Wi-Fi злом і захист

Про ПЛАНУВАННЯ АТАКИ

Інформації про відомих бездротових мережах ви можете відшукати корисні відомості про можливі джерела перешкод в тому ж районі, скажімо, про радіостанції, що працюють в УКХ діапазоні, про великих промислових підприємствах і т.д. Пошукайте як слід і постарайтеся з'ясувати максимально багато про конкретну цікавить вас мережі і інших клієнтських мережах поблизу - як дротових, так і бездротових. Це звичайна процедура, яка повинна передувати тестування можливості проникнення незалежно від типу мережі.

Чи можна як-небудь забратися в бездротову мережу з Internet? Які відділи компанії користуються нею? Хто налаштовував мережу і хто її адмініструє? Чи відомий ця людина серед професіоналів, чи має він сертифікат в області бездротових мереж або вчений ступінь? Відправляв він коли-небудь питання, коментарі або поради в форуми або групи новин?

Ви здивуєтеся, як багато можна знайти інформацію про цікавій для вас мережі. Зрозуміло, ви повинні також розпитати про мережу керівництво компанії-замовника і не упускати можливості застосувати на практиці методи соціальної інженерії, щоб з'ясувати те, що адміністрація не схильна повідомляти сторонньому консультанту.

Не треба зватися Кевіном, щоб бути хорошим соціальним інженером; почитайте поради, опубліковані на сторінці http://packetstormsecurity.nl/docs/social-engineering/, здоровий глузд і врахування конкретної ситуації можуть привести до успіху. Завершивши етап збору даних, вирішите, як ви збираєтеся проводити огляд і де розташуйтеся самі. Ось можливі варіанти:
- пішки;
- на велосипеді;
- на машині;
- з висоти.
У кожної тактики є свої переваги і недоліки.

Пішки великий район не обійдеш, зате гарантується великий обсяг зібраних даних. Можна зупинитися в будь-якій точці, щоб заміряти рівень сигналу, перевірити мережевий трафік в реальному часі, спробувати приєднатися до мережі, провести DoS-атаку або атаку «людина посередині» і т.д.

Крім того, є можливість фізично оглянути місцевість і засікти наступні об'єкти: про місце розташування та типи антен; про точки доступу поза приміщеннями; про попереджувальні знаки «Користування Bluetooth заборонено» або «Користування бездротовими телефонами заборонено»; про позначки на стінах і тротуарах про наявність поблизу бездротових мереж. Знак «Користування Bluetooth заборонено» ясно вказує на наявність поблизу бездротової мережі, адміністратор якої добре розуміє, що таке перешкоди, і постарався запобігти їх.

Що стосується позначок на стінах, то хорошим джерелом інформації по цій темі є сайт http://www.warchalking.org. Ви повинні знати про такі позначках і розуміти, що вони означають. Щоб допомогти вам, ми зібрали невеличку колекцію значків в додатку F. В залежності від району два різних значка можуть означати одне і те ж, існує навіть значок для мереж FHSS.

Не думайте, що якщо ваша мережа не належить до типу 802.11 DSSS, а побудована, скажімо, за технологією HomeRF або 802.11 FHSS, вона тим самим захищена від усіх можливих вторгнень. Хтось може полювати і на такі мережі, так що нас не здивує, якщо незабаром вулиці прикрасяться новими значками ( «Bluetooth PAN», «двоточковий канал, який не відповідає стандарту 802.11» або «мережа WEPPlus,« використовується 802.lx, ЕАР типу ... »,« мережа з підтримкою 802.Hi »,» ТКГО «,« TurboCell »і т.д.).

У пішої прогулянки є й очевидні недоліки:

Ви повинні тягти в руках все своє обладнання (найгірше справи йдуть з антенами), а ваші можливості обмежені зарядом акумуляторів ноутбука або КПК плюс запасних акумуляторів, які ви з собою захопили. Малоймовірно, що ви візьмете на прогулянку остронаправленной антену з дуже високим коефіцієнтом посилення або підсилювач. Але найголовніше - і ви самі, і все ваше обладнання відкриті всім стихіям. Ноутбуки погано переносять дощ, а мокрий високочастотний роз'єм веде до значного ослаблення сигналу, причому через іржу це вже потім не виправиш.

Навпаки, поїздка на машині захищає вас від погодних умов.

До того ж у вас є хороший джерело енергії - акумулятор і генератор автомобіля. Ви можете виявити всі бездротові мережі в окрузі, причому неважливо, з якою швидкістю їхати: фрейми-маяки посилаються кожні 10 мс, так що навряд чи ви пропустите маяк, проїжджаючи повз мережі. Звичайно, якщо не плентатися зовсім вже з черепашачою швидкістю, то багато трафіку ви не перехопити, а аналізувати потік пакетів буде важкувато. Та й для проведення атаки доведеться припаркуватися в потрібному місці. У центрі великого міста або на приналежному корпорації ділянці землі це не завжди можливо. Ще одна зрозуміла проблема в поїздці - це антена.

Зовнішню антену доведеться розмістити поза машиною, інакше неминуче помітне ослаблення сигналу через корпусу автомобіля. Пам'ятайте, що навіть звичайне скло викликає загасання на 2 dBm. На жаль, для розміщення антени зовні буде потрібно високочастотний кабель з роз'ємами, а це теж додаткові втрати. У комплект типового шукача мереж на колесах входить всенаправленная антена на магнітній присоску з коефіцієнтом посилення близько 5 dBi і тонкий кабель з роз'ємом типу pigtail, який може викликати ослаблення сигналу, більше, ніж посилення, яке забезпечується невеликий всенаправленной антеною на даху машини.
Але помістити на дах що-небудь більш пристойне - це додаткові технічні складності, а використовувати гостронаправлені антени з великим коефіцієнтом посилення ви зможете, тільки якщо у вашого автомобіля складається дах. Тому зазвичай потрібно поєднувати поїздку і прогулянку.

Поїздка на велосипеді - це щось середнє між пішою прогулянкою і їздою на машині.

У вас обмежений джерело енергії, ви схильні до негоді і пересуваєтеся повільно, зате по ходу можна протоколювати трафік, навколо немає металевої клітки, зупинитися легко в будь-якому місці, і ніщо не заважає повісити на плече упаковану в чохол всеспрямовану антену з високим коефіцієнтом посилення. Застосування гостронаправлених антен в цій ситуації не виправдано, а руки занадто зайняті, щоб набирати команди. КПК, укріплений на кермі, годиться для перехоплення трафіку в реальному часі і моніторингу рівня сигналу. Говорячи про огляд з висоти (warclimbing), ми в компанії Arhont маємо на увазі виявлення, аналіз і проникнення в бездротові мережі, перебуваючи на якомусь піднесеному місці. Навіщо ходити і вишукувати мережу, якщо вона сама може «постукати в двері»? Влітку 2002 року, забравшись на вершину замку Кебот-Тауер в Брістолі, ми виявили 32 бездротових мережі, користуючись остронаправленной гратчастої антеною з коефіцієнтом 19 dBi, і вполовину менше, коли взяли дірекгорную антену з коефіцієнтом 15 dBi. Деякі з цих мереж були аж: в Баті і за кордоном Уельсу.

Погодьтеся, дальність виявлення вражає!

Навіть при наявності лише всенаправленной антени з коефіцієнтом 12 dBi нам все ж вдалося виявити десяток мереж по сусідству, з тих пір їх число, напевно, значно зросла. Піднесеної точкою, звідки зручно шукати мережі і приєднуватися до них, можна вважати
дах найвищої будівлі, номер на верхньому поверсі готелю, розташованого в потрібному місці, де рішучий зломщик може зупинитися на день-другий, щоб проникнути в корпоративну безпровідну мережу.
Переваги такої методики обумовлені стаціонарністю атакуючого, а також дальністю і якістю каналу, які забезпечує гостронаправлених антена, розташована на лінії прямої видимості. Звичайно, для цього потрібно, щоб поблизу було відповідне місце, яке підбирається на основі вимірів рівня сигналу від мережі-жертви. Якщо говорити про тестування можливості проникнення, то слід заздалегідь виявити всі такі місця в окрузі, оскільки це може виявитися корисним в разі коли доведеться тріангуліровать і засікти просунутого зломщика, збройного остронаправленной потужної антеною і впевненого у своїй непереможності. Ми не станемо розглядати більш екзотичні методи виявлення мобільних мереж, наприклад з літака. Хтось дотепно зауважив: «А як ви будете наносити крейдою значки, перебуваючи на висоті 3660 метрів.» Звичайно, виявити мережу таким способом можливо, але можете привітати себе з успіхом, якщо вам вдасться перехопити хоча б один пакет. Втім, ми плануємо політати на повітряній кулі з хорошою спрямованої антеною. Плануючи огляд місця і подальше тестування, враховуйте те, що вдалося дізнатися на етапі збору даних, наприклад ландшафт місцевості і розташування мережі, на яких поверхах будівлі знаходяться точки доступу і антени, де розташовані антени-щогли; про які основні перешкоди в даній місцевості; про з якого матеріалу побудовані стіни будівлі; про яка товщина стін (див. таблицю ослаблення сигналу через перешкоди в додатку Е), чи є гостронаправлені антени, здатні пробитися крізь перешкоди; про як добре охороняється місце розгортання; де знаходяться охоронці і камери спостереження.

Вибір часу для атаки і економія заряду акумуляторів.

При плануванні процедури тестування можливості проникнення необхідно брати до уваги часовий чинник. Перш за все, потрібно узгодити з замовником
відповідний час, щоб «підривну» тестування (наприклад, тести на стійкість до DoS-атак) не заважало нормальній діяльності компанії. Однак деякі тести, в тому числі огляд місця і злом WEP, повинні проводитися в періоди пікового активності мережі. Оцініть, коли користувачі найчастіше виходять в мережу і коли вона найбільш завантажена. Его допоможе не тільки при зломі WEP (нагадаємо, чим більше трафіку, тим краще), але і під час проведення атак після дешифрування, під час яких збираються імена і паролі користувачів. Такі атаки дуже важливі, оскільки демонструють керівництву не тільки важкі наслідки, до яких призводять проломи в системі безпеки, а й необхідність застосування безпечних протоколів в бездротової мережі (так само, як захищається небезпечний вихід в глобальну мережу загального користування).
З фактором часу тісно пов'язане питання про час роботи акумуляторів.

Скільки часу буде потрібно на те, щоб виконати все заплановане?
Чи вистачить на це заряду акумуляторів?

Злом WEP часто займає багато часу, а на впровадження трафіку для прискорення цього процесу витрачається додаткова енергія, що витрачається на передачу пакетів. Таким чином, в реальних умовах злому впровадження трафіку це палиця з двома кінцями, якщо, звичайно, у атакуючого немає додаткових джерел енергії (наприклад, автомобільного акумулятора). Аудитор зазвичай має можливість увіткнути свій ноутбук в розетку, але так буває не завжди. Вирішального випробування мережу піддає зломщик, і ніхто не дозволить (по крайней мере, не повинен) йому харчуватися від корпоративної розетки (хоча він може скористатися розеткою в пабі або ресторані навпроти).

Подивимося, як можна заощадити заряд акумуляторів в польових умовах.

Є кілька простих заходів для досягнення цієї мети. Зупиніть всі непотрібні сервіси на час картографування мережі (вони все одно не використовуються, ми залишаємо працювати тільки syslog). Не заводьте Windows, графічний інтерфейс дуже швидко садить батареї! Взагалі можете скласти ноутбук, щоб екран не споживав енергії. Якщо можливо, зменшіть потужність передавача на карті до мінімуму (карта Cisco Aironet і деякі PCMCIA- карти це дозволяють). Ми на досвіді з'ясували, що якщо в нормальних умовах акумулятори служать трохи менше двох годин, то під час прогулянки або поїздки при дотриманні всіх вищесказаних умов заряду вистачить приблизно на два з половиною години (коли Kismet і tcpdump працюють у фоновому режимі). Подумайте про те, щоб зберігати перехоплені дані в пам'яті, і налаштуйте машину так, щоб жорсткий диск вимикався після короткого періоду бездіяльності. У більшості сучасних ноутбуків цілком достатньо пам'яті для розміщення в ній дампа пакетів. Але не забувайте, що це енергозалежна пам'ять, тому потрібно залишити достатньо заряду в акумуляторах, щоб встигнути скинути дані на диск до того, як комп'ютер «здохне».

Працюйте з командними утилітами, це заощадить час і енергію, а заодно і друкувати навчитеся.
Збільшити ефективність роботи можна також, якщо заздалегідь написати сценарії або скласти список команд і користуватися потім «вирізкою і вставкою», замінюючи лише кілька змінних, наприклад IP-адреси MAC-адреси і номера DSSS-каналів. Вище вже зазначалося, що слід уникати активного сканування, якщо тільки без цього не обійтися (наприклад, під час тестування системи IDS або генерування IDS-сигнатур). Представлені вище міркування - це ще один аргумент на користь застосування UNIX-систем для аудиту безпеки бездротових мереж.
Скритність при тестуванні можливості проникнення.

Останнє питання, яке варто розглянути, - це ступінь скритності при тестуванні можливості проникнення в мережу. У деяких випадках ховатися абсолютно необхідно, наприклад при перевірці якості системи IDS.

При атаці на бездротові мережі забезпечити скритність за допомогою таких дій:

- уникати активного сканування мережі;
- користуватися остронаправленной антенами;
- зменшити потужність передавача на час перехоплення трафіку;
- по-розумному підробляти МАС-адреси;
- видалити з коду відомі сигнатури інструментів для проведення атак (див. Розділ 15);
- провести DoS-атаку, спрямовану на те, щоб вивести з ладу сенсори системи IDS (докладніше про це в главі 8).

Зрозуміло, важливо уникати виявлення IDS і на більш високих (третьому і вище) рівнях стека протоколів, коли проводиться атака після приєднання до мережі.
Не забувайте про ці всюдисущих пробних запитах! Карта Cisco Aironet може продовжувати посилати їх, навіть перебуваючи в режимі RFMON. Хоча в модулях Aironet, що поставляються в складі ядра Linux версії 2.4.22 і вище, ця проблема вже вирішена, але в старих операційних системах пробні запити все ще посилаються. Та й на вашій машині може стояти більш рання версія Linux.
Послідовність проведення атаки
Підводячи підсумок нашим наглядом, опишемо послідовність кроків добре продуманої професійної атаки проти бездротової мережі:

1.Изучить мережу і її зону покриття, користуючись доступною в Internet інформацією, а також задіюючи особисті контакти і застосовуючи методи соціальної інженерії. Не варто недооцінювати
можливості пошукової машини Google. Не забувайте, що найслабшою ланкою завжди залишається людина.

2.Спланіровать методику огляду місця розгортання і проведення атаки проти тестируемой мережі.

3.Собрать, підготувати і налаштувати обладнання і програми, необхідні для виконання дій, запланованих на кроці 2.

4.Осмотреть місце розгортання мережі, визначити її межі і рівень сигналу уздовж периметра. На цьому кроці спочатку скористайтеся всенаправленной антеною, потім полунаправленной, а потім остронаправленной гратчастої антеною або тарілкою з високим коефіцієнтом посилення. Пошукайте, звідки найкраще вести стаціонарну атаку. При цьому слід брати до уваги пряму видимість, рівень сигналу і ставлення сигнал / шум, скритність (наскільки добре проглядається місце, чи можуть до вас дістатися охоронці, де розташовані камери спостереження), такі фактори, як можливість зручно розмістити ноутбук і антену, а також власну фізичну безпеку (остерігайтеся місць, де можна зустріти вуличних грабіжників - ноутбуки коштують дорого!).

5.Проаналізіровать трафік в мережі. Він зашифрований? Наскільки велика навантаження на мережу? Які керуючі і адміністративні фрейми циркулюють в мережі і чи багато інформації можна з них витягти? Чи існують очевидні проблеми (високий рівень шуму, перекриття каналів, інші види перешкод, які загубилися клієнтські хости, що посилають пробні запити)?

6.Попитаться подолати виявлені заходи протидії. Так само як обхід фільтрації МАС-адрес і протоколів, визначення закритих ESSID, злом WEP і боротьба з контрзаходами на більш високих рівнях, як, наприклад, фільтрація трафіку на шлюзі в дротову мережу, аутентифікація користувачів на RADIUS-сервері і віртуальні приватні мережі
(VPN).

7.Прісоедініться до бездротової мережі і знайти шлюз в Internet або прикордонний маршрутизатор, можливо, бездротової, а також сенсори системи IDS, хости, на яких ведеться
централізоване протоколювання, і всі інші здатні до виявлення хости як в провідний, так і в бездротової мережі.

8.Пассівно проаналізувавши трафік від цих хостів, оцінити безпеку протоколів, використовуваних як в бездротової мережі, так і в приєднаних до неї провідних мережах.

9.Провесті активні атаки проти представляють інтерес хостів, маючи на меті отримати привілеї користувача root, Administrator і т.д.

10.Війті в Internet або іншу ятір через віявлені шлюзи и перевіріті можлівість передачі файлів з комп'ютера зломщіка або на него.
Віпробуйте Цю схему на практике
- і не виключено, що ефективність ваших дій з тестування можливості проникнення багаторазово зросте, хоча ви не додали в свій арсенал ніяких нових інструментів. На закінчення ми хочемо порекомендувати урізаний варіант форми, що заповнюється за підсумками аудиту безпеки і стійкості бездротової мережі. Ми в компанії Arhont застосовуємо її в своїй практичній роботі. Форма наведена в додатку G, знайдіть в ній розділ, присвячений тестуванню можливості проникнення, а заодно ознайомтеся з графами, що стосуються загальних питань організації бездротової мережі і процедури огляду місця розгортання. Сподіваємося, що ви отримаєте уявлення про те як планувати аудит, і зможете застосувати наш досвід у своїй повсякденній практиці. Ті графи форми, які зараз могли залишитися незрозумілими, будуть роз'яснені пізніше. Можливо, ви й самі складали подібний план. Ми раді будемо обговорити всі пропозиції і додавання до нашої формі.