ZABEZPEČENÍ BEZDRÁTOVÝCH SÍTÍ IEEE

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY FAKULTA ELEKTROTECHNIKY A KOMUNIKAČNÍCH TECHNOLOGIÍ ÚSTAV TELEKOMUNIKACÍ FACULTY OF ELECTRICAL ENGINEERING AND COMMUNICATION DEPARTMENT OF TELECOMMUNICATIONS ZABEZPEČENÍ BEZDRÁTOVÝCH SÍTÍ IEEE 802.11 SECURITY OF WIRELESS COMPUTER NETWORKS IEEE 802.11 DIPLOMOVÁ PRÁCE MASTER'S THESIS AUTOR PRÁCE AUTHOR VEDOUCÍ PRÁCE SUPERVISOR Bc. JAROSLAV ŠKODÁK Ing. MARTIN KOUTNÝ BRNO 2008

LICENČNÍ SMLOUVA POSKYTOVANÁ K VÝKONU PRÁVA UŽÍT ŠKOLNÍ DÍLO uzavřená mezi smluvními stranami: 1. Pan/paní Jméno a příjmení: Bc. Jaroslav Škodák Bytem: Kavalcova 1, 79201, Bruntál Narozen/a (datum a místo): 5.6.1983, Bruntál (dále jen autor ) a 2. Vysoké učení technické v Brně Fakulta elektrotechniky a komunikačních technologií se sídlem Údolní 244/53, 602 00, Brno jejímž jménem jedná na základě písemného pověření děkanem fakulty: prof. Ing. Kamil Vrba, CSc. (dále jen nabyvatel ) Čl. 1 Specifikace školního díla 1. Předmětem této smlouvy je vysokoškolská kvalifikační práce (VŠKP): disertační práce diplomová práce bakalářská práce jiná práce, jejíž druh je specifikován jako... (dále jen VŠKP nebo dílo) Název VŠKP: Zabezpečení bezdrátových sítí IEEE 802.11 Vedoucí/ školitel VŠKP: Ústav: Datum obhajoby VŠKP: Ing. Martin Koutný Ústav telekomunikací VŠKP odevzdal autor nabyvateli v * : tištěné formě počet exemplářů 2 elektronické formě počet exemplářů 2 * hodící se zaškrtněte

2. Autor prohlašuje, že vytvořil samostatnou vlastní tvůrčí činností dílo shora popsané a specifikované. Autor dále prohlašuje, že při zpracovávání díla se sám nedostal do rozporu s autorským zákonem a předpisy souvisejícími a že je dílo dílem původním. 3. Dílo je chráněno jako dílo dle autorského zákona v platném znění. 4. Autor potvrzuje, že listinná a elektronická verze díla je identická. Článek 2 Udělení licenčního oprávnění 1. Autor touto smlouvou poskytuje nabyvateli oprávnění (licenci) k výkonu práva uvedené dílo nevýdělečně užít, archivovat a zpřístupnit ke studijním, výukovým a výzkumným účelům včetně pořizovaní výpisů, opisů a rozmnoženin. 2. Licence je poskytována celosvětově, pro celou dobu trvání autorských a majetkových práv k dílu. 3. Autor souhlasí se zveřejněním díla v databázi přístupné v mezinárodní síti ihned po uzavření této smlouvy 1 rok po uzavření této smlouvy 3 roky po uzavření této smlouvy 5 let po uzavření této smlouvy 10 let po uzavření této smlouvy (z důvodu utajení v něm obsažených informací) 4. Nevýdělečné zveřejňování díla nabyvatelem v souladu s ustanovením 47b zákona č. 111/ 1998 Sb., v platném znění, nevyžaduje licenci a nabyvatel je k němu povinen a oprávněn ze zákona. Článek 3 Závěrečná ustanovení 1. Smlouva je sepsána ve třech vyhotoveních s platností originálu, přičemž po jednom vyhotovení obdrží autor a nabyvatel, další vyhotovení je vloženo do VŠKP. 2. Vztahy mezi smluvními stranami vzniklé a neupravené touto smlouvou se řídí autorským zákonem, občanským zákoníkem, vysokoškolským zákonem, zákonem o archivnictví, v platném znění a popř. dalšími právními předpisy. 3. Licenční smlouva byla uzavřena na základě svobodné a pravé vůle smluvních stran, s plným porozuměním jejímu textu i důsledkům, nikoliv v tísni a za nápadně nevýhodných podmínek. 4. Licenční smlouva nabývá platnosti a účinnosti dnem jejího podpisu oběma smluvními stranami. V Brně dne:... Nabyvatel Autor

ANOTACE Tato práce popisuje dostupné a používané standardy, protokoly a mechanizmy sloužící k zabezpečení bezdrátových sítí IEEE 802.11. V další části jsou uvedeny slabá místa a možné útoky proti jednotlivým typům zabezpečení. Pomocí software a především linuxového programu aircrack-ng jsou realizovány a popsány principy jednotlivých útoků na autentizaci, zabezpečení WEP a WPA/WPA2 personal mode. U zabezpečení WEP je získáno heslo pasivním odposlechem dat, pomocí injektování ARP rámců a vytvářením vlastních rámců. Poslední dvě metody slouží ke generování provozu na síti, který je zachycen a poté použit k odvození WEP hesla. Bylo-li provedeno injektování APR rámců, heslo bylo nalezeno do počtu 60 000 zachycených rámců. Při pasivní metodě bylo zapotřebí cca 180 000 datových rámců. Pomocí útoků fragment a KoreK chopchop bylo provedeno také dešifrování WEP rámce a tento rámec bylo možné poté použít k vytvoření falešného rámce a k získání WEP hesla. U zabezpečení WPA (WPA2) personal mode (díky často nedostatečně silnému heslu) byl proveden útok hrubou silou, porovnáváním hesla (passphrase) z námi připraveného seznamu hesel, rychlostí cca 200 hesel/s. Klíčová slova: 802.11, bezpečnost, Wi-Fi, WEP, WPA, WPA2, TKIP, CCMP, 802.11i, 802.1X, aircrack-ng.

ABSTRACT This work describes available and used standards, protocols and mechanisms used to secure IEEE 802.11 wireless networks. In the next section are listed vulnerabilities and possible attacks against different types of security. The principles of individual attacks on authentication, WEP security and WPA/WPA2 personal mode are described and realized using various software especially linux program aircrack-ng. Password for WEP security is obtained by passive eavesdropping data, using ARP replay injection and by creating own frames. The last two methods are used to generate traffic on the network, which is captured and then used to derive the WEP password. By injecting ARP frames, password was found in the number 60 000 captured frames and about 180 000 frames of data was needed for passive method. Decryption of WEP frame was done by fragment and KoreK chopchop attacks. This decrypted frame could be used to create fake frames and obtain WEP password. Brute force attack is realized for security WPA (WPA2) personal mode (often due to lack of strong password) by comparing password (passphrase) from password list. Speed of comparing is about 200 passwords/s. Keywords: 802.11, security, Wi-Fi, WEP, WPA, WPA2, TKIP, CCMP, 802.11i, 802.1X, aircrack-ng.

PROHLÁŠENÍ Prohlašuji, že svou diplomovou práci na téma "Zabezpečení bezdrátových sítí IEEE 802.11" jsem vypracoval samostatně pod vedením vedoucího diplomové práce a s použitím odborné literatury a dalších informačních zdrojů, které jsou všechny citovány v práci a uvedeny v seznamu literatury na konci práce. Jako autor uvedené diplomové práce dále prohlašuji, že v souvislosti s vytvořením této diplomové práce jsem neporušil autorská práva třetích osob, zejména jsem nezasáhl nedovoleným způsobem do cizích autorských práv osobnostních a jsem si plně vědom následků porušení ustanovení 11 a následujících autorského zákona č. 121/2000 Sb., včetně možných trestněprávních důsledků vyplývajících z ustanovení 152 trestního zákona č. 140/1961 Sb. V Brně dne... (podpis autora)

PODĚKOVÁNÍ Děkuji vedoucímu diplomové práce Ing. Martinu Koutnému, za jeho čas, připomínky, zájem a užitečnou metodickou pomoc a cenné rady při zpracování diplomové práce. V Brně dne.. (podpis autora)

Abecední přehled použitých zkratek, veličin a symbolů 802.11 Standard s dalšími doplňky pro bezdrátové sítě 802.1X Port Based Network Access Kontrol; standard organizace IEEE pro řízení přístupu k síti povolující nebo zakazující jednotlivé porty AAD Additional Authentication Data; doplňkové autentizační data vytvořené z informací MPDU hlavičky ACK Acknowledgement; potvrzení, kterým příjemce potvrzuje odesílateli přijetí AES Advanced Encryption Standard; bloková šifra s klíčem 128, 192 nebo 256 bitů, velikost bloku je 128 bitů AP Access point; přístupový bod v bezdrátové síti ARP Address Resoluton Protocol; protokol sloužící k překladu IP adresy na MAC adresu b bit; dvojková číslice B Byte; Bajt; skupina 8 bitů BSS Basic Service Set; část sítě obsahující koncové stanice, spojením stanic vznikne IBSS BSSID Basic Service Set Identifier; identifikuje přístupový bod, MAC adresa bezdrátového rozhraní v Master modu CBC-MAC Cipher Block Chaining Message Authentication Check; algoritmus pro integritu dat používaný v protokolu CCMP CCMP Counter-Mode/Cipher Block Chaining Message Authentication Code Protocol; šifrovací protokol zabezpečení WPA2 CRC Cycle Redundancy Check; cyklický kontrolní součet zabezpečující data proti chybám CRC-32 Cycle Redundancy Check; cyklický 32-bitový kontrolní součet zabezpečující data proti chybám CSMA/CA Carrier Sense Multiple Access with Collision Avoidance; metoda s vícenásobným přístupem a nasloucháním nosné DCF Distributed Coordination Function; jeden z módů komunikace v bezdrátových sítích DHCP Dynamic Host Configuration Protocol; protokol pro automatické přidělování IP adres DIFS Distributed Coordination Function InterFrame Space; jedna z délek mezirámcových mezer; interval kdy stanice čeká, po tom co zjistila že kanál je volný, pro data s nejnižší prioritou DoS Denial of Service; jeden z typů útoků; způsobuje nedostupnost DS dané služby, typicky síťového připojení Distribution System; Distribuční systém, který umožní propojení více IBSS do jedné sítě DSSS Direct Sequence Spread Spektrum; technika přímého rozprostřeného spektra

EAP Extended Authentication Protocol; rámec pro různé autentizační metody EAPoL Extensible Authentication Protokol over LAN; protokol používaný pro přenos EAP EAP-TLS Extended Authentication Protocol-Transport Layer Security; autentizační mechanismus, kromě autentizace podporuje i odvození klíčů ESS Extended Service Set; bezdrátová síť velkých rozměrů, propojením BSS pomocí DS může vznikne ESS ESSID Extended Service Set Identifier; identifikační jméno bezdrátového přístupového bodu FC Frame Control; řídící rámec; pole v rámci standardu 802.11 FCS Frame Check Sequence; kontrolní součet rámce proti chybám FHSS Frequency Hopping Spread Spektrum; rozprostřené spektrum s přeskakováním mezi frekvencemi, nejnižší úroveň zabezpečení, GTK HMAC Group Transient Key; skupinový dočasný klíč Hash Message Authentication Code; ověřování zpráv založeném na výpočtu použitého algoritmu HMAC-MD5 Hash Message Authentication Code; ověřování zpráv založeném na výpočtu MD5 algoritmu HMAC-SHA1 Hash Message Authentication Code-Secure Hash Algorithm; jednocestný hashovaní algoritmus HW Hardware; fyzické technické vybavení počítače IBSS Independent Basic Service Set; spojení dvou nebo více osobních počítačů bez přístupového bodu, jeden z typů bezdrátové sítě ICMP Internet Control Message Protocol; protokol pro odesílání chybových zpráv ICV Integrity Check Value; čtyři bajty dlouhý kontrolní součet WEP paketu IDS Intrusion Detecting System; detekční systém k ochraně počítačových sítí IEEE Institute of Electrical and Electronics Engineers IFS InterFrame Space; mechanizmus pro obranu proti kolizím, vkládá mezery mezi vysílanými rámci IP Internet Protocol; datový protokol pro přenos dat v paketových sítích IPsec Internet Protokol security; bezpečnostní rozšíření IP protokolu ISO/OSI Referenční síťový model IV Initialization vector; inicializační vektor používaný ve standardu WEP KCK Key Confirmation Key; potvrzovací klíč, klíč používaný k výpočtu integrity dat handshake zpráv u WPA/WPA2 KEK Key Encryption Key; šifrovací klč pro handshake zprávy KSA LAN WPA/WPA2 Key Scheduling Algorithm; algoritmus, část šifry RC4 Local Area Network; místní lokální síť

LEAP Lightweight EAP; firemní Cisco autentizační metoda na základě uživatelského jména a hesla prostřednictvím serveru Radius MAC Media Access Control; podvrstva linkové vrstvy MD5 Message-Digest algorithm 5; algoritmus vytvářející otisk o velikosti 128 bitů MIC Message Integrity Code; kontrolní mechanismus pro šifrování a integritu dat MIMO Multiple Input Multiple Output; technologie využívající více vysílacích a přijímacích antén minipci mini Peripheral Component Interconnect; standard počítačové sběrnice pro připojení periferních zařízení MITM Man In The Modele; typ útoku, tzv. muž uprostřed MK Master Key; klíč vygenerovaný během autentizace, který zná klient a autentizační server MPDU MAC Protocol Data Unit; fragmentovaný rámec MSDU MSDU MAC Service Data Unit; jednotka dat, rámec NAV Net Allocation Vector; vektor obsazení kanálu, který určuje na jak dlouho je kanál obsazen OFDM Orthogonal Frequency Division Multiplexing; přenosová technika pracující s tzv. rozprostřeným spektrem OS Operační Systém PBKDF2 Password-based Cryptography Standard; standard (funkce) pomocí které se generuje Passphrase u WPA/WPA2 PCF Point Coordination Function; jeden z módů komunikace v bezdrátových sítích PCI Peripheral Component Interconnect; počítačová sběrnice pro připojení periferií k základní desce PCMCIA Personal Computer Memory Card International Association; rozšiřující slot, vyskytující se především v přenosných počitačích PDU Protokol Data Unit; datová jednotka daného protokolu PEAP Protected Extensible Authentication Protocol; autentizace klientů probíhá zabezpečeným kanálem, tunelem PIFS Point InterFrame Space; jedna z délek mezirámcových mezer, pro data se střední prioritou PLCP Physical Layer Convergence Protocol; protokol konvergence fyzické vrstvy PMK Pairwise Master Key; klíč, ze kterého se pro každého klienta u WPA/WPA2 odvodí individuální klíče PN Packet Numer; pořadové číslo paketu použité v protokolu CCMP PRGA Pseudo Random Generation Algorithm; algoritmus, část šifry RC4 PSK Pre-Shared Key; klíč odvozený z passphrase WPA/WPA2, používá se jako PMK PTK Pairwise Transient Key; individuální klíč každého klienta u WPA/WPA2 QoS Quality of Service; zajištění kvality služeb Radius Remote Authentication Dial In User Service, autentizační server

RC4 RSN RTS/CTS SA SFD SIFS SNAP SSID SW TA TCP TK TKIP TMK1 TMK2 TSC UDP USB VPN WEP Wi-Fi WPA WPA2 XOR Typ použitého algoritmu např. v protokolu WEP Robust Security Network; část 802.11i autentizace a šifrovacích algoritmů, někdy označováno jako WPA2 Request To Send / Clear To Send; metoda řízení provozu Wi-Fi sítí Source Adres; zdrojová adresa Start Frame Delimiter; skupina bitů oddělující preambuli rámce a hlavičku rámce Short InterFrame Space; jedna z délek mezirámcových mezer, pro data s nejvyšší prioritou SubNetwork Access Protocol; protokol pro multiplexování Service Set Identifier; textový identifikátor bezdrátové sítě, přístupového bodu Software; data a programy pro počítač Transmitterr Address; adresa vysílače Transmission Control Protocol; jeden ze sady protokolů internetu Temporary key; dočasný šifrovací klíč Temporal Key Integrity Protocol; šifrovací protokol WPA, používá RC4 Dočasný klíč TKIP protokolu; použit při výpočtu zabezpečovací MIC sekvence paketů určených pro klienta Dočasný klíč TKIP protokolu; použit pro pakety určené pro přístupový bod TKIP Sequence Counter; sekvenční čítač přebírající ůlohu náhodných inicializačních vektorů User Datagram Protocol; jeden ze sady protokolů internetu Universal Serial Bus; univerzální sériová sběrnice, způsob připojení periférií k počítači Virtual Private Network; virtuální privátní síť Wired Equivalent Privacy; původní zabezpečení bezdrátových sítí Wireless Fidelity; označení a logo udělované výrobkům pracujícím podle standardu 802.11a/b/g, které jsou mezi sebou vzájemně propojitelné Wi-Fi Protected Access; nové zabezpečení bezdrátových sítí Wi-Fi Protected Access 2; nové zabezpečení bezdrátových sítí následovník WPA Logická bitová funkce

OBSAH 1 Úvod...16 2 Standard IEEE 802.11...17 2.1 Jednotlivé nejznámější doplňky k IEEE 802.11...17 2.2 Struktura sítí IEEE 802.11...19 2.2.1 Ad-hoc režim (Ad-Hoc mode)...19 2.2.2 Infrastrukturní režim (Infrastructure Mode)...19 2.2.3 BSS (Basic Service Set)...19 2.2.4 DS (Distribution System)...19 2.2.5 ESS (Extended Service Set)...20 2.3 Fyzická vrstva 802.11...20 2.3.1 FHSS (Frequency Hopping Spread Spectrum)...20 2.3.2 DSSS (Direct Sequence Spread Spektrum)...20 2.3.3 OFDM (Orthogonal Frequency Division Multiplexing)...20 2.4 Linková vrstva 802.11...21 2.4.1 DCF (Distributed Coordination Function)...21 2.4.2 PCF (Point Coordination Function)...21 2.4.3 Metoda DCF RTS/CTS (problém skrytého uzlu)...21 2.4.4 Fragmentace rámců...22 2.5 Formát rámce IEEE 802.11...22 3 Autentizace a asociace v IEEE 802.11...25 3.1 Připojení klienta k AP...25 3.1.1 Open autentizace...25 3.1.2 Shared autentizace...25 3.1.3 Asociace...25 4 Wired Equivalent Privacy (WEP)...27 4.1 Algoritmus RC4...27 4.2 WEP (de)šifrování...28 4.2.1 WEP rámec...28 4.2.2 Šifrování WEP paketu...28 4.2.3 Dešifrování paketu...29 4.3 Wired Equivalent Privacy Plus (WEP+)...29 5 Wi-Fi Protected Access (WPA/WPA2)...30 5.1 Výběr zabezpečení...31 5.2 IEEE 802.1X řízení přístupu...31 5.2.1 Typy EAP autentizačních mechanismů...32 5.3 Management (výměna) klíčů...33 5.3.1 4 - way handshake...35 5.4 Šifrování a integrita dat...36

5.4.1 MIC (Message Integrity Check)...36 5.4.2 Ochrana proti opakování paketu...36 5.4.3 Protokol TKIP (Temporal Key Integrity Protocol)...36 5.4.4 Protokol CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol)...38 6 Útoky na zabezpečení 802.11...39 6.1 Útok pomocí XOR...39 6.2 Odchytávání a analýza přenosu...39 6.2.1 SSID (Service Set Identifier)...39 6.2.2 Autentizace...40 6.3 Narušení dostupnosti...40 6.3.1 Duration...40 6.3.2 Zahlcení sítě (Access Pointu)...40 6.3.3 Deasociační a deautentizační útoky...40 6.4 Manipulace s daty...41 6.4.1 Modifikace dat (útok na integritu)...41 6.4.1.1 Přesměrování paketů pomocí změny IP adresy...41 6.4.2 Injektování dat (packet injection)...41 6.4.3 Duplikace dat...42 6.4.4 Zničení dat...42 6.5 Maskování...42 6.5.1 Narušení autentizace...42 6.5.2 Kontrola přístupu...42 7 Útoky na WEP protokol...44 7.1 Kolize inicializačního vektoru...44 7.2 Získání WEP klíče hrubou silou (brute-force attack)...44 7.3 Slovníkový útok...44 7.4 Statistické útoky...45 8 Útoky na sítě se zabezpečením WPA/WPA2...46 8.1 Popis útoku na zabezpečení WPA/WPA2 - PSK (mód se sdíleným klíčem)...46 8.1.1 Dešifrování paketů...47 8.2 Útoky na autentizační schémata 802.11i...47 8.2.1 Útok na EAP-MD5 a LEAP...47 8.2.2 Získání PMK klíče během doručení...48 9 Analýza výběru HW a SW k sledování, analýze a prolomení slabých míst standardu 802.11...49 9.1 Podmínky při testování...50 9.1.1 Použitý hardware...51 9.2.2 Použitý software a ovladače...52 9.2.3 Program aircrack-ng...52

10 Realizace...53 10.1 MAC filtering...53 10.2 Deautentizace a deasociace...54 10.2.1 Deautentizace, odhalení skrytého ESSID...54 10.2.2 Deasociace uživatele...55 10.3 Útoky na WEP zabezpečení...56 10.3.1 Pasivní útok na WEP...56 10.3.1.1 Získání 40-bit WEP hesla...56 10.3.1.2 Získání 104-bit WEP hesla...60 10.3.2 Aktivní útok na WEP...60 10.3.2.1 ARP Interactive packet replay...60 10.3.2.2 KoreK chopchop útok...62 10.3.2.3 Fragment útok...66 10.3.3 Vytvoření rámce 802.11...68 10.4 Realizace útoku na zabezpečení WPA/WPA2 - PSK...69 11 Metody vylepšující zabezpečení v bezdrátových sítích...73 11.1 WEP protokol...73 11.2 Protokol WPA/WPA2...74 12 Závěr...75 Seznam literatury a použitých zdrojů A Obsah přiložených souborů na CD

1 Úvod V posledních letech se velmi rozšířilo používání bezdrátových zařízení používající normy IEEE 802.11. Jedním z příčin rozšíření jsou výhody jako mobilita, dosažitelnost, úspora instalace kabelových a optických rozvodů, volný pohyb, přizpůsobitelnost. Jelikož bezdrátové zařízení pracují v tzv. svobodném frekvenčním pásmu, dochází k rušení signálu ostatními zařízeními (bezdrátové kamery a telefony, mikrovlnné trouby atd.). Kvalita signálu mezi přijímačem a vysílačem závisí také na různých překážkách (stromy, budovy) a povětrnostních vlivech. Rozmachem těchto bezdrátových sítí rostou rizika jejich zneužívání a je potřeba dbát na zabezpečení sítí proti neautorizovanému použití. Bezdrátové sítě poskytují útočníkovy nové cesty jak se dostat k citlivým informacím a manipulovat s nimi, jelikož bezdrátový signál nelze uchopit a fyzicky jej chránit. Všechno úsilí věnované zabezpečení sítě může přijít nazmar, protože zde platí, že bezpečnost celé sítě je tak slabá jako je nejslabší její prvek či část. Mezi rizika patří např. odposlechnutí dat (jedna z hlavních výhod bezdrátových technologií se zároveň stala její největší slabinou) a prolomení šifrování. Nejčastějším způsobem zneužívání bezdrátových sítí je neoprávněné využívání přístupu k internetu přes nechráněnou síť. Ve firmách je např. velkým nebezpečím možná ztráta citlivých dat, do které získá útočník přístup. Jestliže je objevena nová metoda zranitelnosti nebo prolomení bezdrátové sítě či protokolu, jsou obratem navrženy nové metody, algoritmy a šifry, které tento problém opravují. Avšak čas potřebný k implementaci nového systému ochrany (hardware či software) může útočník mezitím využít ve svůj prospěch. Je proto vhodné používat co možná nejlepší bezpečnostní mechanizmy. Diplomová práce se zabývá těmito bezpečnostními mechanizmy a standardy IEEE 802.11. Nejprve jsou v teoretické části uvedeny informace o bezdrátových sítích, jejich specifikace, struktura a doplňky. Je rozebrána fyzická a linková vrstva tohoto standardu, autentizace, formát vysílaného rámce, popis zabezpečení WEP/WPA/WPA2, generování a výměna klíčů, integrita dat, šifrování a s tím související objasnění některých pojmů jako: TKIP, AES,CCMP, 802.1X, 802.11i. Druhá část práce (kapitola 6, 7, 8) obsahuje analýzu bezpečnostních standardů bezdrátových sítí, popisuje teoretické možnosti útoku a jejich slabá místa napadnutelná útočníky. V třetí části (kapitola 10) jsou popsány principy jednotlivých útoků a prakticky realizovány různé útoky na napadnutelná místa v jednotlivých bezpečnostních protokolech standardu 802.11. K realizaci útoku je používán především linuxový program aircrack-ng. K plnému využití programu je potřeba disponovat vhodným SW a HW, který je uveden v kapitole 9. Na závěr jsou dle zjištěných výsledků shrnuty obecná doporučení, opatření a zásady pro zabezpečení bezdrátových sítí. 16

2 Standard IEEE 802.11 Pracovní skupina pro standard 802.11 byla v rámci organizace IEEE založena v roce 1990. První standard byl vytvořen v roce 1997 a nazývá se IEEE 802.11. Obsahuje tři fyzické vrstvy a MAC vrstvu (Media Acces Control) vrstvu pro bezdrátovou síť v pásmu 2,4 GHz (2400-2483,5 MHz) o rychlostech 1Mbit/s nebo 2 Mbit/s. Na fyzické vrstvě byly definovány dvě metody přenosu radiového signálu: radiový přenos s použitím metody DSSS, radiový přenos metodou FHSS a infračervený přenos [1]. Na druhé vrstvě jsou definovány služby: autentizace a deautentizace, asociace, deasasociace a reasociace, doručování MSDU (MAC service data unit) atd. Na linkové vrstvě je pak dále definován především přístup k fyzickému médiu metodou CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance), fragmentace MSDU a řízení provozu metodou RTS/CTS (Request To Send / Clear To Send). Protože však časem vznikaly další nároky na vylepšení tohoto standardu, vytvářely se další podskupiny IEEE 802.11. Tyto podskupiny jsou označované písmeny, které se přidávají za číslo standardu 802.11. 2.1 Jednotlivé nejznámější doplňky k IEEE 802.11 Zde je uveden popis nejpoužívanějších standardů IEEE 802.11 z nichž je nejznámější 802.11a/b/g. Popis ostatních standardů lze nalézt např. v [2]. IEEE 802.11a Používá pásmo 5Ghz a modulaci OFDM. Oproti standardu 802.11b/ g je standard stabilnější a obsahuje některá vylepšení. Má větší povolený vyzařovací výkon oproti 802.11b/g, tím ho lze používat na delší vzdálenosti. IEEE 802.11b Většina parametrů, včetně používaného frekvenčního pásma, je shodná s původní definicí 802.11, určena pro vyšší přenosové rychlosti. Doplněk specifikuje, že podle momentálního rušení prostředí se dynamicky mění rychlost: 11 Mbit/s, 5,5 Mbit/s, 2 Mbit/s či 1 Mbit/s. IEEE 802.11c Slouží k přemosťování v bezdrátových zařízeních. Jde o standard doplňující standard IEEE 802.11d, který přidává požadavky na přemosťování MAC (Media Access Control), což je podvrstva linkové vrstvy. 17

IEEE 802.11d Standard je používaný v zemích, kde nejsou povoleny jiné dodatky k IEEE 802.11 standardu. Definuje požadavky na fyzickou vrstvu k uspokojení regulačních domén nepokrytých existujícími standardy. Liší se v povolených frekvencích, vyzařovacích výkonech a propustnosti signálu. IEEE 802.11e Vylepšujíce MAC podvrstvu linkové vrstvy pomocí podpory kvalitu služeb QoS (Quality of Service). Standard je důležitý pro aplikace citlivé na zpoždění: přenos hlasu přes bezdrátové sítě a multimédia. IEEE 802.11g Standard rozšiřující IEEE 802.11b, je s ním zpětně kompatibilní. Vysílá ve stejném frekvenčním pásmu 2400-2485 MHz, ale maximální rychlost je 54 Mbit/s. Použité modulační schéma je OFDM pro rychlosti 6, 9, 12, 18, 24, 36, 48 a 54 Mbit/s a pro rychlosti: 1, 2, 5.5 a 11 Mbit/s je použito stejné schéma jako ve standardu IEEE 802.11b. Vysílací výkon je snížen oproti IEEE 802.11b z 200 mw na 65 mw. IEEE 802.11h Je navržen pro využívání sítě i mimo budovy. Řeší problémy rušení od ostatních zařízení pracujících na frekvenci 5 GHz. Na tomto pásmu pracují například radary nebo některé satelitní systémy. Bezdrátové zařízení v případě, že detekovaly rušení, omezí vysílací výkon nebo uvolní kanál, na kterém toto rušení rozpoznaly. Dynamickým výběrem kanálu přináší také lepší pokrytí jednotlivých kanálů. Tento standard upravuje fyzickou vrstvu a MAC podvrstvu. IEEE 802.11n Standard, který upravuje fyzickou vrstvu a podčást linkové vrstvy MAC tak, aby bylo dosaženo reálných rychlostí přes 100 Mbit/s. Maximální rychlost může být až 540 Mbit/s. Zvýšení rychlosti se dosahuje použitím MIMO (Multiple Input Multiple Output) technologie, která využívá více vysílacích a přijímacích antén. Prvotní datový tok se rozdělí na více toků a následně se odesílá přes dvě či více antén. Takovéto spojení už je možno použít i pro náročnější multimediální aplikace, pro které stávající standardy 802.11 a/b/g nedostačují. 18

Standard Rok vydání Pásmo [GHz] Maximální rychlost [Mbit/s] Fyzická vrstva IEEE 802.11 1997 5 54 OFDM IEEE 802.11a 1999 5 54 OFDM IEEE 802.11b 1999 2,4 11 DSSS IEEE 802.11g 2003 2,4 54 OFDM IEEE 802.11n 2007 2,4 nebo 5 540 MIMO Tab. 2.1: Přehled nejpoužívanějších standardů 802.11 Typické rychlosti jednotlivých standardů (tab. 2.1) jsou zhruba poloviční oproti jejich teoretickým maximům kvůli obrovské režii protokolu používaného pro přístup ke sdílenému médiu, kdy každý paket čeká na samostatné potvrzení. Přenosová rychlost je také závislá na způsobu modulace ve fyzické vrstvě, rychlost se dynamicky mění podle kvality přijímaného signálu (horší signál = nižší rychlost). 2.2 Struktura sítí IEEE 802.11 Standard 802.11 definuje protokol pro dva typy sítí [3]: Ad-Hoc mode, infrastrukture mode. 2.2.1 Ad-hoc režim (Ad-Hoc mode) Jednoduchá síť, ve které klientské stanice komunikují přímo bez využití přístupových bodů - access pointu (dále jen AP). Někdy se označuje jako sít IBSS (Independent Basic Service Set). 2.2.2 Infrastrukturní režim (Infrastructure Mode) Síť využívá AP, které zajišťují přenos dat mezi mobilními stanicemi navzájem a také mezi stanicemi a pevnou nebo bezdrátovou páteřní sítí. AP také řídí provoz, obstarává plynulý přechod stanice mezi buňkami sítě (handover). Bezdrátovou síť lze také rozdělit dle jejich funkčnosti na BSS, DS a ESS, viz. níže. 2.2.3 BSS (Basic Service Set) BSS (Basic Service Set) je základem bezdrátové sítě. Je to část sítě obsahující koncové stanice. Propojením jednotlivých stanic v rámci BSS vznikne IBSS (Independent BSS). Stanice mezi sebou komunikují přímo. 2.2.4 DS (Distribution System) Propojením několika IBSS získáme distribuční systém. Vykonává přenos dat mezi BSS a spolupracuje např. na autentizaci a asociaci koncových stanic. 19

2.2.5 ESS (Extended Service Set) Bezdrátová síť větších rozměrů, která vznikne spojením více BSS pomocí distribučního systému. Celá síť (stanice) se chová na linkové vrstvě jako by byla připjena v BSS. 2.3 Fyzická vrstva 802.11 Na této vrstvě byla zavedena technika rozprostřeného spektra (spread spectrum), která komplikuje možnost rušení nebo odposlechnutí rádiově přenášených dat, tvoří tak nejnižší úroveň zabezpečení. Princip spočívá v použití více nosných vln, na které je modulován přenášený signál. Rozprostírání signálu do širokého spektra vede k nutnosti nárůstu objemu přenosu (vlastně jde o zavedení redundance) a tím k neefektivnímu využití přenosového pásma, ovšem výsledný přenos je mnohem odolnější vůči rušení. Je tak dána přednost spolehlivosti před výkonností. Existují tři typy rozprostřeného spektra [4]: 2.3.1 FHSS (Frequency Hopping Spread Spectrum) Rozprostřené spektrum s přeskakováním mezi frekvencemi. Signály přeskakují mezi řadou podkanálů pseudonáhodným způsobem, kterému rozumí vysílač i přijímač. Každý skok je tvořen krátkým shlukem dat a časová doba mezi skoky se nazývá prodleva. Pásmo je rozděleno do 79 kanálů (šířka 83,5 MHz) ve stejném pásmu může být provozováno maximálně 20 přístupových bodů. Velká odolnost vůči rušení, ale malé reálné přenosové rychlosti. 2.3.2 DSSS (Direct Sequence Spread Spektrum) Rozprostřené spektrum v přímé posloupnosti. Nedochází zde k žádným skokům mezi frekvencemi. Binární řetězec, nazývaný kód rozprostření, vytváří nadbytečné přenosy, čímž dochází ke zvýšení pravděpodobnosti, že data dorazí na přijímač nedotčená. Přijímací zařízení musí používat stejný kód rozprostření jako odesílatel. DSSS vyžaduje pásmo o šířce 22MHz (šířka mezi nosnými 30 MHz). Šířka celého bezlicenčního pásma 2,4 GHz je 83,5 MHz. Pak mohou být současně používány pouze tři nezávislé DSSS systémy. Mohou tedy v dané lokalitě pracovat bez vzájemného rušení pouze tři Wi-Fi sítě. 2.3.3 OFDM (Orthogonal Frequency Division Multiplexing) Ortogonální frekvenční multiplex. OFDM vysílá bity přes více podkanálů pracujících paralelně (ortogonálně) na různých frekvencích. Max. přenosová rychlost je 54 Mbit/s. Tento signál je mnohem větší, nešíří se ve více směrech, není nutná přímá viditelnost mezi komunikujícími stanicemi. 20

2.4 Linková vrstva 802.11 Standard 802.11 pro přístup k médiu (rádiovému kanálu) umožňuje 2 typy komunikace: DCF (Distributed Coordination Function) a PCF (Point Coordination Function) [4]. 2.4.1 DCF (Distributed Coordination Function) DCF komunikace je umožněna pomocí přístupové metody CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance). Tato metoda spočívá v tom, že stanice (která chce vysílat) poslouchá provoz v kanále. Je-li detekován provoz, stanice musí čekat. Je-li kanál volný, stanice generuje náhodný časový interval, který určuje, jak dlouho bude stanice ještě čekat než může začít vysílat. Nelze rozpoznat kolizi u bezdrátových technologií (stanice může v jednom okamžiku pouze vysílat nebo přijímat, ne obě věci současně), proto musí bezdrátové technologie kolizím předcházet. Mechanizmus pro obranu proti kolizím používá dvě techniky: vkládání mezery mezi vysílanými rámci IFS (InterFrame Space) a odklad vysílání. Interval DIFS (Distributed Coordination Function InterFrame Space) odpovídá době povinného čekání po zjištění volného vysílacího kanálu než může stanice začít sama vysílat. Pokud v této době začne vysílat jiná stanice, musí se vysílání odložit. Interval odkladu vysílání si každá stanice vybírá náhodně z intervalu mezi nulou a velikostí tzv. okna sváru. Velikost okna sváru se při každé kolizi zdvojnásobuje. Jakmile interval odkladu vyprchá a médium je volné, může stanice začít vysílat. 2.4.2 PCF (Point Coordination Function) Zvolí se zde řídící stanice, která přiděluje stanicím právo vysílat. V určitých vlastnostech je podobný protokolu Token Ring. Místo toho, aby si stanice předávaly peška, přístupový bod postupně vyzývá jednotlivé stanice odeslat jejich rámce. PCF je určeno pro synchronní přenosy, ale aplikuje se jen velmi zřídka. Metoda je vhodná pro aplikace blízké reálnému času (přenos videa, hlasu), navíc jí nelze využít v ad-hoc sítích. Obě metody (DCF a PCF) mohou být nasazeny společně díky tomu, že se periodicky mezi sebou vzájemně střídají. 2.4.3 Metoda DCF RTS/CTS (problém skrytého uzlu) Metoda CSMA/CA naráží na problém tzv. skrytého uzlu, kdy některé stanice v síti nejsou schopny detekovat vysílání všech ostatních stanic. To znamená, že stanice, které se neslyší mohou začít vysílat i v době, kdy skrytá stanice vysílá, což způsobí kolizi. Protože však stanice během vysílání nemůže kolizi rozpoznat, pokračuje ve vysílání až do konce rámce i když je to už zbytečné. Aby se tento problém skrytých uzlů vyřešil, používá se jako doplněk metoda DCF-RTS/CTS. 21

Využívá se dvou rámců, které se přenesou před vlastním přenosem aplikačních dat: RTS (Request To Send) - žádost o vysílání vyslaná stanicí, která chce vysílat, příjemci; zpráva obsahuje dobu vysílání datového rámce; CTS (Clear To Send) - zpráva odeslaná zpět žádající stanici; zpráva obsahuje povolení k vysílání a také obsahuje dobu vysílání datového rámce; zároveň je to upozornění všem ostatním stanicím, že se nemají pokoušet po určenou dobu o přístup k přenosovému kanálu; stanice si udržují vektor obsazení kanálu tzv. NAV (Net Allocation Vector), který určuje na jak dlouho je kanál obsazen; pokud nejsou zprávy RTS a CTS použity, je hodnota vektoru NAV určena polem doba přenosu v datových rámcích. Přístup ke sdílenému kanálu v sítích WLAN umožňuje zavést i prioritní mechanizmus pomocí různých délek mezirámcových mezer: SIFS (Short InterFrame Space) - pro data s nejvyšší prioritou, využívá se hlavně pro potvrzovací rámec ACK (ACKnowledgement); PIFS (Point InterFrame Space) - větší hodnota mezirámcové mezery, střední priorita; DIFS (Distributed Coordination Function InterFrame Space) - nejnižší priorita. Problém skrytého uzlu se vyskytuje ve velkých prostranstvích a při použití směrových antén. Touto metodou dochází k snížení celkové propustnosti sítě a metoda je efektivní pouze pro delší pakety. 2.4.4 Fragmentace rámců Namísto opakovaného vysílání jednoho velkého rámce, vysílač rozdělí rámec MSDU (MAC Service Data Unit) na několik menších fragmentů MPDU (MAC Protocol Data Unit) a pokud nastane kolize, opakuje vysílání jen malého fragmentu. Pokud je fragmentování provedeno na transportní vrstvě, opětovné složení dat je uskutečněno na cílové stanici. Při fragmentaci na linkové vrstvě musí data složit následující zařízení (nejčastěji AP). Vysílací stanice nemůže odeslat další fragment, dokud nedostane potvrzení ACK (ACKnowledgement), nebo dokud nerozhodne, že je nedoručitelný a zahodí celý rámec. 2.5 Formát rámce IEEE 802.11 Struktura 802.11 rámce se skládá ze čtyř částí: preambule, PLCP (Physical Layer Convergence Protocol) hlavičky, MAC rámce a CRC [1], [5]. Strukturu zobrazuje obrázek 2.1. 22

Obr. 2.1: Formát paketu 802.11 Preambule Je závislá na použité fyzické vrstvě a skládá se z: Synch - 80-bitová sekvence jedniček a nul, která slouží fyzické vrstvě k synchronizaci a k výběru správné antény (pokud má vysílač více antén); SFD (Start Frame Delimiter) - 16 bitů dlouhá stálá sekvence, označující začátek rámce. PLCP header Obsahuje informace pro fyzickou vrstvu, aby mohla dekódovat rámce: PLCP PDU Length Word - velikost rámce v bajtech; PLCP Signaling Field - udává přenosovou rychlost v násobcích v Mbit/s; Header Error Check Field - 16-bitový kontrolní součet hlavičky. CRC CRC (Cycle Redundancy Check) je 32-bitový kontrolní součet rámce. MAC rámec Hlavička rámce obsahuje následující položky: Version - nepoužito (má stále hodnotu 0); Type, Subtype - určuje typ paketu (control, management, data); ToDS, FromDS - dva bity indikující zda paket směřuje k nebo pochází od přístupového bodu; význam jen u datových paketů (jinak vždy 0); More Fragments - pokud následuje další fragment, má hodnotu 1 (podobné jako u IP hlavičky); Retry - pokud paket skončil kolizí má hodnotu 1; Power Management - stanice oznamuje AP, že přechází do úsporného režimu; 23

More Data - značí že AP má ve vyrovnávací paměti další pakety; WEP, Privacy - bit označující použití šifrování pomocí WEP (Wired Equivalent Privacy) algoritmu; Order - vysílač může změnit pořadí doručení paketů; Duration - indikuje jaký čas (v μs) potřebuje stanice přístup k médiu po skončení odeslání paketu (příjemce pak může odeslat potvrzení bez soutěže o rádiový kanál); přípustný interval je 0 až 32 767μs. Narozdíl od Ethernetu, většina 802.11 paketů obsahuje tři adresy: zdrojovou, cílovou a adresu BSSID (Basic Service Set Identifier). BSSID jednoznačně identifikuje přístupový bod (bezdrátovou síť), ke kterému je stanice asociována (MAC adresa). BSSID je alfanumerický řetězec maximální délky 32 znaků. Tyto tři adresy určují zdroj i cíl paketu a také přes které AP prochází. Ne všechny pakety obsahují všechny tři adresy, jelikož je vhodné minimalizovat velikost kontrolních a řídících paketů. Například potvrzení ACK obsahuje jen adresu příjemce, protože se potvrzuje vždy poslední poslaný paket. IEEE 802.11 používá u kontrolních a řídících paketů jiné označení: místo názvu cílová adresa (destination), je použita adresa příjemce (receiver) a místo zdrojové adresy (source) se používá adresa vysílače (transmitter). 24

3 Autentizace a asociace v IEEE 802.11 V této kapitole jsou podrobněji popsány implementované standardy a procedury v procesech autentizace a zabezpečení. 3.1 Připojení klienta k AP K připojování klienta k AP se používají tzv. management rámce. AP o sobě dává vědět pomocí management rámců. Typy management rámců [1]: Beacon - AP v intervalech vysílá beacon paket, aby o sobě dal vědět; obsahuje podporované rychlosti a může obsahovat SSID (Service Set Identifier); SSID je textový identifikátor; Association Request - stanice vyšle tento rámec, když se chce připojit; musí obsahovat SSID AP, ke kterému se stanice připojuje; Association Response - odpověď na asociaci; Disassociation - disociace, odpojení; Reassociation Request - požadavek na opětovnou asociaci; Reassociation Response - odpověď na opětovnou asociaci; Authentication - autentizace; Deauthentication - deautentizace; Probe Request - zjišťuje jaké AP jsou v dosahu; Probe Response - odpověď na probe rámec. Připojení klienta k AP probíhá ve 2 krocích: autentizace a asociace. 3.1.1 Open autentizace Chce-li se klient připojit, vyšle na AP management rámec authentification request. AP odpoví authetification response. Po provedení autentizace AP bude přijímat od klienta i asociační rámce, kterými se pokračuje. 3.1.2 Shared autentizace Má čtyři kroky a funguje při použití protokolu WEP. Základem je klíč známý všem zařízením. Stanice se při autentizaci musí prokázat tímto klíčem, který přístupový bod klíč ověří. Stanice je autentizována pokud souhlasí klíč. Autentizace shared se často nepoužívá. I když AP dovolí připojit každého, tak ten kdo nezná správný WEP klíč, stejně nemůže komunikovat (nedešifruje obsah přijatých rámců a jeho rámce jsou AP zahozeny). 3.1.3 Asociace Asociace se provádí po úspěšné autentizaci. Klient na AP pošle management rámec association request. Ten obsahuje klientem podporované rychlosti, navrhnuté šifrování a další způsob autentizace (např. EAP - extended 25

authentication protocol) a SSID Access Pointu. AP odpoví rámcem association responce. Rámec obsahuje povolení nebo zamítnutí požadavku a podporované rychlosti. Možné stavy klienta při připojovaní na AP zobrazuje obr. 3.1. AP vysílá Obr. 3.1: Stavy klienta při připojování k Acces Pointu (AP) beacon rámce ve kterých jsou uvedeny možnosti zabezpečení, rychlosti a SSID AP. Klient nemusí jen pasivně poslouchat beacon rámce, aby se dozvěděl jaké AP jsou k dispozici. Může aktivně broadcastem poslat rámec probe request (1). AP na požadavek odpoví probe response (2). Byla-li stanicí nalezená bezdrátová sít, stanice odešle paket (3) authentication request. Je-li sít správně nakonfigurovaná, AP odpoví paketem (4) authentication response a stanice je autentizována. Dalším paketem je (5) association request, který obsahuje SSID konkrétní sítě, do které se chce stanice připojit. AP odpový paketem (6) association response. Průběh celého algoritmu naznačuje obrázek 3.2. Obr. 3.2: Fáze připojování do bezdrátové sítě 26

4 Wired Equivalent Privacy (WEP) WEP je zkratka pro Wired Equivalent Privacy (soukromí odpovídající drátovým sítím). Cílem bylo navrhnout zabezpečení podobné jako v drátových sítích. Protože se ale veškeré informace v bezdrátových sítích přenáší vzduchem, je snadné je odposlouchávat. Není totiž nutné se fyzicky drátem připojit k síti. WEP používá proudovou šifrovací metodu RC4 pro utajení informaci a pro ověření jejich správnosti používá metodu CRC-32 kontrolního součtu. WEP neřeší distribuci klíčů. 4.1 Algoritmus RC4 RC4 patří k hodně používaným šifrám na internetu. Byla navržena prof. Rivestem v roce 1987. Základem RC4 šifry jsou dva algoritmy [6]: KSA (Key Scheduling Algorithm) a PRGA (Pseudo Random Generation Algorithm). Oba používají pole 256 čísel (bajtů) označované jako S-box (substituční tabulka). Algoritmus KSA na základě šifrovacího klíče (seed) vygeneruje náhodnou substituci bajtu za bajt ( promíchá S-box). Náhodná výstupní permutace S-boxu se nazývá keystream. Nejprve je S-box naplněn sekvenční posloupností čísel 0-255 (S). Další 256 bajtů dlouhé pole (K) je naplněno seed klíčem (pokud je kratší, opakuje se). Pole S je pak pomocí pole K zamícháno podle následujícího pseudokódu: KSA: j = 0; for i = 0 to 255 { j = (j + S[i] + K[i]) mod 256; swap S[i] and S[j]; } Dalším krokem je zašifrování zprávy - PRGA algoritmus (pomocné čítače i, j jsou na počátku vynulovány). Každý výstupní bajt je počítán zvlášť podle pseudokódu: PRGA: i = (i + 1) mod 256; j = (j + S[i]) mod 256; swap S[i] and S[j]; t = (S[i] + S[j]) mod 256; output the value of S[t]; Samotná šifra RC4 je bezpečná, pokud je správně použita. Avšak toto tvrzení pro WEP protokol neplatí. 27

4.2 WEP (de)šifrování WEP klíč může mít dvě velikosti: 40 bitů nebo 104 bitů. Kratší z nich je naprosto nedostatečný z hlediska bezpečnosti. IV (inicializační vektor) je 24 bitů dlouhý, je přenášen nezašifrovaný, takže efektivní délka klíče je zmíněných 40 a 104 bitů. Někteří výrobci implementovali do svých zařízení i použití delšího klíče (256 bitů s IV). 4.2.1 WEP rámec WEP rámec je složen [1] z plaintextu, který se skládá za tří částí: IV (3 bajty) a políčka Key ID (2 bity) a Pad (6 bitů). Key ID obsahuje identifikátor, který ze čtyř možných WEP klíčů je použit. Pad obsahuje vždy samé nuly. Konec rámce zabírá 4 bajty dlouhý kontrolní součet ICV (Integrity Check Value), který se počítá jen z přenášených dat. Strukturu ukazuje obrázek 4.1. Obr. 4.1: Struktura WEP paketu 4.2.2 Šifrování WEP paketu Během zapouzdření zprávy do WEP rámce je nejprve spočítán kontrolní součet (obr. 4.2). Pro každý rámec je vytvořen šifrovací klíč (seed). Symbol představuje operátor zřetězení. Data i kontrolní součet jsou následně zašifrovány RC4 algoritmem. Hlavička (inicializační vektor) je odesílána nešifrovaně. Obr. 4.2: Šifrování WEP paketu 28

4.2.3 Dešifrování paketu Sloučí se IV přijatý v rámci a sdílený WEP klíč, tím vznikne 64 nebo 128 bitů dlouhá posloupnost (seed). Seed slouží jako vstup algoritmu RC4, který generuje keystream dlouhý stejně jako délka zašifrovaných dat plus 4 B (ICV). Obr. 4.3: Dešifrování WEP paketu Dále se provede operace XOR mezi přijatou zašifrovanou zprávou a vygenerovaným keystreamem. Výsledkem je dešifrovaná zpráva a ověří se ICV. Pokud souhlasí, tak jsme přijatou zprávu úspěšně přijali a dešifrovali, pokud ICV nesouhlasí, tak je rámec zahozen. Průběh dešifrování paketu je na obrázku 4.3. 4.3 Wired Equivalent Privacy Plus (WEP+) Vylepšení WEP zabezpečení. Snaží se odstranit tzv. slabé inicializační vektory (IV) pomocí kterých může útočník spočítat použitý WEP klíč. Toto zabezpečení se však příliš často nepoužívá, jelikož musí být použito na všech komunikujících stranách v bezdrátové síti, jinak logicky ztrácí výhody oproti běžnému WEP. Toto zabezpečení je také limitováno použitím technologie pouze od jednoho výrobce. 29

5 Wi-Fi Protected Access (WPA/WPA2) Wi-Fi Protected Access (WPA) [7] je následovník nedostatečně zabezpečeného WEPu. Využívá hardware podporující WEP a doplňujícímy mechanismy odstraňuje jeho slabá místa. WPA může pracovat s autentizačním serverem IEEE 802.1X (resp. tímto standardem), který rozesílá uživatelům rozdílné klíče. Nabízí i mód s předsdíleným heslem (Pre-Shared Key-PSK), kdy všichni uživatelé používají stejné přístupové heslo. Je zde použit protokol TKIP (Temporal Key Integrity Protocol), protokol dynamicky měnící klíče. Obsahuje delší inicializačními vektory a proto je odolnější proti útokům než je tomu u WEPu. WPA také vylepšuje kontrolu správnosti dat (integritu). WPA používá MIC (Message Integrity Code), konkrétně algoritmus nazvaný Michael. MIC obsahuje počítadlo rámců, což zabraňuje útokům zaměřené na zopakování předchozí zachycené komunikaci (tzv. útok zrcadlením komunikace).. Výhoda u WPA je tedy i ta, že je zachována kompatibilita se staršími síťovými kartami. WPA2 je taktéž někdy nazýváno 802.11i či RSN (Robust Security Network). Implementuje povinné prvky IEEE 802.11i. Obsahuje nový algoritmus CCMP (Counter-Mode with Cipher Block Chaining Message Authentication Code Protocol) založen na AES (Advanced Encryption Standard). Stručněji napsáno: WPA je 802.11i bez AES a WPA2 je sloučením standardu 802.11i s AES. U tohoto standardu připojení klienta do bezdrátové sítě (obr. 5.1) má tyto části: klient si s AP vybere typ zabezpečení, následuje (volitelná) autentizace pomocí 802.1X, odvození a distribuce klíčů a nakonec proběhne samotné šifrování dat. Obr. 5.1: Fáze připojení klienta do bezdrátové sítě 30

V následujících podkapitolách jsou uvedeny postupy při použití připojení klienta do bezdrátové sítě a zároveň popsány pojmy jako 802.1X, 802.11i, CCMP, TKIP, MIC, Radius atd. použité u WPA/WPA2. 5.1 Výběr zabezpečení Klient a AP se dohodnou na bezpečnostním mechanizmu pomocí beacon a probe rámců. Potom, stejně jako v open sítích následuje autentizace (nesouvisí s autentizací WPA). Používají se 2 autentizační metody: WPA enterprise mode: využívá k ověření uživatele protokol 801.1X a Radius (Remote Authentication Dial In User Service) server, kde se uživatel prokáže znalostí jména a hesla nebo certifikátem; metoda vhodná pro větší množství uživatelů; WPA personal mode: tzv. pre-shared key (PSK); AP i každý klient zná heslo (zde 8 až 63 znaků); z tohoto hesla se pak pro každého klienta odvozují různé klíče; zde nemusí být autentizační server; autentizaci provádí AP; při větším počtu uživatelů passphrase (heslo) přestává být tajemstvím; tato metoda je vhodná pro použití v domácnostech. Kromě autentizace se vyberou ještě protokoly použité pro šifrování přenášených dat. WPA nabízí protokol TKIP, WPA2 pak navíc ještě používá CCMP (povinný). 5.2 IEEE 802.1X řízení přístupu IEEE 802.1X (Port Based Network Access Control) je obecný bezpečnostní rámec pro LAN zahrnující silnou, vzájemnou autentizaci uživatelů, integritu zpráv (šifrováním) a distribucí klíčů. Je zde zmíněn jelikož se používá ve standartech WPA/WPA2. Protokol má za cíl blokovat přístup neoprávněných uživatelů k části lokální sítě [7], [8]. Vzájemná autentizace probíhá mezi uživatelem (suplicant) a autentizačním serverem (nejčastěji Radius server), které se vzájemně autentizují a implicitně se autentizuje také přístupový bod. Průběh autentizace je zobrazen na obr. 5.2, kde čísla označují body, které se postupně vykonávají. Když klient posílá zprávu přístupovému bodu, zapouzdří ji do EAPoL (EAP over LAN) protokolu. Když přístupový bod komunikuje s autentizačním serverem, vloží EAP zprávu do Radius paketu. Během autentizace se vygeneruje Master Key (MK), který zná klient a autentizační server. Na konci úspěšné autentizace autentizační server pošle autentizátoru tento MK a zprávu, že klient byl přijat. 31

Obr. 5.2: Autentizace na Radius serveru Používá se dynamické generování klíčů, pro uživatele a spojení. Dynamické klíče jsou známy pouze dané stanici, mají omezenou životnost a používají se k šifrování rámců na daném portu, dokud se stanice neodhlásí nebo neodpojí. 802.1X je založen na protokolu EAP (Extensible Authentication Protokol), který podporuje více autentizačních mechanismů. 5.2.1 Typy EAP autentizačních mechanismů Existuje mnoho autentizaačních technik postavených nad EAP. Uvedu zde ve zkratce ty nejrozšířenější a nejpoužívanější [7]. EAP-MD5 Nejslabší metoda, kdy se klient autentizuje prostřednictvím autentizačního serveru na základě hesla. Jednostranná autentizace, negenerují se šifrovací klíče. Pro sítě WLAN nevhodná, lze ji napadnout slovníkovým útokem. EAP-TLS Podporuje kromě autentizace i odvození klíčů. Klient i autentizační server se identifikují za použití digitálních certifikátů podepsaných certifikační autoritou. Vyžaduje certifikační server. Je to nejsilnější metoda avšak náročná na administrativu a implementaci. LEAP Také nazýváno Cisco-Wireless EAP. Firemní metoda Cisco. Autentizace na základě uživatelského jména a hesla prostřednictvím serveru Radius. Funguje 32

pokud v celém prostředí používáme zařízení Cisco. Metoda náchylná na slovníkové útoky na hesla i když se pravidelně mění hesla. PEAP Zkratka pro Protected EAP. Autentizace klientů probíhá zabezpečeným kanálem, takže je možno použít méně bezpečnou metodu. PEAP pracuje ve dvou fázích. Nejdříve si server vyžádá uživatelské jméno. Klientovi je dovoleno odpovědět falešnou identitou (je posílána v plaintextu). Mezi klientem a autentizačním serverem je pak vybudován TLS tunel. V něm server odešle další požadavek identifikace klienta. Tentokrát už potřebuje pravdivé informace (skutečnou identitu uživatele). PEAP je silnější jako LEAP a je snadnější na implementaci než EAP-TLS. 5.3 Management (výměna) klíčů Po úspěšné autentizaci následuje fáze management klíčů. Přístupový bod distribuuje šifrovací klíče autentizovaným stanicím. Vytvářejí se dvě sady klíčů (128 bitové): párové klíče (pairwise) jedinečné pro spojení mezi přístupovým bodem a klientem; PMK (Pairwise Master Key) je jedinečný pro relaci mezi žadatelem a autentizačním serverem; skupinové klíče (groupwise) sdílené všemi stanicemi v jedné buňce 802.11, používané pro multicast. Nejdříve se odvodí 256-bitový klíč PMK (Pairwise Master Key). Při použití passphrase se PMK generuje pomocí hashování ze sdíleného hesla. Používá-li se 802.1X, PMK se odvodí z MK získaného při autentizaci. PMK slouží jen pro odvozování klíčů, nikdy se nepoužívá pro samotné šifrování. Zná-li AP i klient PMK, nastane 4-way handshake (kap. 5.3.1) a odvodí se dočasné klíče PTK (Pairwise Transient Key) a GTK (Group Transient Key). PTK se používá k šifrování unicastů a každý klient má svůj vlastní klíč. GTK se používá k šifrování multicastů a je stejný pro všechny klienty. Při novém připojení klienta k AP se vygeneruje nový klíč PTK. Do PTK patří funkční klíče KCK (Key Confirmation Key), KEK (Key Encryption Key - pro distribuci GTK) a TK (Temporary Key - pro zabezpečení provozu, šífrování paketů a výpočet MIC). Průběh generování klíčů je zobrazen na obr. 5.3. Klíč TK slouží v případě TKIP protokolu jako vstup pro vygenerování jedinečného klíče pro RC4 šifru. Při použití CCMP je TK klíč použit přímo k šifrování dat. Klíč TMK1 je použit při výpočtu zabezpečovací MIC sekvence paketů určených pro klienta, TMK2 pro pakety určené pro AP. Oba klíče TMK1 a TMK2 využívá jenom protokol TKIP. 33

Obr. 5.3: Generování klíčů pro WPA/WPA2 34

5.3.1 4 - way handshake Kompletní handshake má čtyři kroky a je zobrazen na obrázku 5.4 [1]. Přístupový bod pošle stanici vygenerované náhodné číslo (A-nonce), které by se Obr. 5.4: 4-way handshake mezi klientem a přístupovým bodem už nikdy nemělo opakovat (v praxi dostatečně dlouhé pseudonáhodné číslo). Klient pomocí něho a znalosti klíče PMK vypočítá dočasné klíče PTK. Vygeneruje své náhodné číslo S-nonce, zapouzdří jej do EAPoL obálky (vytvoří EAPoL-key zprávu) a tu odešle přístupovému bodu. Za použití jednoho z PTK klíčů pro ni také vypočte kontrolní sekvenci MIC. Výpočtem MIC dokáže AP, že zná správný klíč PMK. Když AP obdrží tuto zprávu, zná náhodné číslo S-nonce vybrané stanicí klienta. AP stejně jako stanice vygeneruje PTK klíče a vypočte MIC sekvenci pro přijatý paket. Pokud MIC nesouhlasí, klient nemá správné klíče PTK a nebude mu umožněna žádná komunikace. Souhlasí-li MIC, AP zasílá informaci, že úspěšně dokončila autentizaci a má nainstalovat své klíče. Tato informace je chráněna novou MIC (stanice si ověří, že i AP má platný PMK klíč). Poté, co stanice ověří přijatou MIC kontrolní zprávu, instaluje své klíče, odpoví přístupovému bodu a ten také provede instalaci klíčů. Oba od této chvíle mohou začít šifrovat data. MIC kód u EAPoL-key zpráv se počítá u TKIP jako HMAC-MD5 (Hash Message Authentication Code) nebo u CCMP jako HMAC-SHA1 (Secure Hash Algorithm - jednocestný hashovaní algoritmus). Protokol TKIP u datových rámců 35

vypočítává MIC algoritmem Michael. CCMP vypočítává MIC pomocí standardu AES CBC-MAC. 5.4 Šifrování a integrita dat 802.11i obsahuje dva algoritmy pro utajení dat: protokoly TKIP a CCMP. 802.11i zcela nahrazuje WEP a zaměřuje se na autentizaci a utajení datových rámců. Pro integritu dat slouží mechanismus nazvaný MIC (Message Integrity Check). 5.4.1 MIC (Message Integrity Check) Zabezpečuje nedotknutelnost dat během přenosu. Stanice vypočte z odesílaných dat kontrolní součet MIC díky známé hashovací funkci. Tento hash odešle spolu s nimi. Kontrolní součet je počítán z odesílaných dat a z tajného klíče. 5.4.2 Ochrana proti opakování paketu Opakováním paketů může útočník generovat provoz v síti a ulehčit (urychlit) si tak útoky. Řešením je přidat do 802.11i hlavičky každého paketu číslo, které je inkrementováno po každé transakci mezi stanicí a přístupovým bodem. V TKIP algoritmu je toto číslo umístěno do políčka TSC (TKIP Sequence Counter) a u CCMP se nazývá PN (Packet Number). Kdykoli klient dokončí asociaci s AP, začne pakety číslovat. První paket dostane sériové číslo jedna, k restartu počítadla dochází jen v případě změny klíčů PTK (odpojením a reasociací, případně pravidelnou výměnou PTK). Po přijetí paketu AP zkontroluje sériové číslo. Lze předpokládat, že bude pokaždé o jedničku zvětšené. V reálných sítích ale dochází k občasným výpadkům, proto je vytvořena malá tolerance. Tato malá tolerance řeší výpadky paketů a brání útočníkovi opakovat stále stejný paket. 5.4.3 Protokol TKIP (Temporal Key Integrity Protocol) Protokol TKIP se dá použít i v bezdrátových kartách kde funguje WEP. Jde o kompromis mezi bezpečností a náročností na hardware. TKIP používá k šifrování algoritmus RC4. Protokol TKIP v 802.11 rámci přidává: IV, Extended IV, MIC (Message Integrity Code) a ICV (Integrity Check Value). Nedostatky WEPu jsou vyřešeny takto: integritu zpráv zajišťuje algoritmus Michael, který generuje kontrolní součet MIC; seed (šifrovací klíče) pro RC4 generátor se mění s každým rámcem; zamezuje replay útokům pomocí čítače. Ke každému paketu je vypočítána zabezpečovací kontrolní sekvence MIC. Protože algoritmus výpočtu MIC (Michael) není naprosto bezpečný, obsahuje TKIP několik dalších protiopatření (např. pokud AP detekuje během 60 sekund 36

dva pakety se špatnou MIC sekvencí, automaticky dalších 60 sekund zahazuje všechny TKIP pakety a poté vygeneruje novou sadu PTK klíčů). Sekvenční čítač TSC (TKIP Sequence Counter) nahrazuje IV použité u WEPu. Tímto čítačem je očíslován každý TKIP rámec. Průběh TKIP mechanizmu ukazuje obrázek 5.5. Klíč (seed) pro RC4 algoritmus je vytvořen ve dvou fázích Obr. 5.5: Šifrování paketu pomocí TKIP (Phase Key Mixing), jejichž vstupy jsou klíč TK, IP adresa vysílače TA a číslo rámce TSC. Nejprve je pro plaintext zprávy vypočtena MIC sekvence, pak kontrolní CRC součet (pole ICV). Pak je vytvořen pro každý paket unikátní šifrovací klíč (keystream) a pomocí RC4 algoritmu je zpráva zašifrována [9]. 37

5.4.4 Protokol CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol) K zabezpečení dat je použit šifrovací systém AES (používá vždy 128 bitů dlouhý klíč i datový blok), který zajišťuje vysokou úroveň bezpečnosti (v současnosti je považován za neprolomitelný), ale za cenu větší hardwarové náročnosti. Proto ho nezvládají všechny (starší) bezdrátové adaptéry. CCMP používá na šifrování režim CCM, což je kombinace módu counter (na utajení dat) a CBC-MAC (pro výpočet MIC). Counter mód převádí blokovou šifru na proudovou. Každé spojení vyžaduje nový dočasný šifrovací klíč TK. Pro každý rámec je také vytvořeno unikátní náhodné číslo (nonce) dle pořadového čísla paketu PN. Šifrování paketu pomocí CCMP [10] je zobrazeno na obrázku 5.6. Obr. 5.6: Šifrování paketu pomocí CCMP 38

6 Útoky na zabezpečení 802.11 Nejjednodušší rozdělení útoků na bezdrátové sítě 802.11 je na útoky pasivní a aktivní. Mezi pasivní útoky patří např. odposlech přenosu, analýza přenosu, útok hrubou silou. Uživatel, AP atd. nepozná že se v síti něco děje, útok je téměř nezjistitelný (v bezdrátových sítích). Mezi aktivní útoky patří např. narušení dostupnosti - DoS (Denial of Service) útok, různá manipulace s daty (duplikace, modifikace, zničení dat, injektování dat), maskování, narušení důvěrnosti dat, atd. Útočník může mít mnoho důvodů. Nejčastější je získání síťových prostředků, přistup na Internet. Dále sem patří získání důvěrných materiálů, odeslání emailu, virů, trojského koně, získání účtu, odplata, útok na konkurenci nebo může útočník provést útok jen tak pro pobavení a upozornit administrátora na bezpečnostní problém. 6.1 Útok pomocí XOR Jestliže útočník ví dopředu jaká data budou odeslána a zachytí tyto data zašifrované, může pak pomocí funkce XOR získat keystream. Pokud se keystream nebude měnit, využije jej na dešifrování dalších paketů. Jestliže útočník kontaktuje stanici připojenou k AP, může jí zasílat např. UDP datagramy (se stejným obsahem), ARP request rámce a poté si zašifrované data odchytit. 6.2 Odchytávání a analýza přenosu V bezdrátové síti se prakticky útočník nedá odhalit. Možností je existence detekčního systému založené na Probe request/response rámcích, ale vyžadují zásah do stanice čí AP. V případě AP, který vysílá v pravidelných intervalech Beacon management rámce není vůbec nutné, aby útočník použil Probe request rámce. Beacon rámce obsahují všechny potřebné informace a takto upravený detekční systém je tedy bezcenný. Během analýzy se útočník snaží zjistit šířku vysílacího pásma, úroveň signálu, protokoly, zabezpečovací mechanizmy, atd. Vybere si nejzranitelnější místo a podpoří tak budoucí útok. Obvyklí způsob útočníka je logicky provést nejdříve pasivní a poté aktivní útok-zmapovat si tak terén. 6.2.1 SSID (Service Set Identifier) SSID slouží na oddělení bezdrátových sítí a je vysílán v Beacon management rámcích z AP. Mnoho zařízení má možnost vypnout vysílání Beacon rámců. Tato možnost je užitečným zabezpečením vůči naprostým laikům, ale pro zkušenějšího uživatele skrytí SSID nepředstavuje žádný problém jelikož odkrýt SSID z Association request rámců dokáže mnoho programů. 39

K odkrytí SSID můžeme: čekat dokud se klient nepřipojí k AP, poté např. programem airodump-ng zachytit a zobrazit SSID; odpojit (deautentizace) již připojeného klienta k AP a tím ho donutíme k opětovné autentizaci. 6.2.2 Autentizace Jsou dvě metody autentizace. viz. kap. 3.1. Autentizace shared je nebezpečná a neměla by se používat, protože útočník může zachytit výzvu i odpověď na ni. V autentizaci shared může útočník zachytit náhodnou zprávu, zašifrovanou zprávu a IV (inicializační vektor) použité na zašifrování zprávy, jelikož je odesíláno v nešifrovaném formátu spolu se zašifrovanou zprávou v hlavičce WEP paketu. 6.3 Narušení dostupnosti Narušení dostupnosti bývá označováno také DoS útokem. Cílem může být např. fyzické zničení zařízení, obsazení co největší přenosové šířky pásma, pokus o zrušení přístupu klienta k prostředkům sítě. 6.3.1 Duration Jedním z DoS útoků je zneužití části rámce Frame Control nazvaný Duration - trvání přenosu (viz. kap. 2.5). Útočník může rozeslat tok paketů s maximálním Duration (32 767μs), což způsobí obsazení sítě. Avšak mnoho zařízení ignoruje Duration, proto útok není tak častý a úspěšný. 6.3.2 Zahlcení sítě (Access Pointu) Zahlcení AP požadavky na autentizaci je také jedním ze způsobů narušení dostupnosti. Útočník vytvoří mnoho Authentication request management rámců a nebude odpovídat na Authentication response rámce. AP udržuje všechny vygenerované náhodné zprávy v paměti a poté se paměť AP zaplní a AP odmítne autentizovat další uživatele. Útočník zjistí že dosáhl DoS útoku tím, že AP neodpovídá na Authentication request rámce. Obdobným způsobem se dá dosáhnout DoS útoku zaplněním tabulky asociovaných klientů, jelikož AP uchovávají informaci o každé asociované stanici. Je nutné v tomto případě překonat autentizaci, která je před asociací. Tento typ útoků je jednoduchý v případě Open systém autentizace, kdy na autentizaci stačí vygenerovat množství různých MAC adres imaginárních klientů. 6.3.3 Deasociační a deautentizační útoky Jestliže se chce stanice připojit k AP, jako první si vymění autentizační a poté asociační rámce. Poté stanice může využít prostředky sítí. Tyto rámce se nedají odmítnout. Deasociační a deautentizační rámce může poslat jak stanice tak i AP ke kterému je stanice autentizovaná nebo asociovaná. Útočníkovy stačí 40

napodobit rámce od klienta, který se chce deasociovat, resp. deautentizovat. AP deasociuje, resp. deauntetizuje klienta, čímž způsobí, že klient nemůže dále využívat zdroje sítě dokud se znovu neasociuje. Je-li tento útok trvalý, útočník může jednoho čí více klientů odpojit ze sítě natrvalo a způsobit DoS. 6.4 Manipulace s daty 6.4.1 Modifikace dat (útok na integritu) WEP obsahuje nebezpečný lineární kontrolní součet ICV (Integrity Check Value) i když je šifrovaný. ICV je počítáno pomocí standardního CRC-32 algoritmu, který používá jenom součet a násobení. Změna jednoho bitu zprávy změní předpokládaný bit ICV. Útočník tedy může změnit bit na zašifrované zprávě a ví, který bit se změní ve výsledném ICV. Nepotřebuje vědět jaké ICV je, potřebuje vědět pouze které bity je potřeba přehodit a tím pádem ICV rekalkulovat. Na tento útok nepotřebuje útočník znát obsah dat. Jestliže může být ICV rekalkulovano i v zašifrované formě, může útočník vzít částečně srozumitelnou zprávu, vyměnit libovolné bity, přepočítat ICV a odeslat jej tak, aby příjemce zprávy nezjistil, že byla zpráva modifikována. Aplikací tohoto útoku může být např. změna cílové IP adresy zprávy, aby ji útočník získal po metalické síti na vlastní počítač. 6.4.1.1 Přesměrování paketů pomocí změny IP adresy Nejjednodušší metodou modifikace cílové IP adresy zprávy je zjištění původní IP adresy ze zašifrované zprávy a její úprava pomocí přehození bitů a rekalkulace ICV. Ale ani zde není jisté, že zpráva bud přijatá, jelikož IP hlavička obsahuje další kontrolní součet, který je potřebný taktéž změnit. Jestliže známe hodnotu původního kontrolního součtu, nový kontrolní součet vypočítáme jednoduše přes XOR původního a kontrolního součtu. Když hodnotu původního kontrolního součtu neznáme, nejjednodušší způsob je vyzkoušet všechny možnosti a v případě, že některá z nich bude správná, bude zpráva doručena. Ostatní zprávy budou zahozeny na síťové vrstvě ISO/OSI modelu. Je také možnost upravit zprávu tak, aby nový kontrolní součet byl stejný jako původní-změnit bity v IP adrese odesílatele. Máme-li TCP spojení, je za každým akceptovaným paketem odeslaný TCP ACK paket, který oznamuje odesílatelovi úspěšnost kontrolního součtu v TCP hlavičce a doručení paketu. Útočník se dozví okamžitě či byla změna kontrolního součtu TCP hlavičky úspěšná. ACK paket odesílaný z AP (i když je šifrovaný) je jednoduše rozeznatelný svojí délkou. 6.4.2 Injektování dat (packet injection) Útočník potřebuje jedinou kombinaci proudového klíče s IV na injektování paketů, protože standart 802.11 dovoluje odesílatelovi zvolit si vlastní IV a nezakazuje znovupoužití IV. Takže útočník může použít opakovaně stejné IV, 41

pro které má šifrovací klíč a injektovat neomezené množství paketů do sítě. Tím např. způsobí zahlcení sítě. V případě AP, které má zapnuté WEP, existuje možnost přijat a zpracovat nešifrované broadcast pakety. Jestliže útočník odešle broadcast paket na AP, v některých případech se mu může podařit odchytit zašifrovanou verzi odeslaného paketu ve větším počtu najednou (v závislosti na počtu asociovaných klientů na AP), kterým tento paket odešle. Útok se dá použít na vytvoření slovníku šifrovacích klíčů neustálým generováním broadcast paketů. 6.4.3 Duplikace dat Útočník může zachytit jednoduchý TCP synchronizační paket a znovu ve velkém počtu ho rozesílat tak, že změní několik málo parametrů každého paketu. Nezměněné pakety nelze rozesílat jelikož by byly na vyšších vrstvách ISO/OSI modelu považovány za duplikáty a zahozeny. V TCP paketu jsou pole, která může útočník změnit aby vytvořil různé pakety. Např. protokol UDP či ICMP akceptují výskyt neznámých duplikátů. 6.4.4 Zničení dat Klient v Power Save mode (úsporný režim) nemůže přijímat ani odesílat data. Probouzí se v pravidelných intervalech a vyžaduje si od AP pomocí tzv. PS-Poll rámce pakety, které AP mezitím uschovalo. Odešle-li útočník PS-Poll rámec jako první, zapříčiní odeslání uschovaných dat. Klient v Power Save mode nemůže přijmout data a data budou tedy pro něj ztracené. 6.5 Maskování 6.5.1 Narušení autentizace Autentizuje se pouze klient. Můžeme tedy předstírat (maskovat) AP a odpovídat na Authentication request management rámce od legitimních klientů. Stačí mít např. silnější sílu signálu AP a klient bude preferovat náš identický AP se silnějším signálem. Poté např. pomocí deathentizačního útoku jej odpojíme od legitimního AP a klient se připojí k našemu AP. Maskované AP v druhém kroku autentizace vygeneruje náhodnou zprávu a odešle ji klientovi. Klient následně náhodnou zprávu zašifruje a odešle ji maskovanému AP spolu s IV potřebným na dešifrování. K dokončení asociace klienta na maskovaný AP potřebuje útočník ještě výměnu asociačních rámců s klientem. Když bude mít útočník od klienta původní zprávu, zašifrovanou zprávu a IV může získat šifrovací klíč a narušit důvěrnost dat. Tento typ útoku se řadí mezi tzv. MITM: Man-In-The-Middle (muž uprostřed). 6.5.2 Kontrola přístupu V standardu 802.11 byl zaveden dodatečný způsob kontroly přístupu k open system autentizaci filtrováním MAC adres na straně AP. Asociace je úspěšná jen v případě, jestliže adresa klienta (stanice) se nachází v seznamu 42

povolených MAC adres. Ochrana sítě povolením konkrétních MAC adres klientských stanic na AP má dvě zásadní vady: ruční zadávání a obměna každé MAC adresy oprávněného klienta je náročné i v malé síti; umožňuje maskování útočníka; na většině karet je možnost změny MAC adresy; pomocí sledovacích nástrojů útočník zjistí MAC adresu jednoho z klientů a použije ji; tento útok zároveň vyvolává síťové problémy jelikož budou najednou obě zařízení se stejnou MAC adresou aktivní. 43

7 Útoky na WEP protokol V této kapitole jsou popsány teoretické útoky na WEP protokol a nejznámější slabina WEP. V kapitole 10.3 je popsán princip a realizace jednotlivých útoků. 7.1 Kolize inicializačního vektoru Zásadou při použití proudové šifry RC4 je neopakovat stejný klíč (tj. vstupní posloupnost algoritmu tvořená tajným WEP klíčem a IV). Délka IV je 3 bajty (24 bitů), to je celkem 2 24 = 16777216 různých hodnot, tzn.16777216 různých výstupů šifry RC4. Při provozu ve Wi-Fi síti se kombinace IV vyčerpá během několika hodin, poté se musí jeho hodnoty začít opakovat. Vznikne tzv. kolize inicializačního vektoru. V této síti se objeví rámce šifrované stejnými IV. Tzn. potenciální nebezpečí prozrazení obsahu zpráv (šifrování a dešifrování probíhá pomocí funkce XOR, viz. kap. 4.2.2). Navíc není definováno jak se mají generovat IV, je dáné pouze to, že IV volí stanice, která chce vysílat. Jelikož se IV po určité době opakují, je umožněn např. útok injekcí zprávy, zisk WEP hesla, falešná autentizace 7.2 Získání WEP klíče hrubou silou (brute-force attack) Útočník zkouší všechny kombinace klíče. Prolomení 40-bitového klíče je otázkou hodin. Útok hrubou silou je nejlépe provést distribuovaně. Obranou proti tomuto útoku je použití 104-bitů dlouhého WEP klíče, jehož prolomení při současném výkonu procesorů je teoreticky neproveditelné. 7.3 Slovníkový útok Slovníkový útok je modifikací útoku hrubou silou. Tímto postupem se omezí počet prohledávaných klíčů. Při specifikaci WEP standardu bylo definováno že nebude zvolen žádný algoritmus, jak z fráze zadané uživatelem vygenerovat WEP klíč. Výrobci implementují do AP např. hashovaní funkci MD5 a různé algoritmy na zjednodušení zapamatování hesla. Útok Newsham-21-bit Attack [11] využívá faktu že je snížena délka klíče na 21-bit. Nalezení klíče hrubou sílou je pak otázkou chvilky. Útok Newsham-21-bit Attack provádí např. programy KisMAC a Wep_crack. Jestliže AP generuje WEP klíč pomocí hashovaní funkce MD5 existují i v tomto případě programy které dokáží provést slovníkový útok. Generování klíče pomocí MD5 není tedy taky bezpečné, 44

náhodný klíč je vždy lepší. Řešením je nenechat AP generovat klíč ze zadané fráze. 7.4 Statistické útoky WEP standard je zranitelný díky způsobu jakým jsou používány inicializační vektory v RC4 šifře. IV jsou přenášeny v plaintextu, útočník tak získá první 3 bajty šifrovacího klíče v každém paketu. Získání WEP klíče je pak jen otázkou zachycení dostatečného množství vhodných paketů se stejným IV. Tyto IV vhodné pro statistický útok se nazývají slabé IV (weak IVs). Bylo nalezeno sedmnáct skupin slabých vektorů, tzn. sedmnáct, resp. osmnáct [12] typů útoků na WEP protokol. V roce 2001 vydali autoři Fluhrer, Mantin a Shamir (útok je dle autorů nazýván FMS útok) článek popisující zranitelnost některých inicializačních vektorů RC4 šifry [13]. Existují slabé IV, které prozradí informace o tajném WEP klíči v prvním zašifrovaném bajtu. Zachytíme-li dostatek paketů se slabými IV a známe-li první bajt zprávy, útočník dokáže tajný WEP klíč docela snadno získat. V prvním bajtu 802.11 paketu je tzv. SNAP (SubNetwork Access Protocol) hlavička a nese hodnotu 0xAA (první bajt získáme XORem mezi hodnotou 0xAA a prvním bajtem, který je zašifrován). Poté vyšlo několik nástrojů, které tento FMS útok optimalizovali. V roce 2004 následovalo uveřejnění dalších osmnácti KoreK útoků [12], které zobecňují FMS útok a nato PTW (Pyshkin, Tews, Weinmann) útok [14]. Např. program aircrack-ng umí provést FMS/KoreK (17 KoreK útoků) a PTW útok. Mnoho výrobců tvrdí že jejich hardware zabraňuje používání slabých IV. Toto však není pravda: AP nemůže blokovat používání určitých IV vysílaných klientem a z pohledu kompatibility je nemožné blokovat všech sedmnáct typů slabých IV. 45

8 Útoky na sítě se zabezpečením WPA/WPA2 Slabinou je algoritmus Michael (Michael Message Integrity Code - MIC) zabezpečující integritu paketů. Bezpečnost algoritmu Micheal závisí na tom, jestli je komunikace šifrována. Tajný klíč MIC je možné odhalit na základě jediné známé zprávy a hodnoty jejího kódu MIC. Je tedy důležité ponechat MIC tajné. Dalším možným útokem na WPA(WPA2) je DoS (Denial of Service - způsobuje nedostupnost dané služby, typicky síťového připojení) útok v průběhu 4-way handshake, který byl uveden autory Changhua He a John C. Mitchell [15]. První zpráva 4-way handshake není autentizována a každý klient musí uschovávat každou první zprávu, dokud neobdrží platnou třetí zprávu, což teoreticky způsobuje vyčerpání pamětí klienta. Falešnou první zprávou zaslanou na AP může útočník provést DoS útok (pokud je povoleno více souběžných spojení). Získat šifrovací klíč během 2 105 operací je také popsán v [16]. Složitost napadení TKIP protokolu hrubou silou je cca 2 128 operací. Proto tento útok je také spíše teoretický a z praktického hlediska nemá využití. Nedostatek WPA/WPA2 je obsažen také při autentizaci. Princip autentizace je společný pro WPA i WPA2, ale musíme rozlišovat zda jde o autentizaci WPA enterprise mode (Radius server) nebo personal mode (PSK), viz. kap. 5.1. Praktické provedení útoků je možné pro oba módy, pokud ovšem enterprise mode (Radius server) používá slabý autentizační protokol (např. protokol LEAP). Jde vlastně o odchycení 4-way handshake (viz. kap. 5.3.1). Potřebujeme odchytit malé množství paketů, ale těch správných. Po získání potřebných informací je získáno heslo provedením útoku (využívající náchylnost lidí vybírat si lehce zapamatovatelná hesla) hrubou silou pomocí. 8.1 Popis útoku na zabezpečení WPA/WPA2 - PSK (mód se sdíleným klíčem) K odvozování dočasných relačních klíčů se používá PMK (Pairwise Master Key). PMK se získá buď z Radius serveru nebo ze sdíleného hesla PSK (PSK odpovídá PMK). Passphrase je ascii řetězec délky 8 až 63 znaků a generuje se takto [9]: PMK = PBKDF2 (passphrase, SSID, délka_ssid, 4096, 256), kde PBKDF2 je tzv. Password-based Cryptography Standard a znamená, že spojení řetězce passphrase, SSID a hodnoty délka_ssid je 4096-krát hashováno a z toho je vygenerována 256 bitová hodnota PMK. PMK klíč není jen funkcí PSK, ale je závislý i na SSID sítě. To zabraňuje předpočítání hodnot 46

hašovacích funkcí a zpomaluje hadání hesel hrubou silou. Pokud budou mít různé sítě stejné heslo, ale různé hodnoty SSID, PMK klíče budou přesto jiné. Musíme tedy zachytit 4-way handshake. Toto lze provést pasivním odposlechem a čekat na opětovné připojení klienta k AP. Nebo lze vyslat deautentizační rámec a odpojit klienta. Ten se opět automaticky připojí a ustanoví se nové relační klíče. V 4-way handshake jsou obsaženy hodnoty Anonce, Snonce a MIC z druhé zprávy. Tyto hodnoty se následně použijí k získání hesla. Útočník zná ANonce (z první zprávy), SNonce (z druhé zprávy) a může začít hádat hodnotu PSK pro vypočítání PTK a odvozených dočasných klíčů. 8.1.1 Dešifrování paketů Každý uživatel má svoji sadu PTK klíčů, proto není čtení cizích paketů jednoduché. Jelikož jsou PTK klíče generovány vždy během procesu asociace klienta k AP, není možné číst pakety zachycené v minulosti. Aby byl útočník schopen dešifrovat cizí paket, musí daného uživatele odpojit a poté odposlechnout jeho nové připojení k přístupovému bodu. Tím dokáže zjistit aktuální PTK klíče cílového uživatele (už zná PMK klíč a proto je schopen vygenerovat sadu PTK stejně jako ji generuje uživatel při vynucené re-asociaci). 8.2 Útoky na autentizační schémata 802.11i 8.2.1 Útok na EAP-MD5 a LEAP EAP-MD5 a LEAP jsou metody šifrované autentizace v sítích standardu 802.1X. Obě metody trpí náchylností ke slovníkovým útokům, pokud uživatel nepoužije dostatečně kvalitní heslo. LEAP je firemní metoda Cisco. Autentizace založena na základě uživatelského jména a hesla prostřednictvím serveru Radius. Funguje pokud v celém prostředí používáme zařízení Cisco. LEAP narozdíl od PEAP (Protected Extensible Authentication Protocol) nevytváří šifrovaný tunel mezi klientem a autentizačním serverem. Z toho vyplívá, že LEAP přenáší autentizační informace v nezašifrovaném formátu. Technologie LEAP zkombinovaná s autentizací poddle MAC adres na jednom Radius serveru, je nebezpečná. Použije-li se MAC adresa místo přihlašovacích údajů, je přístup povolen. K prolomení autentizace slouží např. nástroj Asleap 1, který ke zjištění potřebuje zachytit celý proces autentifikace uživatele. Útočník pošle také deautentizační paket a počká na novou asociaci uživatele. Je potřeba předpočítat hašívací funkce slovníku, pomocí kterého se bude útok provádět. Z toho vyplívá že LEAP protokol není závislý na SSID sítě, takže před-hašovaný slovník je univerzální (narozdíl od WPA-PSK útoku). 1 http://wirelessdefence.org/contents/asleapmain.htm 47

8.2.2 Získání PMK klíče během doručení Existuje teoretická možnost pokusit se získat PMK klíč, kdy ho Radius server posílá AP. Pokud se podaří získat zprávu (přenášenou v drátové síti), útočník může vypočítat PTK klíče pro každého uživatele. Základ útoku zůstává stejný pro všechny EAP techniky a není ovlivněn ani použitou šifrou RC4 nebo AES. Hlavní je, že útočník musí mít přístup do drátové sítě (musí se dostat mezi Radius server a AP). 48

9 Analýza výběru HW a SW k sledování, analýze a prolomení slabých míst standardu 802.11 U bezdrátových sítí je většina bezpečnostních opatření a útoků prováděna na linkové vrstvě OSI síťového modelu. Např. některé útoky a techniky jsou závislé na konkrétním chipsetu bezdrátové karty. Chceme-li tedy realizovat útoky nejen pasivní ale i aktivní, je vhodné si určit a vybrat tyto parametry: 1. Vhodná volba chipsetu bezdrátové karty Na trhu jsou k dispozici stovky značek bezdrátových karet, ale počet chipsetů je zdaleka míň. Rozdílné karty jsou pro software téměř identické. Výběr chipsetu je tedy prvním a snad nejdůležitějším krokem. Mezi nejlepší značky z hlediska podpory ovladačů a programů jsou např. chipsety: Prism, Atheros, Hermes, Ralink. Mezi nedoporučované se řadí chipsety Intel Pro Wireless a Broadcom instalované v přenosných počítačích. Dále je vhodné zvolit typ sběrnice, kterou bude daná karta využívat. Nejrozšířenější je sběrnice PCI a pro notebook minipci. Karty s PCMCIA sběrnicí jsou vhodné a často umožňují připojení externí antény (nízká kvalita signálu znesnadňuje útoky a monitoring sítě). Sběrnice USB není obecně pro OS Linux příliš doporučována. Nejhůře s podporou je na tom nová sběrnice používána v přenosných počítačích Express card slot. Situace se ale neustále mění. Přehled vhodných chipsetů a ovladačů je uveden na internetu 2,3. 2. Použité ovladače Ovladače tvoří spojení mezi operačním systémem (dále jen OS) a Wi-Fi kartou. Ovladače jsou spojeny s určitou rodinou chipsetů. Dané ovladače, tedy chipset a Wi-Fi karta by v ideálním případě měly umět tyto vlastnosti: Monitor mode - schopnost přijímat a zachytit všechny pakety v dané Wi-Fi síti. Umožňuje sledovat veškeré rámce na daném kanále bez potřeby asociace. Karta tedy nic nevysílá, mód je vhodný pro odposlech. V OS Windows lze tento režim použít jen s ovladačem třetích stran (výrobce Wi-Fi zařízení takový ovladač standardně nenabízí). V OS Linux je monitor mode podporován téměř vždy pomocí jednoduchého příkazu. Monitor mode je jeden ze čtyř módů ve kterém může Wi-Fi karta pracovat, další jsou: master mode (Access Point), managed mode (klient, stanice) a ad-hoc mode. Promiscuous mode (promiskuita) - klientovi dovoluje přijímat i rámce určené jiným klientům. V ovladačích Wi-Fi karet pro OS Windows je tento režim 2 http://airdump.net/cz/clanky/co-umi-vase-wi-fi-karta 3 http://aircrack-ng.org/doku.php?id=compatibility_drivers#compatibility 49

podporován výjimečně. V linuxových ovladačích je podpora lepší. V tomto režimu lze odposlouchávat jen datové rámce (a ještě klienti musí mít stejný WEP klíč nebo šifrování nesmí být použito). Promiscuous mode dovoluje tedy zachytávat rámce jen ve vnitřní síti. Tento mód narozdíl od monitor mode je možno použít nejen v bezdrátových sítích. Jje potřeba nejprve asociace k přístupovému bodu nebo ad-hoc sítí. Injekce paketů - některé chipsety umožňují v tomto režimu vyslat libovolný Wi-Fi rámec - lze vyplnit libovolnou hlavičku rámce a datovou část, manipuluje provoz v síti. Pod Linuxem funguje injekce paketů s programem aireplay-ng, který je součástí balíčku aircrack-ng. Pod OS Windows tato metoda funguje 4, ale je experimentální. Injektovat pakety lze i pomocí nástroje LORCON 5 (Loss Of Radio CONnectivity). Je to knihovna, kterou může používat jakýkoliv C/C++ linuxový program. Díky této knihovně po úpravě program Wireshark dokáže injektovat pakety. 3. Volba OS Z důvodů širších možností a podpory používaných programů byl použit systém linux namísto OS Windows. Navíc každá lepší aplikace na analýzu, sledováni a provádějící útoky (která pod Windows funguje) je původně Linuxová záležitost. Lze použít téměř jakoukoliv distribuci linuxu, ale jsou vhodnější specializované distribuce obsahující ošetřené ovládače, předinstalované sady programů, nástrojů atd. Vhodné distribuce pro tyto účely jsou především Backtrack a WiFiSlax, dále např. Ubuntu, SlackWare. Užitečné je např. použití tzv. live distribucí, které jsou přenositelné na CD a USB a bootují z těchto médií. 4. Programy sloužící k prolomení, útoku a analýze Programů je mnoho, proto jsou zde popsány nejznámější a nejvíce používané. Měly by zvládat tyto funkce: odchytit pakety, analyzovat užitečné pakety (pomocí filtrů), zobrazit tyto pakety a popř. je dešifrovat. Programy jsou dostupné pro různé OS (nejvíce je jich pro OS Linux a poté Windows) a chipsety (ovladače). Lze tedy použít více programů pro analýzu, sledování a zachytávání dat: Kismet, Netstumbler, Tcpdump, Ethereal (Wireshark) atd. Mezi programy, které odvozují WEP a WPA passphrase, patří např: Airsnort, WepLab, Wep_crack, WEP_Attack, aircrack-ptw, cowpatty, aircrack-ng. 9.1 Podmínky při testování Testování bylo provedeno při laboratorních podmínkách tzn. bez použití externí antény na Wi-Fi kartě a při silném a nerušeném signálu z AP. Použitý standard byl 802.11g tzn. v pásmu 2,4GHz při různém nastavení zabezpečení. 4 http://airdump.net/cz/clanky/aireplay-ng-windows-packet-injection 5 http://802.11ninja.net/lorcon 50

9.1.1 Použitý hardware Základem testování byl notebook Dell Vostro 1500 s parametry: CPU Intel Core2Duo 1,6GHz, 2GB RAM a dvě použité Wi-Fi bezdrátové karty: Další parametry používaných karet a AP jsou uvedeny v tab.9.1. Typ MAC adresa Zařízení pojmenováno AP Edimax EW-7209APg 00:0E:2E:F2:AF:66 - minipci Dell Wireless 1390 00:1C:26:05:F6:2E eth1 USB Edimax EW-7318USg 00:0E:2E:45:68:81 rausb0 Tab. 9.1: MAC adresy používaných karet a AP Připojený klient: integrovaná minipci karta Dell Wireless 1390 WLAN Mini-card Rev. 4.4 s chipsetem BCM4311/BCM 2050 zvládající standard 802.11b/g. Pro odposlech, analýzu přenášených dat a vysílání (injektování) rámců: USB 2.0 Edimax EW-7318USg karta s (externí) anténou, také podporující standard 802.11b/g; chipset Ralink RT73; firmware 1.8; karta disponuje režimy packet injection, monitor mode a promiscuous mode. Přístupový bod: byl použit typ Edimax EW-7209APg; Rev.A 1.21; 11/54Mb/s; založen na chipsetu Realtek RTL8186 umožňujícím zapnout všechny standardní zabezpečení: WEP 64bits, WEP 128bits, WPA(TKIP),WPA(AES), filtrování MAC adres, skrýt vysílání SSID, autentizace Enterprise (Radius server) a Personal Mode (PSK), viz obr. 9.1. Obr. 9.1: Možnosti nastavení Access Pointu 51

9.2.2 Použitý software a ovladače Na notebooku byl použit OS Windows XP Home Edition ServicePack2 a OS Linux BackTrack3Beta založen na Slackware distribuci, instalován na pevný disk. Pro kartu Dell Wireless 1390 s chipsetem Broadcom byl použit ovladač bcm43xx. Pro USB kartu Edimax 7318USg ovladač RaLink RT73 USB Enhanced Driver, který již byl obsažen v používaném Linuxu BackTrack3Beta. Používáme-li např. distribuci Ubuntu použijeme ovladač rt73 dle návodu [17]. Používaným nástrojem pro analýzu sítě, útoky, sběr a sledování dat byl linuxový program Aircrack-ng verze 1.0 beta1. Dále program Wireshark (Version 0.99.6) sloužící k zobrazení informací zachycených dat, program genpmk a program cowpatty (všechny programy jsou již nainstalovány v používaném linuxu BackTrack3Beta). 9.2.3 Program aircrack-ng Nástroj aircrack-ng 6 byl využit nejvíce a je obsažen například v distribuci Linuxu BackTrack3Beta. Jedná se o detektor sítě, který umožňuje odposlouchávat data, analyzovat protokol WEP (WEP-cracker). Pracuje s libovolnou Wi-Fi kartou, kde ovládače podporují monitoring mode a mohou sledovat tok dat. Obsahuje mnoho oddělených části (programů). Mezi nejpoužívanější patří: aircrack-ng: crack WEP a WPA klíče; airdecap-ng: dešifruje WEP/WPA šifrované pakety; airmon-ng: slouží k přepnutí karty do monitor mode; aireplay-ng: umožňuje odeslat libovolný wifi rámec; implementuje útoky na získání keystreamu vygenerovaného access pointem při posílaní šifrovaného rámce pomocí WEP; dále zachytává rámce podle daných kritérií a nechává na uživateli rozhodnutí, zda se mají znovu vyslat; airodump-ng: aplikace pro záznam paketů, zobrazuje AP atd; packetforge-ng: slouží k modifikaci paketů. 6 http://aircrack-ng.org/doku.php 52

10 Realizace V této části bylo realizováno sledování rámců a prolomení slabých míst standardu 802.11: MAC filtering, deautentizace, deasociace, odhalení ESSID, útoky na WEP, injektování paketů, získání keystreamu, fragment a KoreK chopchop útok, vytvoření falešného rámce, útok na zabezpečení WPA/WPA2 (personal mode-psk). 10.1 MAC filtering Povolíme-li na AP nejvíce nebezpečnou ochranu: tedy vypnuto šifrování dat, open autentizace a povolení připojit klienty jen dle MAC adres (MAC filtering), můžeme zjistit sledovacím nástrojem MAC adresu připojeného klienta. Tuto adresu poté ukrást a tím získat síťové prostředky. Wi-Fi karta Edimax 7318USg byla přepnuta do monitor mode příkazem: iwconfig rausb0 mode monitor Pomocí této karty byla zjištěna sledovacím nástrojem airodump-ng MAC adresa připojeného klienta (minipci Dell Wireless 1390) zadáním příkazu: airodump-ng rausb0 --channel 11, kde parametr --channel znamená naslouchání na kanálu, na kterém vysílá AP. Airodump-ng zobrazuje MAC adresy přístupových bodů a klientů, ESSID, sílu signálu, rychlosti, typy autentizací a šifrování atd. Byl ukončen program a odpojena karta Edimax, změněna MAC adresa a karta opět připojena: ifconfig rausb0 down ifconfig rausb0 hw ether 00:1C:26:05:F6:2E ifconfig rausb0 up Z výpisu je patrné, že jsou k dispozici dvě karty se stejnou MAC adresou. Byl eth1 Link encap:ethernet HWaddr 00:1C:26:05:F6:2E UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) Interrupt:10 Base address:0x8000 rausb0 Link encap:ethernet HWaddr 00:1C:26:05:F6:2E UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:304 (304.0 b) TX bytes:480 (480.0 b) 53

odpojen klient s odcizenou MAC adresou a získány síťové prostředky. Na obr.10.1 je připojen klient s MAC adresou 00:1C:26:05:F6:2E. Jestliže je provedeno připojení zároveň s kartou Dell, vznikne na síti kolize, jelikož se zde vyskytují dvě totožné MAC adresy a tento stav není logicky povolen. V tomot případě AP preferuje kartu s lepším signálem (karta Edimax) a karta Dell se odpojí. Obr. 10.1: Sledovací nástroj airodump-ng 10.2 Deautentizace a deasociace Management rámce můžeme podvrhnout. Jsou opatřeny pouze FCS (Frame Check Sequence) kódem (obr. 5.5, 5.6) proti chybám. V management rámcích mají fyzické adresy svůj význam podle umístění v rámci, v datových rámcích je význam adres dán bity ToDS a FromDS. AP obvykle vyšle deautentizační rámec klientovi (který posílá datové rámce) ale není asociován. Klient zase obvykle zasláním deasociačního rámce oznamuje AP, že byl odpojen a už nebude komunikovat. Útočník může předstírat AP nebo klienta, který posílá tyto rámce. 10.2.1 Deautentizace, odhalení skrytého ESSID Vypnutí vysílání ESSID je také chabou ochranou sítě. Sít nezobrazuje své jméno v beacon a broadcast rámcích. V otevřené formě je ESSID obsaženo v mnoha dalších paketech a je potřebný při asociaci s AP. To znamená, že každý klient vysílá ESSID nešifrovaně, když se připojuje do šítě. Deautentizační rámec má první bajt FC (Frame Control) 0xC0. Útočník nemusí čekat na připojení klienta, může použít aktivní útok. Jednou z metod (viz. kap.6.2.1) jak odhalit ESSID je provést falešnou deauthentizaci. Daný postup je možný díky tomu, že řídící 802.11 pakety nejsou autentizovány. Aireplay-ng umí vysílat deautentizační management rámce, což může způsobit zrušení spojení mezi klientem a AP. Byla připojena karta Dell s MAC adresou 00:1C:26:05:F6:2E k AP. Karta Edimax byla přepnuta do monitor mode (jinak nelze injektovat pakety) a programem airodump-ng zjištěna MAC adresa AP a připojeného klienta. Deauthentizace byla provedema příkazem: aireplay-ng -0 4 -a 00:0E:2E:F2:AF:66 -c 00:1C:26:05:F6:2E rausb0 54

Význam parametrů: -0 znamená deauthentizační útok; -4 je počet poslaných deautentizačních rámců; -a 00:0E:2E:F2:AF:66 je MAC adresa přístupového bodu; -c 00:1C:26:05:F6:2E je MAC adresa klienta, kterého chceme deautentizovat; rausb0 je pojmenované zařízení, zde karta Edimax. Výpisem programu jsou pak poslané čtyři deautentizační pakety. bt ~ # aireplay-ng -0 4 -a 00:0E:2E:F2:AF:66 -c 00:1C:26:05:F6:2E rausb0 18:38:41 Waiting for beacon frame (BSSID: 00:0E:2E:F2:AF:66) on channel 11 18:38:41 Sending DeAuth to station -- STMAC: [00:1C:26:05:F6:2E] 18:38:42 Sending DeAuth to station -- STMAC: [00:1C:26:05:F6:2E] 18:38:44 Sending DeAuth to station -- STMAC: [00:1C:26:05:F6:2E] 18:38:45 Sending DeAuth to station -- STMAC: [00:1C:26:05:F6:2E] Ukázka jednoho deautentizačního paketu; ověření fiktivní zdrojové adresy source address (karta Edimax deautentizovala jako AP připojeného klienta Dell). IEEE 802.11 Type/Subtype: Deauthentication (0x0c) Frame Control: 0x00C0 (Normal) Duration: 64 Destination address: HonHaiPr_05:f6:2e (00:1c:26:05:f6:2e) Source address: EdimaxTe_f2:af:66 (00:0e:2e:f2:af:66) BSS Id: EdimaxTe_f2:af:66 (00:0e:2e:f2:af:66) Fragment number: 0 Sequence number: 471 IEEE 802.11 wireless LAN management frame Výsledkem byla deauthentizace klienta a získání ESSID. Deautentizace je užitečná z mnoha důvodů, např. slouží k zobrazení skrytého ESSID, zachycení WPA/WPA2 handshake, generování ARP request rámcu nebo chceme-li dosáhnout vynucení odmítnutí služby DoS. 10.2.2 Deasociace uživatele Jestliže se chce klient odpojit od AP, pošle přístupovému bodu deasasociační management rámec. Deasociační rámec má první bajt 0xA0. Tento rámec může poslat i útočník za jinou stanici nebo AP. Deasociace není v aireplay-ng (resp. aircrack-ng) umožněna, avšak program umí injektovat libovolné vhodné pakety. Programem Wireshark byl z předchozího útoku zachycen deautentizační paket a uložen. Poté hex editorem změněn první bajt rámce z 0xC0 na 0xA0 a získán tak deasociační rámec. 55

Aireplay-ng načte tento rámec ze souboru a odešle pomocí přikazu: aireplay-ng -2 -h 00:0E:2E:45:68:81 -v 8 -u 0 -w 0 -r deasoc_frame.cap rausb0 Význam parametrů: -2 znamená typ útoku, interactive packet replay; -h 00:0E:2E:45:68:81 je MAC adresa zařízení které vysílá rámec; -v 8 určuje typ paketu, podtyp diasociace; -u 0 je management rámec; -w 1 nastavuje bit v poli Frame Control, protected bit = 0; -r specifikuje.cap soubor, který bude použit; rausb0 je pojmenováno interface, karta Edimax. Připojenou kartu Dell se mi nepodařilo deasociovat i přes různá nastavení parametrů. Klient byl odpojen ručně od AP a programem Wireshark uložen deasociační rámec a ten opět použit, avšak se stejným negativním výsledkem. Deasociace a deautentizace uživatele útočníkem funguje bez ohledu na to, jaký typ šifrování sít používá. Ani standard WPA/WPA2 nepomůže, protože řídící pakety stále zůstávají nešifrovány a neautentizovány. 10.3 Útoky na WEP zabezpečení Pro zjištění WEP hesla lze použít pasivní a aktivní útok. Pasivní útok pouze naslouchá na síti a sbírá data, tedy i vhodné inicializační vektory. Není-li dostatečný provoz na síti, neodchytáváme IV a zjištění WEP klíče se nám nepodaří. Nastane-li tato situace, použijeme aktivní útok (injekce paketů). Útočník vyšle (upravené) rámce do sítě (na přístupový bod), tím tak vygeneruje potřebné data, provoz v síti (traffic). 10.3.1 Pasivní útok na WEP Na zachycení IV byl použit program airodump-ng a na zjištění WEP klíče aircrack-ng. Aircrack-ng používá v zásadě dvě techniky: FMS/KoreK techniku (kap.7.4 ) [12], [13] a útok PTW (Pyshkin, Tews, Weinmann) [14], [18]. Metoda FMS/KoreK využívá slabých IV, matematických statistických metod s kombinací útokem hrubou silou. Útok PTW je vylepšením FMS metody. PTW technika dokáže 104-bit WEP klíč prolomit s pravděpodobností 50% za použití 40 000 IV. U 60 000 IV pravděpodobnost stoupne až na 80%. V programu aircrack-ng lze zvolit techniku útoku, vypnout jeden ze sedmnácti KoreK útoků, definovat ze kterých znaků je WEP složeno atd. 10.3.1.1 Získání 40-bit WEP hesla Zde platí, čím více dat zachytíme, tím lépe. Program aircrack-ng potřebuje na odhalení 40-bitového WEP klíče cca 250 000 až 500 000 různých IV [19]. 56

Počet potřebných IV závisí na délce klíče a AP. Každý datový paket obsahuje IV. Inicializační vektory mohou být znovu použity, takže počet různých IV je obvykle o něco nižší, než počet zachycených datových paketů. Se zabezpečeným AP s jednoduchým WEP heslem: ah0j4 (v ASCII kódu) byla připojena karta Dell. Na sítí byl generován provoz stahováním souboru rychlostí zhruba 200kB/s. Karta Edimax (rausb0) byla opět přepnuta do monitor mode a spuštěn program airodump-ng, aby bylo možné zachytit požadované inicializační vektory: airodump-ng --channel 11 --bssid 00:0E:2E:F2:AF:66 -w FMSheslo1 --ivs rausb0 Význam parametrů: --channel 11 udává číslo kanálu na kterém vysílá AP; --bssid 00:0E:2E:F2:AF:66 zachytává pouze pakety se zvolenou MAC adresou AP; -w FMSheslo1 zapíše zachycené data do zvoleného souboru; --ivs určuje, že budou ukládány pouze IV a ne všechna data, pro úsporu místa na pevném disku; rausb0 je jméno rozhraní které bude zachytávat, karta Edimax. Po odchycení požadovaného množství IV byl vytvořen soubor heslo1-01.ivs a ten použit programem aircrack-ng: aircrack-ng -n 64 FMSheslo-01.ivs, kde parametr -n specifikuje délku klíče: 64 pro 40-bit WEP, 128 pro 104-bit WEP. Klíč byl vždy nalezen, viz. obr.10.2. Byly vyzkoušeny i jiná obtížnější hesla, ale výsledek byl téměř vždy stejný. Vždy bylo použito cca 10 000 až Obr. 10.2: Získání 40-bit WEP hesla 57

20 000 inicializačních vektorů k získání hesla. Program nalezl heslo do zachycení počtu 20 000 IV. Vzhledem k provozu v sítí, byl tento počet IV zachycen řádově v minutách. Byl vyzkoušen i druhý útok PTW. Výjimkou tohoto útoku je, že požaduje zachycení celých paketů a vyžaduje ARP request/reply pakety. Byl zrušen parametr --ivs a ukládány celé rámce (je-li na síti velký provoz, soubor získá brzo velkou velikost). ARP pakety mají většinou typickou délku 68 nebo 86 bajtů (ARP request paket délky 68 je od bezdrátového klienta a 86 od pěvně připojeného klienta). Pomocí programu Wireshark a filtru (frame.pkt_len>=68 and frame.pkt_len==86) byly zobrazeny (obr. 10.3) pakety s délkou 68 a 86 bajtů. Obr.10.3: ARP paket Ke generování ARP paketů byl použit příkaz ping na neexistující IP adresu v síti (v mém případě např. 10.0.0.100): ping 10.0.0.100 Příkaz na spuštění s PTW metodou: aircrack-ng -z -n 64 PTWheslo-01.cap, s parametrem -z, který značí použití tohoto útoku. Porovnání metod, potřebný počet IV a zjištěné výsledky jsou shrnuty v tabulce 10.1. Metoda útoku Heslo Počet testovaných klíčů Počet IV 12345 1 113 19 967 FMS/KoreK ah0j4 1 143 10 001 d>b?8 707 674 10 006 12345 1 125 20 000 PTW ah0j4 1 259 961 10 006 d>b?8 988 346 10 011 Tab.10.1: Výsledky prolomení 40-bit WEP hesla Na obr.10.4 je znázorněno jak obecně postupovat, chceme-li získat WEP heslo. 58