Radio pod nadzorem

Profesjonalna diagnostyka sieci WLAN pod kątem bezpieczeństwa wymaga fachowego podejścia i doboru odpowiednich narzędzi spośród masy niedrogich kart WLAN, anten, sterowników oraz oczywiście właściwego oprogramowania.

Profesjonalna diagnostyka WLAN pod kątem bezpieczeństwa wymaga fachowego podejścia i doboru odpowiednich narzędzi spośród masy niedrogich kart WLAN, anten, sterowników oraz oczywiście właściwego oprogramowania.

Diagnostyka sieci pracujących w standardzie Ethernet jest dla większości administratorów sieci niemal codziennością. Tego się uczyli, na tym praktykowali. Z sieciami radiowymi sprawa wygląda całkiem inaczej. Doświadczenia z sieciami bezprzewodowymi, nawet u administratorów, często ograniczają się do konfiguracji domowych sieci WLAN bądź pojedynczych stacji dostępowych WLAN w firmie. Brak doświadczeń kumuluje się z obiektywnym faktem, że sieci radiowe są medium z natury znacznie trudniejszym do analizy, niż sieci przewodowe.

Sieci bezprzewodowe wprowadzają znacznie więcej komplikacji w dziedzinie szeroko pojętego bezpieczeństwa, w tym zwłaszcza uwierzytelniania użytkowników i urządzeń w sieci. Niezależnie od nich, w związku z naturą medium radiowego, rozsądny poziom bezpieczeństwa jest im znacznie trudniej zapewnić, niż sieciom opartym na medium miedzianym czy światłowodach. Poniżej przedstawiamy kompendium wiedzy o technikach i narzędziach, które mogą być przydatne w diagnozowaniu problemów z sieciami WLAN, w tym z bezpieczeństwem.

Gdy łącze nie łączy

Typowa konfiguracja sieci WLAN zakłada wykorzystanie stacji dostępowej oraz klienta łączącego się z nim. Interfejs sieciowy tego komputera pracuje w trybie Infrastructure (Managed), wybrany jest prawidłowy identyfikator sieci (SSID), ustawione są poprawnie klucze szyfrujące itd. Problemy z asocjacją klient-stacja oraz transmisją zdarzają się nawet wtedy, gdy wszystko zostało poprawnie ustawione. Pół biedy, jeśli problemy dotyczą jednego urządzenia. Jeśli administratorowi przyjdzie zarządzać siecią składającą się z kilkunastu lub kilkudziesięciu urządzeń, sprawa przestaje być trywialna.

Problem podstawowy to relacjonowany przez użytkowników sieci "brak zasięgu". Jeśli wiadomo już, że nie jest to problem z konkretnym komputerem czy kartą WLAN, a wyszukiwanie dostępnych sieci nie daje pozytywnych rezultatów, trzeba przyjąć inną strategię. Należy sprawdzić, czy problem dotyczy logiki stacji bazowej, czy też jej podsystemu radiowego. Wystarczy w takim przypadku sprawdzić urządzenie, łącząc się doń siecią kablową. Jeśli działa poprawnie, można sądzić, że to problem z modułem radiowym. Czasami wystarczy restart, innym razem zaś połączenia w gnieździe antenowym. Czasami moduł trzeba po prostu wymienić.

Podstawowym źródłem informacji o działaniu sieci bezprzewodowych jest nasłuch danych wysyłanych kanałem radiowym oraz raporty z samych urządzeń. Większość nowoczesnych stacji dostępowych WLAN wykorzystuje wewnątrz jakiś wariant systemu Unix - zwykle BSD lub Linux. Każde takie urządzenie ma możliwość raportowania zdarzeń związanych z siecią do standardowego sysloga. Zachęcam do zbierania logów z punktów dostępowych, gdyż jest to nieocenione źródło informacji. Logi są pomocne nie tylko na wypadek diagnozowania nagłych problemów - pomagają w wykrywaniu nietypowych zdarzeń, a także umożliwiają wczesne wykrycie prób włamań do sieci.

Przyczyny problemów bywają czasami zaskakujące, ale i prozaiczne zarazem. Może to być np. uszkodzony kabel zasilający lub Ethernet (obecnie w większości urządzeń to jeden i ten sam kabel), urządzenie przeznaczone do montażu w pomieszczeniach wystawione jest na zbytnią wilgoć lub szkodliwe dla niego opary, antena zmienia położenie pod wpływem drobnych drgań (budynki przy ruchliwych ulicach lub sąsiadujące z budynkami przemysłowymi) i tak dalej. Coraz gorsza jakość łącza, niższe wartości sygnału powinny być znakiem, że coś jest nie tak i należy dokonać kontroli urządzeń jak zostało to opisane wyżej.

Jeśli urządzenia WLAN służą do zestawiania połączenia punkt-punkt na znaczną odległość, a stabilność takiego mostu spada, mimo że sygnał wydaje się dość silny, prawdopodobną przyczyną może być roślinność (zwłaszcza w deszczowe dni), która zasłania bezpośrednią widoczność anten lub powoduje niekorzystne odbicia. Wbrew pozorom jest to dość typowa przyczyna utrudniająca pracę mostów bezprzewodowych. Szczegółowa diagnostyka samego toru antenowego nie jest możliwa bez specjalistycznych i kosztownych przyrządów pomiarowych (m.in. reflektometru i miernika natężenia pola), ale w wielu przypadkach metoda porównań wsparta dostępnymi narzędziami i wiedzą daje dobre wyniki.

Najpierw dobre przygotowanie

Najważniejszym narzędziem w arsenale administratora sieci jest dobra karta Wi-Fi. Nie chodzi tu ani o markę, ani cenę, lecz wykorzystywany chipset radiowy. Do diagnozowania sieci najlepiej nadają się karty, które wykorzystują chipset Prism 2.5 lub Atheros. Na drugim miejscu są doskonałe karty pracujące przy wykorzystaniu chipsetu Orinoco oraz inne podobne (o tym dalej), na trzecim miejscu jest Intel Centrino, chociaż z punktu widzenia świadomego administratora mają one sporo wad (m.in. utrudniają audyt bezpieczeństwa wykonywany za pomocą jednej z technik). Część kart w ogóle nie nadaje się do diagnostyki z tej prostej przyczyny, że nie obsługują trybu monitorowania (częste w przypadku kart z interfejsem USB, które oprócz tego nie mają wyjść na anteny zewnętrzne).

Nie wszyscy wiedzą, że dane określające siłę sygnału, podawane przez niektóre stacje dostępowe, są mniej miarodajne niż te, które poda dobra karta Wi-Fi. Karta do diagnostyki sieci WLAN powinna mieć wyjście umożliwiające dołączenie zewnętrznej anteny za pomocą odpowiedniej przejściówki (w żargonie zwanej żartobliwie pig tail). Z tego powodu do diagnozy nie nadają się karty wbudowane w laptopy i inne urządzenia przenośne (takie jak palmtopy i telefony komórkowe), gdyż poza nielicznymi wyjątkami, nie mają one wyjścia na zewnętrzną antenę. W niektórych kartach typu SDIO do PocketPC można je dorobić, ale nie jest to zalecane.

Gdy już mamy właściwą kartę, czas na odpowiednie oprogramowanie skanujące. Aby móc stwierdzić na pewno, czy stacja dostępowa pracuje poprawnie, trzeba użyć programu do wykrywania sieci bezprzewodowych, np. netstumbler. Niestety, ten program nie zawsze pracuje poprawnie, chociaż jest jednym z lepszych narzędzi dla środowiska Windows. Przypuszczalną przyczyną są kłopoty z niektórymi sterownikami do kart bezprzewodowych. To samo dotyczy programów-węszycieli pracujących w środowisku systemów Unix.

Najpopularniejszym węszycielem (sniffer) dla sieci bezprzewodowych jest Kismet. Program ten potrafi wykryć pracujące w pobliżu sieci bezprzewodowe, nawet wtedy gdy ukrywają one identyfikator SSID. Oprócz tego potrafi określić siłę sygnału, typ ruchu, moc szyfrowania, a w pewnych warunkach także adresację IP i inne parametry sieci. Kismet daje dokładne, aktualizowane na żywo informacje, potrafi również sygnalizować dźwiękiem zmianę parametrów (ułatwia ustawienie anteny).

Kismet jest wbudowany w wiele dystrybucji systemu Linux uruchamianych z płyty CD (dystrybucje Live takie jak WarLinux, AuditorCD czy Hakin9 Live). Inne dystrybucje, np. Ubuntu, posiadają Kismet w repozytoriach, skąd można go bardzo łatwo zainstalować. Analizę sieci warto rozpoczynać właśnie od takich programów, gdyż dają one ogólny pogląd na temat ruchu w sieci i w wielu przypadkach łatwą podpowiedź doświadczonemu administratorowi.

Aby węszyciel pracował poprawnie, wiele kart wymaga specjalnie przygotowanych sterowników. Chodzi o to, aby przełączyć kartę w tryb przechwytywania pakietów. Dotyczy to zwłaszcza kart Orinoco, które w jednych dystrybucjach działają bez zarzutu (Ubuntu), w innych zależnie od firmware (AuditorCD, Hakin9 Live), a w innych nie działają w trybie monitorowania na oryginalnym jądrze (Aurox Amber). Generalnie, jeśli wersja sterownika w jądrze systemu jest wyższa niż 0.15, tryb monitorowy powinien działać z każdą kartą Orinoco. Niektóre dystrybucje posiadają zmodyfikowane sterowniki przeznaczone do aktywnych ataków na sieć, co dla osoby prowadzącej diagnostykę jest przydatne.

Gdy potrzebne są dokładniejsze informacje na temat zawartości przesyłanych pakietów (szyfrowanie itp.), efekty lepsze niż Kismet daje AirSnort. Ten węszyciel jest przeznaczony do audytu bezpieczeństwa sieci bezprzewodowych (m.in. do łamania kluczy szyfrujących). Dzięki temu, że analizuje zebrane pakiety, można wykryć wiele problemów wynikających z zanikającym połączeniem. Zestawiając te dane z zapisami w sysloga (np. polecenie tail -f na pliku syslog z drugiej konsoli), można wykryć na przykład uszkodzenie samej stacji bazowej lub problemy z torem radiowym. Podobnie działa Wavemon (nadający się do bardzo precyzyjnego określania siły sygnału), a także Wellenreiter czy SWScanner. Specjalizowane narzędzia do takich analiz można znaleźć w pakiecie Aircrack.

Większość z powyższych programów, oprócz samego wykrywania sieci bezprzewodowych, potrafi zapisać przechwycone pakiety do dalszej analizy. Korzystają z nich włamywacze do łamania kluczy WEP/WPA, ale te same narzędzia nadają się do diagnostyki. Dobrym przykładem "legalnego" wykorzystania takiego programu jest wykrywanie zaników łącza. Bywa, że przechwycony plik jest jedynym argumentem dla serwisu, który nie daje sobie wytłumaczyć, iż tor radiowy kosztownej stacji dostępowej jest uszkodzony. Przedstawienie informacji o rzeczywiście wysyłanych i odbieranych pakietach może być dobrym argumentem.

Udawanie włamywacza

SWScanner - obok Wellenreiter i Wavemon, jeden z wypróbowanych pakietów do analizy warstwy radiowej i MAC sieci WLAN

SWScanner - obok Wellenreiter i Wavemon, jeden z wypróbowanych pakietów do analizy warstwy radiowej i MAC sieci WLAN

Audyt bezpieczeństwa sieci bezprzewodowych jest szczególnie ważnym punktem w pracy administratora sieci WLAN. Standardowym elementem audytu takiej sieci powinno być badanie rzeczywistego zasięgu jej działania. Założenie jest proste: jeśli intruz może się znaleźć w zasięgu sieci, na pewno spróbuje się do niej włamać. Audyt przeprowadzany za pomocą prostej karty WLAN wbudowanej w laptopa nie jest miarodajny, ponieważ atakujący nie korzystają z tak mało czułego sprzętu. Do tego celu powinien posłużyć z odpowiednią kartą sieciową oraz anteną kierunkową o zysku co najmniej 15 dBi.

Większość administratorów nie jest świadoma faktu, że fale radiowe kiepsko przenikają przez ściany, natomiast znakomicie przedostają się przez okna. Stacja dostępowa umieszczona w pomieszczeniu może mieć słaby sygnał dwa pokoje dalej, ale znakomity pół kilometra od budynku. Kto nie wierzy, niech sprawdzi. Oprócz tego regularnie wykonywany audyt zasięgu sieci umożliwia porównanie zmian zasięgu w czasie. Mogą dzięki temu informować administratora o postępującym pogarszaniu się jakości łącza albo zmianie charakterystyki anteny (promieniowanie z uszkodzonego kabla, ulot na niepewnych złączach i itd.).

Audyt bezpieczeństwa powinien zakładać po pierwsze próbę złamania klucza szyfrującego WPA (stosowanie WEP powinno być ostatecznością), próbę podszywania pod adresy MAC (do tego celu powstało mnóstwo oprogramowania na platformę Linux, ale są też pakiety dla Windows), próbę ataków DoS na stację dostępową (udaje się w ok. 90% przypadków), próbę blokowania haseł centralnego uwierzytelnienia, próbę włamania do połączeń wirtualnej sieci prywatnej wewnątrz sieci radiowej itp. Nawet jeżeli włamanie nie powiedzie się, bardzo ważne jest rozpoznanie jak sieć reaguje na takie ataki, wtedy bowiem administrator będzie mógł łatwo wykryć próby ataków na podstawie logów.

Stosunkowo niewiele sieci korzysta z drugiego stopnia zabezpieczenia - wirtualnych sieci prywatnych wewnątrz sieci bezprzewodowych - niesłusznie. W razie złamania klucza WPA, co nie jest niewykonalne, ich sieć pozostaje podatna na ataki "z ulicy". Przełamanie zabezpieczeń VPN jest tymczasem znacznie trudniejsze, gdyż większość słabości protokołów oraz implementacji została już dawno usunięta. Wobec tego, że są już narzędzia do odkrywania nazw SSID, zmiany adresów MAC i łamania kluczy WPA, należy poważnie zastanowić się nad stosowaniem VPN wewnątrz sieci WLAN. Aby całość była spójna i diagnostyka łatwiejsza, należy stosować centralizację zapisu logów z urządzeń.

Wbrew pozorom nie każdy atak musi dawać w syslogu typowe wpisy o problemach z autoryzacją albo o próbach połączenia. Niektóre ataki, do których należy technika chopchop, polegają na wysyłaniu do stacji bazowej WLAN specjalnie zmodyfikowanych pakietów. Jest to jeden z niewielu ataków, który wykorzystuje czynnie punkt dostępowy w celu łamania kluczy. Wpisy w logach przypominają wtedy kłopoty z połączeniem (błędna suma kontrolna), zaś zapisy z węszyciela zawierają wielokrotnie wysyłane podobne pakiety. Taki atak można przeprowadzić za pomocą programu AirCrack oraz ze specjalizowanego programu chopchop pracującego tylko z kartami Prism. Ze względu na konieczność wysyłania specjalnie uformowanych pakietów, do tego typu audytu nie nadają się karty Intel Centrino oraz Hermes, a ponadto trzeba zastosować specjalne łaty do sterowników kart.

Gorąco zachęcam do wypróbowania odpowiedzi sieci na typowe ataki, gdyż jest to dość ważna szkoła dla administratora. Nawet jeśli atak się nie powiedzie, administrator pozna typowe wpisy w logach, zapisy z węszyciela i będzie w stanie szybciej kojarzyć zdarzenia. W razie rzeczywistych problemów będzie mógł próbować rozróżnić zapisy spowodowane aktywnością włamywacza od tych, których przyczyną jest konkretna awaria techniczna sprzętu lub oprogramowania. I oby była to tylko awaria.

Wziąć problem za logi

W większości przypadków sysloga (BSD, Linux, Unix) bardzo łatwo skonfigurować, tak by przychodzące ze stacji dostępowych WLAN informacje były składowane w osobnym pliku, dzięki temu znacznie łatwiej monitorować te zdarzenia. Ponadto centralizacja logów ma inne zalety ("Zdobyć dowody, zabezpieczyć ślady", CW 41/2004). W przypadku diagnostyki sieci WLAN ważne jest regularne obserwowanie logów, bowiem często bywa, że połączenie radiowe nie znika od razu, lecz jego jakość ulega postępującej degradacji. Dla jakości diagnozy w każdym wypadku warto regularnie zapisywać konfigurację wszystkich stacji dostępowych, a także siłę sygnału odbieranego w typowych miejscach (możliwie o tej samej porze dnia), by móc je szybko porównać i w ten sposób być może szybciej zdiagnozować problem.


TOP 200