Embed Size (px)
Citation preview
Źródło: http://www.johnconnell.co.uk/images/ingemann-wireless.jpg
(Nie)bezpieczeństwo w sieciach bezprzewodowych Opowieści agenta 802.11
Sebastian Pasternacki CCIE#17541 RS/SEC/SP/WLAN CCDE #2012::9
Cisco Systems
Cel
“Lepiej zapobiegać niż leczyć”
Agenda
○ Poznajmy przeciwników – o zagrożeniach słów kilka ○ Zapobieganie zagrożeniom – metody agenta 007 ○ Krok dalej – gadżety z laboratorium Q
Nie będzie o… RF, L1, aplikacjach, konfiguracji, dot1x,
Denial of Service
DENIAL OF SERVICE
Service disruption
Ad-hoc Wireless Bridge
Client-to-client backdoor access
HACKER
Wektory ataku w sieciach bezprzewodowych
Rogue Access Points
Backdoor network access
HACKER
Evil Twin/Honeypot AP HACKER’S
AP
Connection to malicious AP
Reconnaissance
Seeking network vulnerabilities
HACKER
Cracking Tools
Sniffing and eavesdropping
HACKER
Ataki On-Wire Ataki Over-the-Air
Ataki Non-802.11
BLUETOOTH AP RADAR RF-JAMMERS BLUETOOTH MICROWAVE
Denial of Service
DENIAL OF SERVICE
Service disruption
Ad-hoc Wireless Bridge
Client-to-client backdoor access
HACKER
Wektory ataku w sieciach bezprzewodowych
Rogue Access Points
Backdoor network access
HACKER
Evil Twin/Honeypot AP HACKER’S
AP
Connection to malicious AP
Reconnaissance
Seeking network vulnerabilities
HACKER
Cracking Tools
Sniffing and eavesdropping
HACKER
Ataki On-Wire Ataki Over-the-Air
Ataki Non-802.11
BLUETOOTH AP RADAR RF-JAMMERS BLUETOOTH MICROWAVE
Denial of Service
DENIAL OF SERVICE
Service disruption
Ad-hoc Wireless Bridge
Client-to-client backdoor access
HACKER
Wektory ataku w sieciach bezprzewodowych
Rogue Access Points
Backdoor network access
HACKER
Evil Twin/Honeypot AP HACKER’S
AP
Connection to malicious AP
Reconnaissance
Seeking network vulnerabilities
HACKER
Cracking Tools
Sniffing and eavesdropping
HACKER
Ataki On-Wire Ataki Over-the-Air
Ataki Non-802.11
BLUETOOTH AP RADAR RF-JAMMERS BLUETOOTH MICROWAVE
Denial of Service
DENIAL OF SERVICE
Service disruption
Ad-hoc Wireless Bridge
Client-to-client backdoor access
HACKER
Wektory ataku w sieciach bezprzewodowych
Rogue Access Points
Backdoor network access
HACKER
Evil Twin/Honeypot AP HACKER’S
AP
Connection to malicious AP
Reconnaissance
Seeking network vulnerabilities
HACKER
Cracking Tools
Sniffing and eavesdropping
HACKER
Ataki On-Wire Ataki Over-the-Air
Ataki Non-802.11
BLUETOOTH AP RADAR RF-JAMMERS BLUETOOTH MICROWAVE
Denial of Service
DENIAL OF SERVICE
Service disruption
Ad-hoc Wireless Bridge
Client-to-client backdoor access
HACKER
Wektory ataku w sieciach bezprzewodowych
Rogue Access Points
Backdoor network access
HACKER
Evil Twin/Honeypot AP HACKER’S
AP
Connection to malicious AP
Reconnaissance
Seeking network vulnerabilities
HACKER
Cracking Tools
Sniffing and eavesdropping
HACKER
Ataki On-Wire Ataki Over-the-Air
Ataki Non-802.11
BLUETOOTH AP RADAR RF-JAMMERS BLUETOOTH MICROWAVE
Denial of Service
DENIAL OF SERVICE
Service disruption
Ad-hoc Wireless Bridge
Client-to-client backdoor access
HACKER
Wektory ataku w sieciach bezprzewodowych
Rogue Access Points
Backdoor network access
HACKER
Evil Twin/Honeypot AP HACKER’S
AP
Connection to malicious AP
Reconnaissance
Seeking network vulnerabilities
HACKER
Cracking Tools
Sniffing and eavesdropping
HACKER
Ataki On-Wire Ataki Over-the-Air
Ataki Non-802.11
BLUETOOTH AP RADAR RF-JAMMERS BLUETOOTH MICROWAVE
Denial of Service
DENIAL OF SERVICE
Service disruption
Ad-hoc Wireless Bridge
Client-to-client backdoor access
HACKER
Wektory ataku w sieciach bezprzewodowych
Rogue Access Points
Backdoor network access
HACKER
Evil Twin/Honeypot AP HACKER’S
AP
Connection to malicious AP
Reconnaissance
Seeking network vulnerabilities
HACKER
Cracking Tools
Sniffing and eavesdropping
HACKER
Ataki On-Wire Ataki Over-the-Air
Ataki Non-802.11
BLUETOOTH AP RADAR RF-JAMMERS BLUETOOTH MICROWAVE
Denial of Service
DENIAL OF SERVICE
Service disruption
Ad-hoc Wireless Bridge
Client-to-client backdoor access
HACKER
Wektory ataku w sieciach bezprzewodowych
Rogue Access Points
Backdoor network access
HACKER
Evil Twin/Honeypot AP HACKER’S
AP
Connection to malicious AP
Reconnaissance
Seeking network vulnerabilities
HACKER
Cracking Tools
Sniffing and eavesdropping
HACKER
Ataki On-Wire Ataki Over-the-Air
Ataki Non-802.11
BLUETOOTH AP RADAR RF-JAMMERS BLUETOOTH MICROWAVE
Nirvana atakującego – łatwość i dostępność narzędzi
Backtrack/Kali (VM or Live CD)
Piramida Podszywania się
BSSID
ESSID
Channel & Tx Power
DHCP, DNS etc.
Radio MAC
Wireless SSID
Bridge/NAT Interfaces
USB Wireless Cards
OR
No Regulatory Restrictions
Bezpieczeństwo Wireless - wymagania
Bezpieczne połączenie
Identyfikacja użytkownika
Klasyfikacja aplikacji Kontrola dostępu
Dla wszystkich klientów
Klient Access Point Przełącznika Kontroler Wireless LAN
Silnik Polityki Dostępu
STANDARDY IEEE 802.11 A BEZPIECZEŃSTWO
Wireless Protected Access
• Wycinek standardu 802.11i • Używany z szyfrowaniem TKIP WPA
• Składowa standardu 802.11i (RSN) • Używany z szyfrowaniem AES WPA2
• Personal (PSK – Pre-Shared Key) • Enterprise (802.1X/EAP)
Mechanizmy uwierzytelniania
Uwierzytelnianie – najlepsze praktyki Użyj WPA2-Enterprise
Uwierzytelnianie
• AES – Advanced Encryption Standard wymaga często sprzętowego wsparcia i zapewnia prędkość line-rate
Szyfrowanie
Tunneling-Based (Protective Cover)
EAP-PEAP
EAP-TTLS
EAP-FAST
Inner Methods (Authentication Credentials)
EAP-GTC EAP-MSCHAPv2
Bazujące na certyfikatach
EAP-TLS
Zabezpiecz infrastrukturę Wireless – zacznij od AP
ISE 802.1x
Uwierzytelnienie
CAPWAP DTLS używając MIC (Manufactured
Installed Certificates)
Skonfiguruj 802.1x
Supplicant
1 Uruchom Port
Security
2
RADIUS
RADIUS
Domyślnie zachowanie Out-of-Box wzajemnie
uwierzytelnienie
Management Frame Protection (MFP) Zabezpiecz ramki Management
Problem
Problem • Ramki management 802.11 nie są
uwierzytelniane, szyfrowane lub podpisywane
• “klasyczny” wektor ataków
Rozwiązanie • Dodaj podpis (Message Integrity Code/MIC)
do ramek management • AP mogą natychmiastowo zidentifikować
nieprawidlowe lub fałszywe ramki • Opcjonalnie, Klienci i APs mogą użyć MIC
do weryfikacji autentyczności ramek management
Beacons Probes
Association Beacons Probes
Association
Infrastructure MFP - działanie
BSSID 11:11:11:11:11:11
BSSID 22:22:22:22:22:22
Budynek 1
BSSID 11:11:11:11:11:11
Corporate Building 2
AP nie widzą się
Włącz MFP WLC GUI> Security> Wireless
Protection Policies > MFP
1
2 2
3
Klient a MFP i/lub 802.11w
Ramki Management zabezpieczone MIC
Ramki zabezpieczone przez Security Association (SA)
AP Beacons Probe Requests/ Probe Responses
Associations/Re-Associations Disassociations
Authentications/ De-Authentications Action Management Frames
The image cannot be displayed. Your computer may not CCXv5
The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may
Podszywanie się pod AP i klienta
Profilowanie i egzekucja polityki dostępu - opcje
Czas (ToD) Uwierzytelnienia Typ urządzenia
POLICY
WLC Radius Server (e.g. ISE Base, ACS)
Komponenty sieciowe
Elementy Profilowania
Wymuszenie polityki VLAN Access List QoS Session Timeout
Wyłącznie Wireless
AVC
25
Rola użytkownika
Identyfikacja Aplikacji z użyciem NBAR2
Application Visibility and Control na kontrolerze WLC
Voice Video Best-Effort Background
Client Traffic
Kontroluj zachowanie aplikacji
Blokuj
Rate Limiting
Wi-Fi Direct Policy – problemy z “mobile” i nie tylko
Urządzenie korporacyjne
Korporacyjny WLAN
Nieautoryzowane urządzenia Wi-Fi Direct pozwala na równoczesny
dostęp do sieci korporacyjne WLAN & nieautoryzowanych urządzeń
Zabezpiecz dostęp dokorperacyjnej sieci WLAN jeśli Wi-Fi Direct jest
włączony na urządzeniu korporacyjnym
Dostęp Backdoor
Mechanizmy detekcji ataków
Core
• Wykrywanie Klientów i AP Rogue • 17 sygnatur ataków
• Agregacja alarmów, konsolidacja i redukcja False Positives
• Rozszerzona analiza behawioralna DoS – 115 sygnatur ataków
• Skoordynowane „zatruwanie” Rogue • Detekcja Anomalii • Zaawansowane funkcje Forensic,
Blacklisting, Auto Containment i odpowiedzi Auto Immunity
Cisco Prime
WLC IDS Adaptive wIPS
Enhanced Local Mode Monitor Mode AP WSSI Module
Adaptive wIPS – Rekomendacje wdrożeniowe
Klienci 16s
Skan 50ms Ataki
Skan 1.2s Ataki
Skanowanie 24x7
Klieci
Local Mode
Monitor Mode
Skan Best Effort
Uruchuom ELM na każdym AP
Wdrożenie 1 MM AP na każde 5 Local Mode AP
Local Mode
Klienci Skan 1.2ms Ataki
Local Mode
24x7 Scanning
Wdrożenie 1 WSSI na każde 5 Local Mode AP
Reguły klasyfikacji Rogue To kto jest bardziej szkodliwy?
§ Klasyfikacja bazująca na szkodliwości zagrożenia i akcji niwelowania
§ Reguły dopasowane do modelu ryzyka klienta
Przyjazny/Friendly Złośliwy/Malicious
Poza siecią Zabezpieczony
Obce SSID Słabe RSSI
Odległa lokalizacja Bez klientów
W sieci Otwarty
Nasze SSID Silne RSSI
Bliska lokalizacja “Zachęca” klientów
Local Mode AP Monitor Mode AP Podstawy Rogue Detection
Nasłuchując za oszustami (Rogues) Dwa różne tryby AP w procesie RRM Scanning
Klienci obsługiwani
16s
Skan 50ms dla Rogue
Scan 1.2s per
channel
RF Group = Corporate
Skan 24x7
Każdy AP nie wysyłający poprawnej informacji RF
Group uważany jest za Rogue Skan Best Effort
Podstawy RRM Channel Scanning Local Mode AP – obsługa klientów
1 2 1 3 1 4 1 5 1 6
36 40 36 44 36 48 36 52 36 56
1
36 60
16s 50ms 16s 50ms 16s 50ms 16s 50ms 16s 50ms 16s
14.5s 50ms
7 1
36 64 36 149
50ms 16s
AP na kanale 1 - 802.11 b/g/n (2.4GHz)
AP na kanale 36 - 802.11 a/n (5Ghz) (bez UNII-2 Extended)
10ms 10ms
14.5s 50ms 50ms 50ms 50ms 50ms 50ms 50ms 14.5s 14.5s 14.5s 14.5s 14.5s 14.5s
10ms 10ms
…
…
§ Co 16s nowy kanał jest sprawdzany (scanned) przez 50ms (180sec / 11 channels = ~16s)
§ Co 14.5s nowy kanał jest sprawdzany (scanned) przez 50ms (180sec / 12 channels = ~14.5s)
Czas wykrycia
Podstawy RRM Channel Scanning Monitor Mode AP
1 2 3 4 5 6
36 40 44 48 52 56 60 64 100 104 108 112
1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s
1.2s 1.2s
7
116 132 136 140
1.2s
802.11b/g/n (2.4GHz) – Wszystkie kanały
802.11a/n (5GHz) – Wszystkie kanały
10ms 10ms
1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s 1.2s
10ms 10ms
9 10 11 8 12 …
§ Każdy kanał skanowany przez ~6.8s ((180s / 1.2s) / 22ch) w ramach 180s czasu skanowania kanału
§ Każdy kanał skanowany przez ~10.7s ((180s / 1.2s) / 14ch) w ramach 180s czasu skanowania kanału
…
1.2s
Czas wykrycia
35
Rogue Detector AP Rogue Location Discovery Protocol (RLDP)
Metody wykrywania Rogue podłączonych w sieci
§ Podłącza się do Rogue AP jako klient § Wysyła pakiet na IP kontrolera § Działa wyłącznie z Rogue AP w trybie Open
Data Serving
Trunk
§ Wykrywa wszystkich klientów rogue client oraz ARPy AP § Kontroler odpytuje Rogue Detector, czy klienci Rogue są
widoczni w lokalnej sieci § Nie działa z AP za NAT
Rogue Detector Data Serving AP
Rogue Detector AP – jak to działa?
Trunk
Rogue Detector
WLC
> debug capwap rm rogue detector ROGUE_DET: Found a match for rogue entry 0021.4458.6652 ROGUE_DET: Sending notification to switch ROGUE_DET: Sent rogue 0021.4458.6651 found on net msg
BSSID: 0021.4458.6652
Cisco Prime
Zmiana poziomu Alarmu z Minor do Critical
Security Alert: Rogue with MAC Address 0021.4458.6651 Has Been Detected on the Wired Network
Rogue Location Discovery Protocol (RLDP) – jak to działa?
WLC
> debug dot11 rldp Successfully associated with rogue: 00:21:44:58:66:52 Sending DHCP packet through rogue AP 00:21:44:58:66:52 RLDP DHCP BOUND state for rogue 00:21:44:58:66:52 Returning IP 172.20.226.253, netmask 255.255.255.192, gw 172.20.226.193 Send ARLDP to 172.20.226.197 (00:1F:9E:9B:29:80) Received 32 byte ARLDP message from: 172.20.226.253:52142 BSSID:
0021.4458.6652
Cisco Prime
Zmiana poziomu Alarmu z Minor do Critical
Security Alert: Rogue with MAC Address 0021.4458.6652 Has Been Detected on the Wired Network
Switchport Tracing (SPT) z użyciem Cisco Prime
Cisco Prime
Core
Corporate AP
Show CDP Neighbors
1
CAM Table 2 CAM Table 3
Match Found
Switchport Tracing: na-żądanie lub automatycznie § Identyfikacja sąsiadów CDP AP wykrywających Rogue § Zapytanie o stan tablicy CAM szukając MAC Rogue AP § Działa dla AP z zabezpieczeniem i NAT
SPT sprawdza: Rogue Client MAC Address Rogue Vendor OUI Rogue MAC +3/-3 Rogue MAC Address
Local Mode AP Monitor Mode AP
Wireless Rogue AP Containment – zatruwanie wrogów
§ AP w trybie monitor mode może zatruwać 6 rogue AP per radio
§ Pakiety zatruwające wysyłane co 100ms
Broadcast & Unicast De-auth
§ AP w trybie local mode AP może zatruwać 3 rogue AP per radio
§ Pakiety zatruwające wysyłane co 500ms § Wpływa na wydajność działania klienta
Unicast De-auth & Unicast Dis-assoc
Lokalizacja – Rogue Z Cisco Prime
• Pozwala na lokalizację pojedynczego Rogue Ap na żądanie
• Nie przetrzymuje danych historycznych w kontekście lokalizacji
• Nie wspiera lokalizacji klientów Rogue
Lokalizacja Rogue Real-Time z Prime oraz Mobility Services Engine (MSE)
• Śledzi wiele urządzeń Rogue w trybie real-time (do poziomu ograniczeń MSE)
• Może śledzić i przechowywać informacje lokalizacyjne urządzeń rogue
• Umożliwia lokalizację Klientów Rogue, sieci Rogue Ad-Hoc oraz Zakłoceń Non-WiFi (Interferers)
• Strefy i markery (wirtualne Geofencing)
Non-WiFi Interferer
WiFi Interferer
Microwave Bluetooth
43
Implikacje projektowe Co warto rozważyć?
ASA
WLC
Core/Distribution
Access
Enterprise Network
• WPA2 Enterprise (EAP-TLS/AES) • Edukacja użytkowników (certyfikaty, hasła, etc) • Detekcja Rogue – uruchomienie i tuning („Zatruwanie” do
rozważenia) • Lokalizacja – w poszukiwaniu „szkodników” • Exclusion – kontrola brute force • QoS – priorytet ruchu ważnego • AVC – kontrola na poziomie aplikacyjnym • Chroń infrastrukturę • MFP/802.11w • CleanAir – identyfikuj i reaguj na wpływ non-802.11 • Kontrola mocy, kanałów
• Testuj, testuj, testuj, a później przetestuj
Sieci bezprzewodowe mogą być bezpieczne: 1. Znaj swego wroga
2. Używaj najlepsze praktyki konfiguracyjne 3. Wykrywaj i przeciwdziałaj zagrożeniom
Agent 802.11 poleca:
“Lepiej zapobiegać niż leczyć”
