Jaké jsou útoky do WLAN a jak jim čelit?

27.4.2009
Díky nárůstu počtu bezdrátových sítí se jich také čím dál více stává oběťmi útočníků. Vzhledem k lhostejnosti uživatelů WLAN sítí k zabezpečení, jsou některé „útoky“ pouze náhodné, jiné bohužel účelné. Jaké existují formy útoků? Jaké dnes volit zabezpečení tak, aby bylo spolehlivé?
Útoky do WLAN se dělí na aktivní a pasivní. V případě pasivního útoku, na rozdíl od aktivního, útočník zachycená data nemodifikuje. Pasivní útoky, které popisují první dva uvedené způsoby, jsou bohužel ve většině případů nezjistitelné.


Skenování sítí, Warchalking a Wardriving

V operačním systému Windows je nejpoužívanějším programem pro odposlech dostupných sítí NetStumler, v Linuxových distribucích je to aplikace Kismet. Tyto aplikace běží ve většině případů na notebooku, který buď nadšenci nosí po okolí, nebo detekují volně přístupné sítě při jízdě autem a tyto informace poté poskytující veřejně, pomocí databází s adresou a GPS pozicí (NetStumbler) nebo prostými značkami (viz Symboly užívané při Warchalkingu). Tzv. „lovení“ přístupových bodů se stalo známé jako „Warchalking“ nebo „Wardriving“. Jde ale spíše o nešťastný výraz, neboť samotná detekce AP není agresivní, ani se nejedná o žádný zákeřný čin.

Symboly užívané při Warchalkingu
Klíč
Symbol
Open node
Closed node
WEP node

    OPEN NODE - otevřený přístup, je uvedeno SSID a rychlost (bandwidth)
    CLOSED NODE - uzavřený přístup, je opět uvedeno SSID
    WEP NODE - přístup omezený WEP (WPA), je uvedeno SSID, kontaktní adresa a rychlost


Odposlech a identifikace zachycených dat

Odposlech a identifikace dat umožňuje útočníkovi zjistit činnost odposlouchávané sítě, jejíž znalost potom využije např. pro realizaci některého z aktivních útoků. Pro běžného uživatele je tento útok nezjistitelný. Existují sice hardwarové sondy, tzv. IDS systémy (Intrussion Detection System), které reagují na rámce Probe Request a Probe Response. Ve spojení s odposloucháváním se často setkáváme s pojmy „monitorovací režim“ a „promiskuitní režim“ bezdrátového adaptéru. Monitorovací režim je mód, ve kterém lze odchytávat pakety bez nutnosti asociace, bez znalosti SSID. Stačí zadat kanál, na kterém běží komunikace.

Je jen málo karet, které lze do monitorovacího módu přepnout. Promiskuitní režim je takový, kdy síťová karta zpracovává pakety v celém síťovém segmentu. V normálním režimu zpracovává pakety určené jen pro ni. Díky tomu útočník, který odposlouchává (tzv. sniffer), může stahovat data v daném segmentu, ale nemůže zachytávat data, která jsou mimo segment - za směrovačem, přepínačem sítě apod. Pro Windows se nabízí řada programů pro odposlouchávání sítí (tzv. snifferů). Jedním z nejznámějších je bezesporu WireShark (bývalý Ethereal), který je navíc volně šiřitelný, ale neumožňuje práci v monitorovacím režimu. Naproti tomu WildPacket OmniPeek prostřednictvím svých speciálně upravených ovladačů kartu do monitorovacího módu přepnout umí (pokud to karta podporuje).


Duplikace MAC adres a falšování identity zdroje

Tento útok již patří mezi aktivní a využívá toho, že do bezdrátové sítě se může připojit pouze klient, jehož MAC adresa zařízení je obsažena v seznamu povolených MAC adres nadefinovaných v přístupovém bodu. Často se stává, že „uzamčení sítě na MAC adresy“ je jedinou ochranou sítě. Ve většině klientských zařízení se dá MAC adresa změnit. Toho využívá útočník a pomocí odposlechu síťového provozu zjistí MAC adresy aktivních zařízení v síti, jednu z nich si vybere, pomocí vhodného programu ji zduplikuje a potom je schopen využívat síťových prostředků, např. se takto zdarma připojit k internetu. Přístupový bod útočníka, který se maskuje za platné bezdrátové zařízení, většinou nepozná. Nalézají-li se v síti dvě stejné MAC adresy současně, mohou nastat síťové problémy. Má-li přístupový bod aktivní DHCP server, přiděluje klientům IP adresy většinou právě podle seznamu povolených MAC adres. To znamená, že klientovi s určitou MAC adresou bude vždy přidělena stejná IP adresa.

Pokud tedy budou v jedné síti dvě zařízení se stejnou MAC, po připojení druhého klienta dojde ke kolizi IP adres. Toho využívá právě útočník a v době nepřítomnosti legitimního klientského zařízení se připojí k síti. Jde o takzvané falšování identity zdroje (address spoofing), kdy útok prostřednictvím falešné adresace mění skutečnou zdrojovou adresu diagramu z adresy zakázané pro vstup do sítě na adresu povolenou (důvěryhodnou adresu z množiny vnitřních podnikových IP adres nebo vnější adresu povolenou pro přístup k některým vnitřním zdrojům). Útočník s falešnou zdrojovou adresou pak může požadovat služby jako důvěryhodný uživatel, za něhož se vydává. Mezi nebezpečné dopady falešné adresace patří možnost zjištění informací o oprávněných uživatelích, jejich účtech i heslech, přidání nebo změna konfigurace vnitřního serveru (včetně neoprávněných uživatelských jmen a hesel).


DoS útoky

Jedná se o útoky vedoucí k odmítnutí služby (DoS, Denial of Service). Nejsou zaměřeny na přístup do sítě a na zneužití systému, ale na znemožnění práce uživatele na cílovém (napadeném) systému (případně celé síti), resp. paralýze jím poskytovaných služeb. Nejčastěji se tak děje zahlcením nebo vyčerpáním některých síťových zdrojů, případně složitými výpočetními úlohami jako šifrování nebo dešifrování.


Deautentizační útoky

Tento útok lze používat k obnovení skrytého SSID (tedy takového SSID, které se nepřenáší), zachycení čtyřfázového handshake WPA nebo vynucení odmítnutí služby DoS. Záměrem útoku je přinutit klienta k opětovné autentizaci, což ve spojení s nedostatečnou autentizací pro ovládání rámců (užívanou k autentizaci, asociaci a podobně) umožňuje útočníkovi spoofovat MAC adresy. Bezdrátový klient může být deautentizován prostřednictvím spoofingu BSSID deautentizaci paketů, které se mají odeslat z BSSID na klienta MAC. Rovněž lze provádět hromadnou deautentizaci. Hromadná deautentizace spočívá v tom, že útočník nepřetržitě spoofuje BSSID a opakovaně posílá na vysílací adresu deautentizační paket.
Deautentizační útok




Lámání klíčů WEP

Vytvoření WEP paketu je transformace dat ze síťové vrstvy do nižší. V případě algoritmů v této sekci toto zahrnuje zašifrování, kontrolu integrity, možnou fragmentaci a připojení hlaviček k paketu. Přijímatel paketu dělá opačný proces transformace.

WEP paket


Pad (6 bitů) má stále hodnotu 0, Key ID (2 bity) obsahuje pořadí WEP klíče, použitého na zašifrování dat s ICV, Data a ICV jsou jediné zašifrované informace ve WEP paketu. Princip šifrování WEP spočívá v neustálé změně proudového klíče v algoritmu RC4 pro každý odeslaný paket. Ten se mění pouze se změnou šifrovacího klíče, což je spojení WEP hesla a inicializačních vektorech (IV). Protože WEP heslo je neměnné, resp. jeho změna nastane v případě, že jej uživatel bezdrátové sítě ručně změní, je změna šifrovacího klíče závislá pouze na změně IV. Útočník vychází z toho, že inicializační vektory se v sítí přenáší nezašifrované. K detekci stejného proudového klíče použitého na zašifrování odesílaných dat stačí hledat stejné, tzv. kolizní, inicializační vektory. Inicializační vektor u WEP šifrování má délku 24 bitů, tzn., může mít 2P24P = 16777216 různých kombinací.

Zdá se, že pravděpodobnost dvou stejných IV v takovém množství je velmi malá. Vezmeme-li v úvahu tzv. „narozeninový paradox“, který říká, že pro n-bitovou funkci nastává kolize s cca 50% pravděpodobností v množině 2PnP/ 2 zpráv, namísto očekávaných 1/2 * 2PnP , dostaneme např. pro 24bitový IV namísto 1/2 * 2P24P potřebných paketů, paradoxně pouhých 2P12P paketů. Tak je pro 50% možnost kolize IV potřeba pouze 4 096 namísto 8 388 608 zachycených paketů. Právě kolizi IV využívá řada programů pro lámání WEP klíče. Např. program Aircrack udává přibližně 200 000 potřebných WEP paketů pro získání 40bitového WEP klíče a dokonce až 800 000 paketů pro spolehlivé rozluštění 104bitového WEP klíče, přičemž pouze asi 20 % paketů celkového provozu komunikace mezi klientem a přístupovým bodem jsou WEP pakety, které obsahují právě měnící se inicializační vektory IV.


Prolomení WPA / WPA 2

Nejpraktičtější zranitelností při lámání WPA/ WPA 2 zabezpečení je útok na klíč PSK WPA/ WPA2. Zatímco u WEP bylo možné použít k urychlení dešifrování statistické metody, u WPA/ WPA 2 lze použít pouze techniku lámání hesla slovníkovou metodou a hrubou silou. To proto, že klíč není statický a proto shromažďování inicializačních vektorů (jako tomu je u WEP šifrování) nijak neurychlí vlastní útok.

Jedinou možností, která se naskýtá, je zachycení tzv. 4-way handshake (čtyřcestný handshake) mezi klientem a přístupovým bodem. Handshake proběhne, jakmile se bezdrátový klient úspěšně připojí k přístupovému bodu. Pre-shared key (PSK) je řetězec o délce 256 bitů, nebo heslo skládající se z 8 až 63 znaků. Pokud je PSK generováno na základě fráze o délce méně než 20 znaků, je náchylné ke slovníkovým útokům, které mohou mít vyšší úspěšnost než u WEP šifrování.

Klíč PMK, který se stará o 4-way handshake se vypočítá z PSK podle vzorce PMK = PBKDF2(heslo, SSID, délka SSID, 4096, 256), kde PBKDF2 je metoda z PKCS #5 v2.0 (Password-based Cryptography Standard). Spojení řetězce hesla, SSID a hodnoty délky SSID je 4 096krát hašováno, z čehož se vygeneruje 256bitová hodnota PMK.

PTK je odvozen z PMK pomocí 4-way handshake a všechny informace, které slouží k výpočtu jeho hodnoty, se přenáší jako nešifrovaný text. Síla PTK závisí tedy pouze na hodnotě PMK, která v podstatě pro PSK znamená sílu hesla. Druhá zpráva 4-way handshake se stala předmětem jak slovníkových, tak offline útoků hrubou silou. Ke zneužití této trhliny v bezpečnosti byla vytvořena utilita cowpatty, jejíž zdrojový kód použil a vylepšil Christophe Devine v nástroji Aircrack, aby umožnil slovníkové útoky a útoky typu brute-force (útoky hrubou silou) na WPA/ WPA 2. Návrh protokolu (4096 hašů na každý pokus hesla) znamená, že útoky brute-force jsou velmi pomalé (pouze několik stovek hesel za sekundu pomocí nejnovějšího samostatného procesoru). PMK nelze vypočítat dopředu, jelikož heslo je na základě ESSID dodatečně zakódováno.

Jediná možnost, jak prolomit Pre-shared Key nástává, pokud jde o relativně krátké slovníkové slovo. K získání neprolomitelné bezdrátové sítě tedy stačí použít WPA/ WPA 2 a heslo o délce 63 znaků skládající se z náhodných znaků a navíc obsahující speciální symboly. K provedení útoku na WPA/ WPA 2 musí útočník pasivním sledováním bezdrátového sítě nebo pomocí deautentizačního útoku zachytit zprávy 4-way handshake, aby proces zrychlil. Počítač je schopen otestovat pouze 50 až 500 možných klíčů za 1 s v závislosti na použitém procesoru. Projít obsáhlý slovník tak může trvat hodiny, dny, ale i mnohem déle.

Doba rozluštění WPA-PSK podle různých kritérií
Délka hesla [znaků]
Počet strojů
Rychlost
[Heslo/s]
Pouze číslice
Pouze malá písmena
Pouze velká písmena
Doba trvání
8
1
300
×
4 dny
8
1
300
×
5 let
8
2
300
×
×
2865 let


Rozdíly mezi lámáním šifrování se zabezpečením WPA-PSK a WPA 2-PSK v podstatě nejsou. Autentizační metodologie je prakticky stejná. Proto také použitá technika je identická.


Podvržení přístupového bodu (Fake AP)
Podvržení přístupového bodu
Tento útok spočívá v zamaskování autorizovaného přístupového bodu falešným přístupových bodem. To znamená, že útočník nakonfiguruje svůj vlastní přístupový bod, přičemž nastaví SSID a číslo kanálu tak, aby tyto údaje odpovídaly autorizovanému přístupovému bodu. Poté ještě na falešném zařízení povolí např. pouze port 80 pro prohlížení webových stránek. K tomuto přístupovému bodu musí být připojena anténa s velkým ziskem, resp. musí být zajištěno, aby falešné AP vykazovalo lepší úroveň signálu než AP autorizované. Tak dojde k zamaskování tím, že při autorizaci klienta k přístupovému bodu klientská NIC upřednostní bezdrátovou síť s lepší úrovní signálu.

Klient se tedy připojí k falešnému AP a má-li povolen pouze port 80, veškeré zabezpečené transakce za normálních okolností spravované portem 443, který se používá k zabezpečenému přístupu na webové stránky pomocí protokolu TLS (Transport Layer Security), budou pro útočníka viditelné. Útočník tak může zachytit prakticky všechny citlivé informace – přístupová hesla do poštovních schránek, při nákupu virtuální platební kartou apod.


Čím síť zabezpečit?

Vhodným řešením pro podnikovou síť se v dnešní době nabízí spojení WPA/ WPA2 s kombinací autentizací uživatelů pomocí serveru RADIUS a využitím bezdrátového IDS systému. Pro domácí bezdrátovou síť však plně dostačuje WPA/ WPA2-PSK, kde tajný klíč PSK je náhodným sledem kombinace 63 písmen, číslic a znaků.