facebook LinkedIN LinkedIN - follow
IT security , IT Security

Zaútočte si na WiFi, je to jednoduché

aneb Kategorie útoků na bezdrátové sítě a možnosti obrany



enterasys Bezdrátové technologie jsou stále častěji používány i pro klíčové obchodní aplikace. Současně je čím dál více populárnější a žádanější svoboda, kterou WiFi přináší. Tímto se však zabezpečení a bezpečnost bezdrátové sítě stává velmi důležitým tématem. Objevují se totiž další hrozby, kterým je potřeba se bránit. Mimo jiné se jedná například o útoky mající za cíl porušení integrity bezdrátové sítě, konfigurační chyby administrátorů, uživatelské porušení pravidel a pokusy o získání intelektuálního vlastnictví. Důsledkem může být odepření či snížení kvality poskytované služby, obcházení firemních bezpečnostních mechanismů, jako jsou například korporátní firewally, DLP, antiviry či antispamy.


Hrozby a obrana

Hrozby, které je možné detekovat, lokalizovat, a automaticky tak ochránit síť, označujeme zkratkou WIPS. Patří mezi ně:

  • Mis-association – interní uživatel se připojuje k externí neautorizované síti. Hrozbou je z důvodu obcházení firemních bezpečnostních mechanismů, potenciálně se může jednat o man-in-the-middle útok.
  • Past (honeypot, evil twin) – interní uživatel se připojuje k externí neautorizované síti, aniž by o tom věděl. Většinou jde o man-in-the-middle útok.
  • Neoprávněné připojení (unauthorized association) – externí uživatel se pokouší připojit k firemní síti. Pokud je síť správně nakonfigurována, hrozí pouze „osahávání“ sítě.
  • Cizí (rogue) AP – accesspoint, který není pod správou firmy a je připojen do firemní sítě. Většinou se jedná o nedostatečně zabezpečenou službu, accesspoint bývá instalován neodborně a může porušovat jak firemní pravidla, tak zákony ETSI norem.
  • MAC spoofing – vznikne tak, že bezdrátový klient odcizí MAC adresu jinému již autorizovanému klientovi. Tímto může dosáhnout „únosu“ autorizovaného spojení. Detekce funguje na principu otisku chování klienta. WIPS řešení sleduje parametry chování jedinečné pro ovladač, čipset, operační systém. Pokud se tento otisk změní, MAC spoofing je prokázán.
  • Chybně nakonfigurovaný (mis-configured) AP – accesspoint poskytuje službu, která není v souladu s bezpečnostními pravidly či regulativy. Příkladem může být například použití neautorizovaného kanálu, použití starého nastavení (nereflektování změn vyžádané řídicí jednotkou).
  • Útoky DoS – RTS/CTS – založené na faktu, že vzduch je sdílené médium a v určitém čase může na daném kanálu vysílat pouze jeden, ostatní čekají či poslouchají. Útočící klient si rezervuje pásmo pro provoz s vyšší prioritou, pásmo mu je přiděleno a klient jej nevyužívá. Tím degraduje propustnost ostatním klientům.

Hrozby, které je možné pouze detekovat a lokalizovat, označujeme zkratkou WIDS. Patří mezi ně:

Útoky DoS

Jedná se o velmi širokou kategorii, zahrnující:

  • Asociační útok – útočník opakuje následující kroky. Vyšle asociační rámec a změní MAC adresu. Tímto po čase vyčerpá prostředky accesspointu a výsledné chování záleží na konkrétním typu zařízení. Většinou je reakce taková, že požadavky nových klientů jsou zamítány, výjimkou však není ani restart accesspointu.
  • Deasociační útok – útočník ve jménu accesspointu (klienta) posílá deasociační rámce klientovi (accesspointu). Klient se pak musí opětovně asociovat, čímž je kvalita služby degradována, či odmítnuta.
  • Autorizační a deautorizační útoky – fungují na podobném principu jako asociační a deasociační útoky.
  • Rušení kanálu

Hrozby „osahávání“ (reconnaissance)

Pro osahávání bývají používány různé mnohdy volně dostupné nástroje. Velmi populární je například Netstumbler. Detekováním použití takovýchto nástrojů získáváme komplexnější informace o celkovém průběhu hrozby. Dále získáváme náskok před spuštěním samotného útoku.

Relativně jednoduchý útok

Předpokládejme, že oběť tohoto útoku cestuje a běžně se připojuje k volně dostupným hotspot sítím (SSID např. Host, Guest, FreeWiFi nebo nejmenovaných nadnárodních firem s rychlým občerstvením). Standardním chováním WinXP je, že jakmile se jednou uživatel připojí k některé z těchto sítí, je tato síť automaticky v seznamu upřednostňovaných/autorizovaných sítí. U Windows 7 je bezpečnost vyšší, uživatel musí zaškrtnout checkbox (kdo z uživatelů ví, že je to potenciální bezpečnostní hrozba?).
Jako útočník si zprovozním AP s výše uvedenými SSID (běžně mohu mít na jednom AP více SSID, takže moje pravděpodobnost úspěchu je výrazně vyšší). Jako útočník začnu posílat deasociační rámce na oběť (oběti). Oběť se pokusí přihlásit k dalšímu AP se stejným SSID (odlišné BSSID). Nadále jako útočník oběť odpojuji i z těchto BSSID. Po vyčerpání pokusů a všech dostupných BSSID si Windows vybere další SSID v seznamu upřednostňovaných sítí. Pokud budu mít trochu štěstí, oběť se časem (při více štěstí velmi rychle) připojí na jeden z mých SSID. Pokud uživateli poskytnu připojení do internetu, možná ani nic nezjistí a veškerá data uživatele jdou přes mnou řízený bod. Je na libovůli útočníka, jak s těmito daty naloží.

WAS (wireless advanced services) obrana

WAS řešení se skládá ze senzorů a z managementu. Velmi důležitá je automatická integrace mezi WAS managementem a managementem WiFi sítě. Pokud administrátor změní nastavení WiFi sítě (SSID, AP, šifrování, ...), musí se WAS o této změně dozvědět automaticky, jinak se jedná o zbytečnou zátěž a potenciální zdroj chyb. Sensory jsou ve své podstatě standardní AP, ale fungují jinak:

  • Sensor only – mód, ve kterém senzor sleduje bezdrátové médium, střídá kanály a provádí detekční funkce. Následně reportuje informace centrálnímu managementu. V případě potřeby se senzor přepíná do režimu prevence.
  • Network detector – mód, ve kterém senzor injektuje speciální rámce do pevné sítě, do různých VLAN. Pokud jsou tyto speciální rámce detekovány v bezdrátovém médiu, znamená to, že AP, který tyto rámce vysílá, je připojen do sítě. Pokud není tento AP autorizován, jedná se o cizí (rogue) AP. Řešení WAS umí detekovat cizí AP, i pokud je SSID šifrované. Metod detekce je mnohem více, případné zájemce odkazuji na reference uvedené níže.
  • Combo SNDC – kombinace obou výše uvedených módů. Senzor tedy provádí jak sledování bezdrátového média, tak pevné sítě.

Závěr

Celkový výčet událostí a incidentů, které WAS detekuje a reportuje, je nad rámec tohoto článku. Pokud vás článek zaujal a máte zájem o další informace, ukázku či testování, neváhejte prosím kontaktovat autora článku.

Zdeněk Pala
Autor působí ve společnosti Enterasys Networks (zdenek.pala@enterasys.com)

Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Analýza rizik – královna nebo Popelka informační bezpečnosti?

Analýza rizik je základním ka­me­nem informační bezpečnosti, přesto ji mnozí vnímají spíše jako nutné zlo, než jako skutečně uži­teč­ný nástroj. Přitom jde o pro­ces, který může výrazně přispět k efektivnímu řízení rizik, lepšímu využití zdrojů a zároveň naplnění regulatorních požadavků. Co te­dy analýza rizik vlastně je a proč by neměla být podceňována?