Audit di reti Wi-Fi

Candido CupertinoPresentazione per

Torino, 18 febbraio 2010

SANS GIAC Assessing and Auditing Wireless Networks

Contenuti

Wi-Fi e standard IEEE 802.11

Audit di livello 1 (mezzo trasmissivo)

Audit di livello 2 (protocollo)

Analisi traffico 802.11 con Wireshark

Debolezze dei protocolli di sicurezza Wi-Fi

Audit di livello 3 (processo)

Conclusioni

Le origini della trasmissione radio

La trasmissione via etere di segnali è utilizzata giàda un secolo (Guglielmo Marconi - 1895)

Ogni trasmissione radio utilizza due stazioni connesse da una tratta di onde elettromagnetiche propagate per mezzo di due antenne

Le onde e.m. sono classificabili a seconda delle loro caratteristiche e del

loro impiego nei vari campi della tecnica in base alla lunghezza d'onda /

frequenza

Utilizzo dello spettro elettromagnetico

Banda ISM (Industrial, Scientific and Medical): nome assegnato dall‘Unione Internazionale delle Telecomunicazioni (ITU) ad un insieme di porzioni dello spettro elettromagnetico riservate alle applicazioni radio per uso industriale, scientifico e medico (1985)

902-928

MHz

2.4–2.483 GHz

5.725– 5.85 GHz

visibile

IEEE 802.11b/g ���� 2.4 GHzIEEE 802.11a ���� 5 GHz

Wi-Fi e lo standard 802.11

IEEE: Institute of Electrical & Electronics Engineers (1963)

Wi-Fi (Wireless Fidelity) standard per WLAN sviluppato dal gruppo 11 dell’ IEEE802

Specifica trasmissione a livello Fisico e MAC (1-2 ISO/OSI)

Assicura interoperabilità dei dispositivi

300 Mbps2007 (draft)802.11n

54 Mbps2003802.11g

11 Mbps1999802.11b

54 Mbps1999802.11a

Velocità nominaleData rilascioProtocollo

802.11i: protocolli di sicurezza (WPA2)

EAP, assieme allo standard 802.1x per l’autenticazione

CCMP per garantire la crittografia (AES), l'integrità dei dati e la certezza del mittente.

CSMA/CA: Accesso Multiplo tramite Rilevamento della Portante, evita collisioni � throughput rid.

CH 1

CH 1

CH 6

CH 11

Wi-Fi channel mapping

Audit livello 1 – Mezzo trasmissivo

Radio Frequence CoverageSignal Strenght [dB]:

Bandwitdht CoverageThroughput [Mbits]:

Analizzatori di spettro

Esempio di Audit livello 1

AP2

AP1

Audit: esempio di fault tolerance

Il Controller modifica dinamicamente la potenza di Il Controller modifica dinamicamente la potenza di

emissione degli AP adiacentiemissione degli AP adiacenti

�� copertura garantita in caso di faultcopertura garantita in caso di fault

AP esterni 8.5 dBi

AP interni 2.2 dBi

Controller: imposta

dinamicamente la

potenza di emissione ed il canale radio

Non sempre può essere un vantaggio!

Pareti in cemento e

vetro nella parte

superiore: poco assorbimento

Audit livello 1 – analisi zone d’ombra

AP esterni 8.5 dBi

AP interni 2.2 dBi

Impostazione MANUALE delle potenze di emissione nei punti critici

Audit livello 1 – analisi zone d’ombra

Audit livello 2 - Analisi traffico wireless 802.11

Per eseguire un audit di una rete Wi-Fi è utile sviluppare la capacità di leggere ed interpretare un file di

cattura, abilità che consente di individuare e correggere una connessione qualora si manifestassero

problemi.

Esempio: Beacon

wlan.fc.type_subtype == 8

E’ un frame periodicamente inviato dall’Access Point contenente l’informazione relativa al sincronismo

di trasmissione dei dati

• data rate supportate• canale di trasmissione• modello access point• SSID

80 00 00 00 ff ff ff ff ff ff 00 12 01 ec 19 f0

00 12 01 ec 19 f0 80 22 8f 41 67 33 02 00 00 00

64 00 31 04 00 09 43 72 79 70 74 6f 2d 43 43 01

08 82 84 8b 0c 12 96 18 24 03 01 01 05 04 00 02

01 00

Frame

ControlDuration Destination Source

BSSID

Sequece

Control

BSS

Timestamp

Beacon

Interval

Capability

Info

SSID

Supported

ratesDS

Parameter

Set

Traffic

Indication

Map

Esempio di analisi traffico wireless 802.11

• 00 : indica che il parametro SSID è settato• 09 : indica la lunghezza del SSID

• 43 72 79 70 74 6f 2d 43 43 : è la rappresentazione esadecimale della parola “Crypto-CC”

Esempio: Deauthentication flood

Deauthentication flood, eseguito per accelerare lo scambio di chiavi per il cracking di WPA-PSK

Debolezze dei protocolli di sicurezza Wi-Fi

Per rendere più sicure le comunicazioni Wi-Fi sono stati definiti opportuni protocolli di sicurezza, dai sistemi

crittografici per rendere indecifrabile il traffico ai meccanismi di autenticazione per proibire l'accesso alla rete

privata, ciò che per la natura stessa del mezzo trasmissivo non può essere nascosto.

Encryption Algorithm

Message Integrity

Authentication Algorithm

Authentication Framework

TKIP-PPK or

AES-CCM

TKIP-PPK or

AES-CCMTKIP-MIC or

AES-CBC-MAC

TKIP-MIC or

AES-CBC-MAC

802.1X/EAP802.1X/EAPLEAP, PEAP, or

EAP-TLS

LEAP, PEAP, or

EAP-TLS

WEPWEP

WPA WPA

PersPers

WPA WPA

EnterEnter

WPA2 WPA2

EnterEnter

Attacco alle reti Wi-Fi

DiscoveryDiscovery CrackingCrackingInjectionInjectionSniffingSniffing

Discovery (wardriving): Intercettare le reti disponibili nell'area interessata. Ricezione passiva (monitor mode) e scansione dei canali (channel hopping)

Sniffing: Raccolta traffico Wi-Fi dalla rete bersaglio. Scheda in ascolto su un solo canale

Injection: Incremento del traffico dei pacchetti utilizzabili per l'attacco (ARP re-injection, Auth/Deauth)

Cracking: Analisi dei dati raccolti e utilizzo di software per attacco passivo alle chiavi di cifratura

# aireplay-ng -b 00:12:01:EC:19:F0 -h

00:22:69:4B:DC:D2 --arpreplay wlan0

15:50:25 Waiting for beacon frame (BSSID:

00:12:01:EC:19:F0) on channel 1 Saving ARP

requests in replay_arp-0916-155025.cap You should

also start airodump-ng to capture replies. Read

12922 packets (got 5104 ARP requests and 5166

ACKs), sent 5232 packets...(499 pps)

Sessione pratica: attacco a WEP

1. Scheda in monitor

2. Eseguo Kismet

3. Imposto il canale radio

4. Identifico client associato

5. Falsifico il mio MAC Address

6. ARP re-injection con aireplay-ng

7. Catturo il traffico con airodump-ng

8. Lancio aircrak-ng

Frame contenenti IVFrame contenenti IV

Suggerimenti

Ma non basta… le minacce sono tante!

Non usare mai WEP, nemmeno se presente un’architettura di autenticazione 802.1X

Usare WPA/WPA2 Enterprise: PEAP meno costoso di EAP-TLS ma molto sicuro. Necessita di:

� server RADIUS (per esempio IAS/NPS di Windows 200x Server)

� Un certificato digitale di tipo server per il RADIUS (acquistabile da CA pubbliche)

Se non si possiede un’infrastruttura di autenticazione, usare WPA2-PSK (ambienti domestici, piccoli

uffici)

� Scegliere una chiave lunga almeno 20 caratteri (lettere minuscole, maiuscole, numeri, caratteri

speciali), mai una parola di dizionario

Presenza di Access Point Rogue

Attacchi Denial of Service al mezzo trasmissivo (jamming)

Blocchi di servizio dovuti ad attacchi DoS alle specifiche dei frame 802.11 (es. Deautenticazioni)

Attacchi di tipo spoofed-TIM alla gestione del risparmio energetico delle schede client

Attacchi alle vulnerabilità dei client e delle schede di rete

Fuzzing e generazione di pacchetti malformati

Attacchi ai server RADIUS e alle architetture di autenticazioni

Audit di livello 3 - Processi

Processi di implementazione

Esistono linee guida per l’implementazione di una WLAN?

E’ necessario produrre documenti che descrivono i processi necessari per la richiesta,

l’installazione, l’ampliamento e la gestione una rete wireless aziendale:

� Richiesta di WLAN motivata e dettagliata: la scelta dell’architettura ottimale dipende dal

tipo di utilizzo (in ambito industriale, uffici, piazzali esterni, ecc.)

� Suddivisione architetture small – medium – large site

� Modalità di esecuzione di site survey, documentazione e strumentazione necessaria

� Tipologia di dispositivi (Access Point, Controller, Antenne, ecc.)

� Nomenclatura SSID e VLAN

� Sicurezza (es: WPA + PEAP, certificati digitali, ecc.)

� Infrastruttura di autenticazione (es: Server RADIUS, Active Directory, struttura dei

security group di dominio, policy GPO, ecc.)

� Client supportati (es. Windows XP SP3, Windows 7, Windows CE, Windows Mobile 6.0)

� Modalità di esecuzione collaudi

� Manutenzione, gestione e monitoraggio dei dispositivi

Documentazione progettuale

� Documento di site survey

� Tabella Access Point

� Planimetrie con indicazione posizionamento AP

� Progetto esecutivo

� Specifiche di configurazione dei client

� Configurazioni degli apparati attivi

� Certifiche segnale radio con rapporto segnale/rumore in dB

� Documento di test e risultati di collaudo

Audit di livello 3 - Documentazione

Accesso degli utenti alla rete Wi-Fi

Chi può accedere e con quali privilegi?

� Dipendenti office, stabilimento, consulenti, ospiti

Esiste una procedura di richiesta per l’accesso alla rete Wi-Fi aziendale?

� Richiesta di abilitazione user di dominio

� Richiesta di abilitazione consulenti

� Rilascio chiavi temporanee per ospiti

� Richiesta di creazione nuove user (es. stampanti, lettori codici a barre, ecc.)

Esiste una procedura di distribuzione dei certificati digitali?

Esiste una procedura per la configurazione delle schede di rete dei client?

� Automatica via Group Policy Object (GPO) per utenze di dominio

� Automatica via Sistemi di software distribution

� Impostazione manuale dei parametri con documentazione a supporto step-by-step

� Supporto a chiamata (Help Desk, supporto on site, ecc.)

� Script per dispositivi palmari

Audit di livello 3 - Accesso

Conclusioni

Per la natura stessa del mezzo trasmissivo, l’Audit di una rete wireless è un procedimento complesso.

Mentre nelle LAN tradizionali è possibile impedire fisicamente l'accesso al mezzo trasmissivo, nel

caso di reti wireless chiunque si trovi nelle vicinanze sarebbe in grado di intercettare le onde radio,

disturbare le comunicazioni, eseguire attacchi di varia natura.

Per determinare le cause di anomalie o semplicemente per verificare le performance e la robustezza

di una rete wireless è necessario iniziare con l’analisi del mezzo trasmissivo e procedere attraverso

fasi che risalgono la pila ISO/OSI

� Audit di livello 1: analisi degli edifici, interferenze, copertura, misurazioni puntuali,

dispositivi, antenne, potenze di emissione, guadagni, ecc.

� Audit di livello 2: analisi del protocollo, cattura dei pacchetti, analisi sicurezza,

penetration test, simulazioni attacchi alle vulnerabilità del protocollo, ecc.

� Audit di livello 3: processi e metodologie, documentazioni, linee guida, standard

aziendali, controlli periodici, software di distribuzione, gestione e manutenzione, ecc.

Domande e risposte

candido.cupertino@aizoon.it

Grazie!