Безопасность беспроводных ЛВС: как взломали вашу сеть...
DESCRIPTION
TRANSCRIPT
1
Безопасность беспроводных ЛВС:
как взломали вашу сеть
и как вы могли этого избежать.
Дмитрий Рыжавский
системный инженер
2
Правила взлома беспроводных ЛВС
• О чем эта презентация?• Немного теории и систематизация атак• Инструментарий – «набор хакера»• DoS-атаки (отказ в обслуживании)• Уязвимости протокольного уровня• Ошибки имплементации (внедрения)• Рассказ о пропавшем абоненте – защита ноутбуков• Абоненты за пределами офиса• Посторонние устройства (Rogues)• Внеканальные посторонние устройства (Rogues)• Уязвимости WEB-аутентификации• CUWM – правила самообороны
Содержание
3
Вы получите представление…
• об особенностях обеспечения безопасности WiFi сетей
• какие инструменты доступны для защиты
• о том как могут выглядеть реальные атаки
• к каким проблемам может привести некорректное применение
технологий
• Не справочник по криптографии и методам аутентификации
• Не всеобъемлющий справочник
Немного теории
5
Семиуровневая модель
IP
TCP/UDP Шифрование?
Шифрование?
6
Архитектура аутентификации IEEE 802.1X
• Рекомендована IEEE 802.11 Task Group i
• Реализована у Cisco с 12/2000• Основные положительные качества
– Разнообразные типы аутентификации– EAP-TLS, PEAP, EAP-FAST, LEAP– Централизованное управление
временем жизни ключей, проч. – Генерация индивидуальных сессионных
ключей– Новые алгоритмы шифрования, в т.ч.
AES как альтернатива RC4– Взаимная аутентификация– Использования аппаратных средств
аутентификации– Централизованный учет доступа
пользователей
Аутентификатор AP
RADIUSServer
ExtensibleAuthenticatio
nProtocol (EAP)
RADIUS
Базапользователей
Сервер аутентификации
КлиентСапликант
Терминология IEEE802.1x
7
Cisco ACS User Policy Steps
Phase 1 User Authentication
EAP
Allowed
User?
Allowed
Access
Phase 2 User Policy
• SilverQoS
• Allow-AllACL
• EmployeeVLAN
WLCLimited
Access
ACS
8
User and Device
Specific Attributes
• Employee VLAN
• Gold QoS
Employees
• Employee VLAN
• Gold QoS
• Restrictive ACL
Employee Mobiles
ISE• Device Profiling
• Dynamic Policy
Cisco’s User-Based Policy Solution with ISE
WLC
Employee
VLAN
Contractor
VLAN
• Contractor VLAN
• No QoS
• Restrictive ACL
Contractors
• No Access
Contractor Mobiles• With the ISE, Cisco wireless can
support multiple users and device
types on a single SSID.
9
Терминология
Стандарты
защиты WiFi
802.11i – WPA –
WPA2
Аутентификация PSK - 802.1x(EAP)
ШифрованиеTKIP – WEP – AES-
CCMP
10
5 главных целей злоумышленника:
1. Заблокировать возможность нормальной работы сети
(отказ в обслуживании) - DoS
2. Украсть информацию с клиентских компьютеров
3. Получить доступ к сети как клиент – для этого нужно
украсть учетную запись легитимного пользователя
4. Реализовать атаку Man in the middle, встав на пути
данных между пользователями и информационными
ресурсами
5. Получить возможность пассивно захватывать и
расшифровывать передаваемые данные
11
Классификация атак
• Что такое уязвимость?
– Это недостаток, который дает возможность злоумышленнику
снизить защищенность системы (wikipedia)
• Что такое атака?
– Способ использовать уязвимость
12
Классификация атак
• Возможны разные способы классификации
– Пассивные атаки:
– Прослушивание
– Анализ передаваемых данных
– Активные атаки На основе протоколов
– Denial of Service
– Выдать себя за другого Исчерпание ресурсов
– Эскалация прав доступа
13
Hidden SSID (non-Broadcast)
• Администраторы по прежнему «скрывают» SSID в качестве
меры безопасности
• Многие клиентские утсройства лучше работают при
широковещаемом SSID
• Сокрытие даже не экономит РЧ ресурс
• Единственный плюс: нет случайных попыток подлючения со
стороны случайных абонентов
• Разве что, может быть полезно при аудите
14
Можно ли обнаружить скрытые SSID (non-Broadcast)
• Подождать подключающегося клиента… или организовать DoS
(deauth отключить) чтобы клиент был вынужден
переподключиться вновь
Можно ли их обнаружить? Ведь в beacon их нет…
Набор инструментов
16
Инструментарий – борьба за расстояние
Как далеко находится хакер?
100 метров…. 200 метров .....1000 метров…..?
парковка, соседнее здание, кафе этажом ниже….
Ubiquity SWX-SRC
300mW
17
ALFA USB WiFi AWUS036H
Поддерживается в BackTrack 5 Linux, Ubuntu
Доступны драйверы для OSX 10.4, 5, 6, 7* и Windows 98, 2000, XP, Vista and 7.
•Adapter with standard RP-SMA antenna connector
•High gain 5dBi Antenna
•Micro USB Cable
•Best of WiFi DVD
Supports 802.11 b/g, 2.4-2.487 GHz channels 1-14, Managed and Monitor modes and
1000mW txpower.
$34.99
18
Инструментарий – борьба за расстояние
адаптеры Ubiquiti Networks http://ubnt.com
антенны Cushcraft http://www.lairdtech.com
кабели и переходники www.digikey.com
Yagi-антенна 14dB антенные переходники и адаптеры
магнитная антенна на крышу авто
8dB
антенна18dB
Пр
им
ер
ы:
19
Мобильность
Backtrack
Отказ в обслуживании
22
DoS Атаки
• Исчерпание ресурсов– ―Всегда можно отправить чрезмерное количество чего-то‖
• На основе протокольных уязвимостей– ―Ping Death‖– Могут быть проблемами определенных устройств или протоколов
• И еще много потенциала в беспроводной среде для DoS атак:– TKIP MIC, Auth flood, Assoc flood, Deauth, NAV, RF Jamming, etc
– Необходимо оборудование, которое умеет фиксировать и, оптимально, предотвращать. Cisco?
23
DoS – генерация помех
• Легко реализовать, легко обнаружить, невозможно
предотвратить
24
DoS TKIP MIC
• Пример атаки на базе протокольной уязвимости
• MIC используется для защиты целостности данных
• Если обнаружены 2 ошибки группового ключа, ТД начинает включать предотвращающий алгоритм на 60 секунд для данной SSID
• Уязвимость MIC используется как часть TKIP injection атак(Beck-Tews, Halvorsen, Ohigashi-Morii)
• Эффект: можно за-DoS-ить любую TKIP сеть
–
25
DoS TKIP MIC, рецепт атаки
Что нам понадобиться?
Инструмент атаки: mdk3 (поддерживает различные технологии DoS)
26
DoS TKIP MIC, можно ли обнаружить атаку?
• Да, ошибки MIC контролируются– show trapl
– Number of Traps Since Last Reset ............ 427
– Number of Traps Since Log Last Displayed .... 2
– Log System Time Trap
– --- ------------------------ -------------------------------------------------
– 1 Mon May 3 15:26:11 2010 WPA MIC Error counter measure activated on Radio
– with MAC 00:1c:b0:ea:63:00 and Slot ID 0. Station
– MAC Address is 00:40:96:b5:11:19 and WLAN ID is 6
• Можно отключить алгоритм востановления -> последствия: больше уязвимостей для атак подмены
• Могут присутствовать случайные ошибки• Оптимальное решение для защиты: использовать
WPA2+AES
27
DoS 802.11 floods
• Трафик управления (сигнализация) 802.11 может быть подменен, т.к. не защищается
• Flood приводит к исчерпанию ресурсов:• Тысячи источников пытаются подключиться к одной ТД• Память зарезервирована, association ID использовано,
использование CPU высокое, etc
• Нет простого решения:• Ограничение скорости обмена информации на ТД• Client MFP единственный ограничивающий фактор
• Эффект ограничен: временная потеря сервиса
28
DoS в 802.11
• Как защититься:
– WLC, 12.4(21a)JY имеет алгоритм предотвращения DoS auth
• Детектирование – оптимальный вариант
• Flood отображаются со стандартными сигнатурами WLC
• Атаки на базе протоколов типа подмены NAV легко детектируются
• WCS карты могут указать местоположение
• MFP может обнаружить инперсонализированные ТД
• Правила обнаружения посторонних устройств быстро обнаружат посторонние ТД
29
Функция MFP и ее преимущества
• Обнаружение атак: посторонние AP, man-in-the-middle и другие
атаки с манипуляцией управляющими кадрами
– Повышает надежность обнаружения AP и WLAN IDS signature
detection
• Предотвращение атак: будет поддерживаться на абонентах с
функцией проверки ЭЦП (CCXv5 clients)
• Инновации Cisco для обеспечения безопансоти
• Стандарт в разработке—IEEE 802.11w
CCX: http://www.cisco.com/web/partners/pr46/pr147/partners_pgm_concept_home.html
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco PublicTECEWN-2020 30
Management Frame ProtectionConcept
Wireless management frames are not authenticated, encrypted, or signed
A common vector for exploits
Insert a signature (Message Integrity Code/MIC) into the management frames
Clients and APs use MIC to validate authenticity of management frame
APs can instantly identify rogue/exploited management frames
Infrastructure MFP Protected
Client MFP Protected
AP BeaconsProbe Requests/Probe Responses
Associations/Re-associations Disassociations
Authentications/De-authentications
Action Management Frames
Problem Solution
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco PublicTECEWN-2020 31
Infrastructure MFP
infrastructure MFP is enabled/disabled on the WLC
1 key for every AP / WLAN
can be selectively disabled per WLAN, and validation can be selectively disabled per AP.
can be disabled on the WLANs that are used by devices that cannot cope with extra IEs.
Validation must be disabled on APs that are overloaded or overpowered
MIC is added at end of Mngt Frame (before FCS)
Рассказ об украденном абоненте
33
Самое слабое звено – клиентские устройства
Корпоративнаясеть
• Беззащитные ноутбукиУ злоумышленника больше всего шансов на успех в случае организации атаки против клиентских устрйств
Internet
4. Man in the middle!!!
34
Что это?
35
Intel ProSet
36
Cisco Secure Services Client
37
Пользователи…….!!!!!!!!
38
http://www.oxid.it/
39
WiFi Pineapple
Mark III puts Karma, URL Snarf, DNS
Spoof, ngrep, deauth via Aircrack-NG and
much more at the click of the link. Internet
Connection Sharing has also been greatly
simplified with the Mark III acting as DHCP
server for connecting clients. Phishing
attacks are also built-in with the DNS
Spoofing capabilities -- all configurable
from the PHP-driven web interface.
http://hakshop.myshopify.com
40
Social Engineer Toolkit (SET)
http://www.social-engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engineer_Toolkit_%28SET%29
41
Karmetasploit is a new implementation of Dino Dai Zovi's original and excellent tool KARMA.
"KARMA is a set of tools for assessing the security of wireless clients at multiple layers.
Wireless sniffing tools discover clients and their preferred/trusted networks by passively
listening for 802.11 Probe Request frames. From there, individual clients can be targeted by
creating a Rogue AP for one of their probed networks (which they may join automatically) or
using a custom driver that responds to probes and association requests for any
SSID. Higher-level fake services can then capture credentials or exploit client-side
vulnerabilities on the host." -http://theta44.org
The main differences between Karma and Karmetasploit it that is Karmetasploit does not
have the limitation of only working on hardware configured with the patched Mad-wifi drivers,
and it also comes with the powerful exploit framework that is metasploit.
За стенами офиса...
“Маленькие дети! Ни за что на свете
Не ходите в Африку, В Африку
гулять!”
-Корней Чуковский
43
На охоту за сотрудниками
Алгоритм действий:
1. Хакер узнает MAC адрес
компьютера сотрудника
2. По user id можно узнать
имя
3. База данных «прописка» –
информация об адресе
4. Подкараулить возле дома
44
Wi-Fi Positioning System
• Позволяет узнать местоположение
маршрутизатора или точки доступа по его
MAC адресу (BSSID)
• Провайдеры
– Skyhook Wireless, доступен SDK
– Apple –iPhone/iPad до версии ПО 3.2 в
апреле 2010 использовал Skyhook
• Как можно использовать?
www.eye.fi
45
Application of
Borderless Network
services and policies
Extends Borderless Network services
from the core to the home
OfficeExtends
600 AP
WiSM2 / 5500
Controller
Home
modem / router
Corporate
Network
Industry Standard CAPWAP Encryption using DTLSNo Impact to controllers | Line rate support for broadband connections
Segments and Supports
Home Network Activities
46
Client Shun
Интеграция с сетевыми IPS Cisco
• Анализирует клиентский трафик на предмет вредоносной активности и блокирует подключение абонента
• Глубокий анализ трафика на 3-7 уровнях OSI
• Снижает риск проникнофения «инфекций» от беспроводных абонентов
• Защита нулевого дня от вирусов, вредоносного ПО и подозрительных действий
• IPS блокирует IP aдрес, WLC – MAC адрес
Сеть предприятия
Cisco ASA 5500 Seriesw/ IPS
L2 IDS
Вредоносный трафик
Предотвратить неправомерное
использование и вредоносную активность
со стороны абонентов WLAN
Задача
L3-7IDS
http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example0
9186a00807360fc.shtml#ov2
47
AnyConnect 3.0Highlights
• New Look and Feel—Tile-based UI
• Broad protocol support
–IPsec IKE v2 (+ SSL and DTLS)
• Unification of 4 Cisco clients
• Enhanced Security and Mobility
–Integrated connection management (L2 supplicant)
–Integrated posture assessment (HostScan)
–Wired network identity/security (802.1x and MACsec)
–Support for ScanSafe cloud security
–Endpoint telemetry feeds
Протокольные уязвимости
49
Атаки против протокола EAP
• Что такое EAP?– Extensible Authentication Protocol, RFC 3748
– Архитектура аутентикации на канальном уровне
– Часто используется совместно с протоклами PPP или 802.1x
• Какие протоколы работают поверх EAP? -> множество…– EAP-MD5: разработка IETF, минимальная безопасность
– LEAP: разработка Cisco, устаревший и уязвимый
– EAP-TLS: RFC 5126, базируется на PKI, защищенный, сложный
– PEAP: общая разработка, поддерживается большинством, много внутренних методов
– EAP-Fast: базируется на TLS, эволюция LEAP/PEAP, направлен на более простое внедрение
– И много других: EAP-IKE, EAP-AKA, EAP-TTLS, EAP-SIM, etc, etc…
50
EAP Protocols: особенности
EAP-TLS
PEAP LEAPEAP-FAST
Vulnerable to Off-Line Dictionary Attacks
No No Yes1 No
Fast Secure Roaming (CCKM) Yes Yes Yes Yes
Local WLC Authentication Yes Yes Yes Yes
Server Certificates Yes Yes No No
Client Certificates Yes No No No
Deployment Complexity High Medium Low Low
RADIUS Server Scalability Impact
High High LowLow/
Medium
1Strong Password Policy Recommended. Please Refer to:
http://www.cisco.com/en/US/products/hw/wireless/ps430/prod_bulletin09186a00801cc901.html
Односторонняя
аутентификация в EAP-TLS
“…. Человека по одежке встречают”
Пример некорректного использования
технологии
52
EAP-TLS – очень надежен, но если
использовать некорректно…
EAP-TLS защищенный алгоритм аутентификации
– Позволяет двусторонний процесс аутентификации между сапликантом и сервером аутентификации
– Поддерживается практически всеми производителями беспроводных решений и клиентов
– Существуют трудности при внедрении: использование PKIтрудоемко, процедура автообновления сертификатов может быть сложна для реализации в ряде случаев
– Активная поддержка двухфакторных систем (смарткарты, токены, и т.п.)
– Должным образом защищено: так как же сломать?
– Если правила доверия некорректно настроенны.
53
EAP-TLS – защищен, но можно взломать…
EAP-TLS требует 2 сертификата
1. Сервера: идентифицирует аутентикатора, и позволяет
клиенту понять к кому он подключается…
2. Клиента: идентифицирует клиента для проверки
аутентикатором (ТД/WLC, пр)
Типичная проблема: вместо покупки сертификатов у сторонних
служб или разверывания собственной службы CA, клиентские
устройства настраиваются «не проверять сертификат
сервера»(―do not validate‖)
54
EAP-TLS – защищен, но можно взломать…
ProSet
ADU
55
Рецепт атаки на EAP-TLS
• Необходимые ингридиенты:
– Сервер аутнетификации который умеет игнорировать
сертифкат клиента
– Пример: Cisco WLC с соответсвующими настройками, или
FreeRadius www.freeradius.org
– Жертва
– Механизм чтобы вынудить клиента выбрать ―свою‖ точку
доступа для подключения
56
Рецепт атаки на EAP-TLS
• Пример настройки контроллера – игнорируем все возможные параметры– (Cisco Controller) >show local-auth config
– User credentials database search order:
– Primary ..................................... Local DB
– Timer:
– Active timeout .............................. 300
– Configured EAP profiles:
– Name ........................................ cisco
– Certificate issuer ........................ vendor
– Peer verification options:
– Check against CA certificates ........... Disabled
– Verify certificate CN identity .......... Disabled
– Check certificate date validity ......... Disabled
– EAP-FAST configuration:
– Local certificate required .............. No
– Client certificate required ............. No
– Enabled methods ........................... tls
– Configured on WLANs ....................... 1
57
FreeRADIUS WPE
• FreeRADIUS - Wireless Pwnage
Edition
Патч к FreeRADIUS для Linux
http://www.willhackforsushi.com/FreeRADIUS_WPE.html
58
59
EAP-TLS, методы борьбы
• Политики на Adaptive WIPS позволяют
обнаруживать «фальшивые» точки доступа
• Функционал MFP предупредит о
переиспользовании BSSID
• Встроенная в контроллеры IDS определяет это
как злонамеренную атаку
• Используйте серверные сертификаты!!!
Cisco LEAP
Устаревший метод EAP
61
LEAP
• Поддерживал возможность динамической смены ключа WEP.
• Активно используется для беспроводного, не проводного
разворачивания 802.1x.
• Легко настраиваемый – отсюда название Lightweight EAP.
• Мог быть легко добавлен в беспроводный адаптер, позволяя на
аппаратном уровне реализовать аутентификацию.
62
LEAP, рецепт атаки
• Восстановление тривиальных паролей
• Необходимые компоненты:
– Перехват обмена аутентификацией
– Быть терпеливым
• Основные доступные инструменты:
– Asleap (linux, windows port)
http://www.willhackforsushi.com/Asleap.html
– THC-leapcracker
http://freeworld.thc.org/releases.php?q=leap&x=0&y=0
63
LEAP – Шаг 1
• Asleap: Использует просчет хэш на основе словаря
• THC-leapcracker: полный перебор (brute force)
• По словарю быстрее, но результат зависит от качества словаря
• Полный перебор: медленно, но позволяет подобрать любой
вариант
64
LEAP – Можно ли обнаружить атаку?
• Нет, если атакующий терпелив
• Да, если атакующий использует атаку Deauth (DoS)
• Лучшее предотвращение: не использовать LEAP
WPA-PSK
“…. Человека по одежке встречают”
Пример протокольной уязвимости
66
WPA(2)-PSK
• Позволяет аутентифицировать обе стороны без Radius сервера
• Простое внедрение, используется домохозяйками
• Если ключ стал доступен, требуется поменять его на всех
устройствах в сети
• Как любой алгоритм с «общим ключом», уязвим к атакам со
словарем/подбору
• Множество ключей от 8 до 63 байт
• Если у хакера есть ключ (PSK) + и записана аутентификация
(EAPoL), он может дешифровать записанный трафик!
67
WPA-PSK, рецепт атаки
• Основные компоненты: EAPoL (M1 to M4) + название SSID
• Для 8 символов + чисел: полный подбор, инструмент
www.oxid.itCain: 750 лет
• Для 10 символов + чисел: полный подбор, инструмент Cain tool :
673706 лет
• Слишком долго!!
68
69
WPA-PSK GPU атаки
• Простой рабочий компьютер анализирует 2200 комбинаций
ключей в секунду при атаке полного подбора
• Высокопроизводительная GPU видеоадаптер- 52400
комбинаций
• Это между 2.5 года и 61.5 лет против 750 на том же множестве
ключей
70
280 PMK/S - http://pyrit.wordpress.com/
71
73
WPA-PSK Rainbow table атаки
• Rainbow table: используют базы данных хэш-сум для восставновления паролей
• Можно сгенерировать свою: pyrit (с поддержкой GPU )
• Можно скачать: ―Church of WiFi‖ 40 GB для 1000 наиболее популярных имен SSID и 1M возможных паролей, генерируется микросхемой в течении 3 дней
• Открытые инструменты для использования Rainbow table(coWPAtty)
• Если SSID подошло, и пароль в словаре, то востановление пароля занимает секунды.
http://imgs.xkcd.com/comics/security.png
74
WPA-PSK подводя итоги
• Для того, чтобы по настоящему защититься, Вам необходим по
настоящему случайный пароль, более 12 символов
• Использовать нестандартные SSIDs
• Помнить, что WPA и WPA2 атаки, не зависят от шифрования.
• Если есть PSK, и EAPoL, можно расшифровать весь траффик
для данной сессии
• Если PSK ключ утерян, необходимо его заменить на всех
устройствах: не лучший вариант для корпоративной защиты
Уязвимость 196
“…. Человека по одежке встречают”
Пример протокольной уязвимости
76
Архитектура стандартов
Pairwise Transient Key (PTK)
- Свой у каждого абонента
- Защищает юникаст трафик
Group Temporal Key (GTK)
- Общий на всех клиентах АР
- Защищает броадкаст и
мультикаст трафик
77
Самое слабое звено – клиентские устройства
Проводной сегмент
Я gateway
зашифровано GTK
2
1
Данные
жертвы в сеть
3
Данные
жертвы в сеть4
gateway
78
Рецепт
Что можно получить: возможность для Man In The Middle в условиях невидимости для проводного IDS
Какие протоколы подвежены: 802.1x, WPA-PSK WPA2-PSK,
все!!!
Что нужно для осуществления:
•быть легитимным клиентом сети
•узнать GTK – wpa_supplicant (0.7.0) http://hostap.epitest.fi
•послать в эфир фальшивый ARP ответ - Madwifi (0.9.4)http://madwifi.org/
Методы защиты:
•Wireless IPS – узнать вовремя
•peer-to-peer blocking mode, функция контроллера -предотвратить
Обнаружение, локализация и
подавление посторонних
устройств.
Беспроводная сеть двойного назначения
Какие бывают посторонние WiFi устройства?
• Точки доступа
• Домашние маршрутизаторы
• Ноутбуки
• Смартфоны и планшеты
• Принтеры – ad-hoc режим работы
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco PublicTECEWN-2020 81
Принтер – плацдарм для атаки
Уязвимости ОС и пароли по
умолчанию могут дать
возможность хакеру настроить
встроенный Linux в режим
маршрутизатора
82
Если немного пофантазировать...
• Подарок в виде флэшки, мышки, клавиатуры…
• Пример – USB Rubber Ducky
– http://hakshop.myshopify.com/
83
Три этапа работы с посторонними устройствами
Поиск
• Прослушивание эфира для обнаружения посторонних точек доступа, клиентов и одноранговых устройств
Описание
• Классификация на основе RSSI, SSID, наличия клиентов и т.д.
• Проверка на наличие подключения к проводной инфраструктуре
• Определение порта – Switch Port Tracing
Борьба
• Отключение портов на коммутаторах
• Определение местоположения
• Блокировка радиопередачи информации
84
Особенности для 802.11n
• Детектируется 11a/g устройствами
• Наиболее распространенный режим для 11n АР
• Обеспечивает совместимость с 802.11a/g устройствами благодаря использованию 11a/g модуляции для management и control фреймов.
802.11n - Mixed Mode
• Определяется только 802.11n устройствами
• В этом случае, management, control и data фреймы передаются с использованием 11n методов модуляции
802.11n – Greenfield Mode
Поиск
85
Rogue Detector AP «на проводе»
Обнаруживает все ARP пакеты, в т.ч. Посторонних устройств
Контроллер получает от АР-детектора список MAC-адресов из ARP пакетов
Не работает с маршрутизаторами и NAT APs
АР в режиме Rogue Detector
Принцип работы
Rogue APAuthorized AP
L2 коммутируемая сеть
Trunk Port
Rogue Detector
Client ARP
Classify
86
Rogue Location Discovery Protocol
Принцип работы
Rogue APManaged AP
RLDP (Rogue Location Discovery Protocol)
Подкючаемся к посторонней AP как клиент
Отправляем IP пакет на собственный IP адрес
Работает только если не включено шифрование
Controller
Routed/Switched NetworkSend Packet
to WLC
Connect as
Client
Classify
87
Трассировка порта коммутатора Switchport Tracing
Принцип работы
Rogue APManaged AP
WCS Switchport Tracing
Определяем по CDP коммутатор, к которому подключена наша AP, обнаружившая угрозу
Получение с коммутаторов CAM таблиц и поиск соответствующего MACадреса
Может использоваться при наличии шифрования и использовании NAT
CAM Table
2
WCS
CAM Table
3
Show CDPNeighbors
1
MatchFound
Classify
WCS Switchport TracingКак работает
Tracing выполняется по
запросу по каждому ПУ
Switch port tracing started for rogue AP 00:09:5B:9C:87:68
Rogue AP 00:09:5B:9C:87:68 vendor is Netgear
Following MAC addresses will be searched:
00:09:5B:9C:87:68, 00:09:5B:9C:87:67, 00:09:5B:9C:87:69
Following rogue client MAC addresses will be searched:
00:21:5D:AC:D8:98
Following vendor OUIs will be searched:
00:0F:B5, 00:22:3F, 00:1F:33, 00:18:4D, 00:14:6C, 00:09:5B
Rogue AP 00:09:5B:9C:87:68 was reported by following APs: 1140-1
Reporting AP 1140-1 is connected to switch 172.20.226.193
Following are the Ethernet switches found at hop 0: 172.20.226.193
Started tracing the Ethernet switch 172.20.226.193 found at hop 0
Tracing is in progress for Ethernet switch 172.20.226.193
MAC entry 00:09:5B:9C:87:69 (MAC address +1/-1) found.
Ethernet Switch: 172.20.226.193, VLAN: 113, Port: GigabitEthernet1/0/33
Finished tracing all the Ethernet switches at hop 0
WCS
Classify
89
Cisco Rogue Management Diagram
Доступные методы
Ядро сети
Распределение
Доступ
SiSi
SiSi
SiSi
Rogue
AP
Rogue
AP
Wireless Control System (WCS)
Wireless LAN
Controller
RogueDetector
RRM Scanning
Rogue
AP
RLDP
Authorized
AP
Switchport Tracing
90
Методы детектирования проводного
подключенияСравнение
Open APs
Secured APs
NAT APs
SwitchportTracing
Средняя
RLDP
RogueDetector
1. AP определяет постороннее устройство в эфире
2. АР сообщает IP ближайшего коммутатора
3. Трассировка начинается с ближайших коммутаторов
4. Администратор отключает порт
Алгоритм работы Определение… Надежность
Open APs
NAT APs
100%1. AP определяет постороннее устройство в эфире
2. АР подлючается в качестве клиента
3. При успешном подлюченииотправляется RLDP пакет
4. При получении на WLCRLDP пакета делается соотвествующий вывод
Высокая1. Подключение detector AP к транковому порту коммутатора
2. АР-детектор получает все посторонние MAC от WLC
3. АР-детектор сопоставляет посторонние MACs с ARPсообщениями
Open APs
Secured APs
NAT APs
Classify
Определение местоположения ПУПо запросу при помощи WCS
• Позволяет определить местоположение отдельных ПУ по запросу
• Не сохраняет историю измения координат ПУ
• Не определяет местоположение клиентов ПУ
Mitigate
WCS
92
Локализация посторонних устройств
при помощи WCS и MSE
• Единовременная локализация множества посторонних устройств
• Сохранение истории перемещений
• Локализация посторонних клиентских устройств
• Локализация одноранговых клиентских устройств
WCS
Борьба
93
Подавление посторонних устройств
Принцип работы
Rogue AP
Authorized AP
Подавление посторонней AP
Отправка De-Authentication фреймов посторонним клиентам и АР
Могут использоваться local, monitor mode или H-REAP AP
Может оказывать негативное влияние на производительность
Mitigate
Rogue Client
De-Auth Packets
Борьба
Правила классификации ПУПринцип
Низкий уровень Высокий уровень
Вне сетиЗащищенный SSIDНеизвестный SSID
Слабый RSSIУдаленное расположение
Нет клиентов
Внутри сетиОткрытый SSID
«Наш» SSIDСильный RSSI
На территории КЛВСПривлекает клиентов
Классификация основана на степени опасности угрозы и действиях по обезвреживанию
Правила классификации соотносятся с моделью рисков заказчика
Classify
Обнаружено ПУ
Rogue Rule:SSID: tmobileRSSI: -80dBm
Помечается как Friendly
Rogue Rule:SSID: CorporateRSSI: -70dBm
Помечается как Malicious
ПУ не удовлетворяет установленным
правилам
Помечается как Unclassified
Правила классификации ПУПример
Правила хранятся и выполняются на радио-контроллере
Classify
96
Автоматическое подавление Борьба
Изоляция посторонних устройствКак работает
Mitigate
WCS
WLC
00:09:5b:9c:87:68
От 1 до 4 ТД могут
быть использованы
для проведения
изоляции
Mitigate
Изоляция посторонних устройствМетоды изоляции посторонних ТД
Mitigate
Только ПУ
Сценарий Метод изоляции
ПУ и их клиенты
Broadcast и Unicast Deauth кадры
Только Broadcast Deauth кадры
Mitigate
Изоляция ПУКак работает
• Каждые 100мс отсылаются минимум 2 de-auth пакета (20 пакетов в
секунду)
~100мс
ТД в режиме local mode может осуществлять изоляцию до 3-х ПУ на 1 радиоинтерфейс
ТД в режиме monitor mode может осуществлять изоляцию до 6-ти ПУ на 1радиоинтерфейс
Local Mode
Monitor Mode
6
3
Mitigate
Внеканальные посторонние
устройства
“…. Человека по одежке встречают”
-Народная мудрость
101
103
Атаки при помощи внеканальных посторонних
устройств
• Некоторые Open Source прошивки и драйверы позволяет
очень точно настраивать частоты:
– MadWiFi (http://madwifi-project.org/)–open source
драйверы для микросхем Atheros где доступен hardware
abstraction layer, что позволяет настроить частоту
передачи.
• Проблема – постороннее устройство, передающее не на
стандртном канале (например между 36 и 40) не может
быть обнаружено стандартными мерами.
104
WiFi Channel 40Off-Channel RogueWiFi Channel 36
Как выглядит внеканальный передатчик?
• Несущяя частота посторонней АР настроена на
нестандартынй для WiFi канал.
Center Frequency:
5.180GHzCenter Frequency:
5.200GHz
Center Frequency:
5.189GHz
105
CleanAir позволяет обнаруживать внеканальные
передатчики
Cisco CleanAir дает возможность обнаруживать
и определять местоположение любых устройств
на любых частотах.
Предоставляется информация о
местоположении и пострадавших каналах.
Wi-Fi и контроль за состоянием РЧ–спектра.
Почему микропроцессорная обработка важна?
• Обычный Wi-Fi чип это по сути процессор-МОДЕМ
• Он знает 2 вещи:
– ВЧ-сигнал, который можно демодулировать = Wi-Fi
– Набор ВЧ-сигналов, который нельзя демодулировать = Шум
• Структура шума сложна –
– Коллизии, фрагменты, повреждения
– Wi-Fi –сигнал ниже порога чувствительности приемника
• Пики Wi-Fi активности могут вызвать все вышеназванные
«эффекты»
Высокое спектральное разрешение – ключ к
точному анализу спектра
Обычный Wi-Fi чипсет
Спектр. сетка с 5 MHz шагом
Cisco CleanAir Wi-Fi чипсет
Спектральная сетка с шагом от 78 to 156 KHz
‘Восприятие’ чипсетом куска спектра с интерференцией микроволновки и
bluetooth
Microwave oven
BlueTooth
Microwave oven
BlueTooth
Pow
er
Pow
er
?
ЕДИНСТВЕННЫЙ в индустрии потоковый анализатор спектра с
высоким разрешением интегрированный в точку доступа
Cisco Unified Wireless Network –
архитектура и принципы
работы механизмов
обеспечения безопасности
Отличия адаптивной wIPS от базовой IDS
радио-контроллера
• Меньше ложных сигналов тревоги
Корреляция сигналов тревоги
• Только 17 в базовой IDS контроллера
Число атак
• Захват пакетов атакиРасследования
(Forensics)
• Больше глубина архива и обнаружение аномалий
Историческая отчетность
WCSWCS
ТД
WLCТД
WLC
Адаптивная wIPS Отличие #1Аггрегация и корреляция сигналов тревоги
MSE
Адаптивная wIPSБазовая IDS контроллера
• Нет корреляции сигналов
тревоги
Адаптивная wIPS Отличие #2Обнаруживается большее количество типов атак
Адаптивная wIPSБазовая IDS контроллера
• Только 17 сигнатур
Адаптивная wIPS Отличие #3«Захват» пакетов для проведения расследования
Адаптивная wIPS Отличие #3«Захват» пакетов для проведения расследования
Адаптивная wIPS Отличие #4Историческая отчетность
• Информация о сигналах тревоги хранится в базе данных
(БД) MSE
– Максимум 6 миллионов сигналов тревоги может храниться в
базе данных MSE
• WCS посылает запросы в БД MSE во время создания отчета
• Отчеты создаются и просматриваются в WCS
Сканирование радиоэфира в поисках
посторонних устройствДва различных режима ТД для РЧ-сканирования
ТД в режиме Local Mode
• Обслуживание клиентов с переключением на другие каналы для сканирования
• Каждый канал прослушивается в течение 50мс
• В режиме сканирования можно настроить:
• Все каналы
• Каналы данного регуляторного домена (настройка по умолчанию)
• DCA-каналы
ТД в режиме Monitor Mode
• Предназначена для сканирования
• Прослушивает каждый канал в течение 1.2сек
• Сканируются все каналы
Алгоритмы обнаружения посторонних устройств
• Любая ТД, которая имеет неизвестные значения RF Group name или mobility group,считается посторонним устройством
• Автономные ТД, управляемые с WCS,автоматическизаносятся в «белый» список
Detect
РЧ-алгоритм сканирования каналовточка доступа в режиме Local Mode
1 2 1 3 1 4 1 5 1 6
36 40 36 44 36 48 36 52 36 56
1
36 60
16с 50мс 16с 50мс 16с 50мс 16с 50мс 16с 50мс 16с
14.5с 50мс
7 1
36 64 36 149
50мс 16с
ТД на канале 1 - 802.11 b/g/n – Разрешенные в США каналы
ТД на канале 36 - 802.11 a/n – Разрешенные в США каналы (без UNII-2 Extended)
10мс 10мс
с
14.5с 50мс 50мс 50мс 50мс 50мс 50мс 50мс14.5с 14.5с 14.5с 14.5с 14.5с 14.5с
10мс 10мс
…
…
Каждые 16с новый канал сканируется в течение 50мс
Каждые 14.5с, новый канал сканируется в течение 50мс
Detect
РЧ-алгоритм сканирования каналовточка доступа в режиме Monitor Mode
1 2 3 4 5 6
36 40 44 48 52 56 60 64 100 104 108 112
1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с
1.2с 1.2с
7
116 132 136 140
1.2с
802.11b/g/n – Все каналы
802.11a/n – Все каналы
10мс 10мс
1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с 1.2с1.2с 1.2с 1.2с 1.2с 1.2с 1.2с
10мс 10мс
9 10 118 12 …
…
1.2с
Detect
Адаптивная wIPSКомпоненты и функции
Мониторинг, Отчетность
Over-the-Air Обнаруж.
Управление wIPS ТД
Комплексн. Анализ атак, Криминалистика, Событий
ТДОбнаруж.
атаки24x7 скан
WLC Настройка
MSEАрхив.
сигналов тревоги
Хранение
«захват»-пакетов
WCSЦентрализ.
мониторинг
Историч.
отчетность
Mobility Services EngineПоддержка сервисов Cisco Motion
• Сервисы мобильности могут иметь другие требования к ПО
WLC/WCS
• Адаптивная wIPS лицензируется по количеству ТД в wIPS
monitor mode
3310 Mobility Services Engine 3355 Mobility Services Engine
Поддержка адаптивной wIPS для 2000 ТД в Monitor Mode
Поддержка адаптивной wIPS для 3000 ТД в Monitor Mode
Поддержка Context Aware для отслеживания до 2000 устройств
Поддержка Context Aware для отслеживания до 18000 устройств
Требует WLC ПО версии 4.2.130 или выше и WCS версии 5.2 или выше.
Требует WLC ПО версии 6.0 или вышеи WCS версии 6.0 или выше.
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 120
• 1. Attack Launched against infrastructure device (‗trusted‘ AP)
• 2. Detected on AP
Communicated via CAPWAP to WLC
• 3. Passed transparently to MSE via NMSP
• 4. Logged into wIPS Database on MSE
Sent to WCS via SNMP trap
• 5. Displayed at WCS
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 121
WIPS Monitor
Mode/CleanAi
r MMAP +
WIPS MM
Local Mode
WIPS Monitor Mode or CleanAir MM
+ WIPS MM on CleanAir AP:
Recommendation – Ratio of
1:5 MMAP to Local Mode APs
Option A Option B
Turn on ELM on all APs
(including CleanAir)
Enhanced
Local Mode
Руководства по внедрению
• Management Frame Protection
–http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09
186a008080dc8c.shtml
• Wired/Wireless IDS Integration
–http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09
186a00807360fc.shtml
• Adaptive wIPS Deployment Guide
–http://www.cisco.com/en/US/docs/wireless/technology/wips/deployment/guide/wipsde
p.html
Выводы
124
Невзламываемая сеть – возможно ли?
• Максимальный уровень безопасности– Аутентификация EAP-TLS + смарт-карты (eToken)
– Принудительное отключение автоматического выбора профиля на клиентских устройствах
– Проверка серверных сертификатов
– Интеграция с проводными IDS
– Адаптивная беспроводная IDS система с возможностью Forensics
• Пример Cisco Systems – 75000 сотрудников– Автоматический выбор профиля, сертификат сервера не
проверяется
– Аутентификация EAP-FAST по логину и паролю
– Шифрование – TKIP с постепенным переходом на AES
126
Выводы
• не используйте уязвимые протоколы
• используйте для защиты корпоративных сетей
технологии корпоративного класса, MFP
• контролируйте радиосреду на предмет наличия DoS атак
– необходима IDS система
• контролируйте настройки (сапликант) на клиентских ПК -
они самое слабое звено
• используйте заложенные в оборудование функции
• отделяйте зерна от плевел оценивая реальность угроз –
о каких то угрозах можно просто забыть
• Посторонние устройства представляют серьезную угрозу
• Возможность провести расследование НЕОБХОДИМА!!!
А что дальше делал хакер? Получилось?
127
Фокус на абонентов
• Автоматизированные средства распространения обновления для
ПО и антивирусоов
• Принудительное использование VPN при работе вне
корпоративной беспроводной стеи
• От уязвимостей нулевого дня невозможно защититься
128
Рекомендованная литература
• Глава 28 УК РФ. Преступления
в сфере компьютерной
информации
Статья 272 УК РФ.
Неправомерный доступ к
компьютерной информации
Статья 273 УК РФ. Создание,
использование и
распространение вредоносных
программ для ЭВМ
Статья 274 УК РФ. Нарушение
правил эксплуатации ЭВМ,
системы ЭВМ или их сети
Спасибо!Просим Вас оценить эту лекцию.Ваше мнение очень важно для нас.
WEB аутентификация
“…. Человека по одежке встречают”
-Народная мудрость
131
Атаки против Webauth
• Используются в хотспотах или гостевых сетях
• Основываются на Web аутентификации поверх открытой L2сети
132
Атаки Webauth
• Открытые сети означают отсутствие защиты на канальном уровне
– Нет шифрования или аутентификации!
• Легко запустить атаку L2 и взломать соединения
• MAC spoofing чрезвычайно просто реализуем
133
Атаки Webauth
• Атака просто реализуется отсоединением клиента или использованием его адреса во время его неактивности
• 802.11 практически не позволяет предотвратить MAC spoofing, если не включить шифрование/аутентификацию на L2 (WPA, WPA2)
• Предотвращение: PSK + Webauth
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 134
User-Based Policy and
Device Identification
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 135135
ISE• Dynamic Policy
• Device Profiling
ACS • Static Policy
• Cisco ACS (or other RADIUS server which can provide Vendor Specific Attributes) can provide static user-based policy which is assigned upon initial authentication.
• Cisco Identity Services Engine can provide dynamic user-based policy which can be assigned upon initial authentication and changed during a session using CoA (Change of Authorization).
Cisco User-Based Policy Offering
WLC
User Specific Attributes
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 136136
Cisco User-Based Policy Solution with ACS
ACS* • Static Policy
WLC
User Specific Attributes
Employee
VLAN
Contractor
VLANACLs
• Employee VLAN
• Gold QoS
Employees
• Contractor VLAN
• No QoS
• Restrictive ACL
Contractors
*This could also be any RADIUS server that supports VSAs.
Employee
Contractor
Employee
User
Specific Attributes
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 137137
Cisco ACS User Policy Steps
Phase 1 User Authentication
EAP
Allowed
User?
Allowed
Access
Phase 2 User Policy
• SilverQoS
• Allow-AllACL
• EmployeeVLAN
WLCLimited
Access
ACS
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 138
Cisco Controller User-Based Policy
Attributes
Network Access
• “Airespace-Interface-Name”
• Sets the Interface to which the client is connected.
Network Restrictions
• “Airespace-ACL-Name”
• Sets the Access Control List used to filter traffic to/from the client.
Quality of Service
• “Airespace-QOS-Level”
• Sets the maximum QoS queue level available for use by the client (Bronze, Silver, Gold or Platinum).
• “Airespace-802.1p-Tag” and/or “Airespace-DSCP-Tag”
• Sets the maximum QoS tagging level available for use by the client.
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 139
• ACLs provide L3-L4 policy and can be applied per interface or per user.
• Cisco 5508 and WiSM2 implement line-rate ACLs.
• Upto 64 rules can be configured per ACL.
Cisco Wireless LAN Controller ACLs
Wired
LAN
Implicit Deny All at the End
Inbound
Outbound
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 140
• IT is struggling with:
- Classifying managed vs. unmanaged endpoints
- ID devices that cannot authenticate
- User <-> Device association
• But there barriers:
- Multiple access mediums
- Endpoint certainty
- No automated way to discover new endpoints
Endpoint Access Challenges
PC and Non-PC DevicesU
ser
Lo
cati
on
Tim
e
Devic
e
Att
rib
ute
X
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 141
• New ground up solution
- Multiple sensors – rich profiling
- Complete visibility and tracking
- Holistic (wired + wireless)
- Integrated Authentication,Authorization
- Other services (Guest, Posture, Device Registration)
- Flexible deployment
Endpoint Profiling Solution - Cisco Identity
Services Engine (ISE)
User
Lo
cati
on
Tim
e
Devic
e
Att
rib
ute
X
ISE
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 142
Integrated, Enhanced Device Profiling with
Cisco Identity Services Engine
―iPad Template‖
―Custom Template‖
Visibility for Wired and
Wireless Devices
Simplified ―Device
Category‖ Policy
Create Your Own
Device Templates
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 143
Flexible Service
Deployment
Manage Security
Group Access
System-Wide Monitoring
and Troubleshooting
Policy Extensibility
Powerful Policy Deployments with ISE
Access Rights
Link in Policy Information Points
SGT Public Private
Staff Permit Permit
Guest Permit Deny
Consolidated Data, 3 Click Drill-InKeep Existing Logical Design
Optimize Where Services Run
M&TAll-in-One HA Pair
NAC Server
Simplify Deployment and Admin
Consolidated Services,
SW Packages
ACS
NAC Profiler
NAC Manager
NAC Guest
ISE
Session Directory
Device (and IP/MAC)
Location
User ID AdminConsole
Distributed PDPs
Tracks Active Users and Devices
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 144
User and Device
Specific Attributes
• Employee VLAN
• Gold QoS
Employees
• Employee VLAN
• Gold QoS
• Restrictive ACL
Employee Mobiles
ISE• Device Profiling
• Dynamic Policy
Cisco’s User-Based Policy Solution with ISE
WLC
Employee
VLAN
Contractor
VLAN
• Contractor VLAN
• No QoS
• Restrictive ACL
Contractors
• No Access
Contractor Mobiles
• With the ISE, Cisco wireless can support multiple users and device types on a single SSID.
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 145
Cisco ISE Device Profiling and Policy Steps
Phase 1 Device Authentication
Phase 2 Device Identification
EAP
Allowed
Device?
Allowed
Access
Phase 3 Device Policy
• SilverQoS
• Allow-AllACL
• EmployeeVLAN
WLCLimited
Access
MAC, DHCP, DNS, HTTPISE
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 146
ISE Device Profiling Capabilities
Smart
Phones
Gaming
Consoles
Workstations
Multiple
Rules to Establish
Confidence Level
Minimum
Confidence for a
Match
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 147
• Once the device is profiled, it is stored within the ISE for future associations:
ISE Device Profiling Example - iPad
Is the MAC Address
from Apple?
Does the Hostname
Contain ―iPad‖?
Is the Web Browser
Safari on an iPad?
ISE
Apple iPad
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 148
Cisco ISE Provides Policy for Wired and
Wireless LANs
• Unified wired and wireless policy (ISE) and management (NCS).
NCS
Central Point of Policy for
Wired and Wireless Users
and Endpoints
Centralized Monitoring
of Wired and Wireless
Networking, Users and
Endpoints
ISE
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 149
Client Type and Policy Visibility with NCS
and ISE Integration
Device Identity
from ISE
Integration
Policy
Information
Including
Posture
AAA Override
Parameters
Applied to
Client
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKEWN-2021 150
NCS Provides Cross-Linking to ISE Reports
on Profiling