Wybieramy rozwiązanie do ochrony WLAN

Nie tylko z zewnątrz

W lipcu br. na konferencjach "Black Hat" i "Defcon" zaprezentowano nową podatność protokołu WPA2, nazwaną wdzięcznie Hole 196. Nie jest to zagrożenie teoretyczne, ale w pełni realne. Badacze z firmy AirTight natknęli się na tę podatność podczas lektury standardu 802.11 (znaleziono ją na stronie 196 - stąd nazwa). Nie ma tutaj potrzeby łamania żadnych algorytmów. Słabość tkwi w zabezpieczeniu klucza GTK (Group Temporal Key), który służy do ochrony ramek wysyłanych do grupy klientów powiązanych z AP. Każdy z nich domyślnie współdzieli GTK. Klient, który połączy się z punktem dostępowym, może wstrzyknąć zmodyfikowane i zaszyfrowane GTK dane innym klientom. Dzięki temu może na przykład przeprowadzić niemalże niewykrywalny atak ARP Poisoning i wskazać siebie jako bramę. Ataku takiego nie będą w stanie wykryć klasyczne sieciowe IPS-y, ponieważ pakiety nie zostaną wysłane do AP.

Wybieramy rozwiązanie do ochrony WLAN

AiroDump - narzędzie z pakietu Aircrack-NG (kolory wykorzystano do zaznaczenia punktu dostępowego oraz korzystającego z niego klienta)

Może też przeprowadzić klasyczny atak MITM. Nietrudno sobie wyobrazić wykorzystanie ramek do przesłania kodu złośliwego, czy też przeprowadzenia ataku Buffer Overflow. Podczas "DefConu" pokazano przykład ataku MITM z użyciem zmodyfikowanego sterownika madwifi i oprogramowania wpa_supplicant. Jest tu jednak jedno "ale". Żeby wykorzystać tę podatność, najpierw trzeba uwierzytelnić się na AP. Dlatego Hole 196 to tzw. insider threat (zagrożenie z wewnątrz), które może być użyte jedynie przez osobę mogącą się uwierzytelnić. Jeżeli nastąpi już powiązanie z AP, to nie ma znaczenia, czy jest to WPA czy WPA2, czy też wykorzystywany jest 802.1x. Przed atakami związanymi z Hole 196 można się jednak zabezpieczyć. Badacze z AirTight trochę dramatyzują, podkreślając, jak trudne jest to zadanie (pewnie w nadziei na zyski ze sprzedaży własnych systemów), ale jednocześnie udzielają cennych wskazówek. Przede wszystkim AP powinien wysyłać różne GTK do klientów. Musi także dokonywać konwersji ruchu przeznaczonego dla grupy na ramki unicastowe. Te dwie sprawy wymagają jednak przeprowadzenia upgrade’u oprogramowania punktów dostępowych. Ostatecznie też powinna nastąpić zmiana w standardzie. Możliwe jest również uruchomienie PSPF, ale nie jest to rozwiązanie idealne i rodzi pewne negatywne - z punktu widzenia dostępności - konsekwencje. AirTight poleca także korzystanie z dodatkowych narzędzi na stacjach roboczych np. DecaffeintID, co jednak w korporacjach może być dość problematyczne. Według nich najlepiej kupić dobrego WIPS-a, i trudno się z tym nie zgodzić.

Kompleksowo

Jakiego rodzaju rozwiązania mamy do wyboru? Zacznijmy od podejścia kompleksowego. Oczywiście, nie jest łatwo, bo producentów i produktów jest wiele. Wybór rozwiązania zależy w dużej mierze od jego przeznaczenia.

TOP 5 zagrożeń w sieci WLAN
Jeżeli chcemy mieć "wszystko w jednym", to dobrym rozwiązaniem może być rozbudowany analizator sieciowy lub zintegrowany system zarządzania. Czasami jeden od drugiego trudno odróżnić. Wyróżnikiem jest to, że ten drugi kładzie nacisk na centralną konfigurację infrastruktury. Współczesne analizatory WLAN wykraczają daleko poza funkcje zwykłych mierników. Nie ma się jednak co oszukiwać. Funkcje bezpieczeństwa są tutaj jedynie koniecznym, ale dodatkiem. Przeważnie umożliwiają wykonywanie diagnostyki i audytów na żądanie. Potrafią lokalizować nieautoryzowane punkty dostępowe, czasami identyfikować ataki (np. DoS, Spoofing), a niektóre wykrywać nawet obecność narzędzi przeznaczonych do atakowania sieci. Przyjmują one często postać stanowisk mobilnych - w postaci dedykowanego urządzenia lub oprogramowania.


TOP 200