Audit di reti Wi-Fi
Candido CupertinoPresentazione per
Torino, 18 febbraio 2010
SANS GIAC Assessing and Auditing Wireless Networks
Contenuti
Wi-Fi e standard IEEE 802.11
Audit di livello 1 (mezzo trasmissivo)
Audit di livello 2 (protocollo)
Analisi traffico 802.11 con Wireshark
Debolezze dei protocolli di sicurezza Wi-Fi
Audit di livello 3 (processo)
Conclusioni
Le origini della trasmissione radio
La trasmissione via etere di segnali è utilizzata giàda un secolo (Guglielmo Marconi - 1895)
Ogni trasmissione radio utilizza due stazioni connesse da una tratta di onde elettromagnetiche propagate per mezzo di due antenne
Le onde e.m. sono classificabili a seconda delle loro caratteristiche e del
loro impiego nei vari campi della tecnica in base alla lunghezza d'onda /
frequenza
Utilizzo dello spettro elettromagnetico
Banda ISM (Industrial, Scientific and Medical): nome assegnato dall‘Unione Internazionale delle Telecomunicazioni (ITU) ad un insieme di porzioni dello spettro elettromagnetico riservate alle applicazioni radio per uso industriale, scientifico e medico (1985)
902-928
MHz
2.4–2.483 GHz
5.725– 5.85 GHz
visibile
IEEE 802.11b/g ���� 2.4 GHzIEEE 802.11a ���� 5 GHz
Wi-Fi e lo standard 802.11
IEEE: Institute of Electrical & Electronics Engineers (1963)
Wi-Fi (Wireless Fidelity) standard per WLAN sviluppato dal gruppo 11 dell’ IEEE802
Specifica trasmissione a livello Fisico e MAC (1-2 ISO/OSI)
Assicura interoperabilità dei dispositivi
300 Mbps2007 (draft)802.11n
54 Mbps2003802.11g
11 Mbps1999802.11b
54 Mbps1999802.11a
Velocità nominaleData rilascioProtocollo
802.11i: protocolli di sicurezza (WPA2)
EAP, assieme allo standard 802.1x per l’autenticazione
CCMP per garantire la crittografia (AES), l'integrità dei dati e la certezza del mittente.
CSMA/CA: Accesso Multiplo tramite Rilevamento della Portante, evita collisioni � throughput rid.
CH 1
CH 1
CH 6
CH 11
Wi-Fi channel mapping
Audit livello 1 – Mezzo trasmissivo
Radio Frequence CoverageSignal Strenght [dB]:
Bandwitdht CoverageThroughput [Mbits]:
Analizzatori di spettro
Esempio di Audit livello 1
AP2
AP1
Audit: esempio di fault tolerance
Il Controller modifica dinamicamente la potenza di Il Controller modifica dinamicamente la potenza di
emissione degli AP adiacentiemissione degli AP adiacenti
�� copertura garantita in caso di faultcopertura garantita in caso di fault
AP esterni 8.5 dBi
AP interni 2.2 dBi
Controller: imposta
dinamicamente la
potenza di emissione ed il canale radio
Non sempre può essere un vantaggio!
Pareti in cemento e
vetro nella parte
superiore: poco assorbimento
Audit livello 1 – analisi zone d’ombra
AP esterni 8.5 dBi
AP interni 2.2 dBi
Impostazione MANUALE delle potenze di emissione nei punti critici
Audit livello 1 – analisi zone d’ombra
Audit livello 2 - Analisi traffico wireless 802.11
Per eseguire un audit di una rete Wi-Fi è utile sviluppare la capacità di leggere ed interpretare un file di
cattura, abilità che consente di individuare e correggere una connessione qualora si manifestassero
problemi.
Esempio: Beacon
wlan.fc.type_subtype == 8
E’ un frame periodicamente inviato dall’Access Point contenente l’informazione relativa al sincronismo
di trasmissione dei dati
• data rate supportate• canale di trasmissione• modello access point• SSID
80 00 00 00 ff ff ff ff ff ff 00 12 01 ec 19 f0
00 12 01 ec 19 f0 80 22 8f 41 67 33 02 00 00 00
64 00 31 04 00 09 43 72 79 70 74 6f 2d 43 43 01
08 82 84 8b 0c 12 96 18 24 03 01 01 05 04 00 02
01 00
Frame
ControlDuration Destination Source
BSSID
Sequece
Control
BSS
Timestamp
Beacon
Interval
Capability
Info
SSID
Supported
ratesDS
Parameter
Set
Traffic
Indication
Map
Esempio di analisi traffico wireless 802.11
• 00 : indica che il parametro SSID è settato• 09 : indica la lunghezza del SSID
• 43 72 79 70 74 6f 2d 43 43 : è la rappresentazione esadecimale della parola “Crypto-CC”
Esempio: Deauthentication flood
Deauthentication flood, eseguito per accelerare lo scambio di chiavi per il cracking di WPA-PSK
Debolezze dei protocolli di sicurezza Wi-Fi
Per rendere più sicure le comunicazioni Wi-Fi sono stati definiti opportuni protocolli di sicurezza, dai sistemi
crittografici per rendere indecifrabile il traffico ai meccanismi di autenticazione per proibire l'accesso alla rete
privata, ciò che per la natura stessa del mezzo trasmissivo non può essere nascosto.
Encryption Algorithm
Message Integrity
Authentication Algorithm
Authentication Framework
TKIP-PPK or
AES-CCM
TKIP-PPK or
AES-CCMTKIP-MIC or
AES-CBC-MAC
TKIP-MIC or
AES-CBC-MAC
802.1X/EAP802.1X/EAPLEAP, PEAP, or
EAP-TLS
LEAP, PEAP, or
EAP-TLS
WEPWEP
WPA WPA
PersPers
WPA WPA
EnterEnter
WPA2 WPA2
EnterEnter
Attacco alle reti Wi-Fi
DiscoveryDiscovery CrackingCrackingInjectionInjectionSniffingSniffing
Discovery (wardriving): Intercettare le reti disponibili nell'area interessata. Ricezione passiva (monitor mode) e scansione dei canali (channel hopping)
Sniffing: Raccolta traffico Wi-Fi dalla rete bersaglio. Scheda in ascolto su un solo canale
Injection: Incremento del traffico dei pacchetti utilizzabili per l'attacco (ARP re-injection, Auth/Deauth)
Cracking: Analisi dei dati raccolti e utilizzo di software per attacco passivo alle chiavi di cifratura
# aireplay-ng -b 00:12:01:EC:19:F0 -h
00:22:69:4B:DC:D2 --arpreplay wlan0
15:50:25 Waiting for beacon frame (BSSID:
00:12:01:EC:19:F0) on channel 1 Saving ARP
requests in replay_arp-0916-155025.cap You should
also start airodump-ng to capture replies. Read
12922 packets (got 5104 ARP requests and 5166
ACKs), sent 5232 packets...(499 pps)
Sessione pratica: attacco a WEP
1. Scheda in monitor
2. Eseguo Kismet
3. Imposto il canale radio
4. Identifico client associato
5. Falsifico il mio MAC Address
6. ARP re-injection con aireplay-ng
7. Catturo il traffico con airodump-ng
8. Lancio aircrak-ng
Frame contenenti IVFrame contenenti IV
Suggerimenti
Ma non basta… le minacce sono tante!
Non usare mai WEP, nemmeno se presente un’architettura di autenticazione 802.1X
Usare WPA/WPA2 Enterprise: PEAP meno costoso di EAP-TLS ma molto sicuro. Necessita di:
� server RADIUS (per esempio IAS/NPS di Windows 200x Server)
� Un certificato digitale di tipo server per il RADIUS (acquistabile da CA pubbliche)
Se non si possiede un’infrastruttura di autenticazione, usare WPA2-PSK (ambienti domestici, piccoli
uffici)
� Scegliere una chiave lunga almeno 20 caratteri (lettere minuscole, maiuscole, numeri, caratteri
speciali), mai una parola di dizionario
Presenza di Access Point Rogue
Attacchi Denial of Service al mezzo trasmissivo (jamming)
Blocchi di servizio dovuti ad attacchi DoS alle specifiche dei frame 802.11 (es. Deautenticazioni)
Attacchi di tipo spoofed-TIM alla gestione del risparmio energetico delle schede client
Attacchi alle vulnerabilità dei client e delle schede di rete
Fuzzing e generazione di pacchetti malformati
Attacchi ai server RADIUS e alle architetture di autenticazioni
Audit di livello 3 - Processi
Processi di implementazione
Esistono linee guida per l’implementazione di una WLAN?
E’ necessario produrre documenti che descrivono i processi necessari per la richiesta,
l’installazione, l’ampliamento e la gestione una rete wireless aziendale:
� Richiesta di WLAN motivata e dettagliata: la scelta dell’architettura ottimale dipende dal
tipo di utilizzo (in ambito industriale, uffici, piazzali esterni, ecc.)
� Suddivisione architetture small – medium – large site
� Modalità di esecuzione di site survey, documentazione e strumentazione necessaria
� Tipologia di dispositivi (Access Point, Controller, Antenne, ecc.)
� Nomenclatura SSID e VLAN
� Sicurezza (es: WPA + PEAP, certificati digitali, ecc.)
� Infrastruttura di autenticazione (es: Server RADIUS, Active Directory, struttura dei
security group di dominio, policy GPO, ecc.)
� Client supportati (es. Windows XP SP3, Windows 7, Windows CE, Windows Mobile 6.0)
� Modalità di esecuzione collaudi
� Manutenzione, gestione e monitoraggio dei dispositivi
Documentazione progettuale
� Documento di site survey
� Tabella Access Point
� Planimetrie con indicazione posizionamento AP
� Progetto esecutivo
� Specifiche di configurazione dei client
� Configurazioni degli apparati attivi
� Certifiche segnale radio con rapporto segnale/rumore in dB
� Documento di test e risultati di collaudo
Audit di livello 3 - Documentazione
Accesso degli utenti alla rete Wi-Fi
Chi può accedere e con quali privilegi?
� Dipendenti office, stabilimento, consulenti, ospiti
Esiste una procedura di richiesta per l’accesso alla rete Wi-Fi aziendale?
� Richiesta di abilitazione user di dominio
� Richiesta di abilitazione consulenti
� Rilascio chiavi temporanee per ospiti
� Richiesta di creazione nuove user (es. stampanti, lettori codici a barre, ecc.)
Esiste una procedura di distribuzione dei certificati digitali?
Esiste una procedura per la configurazione delle schede di rete dei client?
� Automatica via Group Policy Object (GPO) per utenze di dominio
� Automatica via Sistemi di software distribution
� Impostazione manuale dei parametri con documentazione a supporto step-by-step
� Supporto a chiamata (Help Desk, supporto on site, ecc.)
� Script per dispositivi palmari
Audit di livello 3 - Accesso
Conclusioni
Per la natura stessa del mezzo trasmissivo, l’Audit di una rete wireless è un procedimento complesso.
Mentre nelle LAN tradizionali è possibile impedire fisicamente l'accesso al mezzo trasmissivo, nel
caso di reti wireless chiunque si trovi nelle vicinanze sarebbe in grado di intercettare le onde radio,
disturbare le comunicazioni, eseguire attacchi di varia natura.
Per determinare le cause di anomalie o semplicemente per verificare le performance e la robustezza
di una rete wireless è necessario iniziare con l’analisi del mezzo trasmissivo e procedere attraverso
fasi che risalgono la pila ISO/OSI
� Audit di livello 1: analisi degli edifici, interferenze, copertura, misurazioni puntuali,
dispositivi, antenne, potenze di emissione, guadagni, ecc.
� Audit di livello 2: analisi del protocollo, cattura dei pacchetti, analisi sicurezza,
penetration test, simulazioni attacchi alle vulnerabilità del protocollo, ecc.
� Audit di livello 3: processi e metodologie, documentazioni, linee guida, standard
aziendali, controlli periodici, software di distribuzione, gestione e manutenzione, ecc.
Domande e risposte
Grazie!
Top Related