se zapojením AP. Velkou popularitu si získalo VPN na bezdrátových sítích především v době, kdy už byly známy nedostatky WEP ale ještě neexistovala dostatečná náhrada v podobě WPA. Hrozby Používání VPN na bezdrátové síti bez zabezpečení na nižší vrstvě (WEP, WPA, . . . ) může u některých implementací způsobovat vážná nebezpečí. Velmi oblíbené je řešení VPN pomocí protokolu PPTP, který je obzvláště zranitelný proti MITM útoku[34]. Útočník si tak může zajistit, že všechna data budou procházet přes jeho počítač. Existuje několik utilit, které dokáží takový útok automatizovat.[35][36][37]. Podobné nebezpečí může vzniknout použitím některých implementací protokolu IPSec 5 . Důkladným návrhem 5

CheckPoint VPN-1, Cisco VPN Client, Nortel Contivity VPN Client, OpenBSD isakmpd, PGPFreeware, SafeNet, WAVEsec

40

řešení pro VPN spolu se správným nastavením klientských zařízení lze získat kvalitní zabezpečení srovnatelné s WPA. Vzhledem k stejné povaze řešení VPN na bezdrátové síti jako na Internetu se nebudeme touto problematikou dále zabývat. Doporučení: WPA i WPA2 nabízejí srovnatelné zabezpečení s VPN, které je ale navíc přítomné ve všech nových přístupových bodech. Podobná podpora pro VPN je pouze u několika výrobců a obvykle jen u dražších modelů. VPN je označení velké rodiny různých typů zabezpečení, které bývají většinou vzájemně nekompatibilní. V případě, že nemáme VPN už nasazené, je vhodnější využít WPA (WPA2), které nebízejí výhodu jednotného standardu.

2.3 2.3.1

Ostatní útoky Útoky proti fyzické vrstvě 802.11

Hrozby Útokem proti fyzické vrstvě protokolu 802.11 se myslí především rušení radiové komunikace mezi bezdrátovými zařízeními. Výsledkem je nestabilní přenosová rychlost, výpadky nebo dokonce kompletním nefunkčnost spoje. Detekce takového rušení je velmi obtížná, neboť původcem mohou být různá zařízení v domácnostech (mikrovlnné trouby, bezdrátové zvonky,. . . ), často tak nemusí jít ani o úmyslný čin. Obrana proti těmto útokům v bezlicenčním pásmu téměř neexistuje. Případ se může řešit podáním stížnosti u ČTÚ s tím, že bude postižená oblast proměřena a případní řušiči dostanou pokutu. Probíhá-li útok nepravidelně a jen v kratších intervalech je detekce původu signálu velmi náročná a málo pravděpodobné, že měření ČTU bude probíhat zrovna při jeho spuštění. V přílohách na konci práce je ukázka rušení způsobeného různými zdroji.

2.3.2

Útoky typu DoS

Linková vrstva protokolu 802.11 je zranitelná především útoky typu Denial of Service (DOS). Realizaci útoku napomáha především fakt, že všechny útoky využívají rámců, u kterých se neprovádí šifrování ani jiné metody zabezpečení. Z důvodu velkého množsví typů těchto útoků je probereme v následujícím přehledném seznamu. 41

Deauthentication flood Opakované zasílání deautentifikačních rámců. Cílem může být vybraná skupina nebo dokonce až všechny bezdrátové stanice asociované na AP (tzv. Broadcast Deauthentication flood). Po přijetí falešné deautentizace AP odmítne všechny další pakety od postižené stanice a je nutná nová asociace. Ta bývá obvykle brzy přerušena zasláním dalšího deautentizačního rámce, což může způsobit dlouhodobý výpadek v připojení stanice do sítě. Průběh útoku je znázorněn na obrázku 2.11 Disassociation flood Opakované zasílání disasociačních rámců. Podobné předchozímu útoku. Výpadek sítě trvá kratší dobu, neboť nemusí znova proběhnout autentizace. Tento útok je tedy výrazně méně účinný než předchozí. Power saving DoS Ve standardu IEEE 802.11 je obsaženo i řízení spotřeby bezdrátových zařízení. Stanicím je dovoleno přepnout se do režimu spánku, v kterém nemohou přijímat ani odesílat data. Před přechodem do tohoto režimu je zasláno upozornění na AP, které začne data ukládat do své paměti. Stanice se po určitém intervalu probudí a okamžitě obdrží TIM (Traffic Indication Map) zprávu se stavem paměti na AP. V případě, že pro ní nejsou připravena žádná data, se okamžitě uspí. V opačném případě zašle požadavek na vyprázdnění paměti. Tento proces je silně závislý na časové synchronizaci AP se stanici, která se probudí přesně ve chvíli odeslání TIM paketu. Klíčová informace s periodou TIM paketů je zasílána nešifrovaně a bez dalších zabezpečení. Bylo by tedy možné její podvrhnutí, takže by se stanice probouzela ve špatnou dobu a záškodník by ji zásoboval svými TIM pakety. Ty by samozřejmě oznamovaly, že na AP nejsou žádná data čekající na odeslání. Další varianta tohoto útoku spočívá ve zfalšování požadavku na vyprázdnění paměti na AP, takže stanice po probuzení obdrží TIM paket obsahující informaci o prázdné paměti na přístupovém bodu. Virtual carrier sense DoS Útok probíhá pomocí konstantního zasílání RTS paketů (Request to send) s velkým požadavkem na vyhrazený čas. Paketem RTS vyjadřuje stanice zájem o uvolnění vysílacího pásma 42

na specifikovanou dobu. Tato hodnota může být maximálně 32 ms. Všechny stanice jsou povinny zareagovat na příjem RTS zprávou CTS (Clear to send) a na specifikovaný čas přestat vysílat. Útočník by tedy konstantním vysíláním RTS paketů v počtu 32 za sekundu dovedl zastavit provoz na přístupovém bodu. Tento útok je funkční pouze na sítích s modulací DSSS. Výsledek simulace útoku je k dispozici na obrázku2.12. Authentication Failure Attack V tomto útoku se odesílá na klientskou stanici upozornění, že autentizace neproběhla v pořádku. Stanice reaguje odpojením od AP. Existuje i další varianta, kdy na AP zašleme požadavek na autentizaci, který nemá správný formát. Jako zdrojová adresa se v tomto požadavku uvede MAC adresa stanice, kterou chceme odpojit. AP reaguje odpovědí Authentication failure, po které se cílová stanice odpojí od sítě. Association flood Každé AP si v paměti udržuje tabulku stavu asociovaných klientů, která má omezenou velikost. Jestliže je tato tabulka plná, AP odmítne všechny další pokusy o asociaci. Útočník ji může snadno naplnit pomocí Association floodingu, což způsobí nemožnost připojení dalších klientů na přístupový bod EAPOL Start Attack Autentizace pomocí protokolu EAP začíná rámcem EAPOL-start, který zasílá bezdrátová stanice na AP. To odpoví zprávou EAP-Identify-Request a provede alokaci výpočetních zdrojů pro následné ověření stanice. Toto ověření, ale nikdy neproběhne. Místo něj útočník zasílá velké množství EAPOL-start rámců, které u zařízení některých výrobců způsobí zatuhnutí. EAPOL Logoff Attack V případě, že se chce bezdrátová stanice autentifikovaná pomocí EAP odpojit odešle EAPOL Logoff rámec. Tento rámec neobsahuje žádné zabezpečení, takže ho případný útočník může snadno zfalšovat a odpojit tak stanici od AP

43

Frame Deletion Attack Myšlenka tohoto útoku je poškodit kontrolní součet zachycených paketů a znovu jej odvysílat. Případně okamžitě po detekci vysílání paketu z cílové stanice začít vysílat nesmyslná data na AP. Vzniklé rušení, tak může poškodit příjem. Výsledkem takového poškození bude zahození paketu na AP. Ve chvíli, kdy data dorazí na AP odešle útočník klientovi ACK paket potvrzující úspěšné přijetí dat. Tím způsobí, že data nebudou znovu odvysílána a naruší tak provoz na síti. Beacon Flood Útočník generuje velké množství falešných PROBE rámců s různými SSID, což způsobí některým stanicím problémy s nalezením správné AP. 802.11 TKIP MIC Exploit Generování několika rámců s vadným MIC vede k prekročení chybového prahu a AP přestane na minutu vysílat. Tento útok nebyl dosud zaznamenán, ale teoreticky je možný. Před kontrolou MIC se totiž provádí i další kontroly a v případě, že jimi paket neprojde, je zahozen. Úprava paketu, tak aby měl pouze vadný MIC a všechna ostatní pole byla v pořádku je označována jako velmi obtížná. EAP-Failure Attack Útočník si vybere platné EAP spojení a odešle klientské stanici chybovou zprávu EAP-Failure, ta se poté odpojí EAP-of-Death Odesílání úmyslně poškozených EAP Identity Response zpráv způsobý na některých AP jejich zatuhnutí. EAP Length Attacks Odesíláním zpráv EAP type-specific se špatnou délkou jednotlivých polí může vést k pádu AP nebo Radius serveru Probe Request Flood Útok lze provést zahlcením AP rámci PROBE REQUEST, což u některých zařízení způsobí, že přestanou odpovídat na legitimní požadavky.

44

Premature EAP Success Frame Podobné útoku EAP-Failure Attack, pouze se zasílá zpráva EAP-Success NULL SSID Probe Response DoS Některé karty přestanou pracovat po obdržení rámce PROBE RESPONSE s SSID nastaveným na hodnotu 0. Pro obnovení jejich funkčnosti je nutné odpojit napájení. Invalid Channel Beacon DoS Myšlenka útoku je zaplavit cílovou síť falešnými rámci BEACON, které mají SSID původního AP, ale jiný kanál. Klientská stanice se po jejich obdržení přeladí na jinou frekvenci a tam nějakou dobu setrvá. Jestliže pak obdrží další falešný BEACON rámec zůstane i dále na stejné frekvenci, jinak se vrátí na původní. K praktickému ověření předchozích útoků lze doporučit utility wlanjack[38], Lorcon[39], Void11[40], omerta[41] nebo FataJack[42]. Detailnější studie některých útoků jsou velmi pěkně probrány v práci [43]

2.3.3

Man in the middle (MITM) útoky

Popis Myšlenka MITM útoku je vložit do datového spojení mezi uživatele a server další článek, pomocí kterého může útočník ovládat procházející datový provoz. Většinou jsou tyto útoky prováděny tak, aby uživatel nezískal podezření a důvěřoval nadále síťovému spojení. U bezdrátových sítí lze realizovat pomocí dvou rozhraní. Jedno z nich se připojí k cílovému AP a na druhém se vytvoří fiktivní přístupový bod se stejnými parametry jako cílové AP. Často se využívá zesilovačů tak, aby byl výsledný výstup silnější a zvětšila se tak šance na připojení stanice na fiktivní AP. V případě, že se stanice nepřipojí na takto vytvořený bod, lze jim zaslat několik deautentifikačních rámců, které způsobí jejich odpojení a opakované vyhledávání dostupných AP. Nepoužívá-li se na síti šifrování přenosu, je po připojení stanice stejná výchozí situace pro MITM útok jako na drátové síti. Existuje velmi mnoho nebezpečných utilit[44] [37] [38], pomocí kterých lze takto získanou výhodu velmi dobře využít. Je-li síť zabezpečena pomocí WPA nebo WPA2 je situace mnohem složitější. Můžeme zachytávat data, ale ty jsou šifrována klíči, které se mohou rychle měnit. Se správně nastaveným WPA (WPA2) není 45

Obrázek 2.11: Proces připojení stanice k AP

známa metoda pro rozšifrování dat v rozumném čase. Jedinou výhodou je tak pouze možnost odposlechnout úvodní ověřování bezdrátové stanice vůči autentizačnímu serveru. Stejná data lze ale získat i pouhým pasivním odposloucháváním bez nutnosti provést MITM útok.

2.4

Průzkum zabezpečení bezdrátových sítí v Praze

K průzkumu bezdrátových sítí byl použit notebook s bezdrátovou kartou Atheros a nainstalovaným softwarem Kismet. Tento program dovede pasivním sledováním okolního radiového provozu nalézt přístupové body a určit jejich základní parametry. Zajímalo nás především poměrné zastoupení jednotlivých typů zabezpečení u nalezených sítí. Potřebná data byla získána 46

Obrázek 2.12: Počet paketů zasílany 4 stanicemi během deautentifikačního útoku. První útok byl pouze na stanici s MacOS a trval pouze 8 sekund. Druhý útok proti všem stanicím začal v čase 101 a trval 26 sekund.

v Praze na Petříně s použitím vestavěné antény v bezdrátové kartě. Měření bylo provedeno ve frekvenčním pásmu 2,4 GHz. Výsledky jsou shrnuty v následující tabulce. Zabezpečení Žádné WEP WPA/WPA2 jen WPA jen WPA2 Celkem

Počet sítí 292 123 7 27 5 454

Zastoupení 64 % 27 % 2% 6% 1% 100 %

V tabulce z důvodu přehlednosti není zobrazen počet přístupových bodů využívajících skrývání SSID. Tato technika byla použita pouze u 3 přístupových bodů, v jednom případě v kombinaci s WEP šifrováním. Dále také bylo zjištěno, že z 39 přístupových bodů nabízejících zabezpečení WPA nebo WPA2 bylo u 14 použita varianta s předsdíleným klíčem. Součástí průzkumu nebylo mapování používání kontroly přístupu pomocí MAC adresy. Použitý software takové možnosti nenabízí a ruční mapování by bylo velmi zdlouhavé. Vzhledem k jednoduchosti falšování MAC adresy si můžeme dovolit 47

tento bezpečnostní prvek zanedbat. V poslední řadě chybí v tabulce také zastoupení VPN sítí. Musíme předem důkladně zvážit, kdy danou síť označit jako zabezpečenou pomocí této metody. V případě, že bychom u všech připojených stanic zaznamenali pouze komunikaci pomocí šifrovaných tunelů, by to jistě šlo. Bohužel naše měření toto nedovoluje. Stejně tak nelze zjistit, zda jsou v dané chvíli připojeni k síti všichni klienti a zda tedy není možné, že jsme shodou náhod prováděli měření ve chvíli, kdy byli připojeni pouze klienti využívající nějakou formu VPN. Analýza dat v programu Ethereal ale odhalila, že se v odposlechnutém provozu vyskytovalo pouze zanedbatelné množsví dat sestavených pomocí protokolů z oblasti VPN. Výsledkem průzkumu je tedy zjištění, že necelé 2/3 sít nenabízí dostatečné zabezpečení. Vzhledem k slabému zabezpečení pomocí šifrování WEP bychom toto číslo mohli rozšířit až na 91 procent zachycených sítí.

48

Kapitola 3 Závěr Žádné bezpečnostní opatření v síti nemůže být stoprocentní. Ani nový standard WPA2 nám nezajistí, že se v blízké budoucnosti neobjeví útok, který by jím poskytovanou ochranu prolomil. Pro dnešní bezpečnostní požadavky je ale WPA2 i WPA dostatečné a lze jej doporučit. Výhodou je jejich přítomnost ve všech nových bezdrátových produktech. Ostatní srovnatelné metody mají buď menší podporu ze strany výrobců nebo neposkytují dostatečnou ochranu. Na závěr bych si dovolil vlastní poznatek, který jsem získal během psaní této práce. Původně jsem předpokládal, že cenově dostupné zabezpečení bezdrátové sítě je pouze hezká přestava vzdálená realitě. Stejně tak jsem předpokládal, že síť by se měla zabezpečovat hlavně proti neautorizovaným uživatelům, kteří chtějí zneužít její zdroje (třeba internetové připojení). V průběhu psaní jsem ale názor změnil. Zabezpečení je nejen velmi dostupné, ale jeho použití by měla být skoro nutnost. Navíc by mělo chránit hlavně stávající uživatele a teprve v druhé řadě zabraňovat přístupu cizím. Existuje totiž množství programů, které dokážou provádět automatické ukládání a analýzu dat, která protékají po síti. Ta mohou obsahovat důležité údaje (čísla kreditních karet, hesla k VOIP účtům, mailovým schránkám nebo jiným systémům), které by rozhodně žádný uživatel nechtěl vidět v cizích rukou. Automatické získávání a analýza takových informací je snadná a levná. Je tedy pouze otázkou času, kdy se uživatelé na nezabezpečené bezdrátové síťi stanou obětí.

49

Příloha A Malý seznam užitečných nástrojů A.0.1

Kismet

Domovská stránka: http://www.kismetwireless.net Kismet je program sloužící k pasivní detekci bezdrátových sítích v dosahu antény. Pasivní znamená, že si seznam sítí vytváří bez pomocí PROBE REQUEST rámců prostým posloucháním na různých radiových frekvencích. S bezdrátovou kartou dovede pracovat pouze na operačním systému Linux. Při zachycení paketu provede jeho vyhodnocení a pokusí se jej přiřadit ke známé síti nebo ohlásí detekci nové. Výstupem programu je přehledný seznam nalezených sítí spolu s detailními informacemi z analýzy zachycených paketů. Dále také dovede detekovat některé druhy útoků na bezdrátové sítě. Odposlechnutá data se automaticky ukládají do souborů, které jsou připraveny pro zpracování v síťových analyzátorech jako je třeba Ethereal. Program nabízí i možnost spolupráce s GPS modulem, takže je možné ke každé síti přiřadit souřadnice, kde byla nalezena. Jedná se pravděpodobně o nejlepší volně dostupný skener pro bezdrátové sítě.

A.0.2

Netstumbler

Domovská stránka: http://www.netstumbler.com Jeden z prvních programů pro operační systémy Windows. Oproti Kismetu provádí aktivní skenování. To znamená, že zobrazuje pouze sítě, které zareagovali na jeho požadavek PROBE REQUEST. Nevýhodou této metody je zachycení menšího množsví sítí než při pasivním skenování. Při pasivním 50

skenování totiž stačí, aby měla vysílající strana silnou anténu. Ovšem při aktivním skenování je nutné, aby měly obě strany dostatečně výkoné antény. Nejdříve musí cílové AP zachytit náš požadavek PROBE REQUEST a pak musíme my zachytit jeho odpověď. V opačném případě nebude síť rozpoznána. Takové chování může být ale někdy žádoucí. Dostaneme-li totiž odpověď, tak víme, že je přístupový bod v našem dosahu a můžeme se na něj zkusit připojit. Tento typ skenování je tedy vhodnější spíše pro vyhledávání internetových hotspotů pro připojení než pro analýzu bezdrátových sítí. Program pracuje na operačním systému Windows nebo zařízeních se systémem Windows Mobile. Obrázek A.1: Seznam zachycených sítí a jejich SSID získaný programem Netstumbler

A.0.3

Wicrawl

Domovská stránka: http://midnightresearch.com/projects/wicrawl/ Wicrawl je nový program (vznikl v roce 2006) sloužící pro automatickou analýzu bezdrátových sítí. Snaží se uživatelům usnadnit únavnou a opakující se práci spojenou se zjišťováním informací o nalezených sítí. Nabízí modulární architekturu sestávájící z velkého počtu pluginů, které je možné psát v libovolném programovacím jazyce. Součástí základní instalace je například modul pro hledání dhcp serveru, měření rychlosti internetového připojení na cílové síti, skenování portů, hledání WEP nebo WPA hesla a další. Tyto činnosti jsou spouštěny automaticky při nalezení nové sítě. Výstupem programu jsou detailní informace o zachycených sítích, které by bylo jinak nutné shromažďovat automaticky.

A.0.4

BackTrack

Domovská stránka: http://www.remote-exploit.org BackTrack je linuxová distribuce pro penetrační testování bezdrátových sítí. Je spustitelná z média CD nebo je možné provést instalaci na pevný disk. Tento projekt vznikl sloučením distribuce Auditor a Whax. První z nich si získala velkou oblibu mezi bezpečnostními experty a byla používána i u americké FBI. BackTrack je vlastně obyčejný linuxový systém s množsvím utilit 51

pro analýzu sítí. Největší výhodou je pečlivě sestavené verze jednotlivých programů, tak aby spolu vše dobře fungovalo. Některé verze ovladačů totiž odmítají pracovat s různými utilitami. Spuštěním BackTracku se takovým problémům vyhneme.

A.0.5

Aircrack

Domovská stránka: http://www.aircrack-ng.org Poslední z programů v našem seznamu slouží k provedení útoku na bezdrátovou síť s WEP nebo WPA-PSK. Nejnovější verze nabízí i nedávno zveřejněný útok Weinmann, Pyshkin, Tews proti zabezpečení WEP. Program dále nabízí detekci klientů připojených na cílové AP. Získané data lze snadno využít pro zfalšování MAC adresy a následnému prolomení ochrany kontrolou MAC adres. V současnosti je Aircrack asi nejschopnější a nejudržovanější utilitou pro prováděný útoku proti zmiňovaným typům zabezpečení.

52

Příloha B Jak vypadá rušení?

Obrázek B.1: Oblast s třemi aktivními AP

53

Obrázek B.2: Notebook položený na spuštěné mikrovlnné troubě

54

Obrázek B.3: Rušení způsobené BlueTooth zařízením

55

Obrázek B.4: Rušení způsobené bezdrátovým telefonem na frekvenci 2,4 GHz

56

Literatura [1] Připojení k internetu v domácnostech , 2005,[cit. 15. dubna 2007], Dostupné na internetu: http://www.factum.cz/tz143.html [2] Google Trends [cit. 15. dubna 2007],Dostupné http://www.google.com/trends?q=wifi

na

internetu:

[3] Remote Authentication Dial In User Service,RFC 2865, 2000, [cit. 15. dubna 2007], Dostupné na internetu: http://tools.ietf.org/html/rfc2865 [4] Domovská stránka projektu FreeRadius, [cit. 15. dubna 2007], Dostupné na internetu: http://www.freeradius.org/ [5] Edney J., Arbaugh W. A.:Real 802.11 Security: Wi-Fi Protected Access and 802.11i, Addison-Wesley, 2003 [6] Wi-Fi Protected Access 2, Wi-Fi Alliance, 2004, [cit. 15. dubna 2007], Dostupné na internetu: http://www.wi-fi.org/knowledge center/wpa2/ [7] Wired Equivalent Privacy, IEEE Computer Society, strana 61-64, 1999, [cit. 15. dubna 2007], Dostupné na internetu: http://standards.ieee.org/getieee802/download/802.11-1999.pdf [8] Andrea Bittau, Mark Handley, Joshua Lackey: The Final Nail in WEP’s Coffin, IEEE Symposium on Security and Privacy, Oakland, 2006, [cit. 15. dubna 2007], Dostupné na internetu: http://tapir.cs.ucl.ac.uk/bittau-wep.pdf [9] Newsham T.: Cracking WEP Keys Applying known techniques to WEP Keys, 2001, [cit. 15. dubna 2007], Dostupné na internetu: http://www.lava.net/˜ newsham/wlan/WEP password cracker.pdf

57

[10] Borisov N., Goldberg I., Wagner D.: Intercepting Mobile Communications: The Insecurity of 802.11, University of California, 2001, [cit. 15. dubna 2007], Dostupné na internetu: http://www.isaac.cs.berkeley.edu/isaac/mobicom.pdf [11] Bellovin S.M.: Problem areas for the IP security protocols, 6th USENIX Security Symposium, San Jose, California, 1996 [12] Utilita ChopChop poprvé uvedena na fóru Neststumbler.org, 2004, [cit. 15. dubna 2007], Dostupné na internetu: http://www.netstumbler.org/showthread.php?t=12489 [13] Domovská stránka programu AirSnort,[cit. 15. dubna 2007], Dostupné na internetu: http://airsnort.shmoo.com/ [14] Stubblefield A., Ioannidis J., Rubin A.D.:Using the Fluhrer, Mantin, and Shamir Attack to Break WEP, AT&T Labs Technical Report TD4ZCPZZ, 2001. [15] Domovská stránka programu Aircrack, [cit. 15. dubna 2007], Dostupné na internetu: http://www.aircrack-ng.org [16] Scott R. Fluhrer, Itsik Mantin, Adi Shamir, Weaknesses in the Key Scheduling Algorithm of RC4: Selected Areas in Cryptography, 2001, [cit. 15. dubna 2007], Dostupné na internetu: http://www.drizzle.com/˜aboba/IEEE/rc4 ksaproc.pdf [17] Klein A.: Attacks on the RC4 stream cipher, Designs, Codes and Cryptography, 2007 [18] Tews E.,Weinmann R.P.,Pyshkin A.:Breaking 104 bit WEP in less than 60 seconds, 2007, [cit. 15. dubna 2007], Dostupné na internetu: http://eprint.iacr.org/2007/120.pdf [19] Domovská stránka programu WepWedgie, [cit. 15. dubna 2007], Dostupné na internetu: http://sourceforge.net/projects/wepwedgie/ [20] Domovská stránka programu Wesside, [cit. 15. dubna 2007], Dostupné na internetu: http://www.cs.ucl.ac.uk/staff/a.bittau/frag-0.1.tgz

58

[21] WEP2 Enhancements, IEEE 802.11i Working Group, 2001, [cit. 15. dubna 2007], Dostupné na internetu: http://grouper.ieee.org/groups/802/11/Documents/DocumentHolder/1572.zip [22] WEPplus Whitepaper, ORiNOCO, 2001, [cit. 15. dubna 2007], Dostupné na internetu: http://cnscenter.future.co.kr/resource/rsccenter/vendor-wp/integrity/WEPplus%20Whitepaper.pdf [23] IEEE Computer Society: IEEE Standard 802.11i: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications, Dodatek 6: Medium Access Control (MAC) Security Enhancements, 2004. [24] Wi-Fi Protected Access, Wi-Fi Alliance, 2003, [cit. 15. dubna 2007], Dostupné na internetu: http://www.wifi.org/files/wp 8 WPA%20Security 4-29-03.pdf [25] 802.1X specification, IEEE Computer [cit. 15. dubna 2007], Dostupné http://www.ieee802.org/1/pages/802.1x.html

Society, 2004, na internetu:

[26] Extensible Authentication Protocol, RFC 3748, 2004, [cit. 15. dubna 2007], Dostupné na internetu: http://www.ietf.org/rfc/rfc3748.txt [27] NIST Computer Security Division: Advanced Encryption Standard, 2001, [cit. 15. dubna 2007], Dostupné na internetu: http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf [28] He Ch., Mitchell J.C.:Security Analysis and O,provements for IEEE 802.11i,The 12th Annual Network and Distributed System Security Symposium (NDSS’05), strana 90-110, 2005, [cit. 15. dubna 2007], Dostupné na internetu: http://theory.stanford.edu/ changhua/NDSS051107.pdf [29] Moskowitz R.:Weakness in Passphrase Choice in WPA Interface, 2003, [cit. 15. dubna 2007], Dostupné na internetu: http://www.wifinetnews.com/archives/002452.html [30] Domovská stránka programu coWPAtty, [cit. 15. dubna 2007], Dostupné na internetu: http://www.wirelessdefence.org/Contents/coWPAttyMain.htm 59

[31] Wright J.:Weaknesses in LEAP Challenge/Response, 2003, [cit. 15. dubna 2007], Dostupné na internetu: http://home.jwu.edu/jwright/presentations/asleap-defcon.pdf [32] Bauer M.:Paranoid Penguin - Securing WLANs with WPA and FreeRADIUS, Part I, 2005, [cit. 15. dubna 2007], Dostupné na internetu: http://www.linuxjournal.com/article/8017 [33] Seznam kódů pro jednotlivé protokoly nad EAP, [cit. 15. dubna 2007], Dostupné na internetu: http://www.iana.org/assignments/eapnumbers [34] [cit. 15. dubna 2007] AirDefense Whitepaper, [cit. 15. dubna 2007], Dostupné na internetu: ple.morrisville.edu/ drewwe/wireless/hackers wp.pdf

2002, peo-

[35] Domovská stránka programu Anger, [cit. 15. dubna 2007], Dostupné na internetu: http://www.securiteam.com/tools/6F00X000AU.html [36] Domovská stránka programu Deceit, [cit. 15. dubna 2007], Dostupné na internetu: http://www.packetstormsecurity.nl/new-exploits/deceit.c [37] Domovská stránka programu Ettercap, [cit. 15. dubna 2007], Dostupné na internetu: http://ettercap.sourceforge.net/ [38] Domovská stránka programu AirJack, [cit. 15. dubna 2007], Dostupné na internetu: http://sourceforge.net/projects/airjack [39] Domovská stránka projektu Lorcon, [cit. 15. dubna 2007], Dostupné na internetu: http://802.11ninja.net/lorcon [40] Domovská stránka programu Void11, [cit. 15. dubna 2007], Dostupné na internetu: http://www.wlsec.net/void11/ [41] Zdrojové kódy programu Omerta, [cit. 15. dubna 2007], Dostupné na internetu: http://www.securityfocus.com/archive/89/326248 [42] Domovská stránka programu FataJack, [cit. 15. dubna 2007], Dostupné na internetu: http://www.loud-fat-bloke.co.uk/

60

[43] Bellardo J., Savage S.: 802.11 Denial-of-Service Attacks: Real Vulnerabilities and Practical Solutions. San Diego: Department of Computer Science and Engineering, University of California, [cit. 15. dubna 2007], Dostupné na internetu: http://www.cs.ucsd.edu/ savage/papers/UsenixSec03.pdf [44] Domovská stránka programu Airpwn, [cit. 15. dubna 2007], Dostupné na internetu: http://airpwn.sourceforge.net/Airpwn.html

61