BC/NW 2011; №2 (19):11.6

 

АТАКИ НА БЕСПРОВОДНЫЕ СЕТИ

Ермаков А.В.

(Московский государственный технологический университет «СТАНКИН», Россия)

 

К беспроводным сетям Wi-Fi (сетям стандартов 802.11a/b/g) все уже давно привыкли. В офисах Wi-Fi-сети используются наравне с проводными сетями. Более того, уже есть провайдеры Wi-Fi-доступа в Интернет для домашних пользователей и корпоративных клиентов.

Особенно популярным стало развертывание беспроводных сетей на производственных предприятиях. На современных развивающихся предприятиях модернизация компьютерных сетей с применением беспроводных технологий наиболее эффективна ввиду меньшей сложности развертывания таких сетей.

Однако, принимая решение о переходе на беспроводную Wi-Fi-сеть, не стоит забывать, что она несовершенна в плане безопасности. Наряду с ростом популярности беспроводных сетей повышается интерес и к средствам их взлома.

С уязвимостью беспроводных сетей связано немало мифов, и многие пользователи полагают, что любая беспроводная сеть отнюдь не безопасна и легко может быть взломана. На самом деле все не так просто: взломать беспроводную сеть удается лишь в исключительных случаях (когда, например, ее разворачивал и настраивал неопытный пользователь). На самом деле беспроводные сети могут быть защищены достаточно надежно.

В данной статье рассмотрим, в каких случаях и как можно взломать беспроводную сеть, а полученные знания можно будет в дальнейшем с успехом использовать для аудита безопасности беспроводных сетей, что позволит избежать традиционных ошибок, допускаемых при их настройке.

 

Сначала перечислим варианты защиты, которые могут быть использованы на точке доступа для ограждения сети от чужих пользователей:

1.   SSID Cloaking — скрытие имени сети. Доступ разрешается только клиентам, которые знают это имя.

2.   MAC Filtering — фильтрация по MAC адресам. Доступ разрешается только клиентам, адреса сетевых адаптеров которых записаны в точке доступа.

Важно отметить, что эти методы не обеспечивают конфиденциальности данных, передаваемых по сети, они просто ограничивают доступ к сети, то есть, даже если все эти средства включены на точке доступа, злоумышленник сможет, включив свой беспроводной адаптер в «monitor mode», слушать эфир и вылавливать всю передаваемую информацию. Следующие методы криптографически защищают данные:

1.   WEP — статистически самый используемый метод защиты беспроводной сети. Предоставляет шифрование всех передаваемых по сети данных. Аутентификации, как таковой не имеет — если вы не знаете ключа, вы не сможете расшифровать данные. Недостаток этого метода — очень слабый алгоритм, ключ взламывается злоумышленником менее чем за 5 минут.

2.   WPA и WPA2 Pre-Shared Key — сильная система аутентификации и шифрования данных. Доступ производится через общий ключ. Уровень защиты равен сложности общего ключа, так как система подвержена brute force атакам.

3.   WPA и WPA2 Enterprise — вариант предыдущей системы, но для подтверждения личности используется внешний аутентификатор 802.1x EAP, что позволяет использовать сертификаты, смарт карты и т.д.

Итак, для взлома беспроводной сети нам понадобятся:

-    ноутбук или компьютер;

-    «правильная» операционная система;

-    набор утилит для взлома;

-    беспроводной адаптер Wi-Fi.

Если с ноутбуком (компьютером) все понятно, то остальные атрибуты взломщика нуждаются в комментариях.

Основная проблема, которая возникает в процессе подбора инструментов для взлома беспроводных сетей, заключается в обеспечении совместимости чипа беспроводного адаптера, используемого программного обеспечения и операционной системы.

Все утилиты, позволяющие взламывать беспроводные сети, задуманы для работы под Linux-системами. Существуют, правда, их аналоги под Windows-системы. Linux-системы для взлома предпочтительнее, поскольку при использовании Linux набор возможных инструментов гораздо шире, да и работают Linux-утилиты значительно быстрее.

Традиционно для взлома беспроводных сетей применяется программный пакет aircrack-ng, который существует в версии как для Windows, так и для Linux.

Данный пакет распространяется абсолютно бесплатно, и его можно скачать с официального сайта http://aircrack-ng.org. Искать какие-либо другие утилиты просто не имеет смысла, поскольку этот пакет является лучшим решением в своем классе.

К сожалению, для взлома беспроводных сетей подойдут далеко не все беспроводные адаптеры. Кроме того, есть такие адаптеры, которые хотя и поддерживаются утилитами, но работают крайне медленно (в смысле захвата и анализа пакетов).

Дело в том, что для взлома беспроводной сети необходимы специальные (нестандартные) драйверы для сетевых беспроводных адаптеров. Штатными режимами любого беспроводного адаптера считаются Infrastructure (Basic Service Set, BSS) и ad-hoc (Independent Basic Service Set, IBSS). В режиме Infrastructure каждый клиент подключен к сети через точку доступа, а в режиме ad-hoc беспроводные адаптеры могут общаться друг с другом напрямую, без использования точки доступа. Однако оба эти режима не позволяют беспроводному адаптеру прослушивать эфир и перехватывать пакеты. Для перехвата пакетов существует специальный режим мониторинга (Monitor mode), при переводе в который адаптер не ассоциируется ни с какой конкретной сетью и ловит все доступные пакеты. Драйверы, поставляемые производителем беспроводного адаптера, не поддерживают режим мониторинга, и для того, чтобы задействовать его, необходимо установить специальные драйверы, зачастую написанные группой сторонних разработчиков. Отметим, что драйвер нужен для конкретного чипа, на котором построен беспроводной адаптер. К примеру, адаптеры различных производителей, имеющие совершенно разные названия, могут быть основаны на одном и том же чипе и тогда для их работы в режиме мониторинга будет использоваться один и тот же драйвер. Тут-то и проявляется одно из главных преимуществ операционных систем семейства Linux: найти для них «правильные» драйверы для чипа беспроводного адаптера значительно проще, чем для ОС Windows, да и список чипов беспроводных адаптеров, для которых существуют «правильные» драйверы под Linux, гораздо шире, чем для Windows.

Для удобства в дальнейшем будем использовать такие обозначения:

00:aa:aa:aa:aa:aa — MAC адрес точки доступа;

00:cc:cc:cc:cc:cc — MAC адрес подключенного к этой точке клиента;

00:ff:ff:ff:ff:ff — MAC адрес нашего адаптера;

wlan0 — имя нашего беспроводного интерфейса.

При подключении к точке доступа, на которой активировано скрытие имени, клиент всегда отправит это имя. Поэтому нам достаточно дождаться одного клиента. Для этого запускаем:

airodump-ng wlan0 -c <канал, на котором находится точка доступа>

и если в крайней колонке вы видите <Length:X>, где Х — некое число, то эта сеть скрывает свое имя. Далее нужно подождать немного, пока кто-то подключится, и тогда значение в колонке изменится на имя сети автоматически. Либо, если долго не удается ничего перехватить, то можно запустить деаутентификацию командой;

aireplay-ng wlan0 -0 100 -b 00:aa:aa:aa:aa:aa, где 100 — количество деаутентификаций клиентов;

Эта операция начнет рассылать пакеты, приказывающие клиентам, подключенным к точке доступа, отключиться от нее. Они отключатся и через несколько секунд начнут подключаться вновь, отсылая в запросе на подключение имя сети. Соответственно airodump-ng его сразу покажет. Для большей эффективности деаутентификации лучше атаковать конкретного подключенного клиента:

aireplay-ng wlan0 -0 100 -b 00:aa:aa:aa:aa:aa -с 00: сс: сс: сс: сс: СС

Для подключения к точке доступа, которая фильтрует пользователей по MAC адресу их адаптера, необходимо знать лишь MAC адрес уже подключенного клиента. Зная адрес, выполните:

ifconfig wlan0 down

ifconfig wlan0 hw ether 00:cc:cc:cc:cc:cc

ifconfig wlan0 up

Далее необходимо дождаться пока легитимный клиент отключится, и тогда подключиться, либо использовать атаку деаутентификации на легитимного клиента.

Алгоритм шифрования используемый WEP еще в начале этого века был взломан, и после этого уже несколько раз в нём находились еще большие уязвимости, позволяющие восстанавливать ключ шифрования еще быстрее. Первая программа, осуществляющая взлом WEP ключа, называлась airsnort и могла это сделать, перехватив 8-10 миллионов пакетов. Позже, aircrack-ng это позволяла сделать в 10 раз быстрее. А в 2005 году с приходом aircrack-ptw необходимое количество пакетов уменьшилось до 20-80 тысяч, в зависимости от длины ключа.

Для того, чтобы не ждать, пока адаптер перехватит 80 000 пакетов, мы будем эти пакеты генерировать сами. И самый лучший для этой цели пакет — ARP. Его можна добыть несколькими способами. Но начнем мы с фальшивой аутентификации, без которой точка доступа будет просто игнорировать наши отправляемые пакеты.

aireplay-ng wlan0 -1 4000 -a 00:aa:aa:aa:aa:aa

И запускаем Airodump-ng, чтоб сохранять пакеты:

airodump-ng wlan0 -c 6 -w save, где 6 — канал сети, save — сохранение

Далее самый простой способ:

aireplay-ng wlan0 -3 -a 00:aa:aa:aa:aa:aa

В этом случае адаптер ловит пакеты и ожидает ARP пакеты. Когда же он появится программа, автоматически начинает его ретранслировать, генерируя новые пакеты, необходимые нам для взлома ключа. После этого запускаете программу:

aircrack-ng save-*.cap

и ждете пока она вам не выдаст ключ сети.

Так же можно самим создать этот ARP пакет. Для этого нам понадобится поток ключа (keystream). Достать его можно двумя способами. Первый — chop-chop атака, более медленная но срабатывает чаще.

aireplay-ng wlan0 -4 -b 00:aa:aa:aa:aa:aa

Вскоре программа перехватит пакет и, если его размер больше 56 байт, можете нажимать 'y'. Через некоторое время поток будет добыт и сохранен в replay_dec-*.xor. Если же программа выдала ошибку, попробуйте запустить её так:

aireplay-ng wlan0 -4 -b 00:aa:aa:aa:aa:aa -h 00:ff:ff:ff:ff:ff

И обязательно перед этим запустите фальшивую аутентификацию.

Другой вариант — фрагментационная атака. Она значительно быстрее, но работает не на всех точках доступа.

aireplay-ng wlan0 -5 -b 00:aa:aa:aa:aa:aa

После успешного выполнения вы также получите файл fragment-*.xor

Далее, имея файл с потоком ключа, мы создаем пакет:

packetforge-ng -0 -a 00:aa:aa:aa:aa:aa -h 00:ff:ff:ff:ff:ff -k 255.255.255.255 -l 255.255.255.255 -y <файл с потоком> -w arp, где arp — файл для сохранения пакета.

Теперь постоянно будем отправлять этот пакет:

aireplay-ng wlan0 -2 -r arp

 

И также, как и в первом варианте, запускаем aircrack-ng и ожидаем вывода ключа сети.

Суть атаки на алгоритм WPA — в переборе всех возможных комбинаций ключа до его определения. Метод гарантирует успех, но если ключ достаточно длинный и не находиться в словарях, то можно считать себя защищенным от этой атаки. Зато, таким образом взламываются как wpa-tkip так и wpa2-ccmp сети, но лишь в PSK режиме. Эта атака встроена в пакет aircrack-ng.

Сначала нужно перехватить аутентификацию клиента, чтобы на основании ее уже восстанавливать основной ключ. Это проще всего сделать запустив airodump-ng и дождавшись аутентификации, либо запустив атаку деаутентификации (aireplay-ng -0 <количество деаутентификаций>).

Через некоторое время, airodump-ng покажет, что аутентификация уловлена и записана в файл. После этого, нужно лишь запустить aircrack-ng <файл аутентификации> и ждать. Ускорить процесс можно используя большой словарь с часто используемыми словами. Еще убыстрить процесс поможет использование специализированных микроконтроллеров или видеокарт. Без этого перебор всех возможных ключей займет слишком много времени.

 

Первые 3 метода имеют уязвимости и легко обходятся, так что даже комбинация SSID cloaking + Mac filtering +WEP займет у злоумышленника больше времени, но в итоге своего он добьется. Поэтому  рекомендуется использовать исключительно WPA2 с длинными ключами в случае PSK и надежной системой внешней аутентификации в случае WPA2-Enterprise. Остальные методы не предоставляют достаточного уровня безопасности.

Литература

1.     Дэвис Дж. Создание защищенных беспроводных сетей 802.11 в Microsoft Windows: справочник профессионала. Серия «Справочник профессионала»: пер. С англ. - М.: Издательство «ЭКОМ», 2006. - 400 с.

2.     Aircrack-ng, Main documentation, http://www.aircrack-ng.org/documentation.html

3.     Пахомов Сергей, Афанасьев Максим. Беспроводные сети: ломаем, чтобы защищать / Компьютер Пресс. 06.2008.