Escolar Documentos
Profissional Documentos
Cultura Documentos
11x
Laboratrio ACME! de Pesquisa em Segurana UNESP - IBILCE So Jos do Rio Preto SP Brasil
Aprovado por:
Prof. Dr. Adriano Mauro Cansian (Presidente) Prof. Dr. Mario Luiz Tronco Prof. Fbio Luiz Viana
Agradecimentos
...AGRADEO A DEUS porque sei que ELE VIVE! Aparecida Silva - Andriella
Agradeo especialmente a meus pais Luiz e Solange, pelo amor, educao, credibilidade e carinho. Ao meus irmos Jos Augusto e Adriana pelo apoio e pacincia despendida. Lvia, minha namorada, pelo amor, carinho, pacincia e compreenso durante mais de trs anos de namoro. Aos meus amigos: Artur (Maguila), Denlson (Juarez), Luiz Fernando (Fefa), Marcelo (Faiskaum), Silvio (Peludo), Renato pelos anos de amizade. Ao meu orientador Adriano, pelos ensinamentos, sugestes, crticas e conselhos. Ao Marcelo (Faiskaum) e ao Andr (Ruivinho) pelos trabalhos desenvolvidos em conjunto e pelos momentos de descontrao. Ao Marcelo (Cave) e ao Artur Renato pela ajuda, amizade e companheirismo desde iniciar o estgio no laboratrio. Ao Csar (Burca) e Thiago (Jil) pelas informaes e ajudas trocadas nas longas madrugadas passadas. Aos demais familiares e amigos que de uma forma ou de outra me ajudaram.
Sumrio
AGRADECIMENTOS ......................................................................................................................................... 3 SUMRIO............................................................................................................................................................. 5 NDICE DE FIGURAS ........................................................................................................................................ 7 NDICE DE TABELAS........................................................................................................................................ 8 RESUMO............................................................................................................................................................... 9 ABSTRACT ........................................................................................................................................................ 10 INTRODUO .................................................................................................................................................. 11 1.1 MOTIVAES .............................................................................................................................................. 11 1.2 OBJETIVOS .................................................................................................................................................. 12 1.3 ORGANIZAO DO PROJETO ........................................................................................................................ 12 FUNDAMENTAO TERICA ..................................................................................................................... 14 2.1 CONSIDERAES INICIAIS ........................................................................................................................... 14 2.2 REDES DE COMPUTADORES E A PILHA DE PROTOCOLOS TCP/IP.................................................................. 14 2.2.1 Pilha de protocolos TCP/IP ............................................................................................................... 16 2.2.2 Papel de cada camada ....................................................................................................................... 16 2.3 DIFERENCIAO ENTRE REDES ETHERNET E REDES SEM FIO. ....................................................................... 17 2.4 NOMENCLATURA DE COMPONENTES DE REDES SEM FIO .............................................................................. 18 2.5 PADRES PARA REDES SEM FIO ................................................................................................................... 19 2.6 ESPECIFICAES DA CAMADA MAC E PHY DE REDES SEM FIO .................................................................. 20 2.6.1. Especificaes da camada fsica....................................................................................................... 20 2.6.2 Introduo dos servios da camada MAC ......................................................................................... 20 2.6.3 Formato dos frames do 802.11 .......................................................................................................... 20 2.7 CRIPTOGRAFIA E AUTENTICIDADE EM REDES SEM FIO ................................................................................ 23 2.7.1 Formas de autenticao em access points. ........................................................................................ 23 2.7.2 WEP (Wired Equivalent Privacity) .................................................................................................... 24 2.8 GERENCIAMENTO E CONTROLE DE REDES SEM FIO 802.11X ........................................................................ 25 2.8.1 Configuraes de redes sem fio ......................................................................................................... 25 2.8.2 Associao de estaes ...................................................................................................................... 25 2.9 RISCOS DE SEGURANA EM REDES SEM FIO ................................................................................................. 26 2.10 CONSIDERAES FINAIS ........................................................................................................................... 27 DESENVOLVIMENTO..................................................................................................................................... 28 3.1 CONSIDERAES INICIAIS ........................................................................................................................... 28 3.2 ANLISE DAS VULNERABILIDADES DAS REDES SEM FIO .............................................................................. 29 3.2.1 Pontos vulnerveis no protocolo........................................................................................................ 29 3.2.2 Vulnerabilidades do WEP .................................................................................................................. 29 3.2.3 Vulnerabilidades nas formas de autenticao ................................................................................... 30 3.2.4 Beacon Frames .................................................................................................................................. 30 3.3 RISCOS INTERNOS ....................................................................................................................................... 31 3.3.1 Rogue WLANs .................................................................................................................................... 31 3.3.2 Configuraes Inseguras ................................................................................................................... 31 3.3.3 Associao Acidental ......................................................................................................................... 32 3.4 RISCOS EXTERNOS ...................................................................................................................................... 32 3.4.1 Eavesdropping & Espionage.............................................................................................................. 32 3.4.2 Roubo de Identidade .......................................................................................................................... 33 3.4.3 Ataques emergentes............................................................................................................................ 33 3.5 FERRAMENTAS PARA REDES SEM FIO .......................................................................................................... 33
3.5.1 NetStumbler........................................................................................................................................ 34 3.5.2 Kismet ................................................................................................................................................ 34 3.5.3 Wellenreiter........................................................................................................................................ 35 3.5.4 Ethereal.............................................................................................................................................. 35 3.5.5 WEPCrack.......................................................................................................................................... 36 3.5.6 AirSnort.............................................................................................................................................. 36 3.5.7 HostAP ............................................................................................................................................... 36 3.5.8 Orinoco/Wireless Tools...................................................................................................................... 37 3.6 ATAQUES S REDES SEM FIO ....................................................................................................................... 38 3.6.1 Associao Maliciosa......................................................................................................................... 38 3.6.2 ARP Poisoning ................................................................................................................................... 39 3.6.3 MAC Spoofing .................................................................................................................................... 40 3.6.4 D.o.S................................................................................................................................................... 41 3.6.5 Ataques de Vigilncia ........................................................................................................................ 41 3.6.6 Wardriving ......................................................................................................................................... 42 3.6.7 Warchalking ....................................................................................................................................... 42 3.7 AMBIENTE DOS TESTES EXPERIMENTAIS ..................................................................................................... 43 3.7.1 Equipamentos..................................................................................................................................... 43 3.7.2 Comprovando Eavesdropping & Espionage ...................................................................................... 43 3.7.3 Validando Associao maliciosa. ...................................................................................................... 45 3.7.4 Validando ARP poisoning .................................................................................................................. 45 3.7.5 Validando MAC spoofing ................................................................................................................... 46 3.8 CONSIDERAES FINAIS ............................................................................................................................. 46 CONCLUSO..................................................................................................................................................... 47 4.1 PROPOSTAS PARA TRABALHOS FUTUROS ..................................................................................................... 48 REFERNCIAS BIBLIOGRFICAS.............................................................................................................. 49 ANEXO A............................................................................................................................................................ 51 ANEXO B ............................................................................................................................................................ 53
ndice de figuras
FIGURA 2.1 PILHA DE PROTOCOLOS TCP/IP, COM EXEMPLOS DE PROTOCOLOS DE CADA CAMADA................ 16 FIGURA 2.2 COMUNICAO VIA PILHA TCP/IP.............................................................................................. 17 FIGURA 2.3 MODIFICAES ENTRE REDES ETHERNET E REDES SEM FIO.......................................................... 18 FIGURA 2.4 FORMATO GERAL DE UM FRAME 802.11....................................................................................... 21 FIGURA 2.5 FORMATO DO CAMPO FRAME CONTROL. ....................................................................................... 22 FIGURA 2.6 CAMPO DE CONTROLE DE SEQNCIA ......................................................................................... 23 FIGURA 3.1 SADA DO COMANDO IWPRIV AMBIENTE DE ANLISE ................................................................ 37 FIGURA 3.2 SADA DO COMANDO IWCONFIG AMBIENTE DE ANLISE ........................................................... 37 FIGURA 3.3 ASSOCIAO MALICIOSA............................................................................................................ 38 FIGURA 3.4 ARP POISONING EM REDES GUIADAS .......................................................................................... 40 FIGURA 3.5 MAC SPOFFING SANITIZADO ................................................................................................... 41 FIGURA 3.6 SMBOLOS DE WARCHALKING ...................................................................................................... 43 FIGURA 3.7 SADA DO COMANDO IWCONFIG................................................................................................... 44 FIGURA 3.8 SADA DO COMANDO IWPRIV........................................................................................................ 44 FIGURA A.1 BEACON FRAME CAPTURADO DADOS SANITIZADOS .................................................................. 52 FIGURA B.1 WIRELESS ARP POISONING: 3 HOSTS NA PORO SEM FIO. ........................................................ 53 FIGURA B.2 WIRELESS ARP POISONING: 2 HOSTS NA PORO GUIADA E 1 NA SEM FIO. ................................ 54 FIGURA B.3 WIRELESS ARP POISONING: 1 HOST NA PORO GUIADA E 2 NA SEM FIO. ................................. 54 FIGURA B.4 WIRELESS ARP POISONING: 3 HOSTS NA PORO SEM FIO ......................................................... 55
ndice de tabelas
TABELA 2.1 COMITS CRIADORES E MANTENEDORES DE PADRES E PROTOCOLOS........................................ 15 TABELA 2.2 ALGUMAS COMBINAES VLIDAS DE TIPO E SUBTIPO. ............................................................. 22 TABELA 3.1 AMBIENTE DE ANLISE .............................................................................................................. 43
Resumo
A tecnologia 802.11 para redes sem fio tem sido amplamente utilizada por instituies e empresas com a finalidade de economia em infra-estrutura de cabeamento, alm de prover interligao, maior mobilidade e flexibilidade para redes locais. Em contrapartida, existem algumas preocupaes adicionais em segurana que so inerentes a um meio de comunicao sem fio. Visando o aumento na expertise dos pesquisadores, analistas e tcnicos, este trabalho analisa as vulnerabilidades e os ataques em redes sem fio conhecidos na atualidade.
ABSTRACT
The 802.11 technology for wireless networks has been widely deployed by institutions and enterprises in order to don't spend money with cabling infra-structure, providing more intercommunication and greater mobility and flexibility to the local networks. Nevertheless, there are several additional worries about security inherent to a wireless medium. Aiming for a increasing of the expertise of the researchers, analysts and technicians, this work analises the most actual vulnerabilities and the attacks in wireless networks.
10
1
No incio no havia incio, s havia o Irnico. Ele sempre existiu, e somente Ele sempre existiu, nada jamais existiu alm Dele.. Alessandro de Sousa Villar Cosmogonia Irnica
Introduo
O rpido aumento da utilizao das redes sem fio 802.11x no decorrer dos ltimos anos comparado com o crescimento da Internet nas ltimas dcadas [ASW01]. Estas redes so cada vez mais utilizadas como um auxlio precioso para as LANs Local Area Networks [KR01] convencionais, seja por prover uma alternativa economicamente vivel, seja por prover taxas de transmisso comparveis a redes guiadas. As redes sem fio vm sendo cada vez mais utilizadas para prover conectividade dentro de instituies. Alm de serem utilizadas para criar links distncia entre organizaes, suas filiais e clientes. Este um novo cenrio onde pessoas mal intencionadas podem ganhar acesso rede e comprometer os computadores da instituio, transformando-a em um ambiente potencialmente inseguro.
1.1 Motivaes
Por ser uma tecnologia relativamente recente, muitas vulnerabilidades podem ser encontradas e outras ainda sero descobertas. justamente explorando estas vulnerabilidades que atacantes se infiltram nas redes sem fio. A forma comumente utilizada para explorar estas vulnerabilidades atravs do uso de ferramentas desenvolvidas especificamente para esta finalidade. Ataques direcionados s redes sem fio alm de comprometer os recursos destas, podem comprometer os recursos de outras redes com as quais esta se interconecta. Outro fator determinante da segurana em redes sem fio relacionado com a origem dos ataques. Estes podem ser originados de qualquer posio dentro da rea de cobertura da rede em questo, o que dificulta a tarefa de localizao precisa da origem do ataque. Esta rede tornou-se um alvo fcil e almejado por pessoas mal intencionadas para o comprometimento de sistemas, pois disponibiliza inmeros atrativos como dificuldade na identificao da origem exata do ataque, imaturidade das opes e protocolos de segurana para
11
esse tipo de tecnologia, facilidade em obter acesso a rede guiada atravs de uma conexo de rede sem fio e principalmente a falta de conhecimento tcnico do gerente desta rede. Para que os ataques dirigidos s redes sem fio possam ser identificados e as contramedidas possam ser tomadas eficazmente, necessrio que haja a anlise das vulnerabilidades inerentes s redes 802.11x. Para isso, preciso um estudo exaustivo sobre os protocolos que do suporte s mesmas. Com isso as falhas nestes protocolos so apontadas e as mudanas cabveis podem ser introduzidas.
1.2 Objetivos
Este projeto estuda os protocolos que do suporte s redes 802.11x, analisando suas vulnerabilidades, as tcnicas de ataques e as ferramentas mais utilizadas por pessoas mal intencionadas para o comprometimento destas redes, tendo como objetivo fornecer a base conceitual necessria para que ferramentas de segurana para redes 802.11x possam ser desenvolvidas. A anlise das vulnerabilidades voltada ao estudo das falhas de segurana presentes na estruturao dos protocolos 802.11x. Soma-se a esta anlise, outra onde se leva em considerao a comunicao entre os dispositivos de rede sem fio. O estudo das tcnicas utilizadas para explorar estas vulnerabilidades tambm realizado. Com esse estudo, so identificados o grau de conhecimento do atacante, informaes de vulnerabilidades ainda no conhecidas e formas eficazes de se identificar quando algum destes ataques est sendo disparado contra determinada rede. O projeto, portanto, analisa as vulnerabilidades, o grau de comprometimento atingido por cada uma delas, como podem ser exploradas e como podem ser eliminadas.
12
e dos testes prticos tornam isto possvel. Nesta ltima fase tambm so includos resultados e concluses sobre a segurana em redes sem fio, levando em conta as vulnerabilidades estudadas e as formas de proteo encontradas.
13
2
Conhea o inimigo e a si mesmo e voc obter a vitria sem qualquer perigo.... Sun Tzu A arte da guerra
Fundamentao Terica
2.1 Consideraes iniciais
Neste capitulo apresentada a fundamentao terica necessria para o entendimento acerca do desenvolvimento deste trabalho, o qual baseia-se na anlise das vulnerabilidades e dos ataques inerentes a redes sem fio 802.11x. A pilha de protocolos TCP/IP 1 , seus elementos e funcionalidades so mostrados inicialmente, bem como, as principais diferenas entre redes ethernet [KR01] e redes sem fio 802.11x. Em seqncia so abordados aspectos sobre as especificaes da camada de enlace de dados e da camada fsica das redes sem fio. So ilustrados conceitos fundamentais das redes sem fio, criptografia e autenticao e as formas de controle e gerenciamento presentes no protocolo 802.11. Por fim, so apresentados importantes aspectos sobre segurana de computadores e redes, tomando como parmetro principal a segurana de redes sem fio, apontando quais caractersticas so desejveis a priori.
14
(end systems), impressoras, ou qualquer outro dispositivo capaz de trocar dados com os outros ns desta rede [KR01]. A comunicao entre os diversos dispositivos da rede de computadores deve ocorrer de forma ordenada, visto que esta comunicao ocorre entre diferentes sistemas. [Ste94] Atravs do uso de protocolos, que so um agrupado de regras que gerenciam a comunicao de dados, possvel interligar vrios dispositivos com os sistemas mais variados. Existem alguns comits, tabela 2.1, que se dedicam a estabelecer e manter padres e protocolos para dados e telecomunicaes. Tabela 2.1 Comits criadores e mantenedores de padres e protocolos. [FBA98] The Internet Society (ISOC) The International Standards Organization (OSI) The International Telecommunications Union (ITU-T, formalmente o CCITT) The American National Standards Institute (ANSI) The Institute of Electrical and Electronic Engineers (IEEE) The Electronic Industries Association (EIA) Bellcor justamente atravs da utilizao de padres previamente definidos que se torna possvel a existncia da Internet. Esta entendida como a interconexo de milhes de dispositivos computacionais ao redor do mundo [KR01]. O Internet Engineering Task Force (IETF) [IET03] uma comunidade internacional de projetistas de redes, operadores, fabricantes e pesquisadores preocupados com o desenvolvimento da arquitetura da Internet. O IETF uma atividade organizada do ISOC [ISO03] e tambm responsvel por manter a especificao oficial do Internet Protocol (IP) e do Transmission Control Protocol (TCP). Uma das pilhas de protocolos mais utilizada para interconexo em redes de computadores na atualidade conhecida como pilha TCP/IP (Transmission Control Protocol/Internet Protocol). Esta referencia dois dos protocolos de rede mais conhecidos e utilizados na Internet: o protocolo IP mantido sobre o RFC 791 [RFC-791] e o protocolo TCP mantido sobre o RFC 793 [RFC-793]. O estudo e entendimento do funcionamento do modelo TCP/IP necessrio neste projeto para a compreenso de algumas vulnerabilidades nas redes sem fio, para que o funcionamento das ferramentas maliciosas possa ser entendido e para que o estudo seja feito da maneira mais completa possvel. Outro ponto importante que torna necessrio o estudo da pilha TCP/IP a necessidade em se diferenciar as redes sem fio das redes guiadas3. As principais caractersticas da pilha de protocolos TCP/IP sero apresentadas a seguir.
Host ou end system dispositivos computacionais como desktops, estaes UNIX e servidores interligados em rede e que so capazes utilizar os servios desta. 3 Redes guiadas redes que necessitam de cabos (fios de cobre, fibras ou outros) para interconexo dos vrios dispositivos. Fazem parte destas redes: redes ADSL, redes ATM, redes ethernet, entre outras.
2
15
Figura 2.1 Pilha de protocolos TCP/IP, com exemplos de protocolos de cada camada. A comunicao nas redes sem fio ocorre atravs da implementao do modelo TCP/IP. Entretanto, existem algumas variaes na implementao dependendo da tecnologia utilizada que sero apresentadas no item 2.3.
16
Aplicao: Esta camada permite softwares acessarem a rede. Esta prov interface com o usurio e suporte a vrios tipos de servios como correio eletrnico, acesso remoto a arquivos, entre outros. 2.2.3 Comunicao em redes TCP/IP Para melhor exemplificar o funcionamento de uma rede TCP/IP importante entender como a informao flui entre os diversos dispositivos que a configuram. A forma como as mensagens so trocadas, figura 2.2, no modelo TCP/IP idntica maneira como esta troca efetuada nas redes sem fio.
Figura 2.2 Comunicao via pilha TCP/IP A forma de comunicao padro entre dois hosts A e B em uma rede TCP/IP faz com que os pacotes trocados apenas sejam tratados na camada de transporte e de aplicao pelos hosts A e B. Os dispositivos intermedirios, que so compreendidos por outros hosts ou dispositivos de interconexo de redes, a princpio no tratam o pacote alm da camada de rede da pilha de protocolos. Como ser visto adiante os access points tradicionais atuam apenas nas trs primeiras camadas: fsica, de enlace de dados e de rede.
17
Figura 2.3 Modificaes entre redes ethernet e redes sem fio. As modificaes encontradas entre as redes ethernet e sem fio esto localizadas na camada fsica e na metade inferior da camada de enlace. Estas modificaes so inseridas por causa da mudana do meio fsico da rede e tambm para suportar a autenticao, associao e privacidade de estaes. Com isso, a maior parte dos ataques que utilizam as camadas mais superiores da pilha TCP/IP pode ser identificada com mtodos convencionais de identificao de intruso. Alguns SDIs que so utilizados para identificar intruso da camada de enlace de dados precisam ser modificados para suportar esta nova tecnologia. Outros SDIs j possuem o suporte ao linktype das redes sem fio, mas no identificam ataque inerentes a estas redes, somente conseguem interpretar os pacotes.
18
Extended Service Set (ESS) um conjunto de um ou mais BSSs interconectados, integrado as redes locais. Estes aparentam ser um nico BSS para a camada de enlace de dados de qualquer estao associada a qualquer BSS. Outras nomenclaturas so apresentadas no decorrer do projeto e so explicadas na medida em que ocorrem.
WEP (Wired Equivalent Privacy). o algoritmo que prov privacidade, autenticao e criptografia em rede sem fio. Discutido em 2.7.2. 6 Wi-Fi Alliance [WiF03] uma associao internacional sem fins lucrativos, formada em 1999 para certificar a interoperabilidade de produtos de redes locais sem fio, baseadas na especificao 802.11. 7 TKIP faz parte do padro de criptografia 802.11i, sendo referenciado como a prxima gerao do WEP. TKIP prove a troca de chaves WEP por pacote e um sistema de checagem de integridade das mensagens e um mecanismo de re-chaveamento.
5
19
20
2.6.3.1 Formato geral de um frame 802.11: Cada frame consiste de trs componentes bsicos, figura 2.4. Um cabealho MAC (MAC header) que inclui informaes sobre o frame control (frame de controle), duration (durao), address (endereo) e sequence control (controle de seqncia). Outro componente incluso o frame body (corpo do frame), o qual representa as informaes carregadas por cada tipo especfico de frame, alm do FCS (frame check sequence seqncia de checagem do frame), que contm um cdigo de redundncia cclica (CRC) [KR01].
Figura 2.4 formato geral de um frame 802.11 O primeiro campo o Frame Control, com vrios subcampos que visam especificao das diversas caractersticas do frame a ser enviado. O campo Duration/ID (Durao/ID), cujo comprimento 16 bits, carrega a ID de associao da estao que transmitiu o quadro, alm do valor de durao definido para cada tipo de frame. Os quatro campos de Address (Endereo), usados para indicar o BSSID, so os endereos de origem e de destino, os endereos da estao transmissora e da receptora. Contm 48 bits para cada endereo e podem ser de dois tipos: endereo individual ou de grupo, sendo este ltimo subdividido em endereo de grupo multicast ou broadcast. O campo de Sequence Control (Controle de Seqncia) utilizado na manuteno dos frames em fluxo, possui 16 bits de comprimento e consiste dos subcampos Sequence Number (Nmero de Seqncia), de 12 bits e Fragment Number (Nmero do Fragmento), de 4 bits. Ambos permanecem constantes em caso de retransmisso. O campo Frame Body (Corpo do Quadro) de comprimento varivel (0 a 2312 octetos) e contm informaes acerca do tipo e subtipo dos frames, alm dos dados enviados e/ou recebidos. Por fim, tem-se o campo FCS Frame Check Sequence, com 32 bits, que utiliza o CRC de 32 bits para detectar erros nos frames, assim que eles chegam.
21
Figura 2.5 formato do campo frame control. O campo Frame Control consiste dos seguintes subcampos: Protocol Version (Verso do Protocolo), com tamanho fixo de 2 bits e possui valor 0 (zero) para o padro corrente; Type (Tipo), com comprimento de 2 bits, identifica a funo do frame e pode ser de controle, de dado ou de gerenciamento; Subtype (Subtipo), com comprimento de 4 bits, identifica a funo do frame em conjunto com o tipo, podendo haver diversas combinaes entre os mesmos; Tabela 2.2 Algumas combinaes vlidas de tipo e subtipo. Type value Type Subtype value Subtype description b3 b2 Description b7 b6 b5 b4 00 Management 0100 Probe request 00 Management 0101 Probe response 00 Management 1000 Beacon 00 Management 1011 Authentication 01 Control 1011 Request To Send (RTS) 01 Control 1100 Clear To Send (CTS) 01 Control 1101 Acknowledgment(ACK) 10 Data 0000 Data To DS9 e From DS, cada qual sendo de 1 bit e tendo a funo de identificar se o frame est sendo enviado, se est chegando, se a comunicao entre dois access points ou estaes; More Fragments (Mais Fragmentos), com tamanho de 1 bit, contendo valor um ou zero, de forma a indicar a existncia de mais fragmentos ou no; Retry (Nova Tentativa), de comprimento de 1 bit, serve para controle de retransmisses e frames duplicados;
DS (Distribution System) um sistema utilizado para integrar um conjunto de BSSs e integrar a rede local.
22
Power Management (Gerenciamento de Energia), que indica o modo de gerenciamento de energia de uma estao, sendo que o valor designado um significa que esta estar em modo de economia de energia e zero em modo ativo. Seu comprimento de 1 bit; More Data (Mais Dados), com tamanho de 1 bit, usado para indicar a existncia de unidades de dados em registro no access point para a estao; WEP [IEE99b], que diz respeito a se o campo Frame Body contm ou no (um ou zero) informaes processadas pelo algoritmo criptogrfico WEP, sendo tambm de 1 bit de comprimento; Order (Ordem), de 1 bit de comprimento, utilizado para classificar se o fragmento usa a classe de servio StrictlyOrdered (estritamente ordenado) ou no. 2.6.3.3 Campo de controle de seqncia
Figura 2.6 Campo de controle de seqncia O campo Sequence Number (Nmero de Seqncia) um campo de 12 bits e indica o nmero de seqncia de um MSDU enviado por uma estao. Este nmero atribudo pelo mdulo de 4096, comeando em 0 e sendo incrementado de 1 a cada MSDU. O campo Fragment Number (Nmero do Fragmento) o campo que indica o nmero de cada fragmento de um MSDU enviado. Este campo atribudo com 0 no ltimo ou nico fragmento e acrescido de 1 para cada um dos fragmentos remanescentes.
23
Autenticao Aberta (Open Authentication): Onde qualquer estao pode se associar ao access point e obter acesso rede. Autenticao Compartilhada (Shared Authentication): Onde chaves WEP so previamente compartilhadas e estas so usadas para autenticar o cliente junto ao access point. Entretanto, se um dispositivo cliente for furtado, ento todas as chaves compartilhadas sero comprometidas e precisaro ser trocadas. [ASW01] Rede-EAP (Network-EAP) [BV98]: Existem vrios algoritmos EAP (Extensible Authorization Protocol). Estes protocolos do suporte a autenticao atravs de servidores Radius.
24
no consegue distinguir dois hosts diferentes. Entretanto, esforos do comit do IEEE 802.11 e do Wi-fi estudam formas alternativas, como o IEEE 802.11i e o WPA.
25
operacionais como Linux, Unix e Windows. Entretanto, alguns softwares maliciosos tambm utilizam este mtodo. Sondagem passiva [WJ02]: Ao contrrio do anterior, a sondagem passiva, tambm conhecido por monitoramento por rdio freqncia (RFMON), no insere pacotes na rede. A aplicao que utiliza este tipo de monitoramento captura todos os sinais de rdio freqncia no canal em que a placa de rede sem fio esta configurada para escutar. E com a devida filtragem no trafego capturado o SSID pode ser obtido. A m configurao de access points faz com que a princpio este envie em broadcast qual o seu SSID. A descoberta das WLANs atravs de softwares maliciosos como NetStumbler (http://www.netstumbler.com), DStumbler (http://www.dachb0den.com), Wellenreiter (http://packetstormsecurity.nl) e outros, que se utilizam dos mtodos de sondagem descritos, uma tcnica cada vez mais popular de penetrao de rede.
Estas caractersticas devem ser balanceadas para que o sistema no fique to seguro aponto de usurios legtimos no conseguirem utiliz-lo eficientemente, e que este sistema tambm no seja inseguro a ponto de permitir a ao de usurios no autorizados. Um fator importante relacionado segurana de redes sem fio o fato de que os ataques gerados dentro destas redes so disparados dentro do mesmo domnio de coliso. Ou seja, o atacante se comunica com o mesmo concentrador de trfego do sistema o qual almeja atacar. Ataques como Man-in-the-Middle [Air00], ARP Poisoning[FD02], MAC Spoofing e outros que se valem desta posio avantajada podem ser disparados e comprometer o sistema.
26
Existem peculiaridades nos ataques inerentes s redes sem fio. Uma destas o fato da utilizao de equipamento prprio por parte de atacante. Ou seja, h a necessidade de que o atacante esteja dentro da rea de cobertura da rede sem fio em questo e que esteja utilizando seu prprio equipamento. Os ataques convencionais em redes guiadas podem ser disparados de outros sistemas anteriormente atacados, no existindo esta necessidade. Entretanto, o fato do atacante dispor de recursos prprios para gerar o ataque e estar prximo ao sistema que ser atacado ajuda no processo de estudo e anlise o conhecimento do atacante. Ou seja, projetos podem ser desenvolvidos com a finalidade de analisar o conhecimento de um atacante em dada regio geogrfica.
27
3
Ns trabalhamos no escuro. Fazemos o possvel para combater o mal, que do contrrio nos destruiria. Mas se o carter de um homem seu destino, a luta no uma escolha, mas uma vocao. Fox Mulder Grotesque
Desenvolvimento
3.1 Consideraes iniciais
Este captulo trata dos ataques, bem como das vulnerabilidades existentes no protocolo 802.11. Neste, inicialmente sero apresentadas as caractersticas do protocolo que podem causar algum tipo de vulnerabilidade. Estas sero abordadas mesmo que ainda no existam tcnicas para explor-las. Isto, pois estas podem representar riscos futuros segurana nas redes sem fio. Em seguidas so analisados os riscos inerentes das redes sem fio, sendo que estes so classificados em riscos externos e riscos internos. Estes riscos tambm so vulnerabilidades que podem ser exploradas atravs do uso de ferramentas especficas que tambm sero analisadas. Neste captulo, tambm apresentado o ambiente experimental utilizado para validar alguns ataques e algumas vulnerabilidades. Por ter outros objetivos, que no a produo de exploits 10 , os experimentos so realizados utilizando-se softwares j desenvolvidos para comprometimento de redes sem fio. Tem-se por objetivo, portanto, ilustrar as vulnerabilidades encontradas atravs dos exaustivos estudos realizados, mostrando como estas podem introduzir riscos segurana de redes sem fio e como estas podem ser de fato exploradas. Alm de mostrar o ambiente experimental utilizado.
10 Exploit So programas concebidos para explorar determinada vulnerabilidade ou sistema. Geralmente progamado por um hacker experiente para ser utilizado por pessoas com menos conhecimento.
28
29
O protocolo WEP utiliza 40 ou 104 bits12 para a palavra chave e 24 bits para o vetor de iniciao. Perfazendo um total de 64 ou 128 bits. Com isso teramos uma chave de 5 ou 13 caracteres para a palavra secreta e 3 caracteres para o vetor de iniciao. Com 24 bits o vetor de iniciao pode possuir 224 ou 16.777.216 nmeros diferentes, os quais so escolhidos aleatoriamente. Em tese a probabilidade de se encontrar uma mensagem criptografada com o mesmo IV de uma em 16.777.216. No entanto, por ser um nmero randomicamente gerado, na prtica possvel encontrar uma coliso de IV em aproximadamente 5.000 pacotes trocados. O que corresponde a um trfego de 7 a 10 MB. [PF02] provado que a partir de uma coliso de IV, levando-se em conta caractersticas mantidas de um pacote a outro. perfeitamente cabvel um ataque por anlise de freqncia [PF02]. Como ser ilustrado adiante j existem programas capazes de explorar esta vulnerabilidade.
12 Apesar de no ser explicitamente especificada no padro 802.11b, a criptografia de 104 bits utilizada na grande maioria dos dispositivos.
30
A presena destes pacotes pode indicar que rogue access points [Air00] estejam ligados rede. Estes access points so instalados sem a autorizao e na maioria das vezes representa um grande risco de segurana a rede da instituio.
31
32
No entanto, nas redes sem fio o sistema do atacante no precisa estar fisicamente ligado, nem associado a nem um dispositivo da rede alvo. Com isso, a identificao de quando um atacante efetua este tipo de ataque muito mais complicada. Eavesdropping & Espionage tambm introduzem uma vulnerabilidade ainda no comentada. No existem, atualmente, mecanismos do prprio protocolo capazes de banir usurios no autenticados do trfego da rede. Ou seja, uma forma eficaz de no permitir que estes ataques ocorram. Mesmo com a utilizao de WEP as redes ainda permanecem vulnerveis. Uma forma de tentar minimizar a ao deste tipo de ataque atravs da utilizao de VPNs, dificultando assim a escuta em detrimento da anlise do trfego pelo gerente da rede. Um outro ponto importante que se relaciona a Eavesdropping quanto a utilizao de SDIs em redes sem fio. Como esta possui um concentrador de trfego de sada (access point), possvel examinar o trfego advindo destas redes depois do concentrador, extraindo o trfego das VPNs e remontando-as aps as anlises.
33
As ferramentas tambm sero utilizadas para os experimentos prticos realizados. Como as ferramentas de ataque podem ser utilizadas para segurana e vice-versa, estas no sero classificadas quanto aos seus propsitos.
3.5.1 NetStumbler
URL: http://www.netstumbler.com Este a ferramenta mais conhecida de scanner para redes sem fio. Inclui muitas caractersticas como potncia do sinal, ESSID da rede em questo, alm de suporte a GPS. Este programa modificou significantemente o mundo da rede sem fio. Pois, alm de ser utilizado para aes maliciosas, pode ser utilizado pelo gerente da rede em questo para monitorar a qualidade do sinal e quantos dispositivos esto instalados na sua instituio. Este software possui uma verso para Pocket PC intitulada MiniStumbler, a qual pode ser utilizada sem que desperte muita ateno e tenha a mesma eficcia do NetStumbler tradicional. Apesar de todas as inovaes trazidas por estes programas, a base de sua concepo tambm a base de seu maior problema. Utilizando o mtodo de sondagem ativa da rede, suas primeiras verses enviavam informaes que facilitavam a identificao destes softwares atravs da anlise do trfego da rede.
3.5.2 Kismet
URL: http://www.kismetwireless.net Desenvolvido com a filosofia opensource 13 este sniffer inclui um grande nmero de ferramentas e opes. Projetado como cliente e servidor, pode ter vrios servidores rodando distancia de um nico cliente. Alm de monitorar uma gama muito grande de origens diferentes, pode armazenar os pacotes capturados em vrios formatos diferentes. Alm de funcionar como sniffer, este programa ainda gera dados relacionados localizao aproximada do dispositivo monitorado. Isto realizado atravs da unio das caractersticas do Kismet com um GPS. Outro ponto favorvel em relao s outras ferramentas que automaticamente salva todas as redes encontradas. Trabalhando com a biblioteca Ncurses14 e tendo vrias telas e opes, disponibiliza quase todas as informaes necessrias para um atacante desenvolver seus ataques. Algumas das informaes que o Kismet consegue obter sobre o estado geral da sua rea de abrangncia so: Nmero de WLANs detectadas, nmero total de pacotes capturados por WLAN, ausncia ou no de criptografia WEP, nmero de pacotes com o I.V. fraco, nmero de pacotes irreconhecveis, nmero de pacotes descartados e tempo decorrido desde a execuo do programa.
13 Programas opensource So programas que possuem seu cdigo aberto, ou seja, qualquer pessoa com os conhecimentos necessrios capaz de alterar ou re-programar este cdigo. 14 Ncurses uma biblioteca para trabalho com ambientes com menus e telas, prove suporte a cor, negrito e outras funcionalidades, maiores informaes podem ser obtidas em http://dickey.his.com/ncurses/ncurses.html.
34
J outras informaes a respeito de cada uma das WLANs encontradas so: SSID, BSSID (relaciona-se ao endereo MAC do access point ), taxa mxima suportada pela rede, se o dispositivo monitorado um access point, ou um dispositivo convencional, qual o canal que a WLAN esta configurada, se suporta WEP. Alm disso, disponibiliza informaes a respeito do intervalo de envio de beacon frames, mostra o total de pacotes capturados desta rede descrevendo quantos so de gerenciamento, quantos so de dados, quantos possuem criptografia e quantos so fracos. O Kismet pode ainda disponibilizar quando o ltimo pacote de determinada WLAN foi recebido, qual a qualidade do sinal deste ultimo pacote, qual a melhor qualidade de sinal j recebida e a pior. Mais um ponto favorvel ao Kismet que este consegue relacionar os clientes das WLANs, bem como os IPs de cada um dos dispositivos. Estes endereos IPs podem ser descobertos atravs de requisies via ARP, via UDP e TCP. Alm de trabalhar com sondagem passiva dificultando sobremaneira sua deteco. Estas inmeras caractersticas fazem com que o Kismet seja considerado, pelas anlises nele realizadas, a ferramenta opensource para Linux mais completa e eficaz da atualidade.
3.5.3 Wellenreiter
URL: http://www.wellenreiter.net Esta uma ferramenta para descobrimento e auditoria de redes sem fio. Os testes realizados com esta ferramenta mostraram que esta no difere das demais. Entretanto, mais rudimentar e insere poucas funcionalidades adicionais. Uma destas funcionalidades a capacidade de fazer um brute force dos SSIDs. Neste, a maioria dos SSIDs padres so enviados em broadcast em pacotes de Probe Request15 forjados com endereos MAC de origem adulterados. Assim, o Wellenreiter mantm o atacante oculto enquanto observa as respostas aos Probes que havia feito. Hoje, o Wellenreiter esta disponvel tanto em um script em perl e gtk como em C++. Tanto uma verso quanto outra foram testadas e nem uma das duas funcionou a contento, uma vez que a funcionalidade de brute force no pode ser efetuada, pois necessria a existncia de duas placas em um mesmo sistema.
3.5.4 Ethereal
URL http://www.ethereal.com Este programa de multipropsito, podendo ser utilizado tanto para segurana como para o ataque de redes. Inicialmente proposto para suportar os Linktypes das redes guiadas tem nas suas verses mais atuais suporte para redes sem fio.
15
35
Por depender da biblioteca de captura de pacotes LibPcap, no linux, este programa ainda possui algumas limitaes no suporte das redes sem fio. Entretanto, estas limitaes tambm afetam outros softwares como, por exemplo, o Kismet. A utilizao do Ethereal no se limita a sistemas Linux, podendo ser utilizando em outros sistemas comerciais. Entretanto os testes feitos com esta ferramenta mostraram que pacotes completos incluindo os cabealhos do Prism II e a poro de gerenciamento da rede sem fio possuem suporte somente para sistemas *nix. Isso devido a falta de suporte na biblioteca WinPcap.
3.5.5 WEPCrack
URL: http://sourceforge.net/projects/wepcrack/ Este programa trabalha utilizando-se da vulnerabilidade encontrada no comeo do ano 2001 no WEP. Na realidade este programa um script perl e supostamente funcionaria em qualquer sistema com suporte a este tipo de script. No entanto, somente se torna inteiramente funcional em sistemas *nix. Pessoas mal intencionadas utilizam o WEPCrack para obter informaes vitais rede como o BSSID para gerar posteriores ataques.
3.5.6 AirSnort
URL: http://airsnort.shmoo.com O AirSnort um programa para quebra de chaves WEP. Funciona diferentemente do WEPCrack, pois consegue quebrar qualquer chave. Isto aps conseguir obter aproximadamente de trs a cinco milhes de pacotes trocados.
3.5.7 HostAP
URL:http://hostap.epitest.fi Hostap na realidade um mdulo de kernel capaz de transformar um dispositivo de rede sem fio padro em um access point. Mquinas convencionais podem, portanto, agirem como um acess point. Este mdulo alm de ser utilizado em computadores pessoais, tambm podem ser instalados em access points atravs de uma modificao do firmware do mesmo. Muitos atacantes utilizam-se das caractersticas providas por este mdulo para gerar ataques de associao maliciosa e outros.
36
Figura 3.1 Sada do comando iwpriv ambiente de anlise Outro comando que disponibiliza e seta as configuraes da WLAN o iwconfig, figura 3.2 .
#iwconfig eth1 eth1 IEEE 802.11-DS Mode:Managed ESSID:"linksys" Nickname:"Prism I"
Encryption key:off Power Management:off Link Quality:0/92 Rx invalid nwid:0 Signal level:-68 dBm Rx invalid crypt:0 Invalid misc:0 Noise level:-122 dBm
Tx excessive retries:0
Figura 3.2 Sada do comando iwconfig ambiente de anlise Observa-se, por exemplo, qual o ESSID, o chipset, o modo em que a placa est operando, freqncia e conseqente canal, sensibilidade entre outros. O Wireless Tools indispensvel para ambientes Linux, mesmo que os dispositivos necessitem de outros mdulos que no o Orinoco. Visto que atualmente o nico capaz de modificar determinadas opes das redes sem fio.
37
Figura 3.3 Associao Maliciosa. Esta associao maliciosa, comprovada em nosso ambiente experimental, consta de duas mquinas com dispositivos para redes sem fio e segue o seguinte conjunto de passos:
38
1. 2. 3. 4. 5. 6. 7.
A vtima envia pacotes de Probe Request procura de access points para conexo; O atacante com o auxlio de um softAP16responde a conexo; A vtima requisita a associao e se associa ao atacante; O atacante responde com as informaes de rede necessrias como endereo IP; O atacante envia uma requisio de NET USE; A vtima responde com LOGIN; Qualquer vulnerabilidade de qualquer servio do cliente pode ser agora explorada.
Neste exemplo, o atacante tenta se valer de uma vulnerabilidade do NETBEUI que permite compartilhamento de arquivos e impressoras em sistemas Windows. Entretanto a partir do passo quatro, qualquer vulnerabilidade existente no cliente pode ser explorada pelo atacante. Existe uma sutil diferena entre fazer a associao maliciosa atravs da utilizao de um softAP ou da associao atravs de redes Ad Hoc. Esta diferena est na grande difuso dos riscos em se manter um dispositivo configurado para atuar em Ad Hoc. Com isso muitos usurios e at mesmo sistemas operacionais evitam este tipo de conexo. Permitindo somente conexes em sistemas de infra-estrutura bsica ou sistemas infra-estruturados.
16 softAP so programas capazes de transformar um dispositivo de rede padro em um access point. Um exemplo de programa muito utilizado o HostAP discutido no item 3.5
39
Figura 3.4 ARP Poisoning em redes guiadas Este ataque utiliza-se de pacotes de ARP reply para fazer o cache poisoning. O atacante, host C, envia um pacote de ARP reply para B dizendo que o IP de A aponta para o endereo MAC de C. De maneira semelhante envia um pacote de ARP reply para A dizendo que o IP de B aponta para o endereo MAC de C. Como o protocolo ARP no guarda os estados, os hosts A e B assumem que enviaram um pacote de ARP request pedindo estas informaes e assumirem os pacotes como verdadeiros. A partir deste ponto, todos os pacotes trocados entre os hosts A e B necessariamente passam por C. Portanto o host C deve se encarregar de reenviar os pacotes para os devidos destinos aps captur-los. Nas redes sem fio este ataque pode ser disparado e desenvolvido de vrias formas diferentes. Estas formas podem ser verificadas no anexo B.
40
Para comprovar esta facilidade, seguem os resultados de comandos entrados para a modificao do MAC, executados no ambiente de anlises.
#ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:02:2D:3D:4F:3C UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:13 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:1623 (1.5 Kb) TX bytes:0 (0.0 b) Interrupt:3 Base address:0x100 #ifconfig #ifconfig #ifconfig eth0 eth0 down eth0 hw ether 1B:11:CE:DC:CE:00 eth0 Link encap:Ethernet HWaddr 1B:11:CE:DC:CE:00 BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:14 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:1659 (1.6 Kb) TX bytes:0 (0.0 b) Interrupt:3 Base address:0x100
3.6.4 D.o.S
Ataques de Denail of Service (D.o.S Negativa de Servio) como o nome prprio indica, procura tornar algum recurso ou servio indisponvel. Em redes sem fio estes ataques podem ser to perturbadores quanto maior sua sofisticao. Estes ataques podem ser disparados de qualquer lugar dentro da rea de cobertura da WLAN. Como as redes 802.11b/g trabalham na radiofreqncia de 2.4 GHz e esta utilizada por fornos microondas, aparelhos de monitoramento de crianas e recentemente por telefones sem fio, estes produtos podem facilitar os ataques de negativa de servio. Atravs da insero de rudos a partir destes aparelhos nas redes sem fio. Entretanto, hackers podem gerar ataques mais sofisticados. Por exemplo, um atacante pode se passar por um access point com o mesmo SSID e endereo MAC de um outro acess point vlido e inundar a rede com pedidos de dissociao. Estes pedidos fazem com que os clientes sejam obrigados a se desassociarem e se re-associarem. Enviando as requisies de dissociao em perodos curtos de tempo o D.o.S concretizado. Isso, pois os clientes no conseguiriam permanecer conectados por muito tempo.
41
Este ataque consiste em se percorrer a cidade ou a instituio, a qual se deseja vigiar, apenas observando a existncia ou no de WLANs. Para tanto, no existe a necessidade de nem um equipamento especial. A idia por trs deste ataque encontrar fisicamente os dispositivos de redes sem fio para que estes dispositivos possam, posteriormente, ser invadidos. Podendo ainda ter sua configurao resetada configurao padro ou ainda ser roubado. No caso em que um access point pode ser resetado, um atacante pode invad-lo, conseguindo gerar ataques dentro da poro guiada da rede. Representando assim um grande risco a exposio de equipamentos.
3.6.6 Wardriving
Wardriving uma forma de ataque muito parecida com a anterior. Modifica-se somente a forma de como as WLANs so encontradas. Utilizam-se neste tipo de ataque equipamentos configurados para encontrar tantas redes sem fio quantas aquelas que estiverem dentro da rea de abrangncia do dispositivo de monitoramento. O objetivo deste tipo de ataque, alm dos j mencionados nos ataques de vigilncia mapear todos os access points encontrados com o auxilio de um GPS (Global Position System). Muitas homepages como o wardriving.com17 do instrues detalhadas de como efetuar o wardriving. Outras como a wardriving is not a crime18 tem como tem como principal objetivo fazer apologia ao wardriving. O que mais chama ateno a distribuio WarLinux19 concebida nica e exclusivamente para wardriving.
3.6.7 Warchalking
Este tipo de ataque tem como objetivo encontrar redes sem fio atravs de tcnicas de wardriving e marcar estas redes atravs da pichao de muros e caladas com smbolos especficos. Isto para que outros atacantes possam de antemo saber quais as caractersticas da rede. Alguns dos smbolos utilizados por estes atacantes podem ser observados na figura a seguir. Existem grupos organizados para warchalking que se utilizam de smbolos prprios para marcar as redes numa tentativa de mant-las em segredo. Existem tambm grupos rivais que tentam encontrar e pichar o maior nmero de redes possvel para ganhar mais status. Seriam como os grupos de defacers de pginas da Web, mas realizados fisicamente.
42
3.7.1 Equipamentos
Tabela 3.1 Ambiente de anlise
Dispositivo Desktop Pentium III / 800MHz / 512MB Desktop Pentium III / 800MHz / 512MB Notebook Pentium III / 800MHz / 128MB Desktop Pentium 100 MHz/32MB Access point LINKSYS Access point LINKSYS Access point LINKSYS Sistema Operacional Red Hat 9 com kernel 2.4.20 (vanilla) Red Hat 8 com kernel 2.4.18 (vanilla) / Windows XP Gentoo com kernel 2.4.20 / 2.4.18 (vanilla) Freebsd 5.0 Placa de rede wireless 3com PCI - 3CRDW696 Linksys PCI - WMP11 Dell TrueMobile PCMCIA 1150 series / 3com PCMCIA - 3CRWE62092A 3com PCI - 3CRDW696 Built-in Linksys Built-in Linksys Built-in Linksys
Estes equipamentos foram dispostos de vrias formas diferentes para garantir que cada um dos experimentos fosse executado da melhor maneira possvel.
43
Entretanto, o mdulo orinoco original no envia informaes sobre os frames de gerenciamento das redes sem fio, necessitando da aplicao de um patch para realizar a captura dos mesmos. A figura a seguir mostra a sada do comando iwconfig, contendo as caractersticas das configuraes do dispositivo, como o canal (freqncia), a presena ou no de criptografia e o SSID. No h diferenas significativas em relao ao mdulo sem patch.
#iwconfig eth1 eth1 IEEE 802.11-DS ESSID:"non-specified SSID" Nickname:"HERMES I" Mode:Managed Frequency:2.437GHz Access Point: 00:00:00:00:00:00 Bit Rate:2Mb/s Tx-Power=15 dBm Sensitivity:1/3 Retry limit:4 RTS thr:off Fragment thr:off Encryption key:off Power Management:off Link Quality:0/92 Signal level:134/153 Noise level:134/153 Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:0 Missed beacon:0
Figura 3.7 Sada do comando iwconfig. Entretanto, diferenas podem ser vistas com o comando iwpriv, como a operao em modo monitor. Este modo permite a captura de todos os pacotes dentro da rea de cobertura do dispositivo, fazendo com que o mesmo opere de maneira passiva (sem trocar dados com as demais estaes). H duas opes de funcionamento: uma permite a captura com o cabealho do PRISM II, recomendada para anlise integral do trfego. J a outra suprime o cabealho.
#iwpriv eth1 eth1 Available private ioctl : force_reset card_reset set_port3 get_port3 set_preamble get_preamble set_ibssport get_ibssport monitor dump_recs (8BE0) : set (8BE1) : set (8BE2) : set (8BE3) : set (8BE4) : set (8BE5) : set (8BE6) : set (8BE7) : set (8BE8) : set (8BFF) : set 0 0 1 int 0 1 int 0 1 int 0 2 int 0 & get & get & get & get & get & get & get & get & get & get 0 0 0 1 int 0 1 int 0 1 int 0 0
Figura 3.8 Sada do comando iwpriv. Unindo-se a este mdulo, a libpcap20 v.0.7.2 e cvs.2003.06.02, foram utilizadas pois suportam pacotes provenientes de interfaces de redes sem fio. Esta captura possvel devido a algumas alteraes que inseridas da biblioteca, as quais sero observadas a seguir.
20
LibPcap - http://www.tcpdump.org
44
Utilizou-se ainda, os softwares Ethereal e Kismet para a captura e sondagem de uma WLAN montada com um access point e um cliente. Validando assim a capacidade de total captura de pacotes nas redes sem fio. 3.7.2.1 Modificaes na libpcap As alteraes feitas na libpcap tm por objetivo permitir a interpretao dos pacotes oriundos de redes sem fio, sendo introduzidas diretamente no cdigo. As principais foram o suporte para o link type 119 (cabealho do PRISM II) e link type 105 (802.11). Por tais suportes serem recentes na libpcap, ainda existem limitaes que precisam ser superadas, como o tamanho do cabealho 802.11, que varivel enquanto que na biblioteca um valor fixo padro de 24 bytes assumido. Ainda assim a biblioteca bastante robusta e consegue tratar a grande maioria dos pacotes de redes 802.11.
21
Ettercap: htttp://ettercap.sourceforge.net/
45
46
4
Please put down your weapon. You have 20 seconds to comply... ED 209 RoboCop
Concluso
Este projeto envolveu o estudo de protocolos, comportamentos ofensivos em redes sem fio e estudo das ferramentas de uso malicioso. A necessidade de estudos em diversas reas diferentes do conhecimento possibilitou um grande aprendizado nestas reas. A insegurana ilustrada nos captulos anteriores de fato afetam cotidianamente as redes sem fio de computadores, visto o resultado de outros estudos desenvolvidos no laboratrio no sentido de quantificar e qualificar estas redes. Entretanto, muitos grupos estudam formas de banir as vulnerabilidades e no permitir que os ataques ocorram. Apesar do extremismo em afirmar as vulnerabilidades existentes nas redes sem fio, algumas destas no podem ser trivialmente exploradas. Ou seja, somente um atacante com um bom grau de conhecimento da tecnologia capaz de dispar-los, o que de certa forma mantm estas vulnerabilidades ocultas. As ferramentas citadas anteriormente so em sua grande maioria encontradas com facilidade na rede mundial de computadores o que tambm aumenta a insegurana das redes. Alm de existir, hoje, suporte para a conexo em computadores como handhelds, o que faz com que atacantes possam passar desapercebidos e ter maior mobilidade. Apesar de ter o propsito de analisar e estudar os ataques das redes sem fio, por ter um tamanho limitado, este trabalho trata apenas daqueles mais conhecidos. Alm disso, mesmo que fossem cobertos todos os ataques conhecidos, isto no seria um indicativo de que outros ataques e outras vulnerabilidade no pudessem ocorrer. Quanto s anlises um ponto importante que deve ser ressaltado que neste projeto somente foram feitas as anlises dos mdulos efetivamente firmados pelo IEEE e que do suporte a redes sem fio. Outros padres como o WPA desenvolvido pela WiFi Alliance no formam estudados.
47
48
Referncias bibliogrficas
[Air00] AirDefense White Paper, Wireless LAN Security What Hackers Know That You Dont, http://www.airdefense.net (verificado em 02 de abril de 2003). [ASW01] Arbaugh, W.A.; Shankar, N. e Wan, Y.C.J., Your 802.11 Wireless Network has No Clothes, University of Maryland Departament of Computer Science, 2001. [BV98] Blunk, L. e Vollbrecht, J., PPP Extensible Authentication Protocol (EAP), Tech. Rep. RFC2284, Internet Engineering Task Force (IETF), 1998. [FBA98] Forouzan, B. A., Introduction to data communications and networking, McGRAW-HILL International Editions, 1998. [FD02] Fleck, B. e Dimov, J., Wireless Access Points and ARP Poisoning, Cigital, Inc., 2002 [FER98] Ferguson, P. What is a VPN?, 1998, http://www.employees.org/~freguson/vpn.pdf, (verificado em 16 de setembro de 2003). [IEE03a] IEEE Standard, 802.11g, (Amendment to IEEE Std 802.11, 1999 Edn. (Reaff 2003) as amended by IEEE Stds 802.11a-1999, 802.11b-1999, 802.11b-1999/Cor 1-2001, and 802.11d-2001), 2003 [IEE03b] IEEE Standard for IT-Telecommunications and information exchange between systems LAN/MAN, Part II: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications Amendment 4: Further Higher Data Rate Extension in the 2.4 GHz Band, 2003 [IEE97] LAN MAN Standards of the IEEE Computer Society, Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specification, IEEE Standard 802.11, 1997 Edition, 1997. [IEE99] LAN MAN Standards of the IEEE Computer Society, Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications., 1999. [IEE99a] ANSI/IEEE Standard, 802.11a, Part 11: wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications: high-speed physical layer in the 5 GHz band, 1999. [IEE99b] ANSI/IEEE Standard, 802.11b, Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications: Higher-speed Physical Layer Extension In The 2.4 GHz Band, 1999. [IET03] IETF - Internet Engineering Task Force, http://www.ietf.org (verificado em 16 de setembro de 2003). [ISO03] ISOC Internet Society, http://www.isoc.org (verificado em 16 de setembro de 2003).
49
[ISO89] International Organization for Standardization, Information processing systems -- Open Systems Interconnection -- Basic Reference Model -- Part 2: Security Architecture, Intenational Standard 7498-2, 1989 [KR01] Kurose, J. F. e Ross, K. W., Computer Networking: A Top-Down Approach Featuring the Internet, Addison Wesley, 2001. [KR02] Regan, K., Wireless LAN Security: Things You Should Know about WLAN Security, Cisco System, 2002. [MA02] Mishra, A., Arbaugh, W. A., An Initial Security of the IEEE 802.1x Standard, Departamet of Computer Science University of Maryland, 2002. [NMR02] Murillo, N. M. de O., Segurana Nacional, Novatec Editora Ltda., 2002. [PF02] Peikari, C. e Fogie S., Wireless Maximum Security, Sams, 2002 [RFC-791] RFC 791: Internet Protocol, http://www.ietf.org/rfc/rfc791.txt (verificado em 16 de setembro de 2003). [RFC-793] RFC 793: Transmission Control Protocol, http://www.ietf.org/rfc/rfc793.txt (verificado em 16 de setembro de 2003). [Sou02] Souza, M., Readaptao do Modelo ACME! para deteco de novas tcnicas de intruso., Projeto final de graduao apresentada ao Departamento de Cincia da Computao e Estatstica de So Jos do Rio Preto, Universidade do estado de So Paulo, 2002. [SSK01] Singhal, S. K., Understanding Wireless LAN Security, ReefEdge, 2001 [Ste94] Stevens, W. R., TCP/IP Illustrated The Protocols, Addison Wesley, 1994. [VM02] Volbrecht, J. e Moskovitz, R.; Wireless LAN Access control and Authentication, http://www.interlinknetworks.com (verificado em 02 de abril de 2003), 2002. [WH02] Arcomano, R., Wireless Howto, http://tldp.org (verificado em 02 de abril de 2003), 2002. [WiF03] Wi-Fi Alliance, http://www.weca.net/OpenSection/index.asp (verificado em 16 de setembro de 2003). [WJ02] Wright, J., Layer 2 Analysis of WLAN Discovery Applications for Intrusion Detection, http://home.jwu.edu/jwright/ (verificado em 02 de abril de 2003), 2002. [WPA02] Grimm, C. B., Wi-Fi Protected Access, http://www.weca.net/OpenSection/pdf/wifi_protected_access_overview.pdf (verificado em 16 de setembro de 2003), 2002. [ZCC00] Zwicky, E. D., Cooper, S., Chapman, D. B. Building Internet Firewalls, Segunda edio, OReilly, 2000.
50
Anexo A
Beacon Frame
Neste anexo se encontram informaes adicionais referentes aos pacotes de beacon frames enviados pelos access points. O pacote ilustrado a seguir foi capturado no ambiente experimental citado no captulo 3. Utilizando-se o notebook Fujitsu FMV-Biblo NE5/800HR com a placa Dell TrueMobile. Alm da utilizao de um access point da marca Linksys. Trs protocolos podem ser identificados no pacote da figura A.1. O primeiro deles o Prism Monitor Header que o cabealho do Prism II, o qual no inserido no pacote pela origem, e sim pelo destino. O seu intuito permitir que informaes importantes, como sinal (Signal), rudo (Noise) e taxa de transmisso (Rate), possam ser obtidas. O campo Signal informa com qual potncia de sinal o pacote chega ao dispositivo de monitoramento, permitido identificar se o emissor est ou no prximo ao receptor. O campo Noise identifica as interferncias presentes na radiofreqncia no momento da transmisso do pacote, enquanto Rate ilustra qual a taxa de transmisso do pacote. O segundo protocolo o IEEE 802.11 e, como o primeiro, est presente em todos os pacotes trocados entre os dispositivos de redes sem fio. Informaes relevantes, como a presena ou no de criptografia WEP (WEP flag), fragmentao (More Fragments), retransmisso (Retry), presena de dados bufferizados (More Data), nmero de seqncia do pacote (Sequence Number) e os endereos, podem ser identificadas. No pacote de exemplo observa-se que o valor do campo Type/Subtype representa um beacon frame o qual enviado em broadcast pelo access point. O terceiro protocolo encontrado neste pacote o IEEE 802.11 wireless LAN management frame que o frame de gerenciamento do IEEE 802.11. Ocorre somente em pacotes sem dados de aplicao e tem como objetivo o controle da WLAN. Em um beacon frame, informaes como SSID (SSID), taxas suportadas (supported rates) e canal de atuao (current channel) do access point so identificadas. Observa-se que este pacote possui no seu Tag interpretation referente ao Tag Number: 0 a string linksys que identifica o SSID da WLAN em questo.
51
# tethereal -r beacon_frame.dump -V Prism Monitoring Header Message Code: 65 Message Length: 144 Device: eth1 Host Time: 0x4da148 (DID 0x1041, Status 0x0, Length 0x4) MAC Time: 0x8d826845 (DID 0x2041, Status 0x0, Length 0x4) Channel Time: 0x0 (DID 0x3041, Status 0x1, Length 0x4) RSSI: 0x0 (DID 0x4041, Status 0x1, Length 0x4) SQ: 0x0 (DID 0x5041, Status 0x1, Length 0x4) Signal: 0x2d (DID 0x6041, Status 0x0, Length 0x4) Noise: 0x0 (DID 0x7041, Status 0x0, Length 0x4) Rate: 0x4 (DID 0x8041, Status 0x0, Length 0x4) IsTX: 0x0 (DID 0x9041, Status 0x0, Length 0x4) Frame Length: 0x3c (DID 0xa041, Status 0x0, Length 0x4) IEEE 802.11 Type/Subtype: Beacon frame (8) Frame Control: 0x0080 Version: 0 Type: Management frame (0) Subtype: 8 Flags: 0x0 DS status: Not leaving DS or network is operating in AD-HOC mode (To DS: 0 From DS: 0) (0x00) .... .0.. = More Fragments: This is the last fragment .... 0... = Retry: Frame is not being retransmitted ...0 .... = PWR MGT: STA will stay up ..0. .... = More Data: No data buffered .0.. .... = WEP flag: WEP is disabled 0... .... = Order flag: Not strictly ordered Duration: 0 Destination address: ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff) Source address: 00:06:25:a2:XX:XX (00:06:25:a2:XX:XX) BSS Id: 00:06:25:a2:XX:XX (00:06:25:a2:XX:XX) Fragment number: 0 Sequence number: 1826 IEEE 802.11 wireless LAN management frame Fixed parameters (12 bytes) Timestamp: 0x000000578337720E Beacon Interval: 0.102400 [Seconds] Capability Information: 0x0001 .... .... .... ...1 = ESS capabilities: Transmitter is an AP .... .... .... ..0. = IBSS status: Transmitter belongs to a BSS .... .... .... 00.. = CFP participation capabilities: No point coordinator at AP (0x0000) .... .... ...0 .... = Privacy: AP/STA cannot support WEP .... .... ..0. .... = Short Preamble: Short preamble not allowed .... .... .0.. .... = PBCC: PBCC modulation not allowed .... .... 0... .... = Channel Agility: Channel agility not in use .... .0.. .... .... = Short Slot Time: Short slot time not in use ..0. .... .... .... = DSSS-OFDM: DSSS-OFDM modulation not allowed Tagged parameters (24 bytes) Tag Number: 0 (SSID parameter set) Tag length: 7 Tag interpretation: linksys Tag Number: 1 (Supported Rates) Tag length: 4 Tag interpretation: Supported rates: 1.0(B) 2.0(B) 5.5 11.0 [Mbits/sec] Tag Number: 3 (DS Parameter set) Tag length: 1 Tag interpretation: Current Channel: 6 Tag Number: 5 ((TIM) Traffic Indication Map) Tag length: 4 Tag interpretation: DTIM count 0, DTIM period 3, Bitmap control 0x0, (Bitmap suppressed)
52
Anexo B
ARP poisoning em redes sem fio
Neste anexo se encontram maiores informaes sobre ataques tipo Arp poisoning em redes sem fio que foram citados na seco 3.6.2. Ataque sem fio como na rede guiada Neste ataque ao invs de termos trs sistemas envolvidos e ligados diretamente na rede guiada, temos trs dispositivos interligados na rede sem fio. O ataque pode ser observado na figura a seguir.
Figura B.1 Wireless ARP Poisoning: 3 hosts na poro sem fio. Ataque a vtimas cabeadas de uma posio sem fio O ataque, como ilustrado na figura abaixo, apesar de semelhante aos ataques anteriores insere um novo risco s redes. Ou seja, a possibilidade de um atacante externo a rede conseguir obter dados vlidos de clientes guiados. Este ataque possvel, pois o atacante e as vtimas esto no mesmo domnio de broadcast. Esta peculiaridade aumenta ainda mais o nvel de insegurana da rede.
53
Figura B.2 Wireless ARP Poisoning: 2 hosts na poro guiada e 1 na sem fio. Ataque a uma vtima guiada e uma sem fio Um atacante pode gerar uma ataque de Homen-no-Meio contra um cliente que esteja na poro sem fio da rede, conectado um sistema da rede guiada. Como os dois sistemas alvo esto no mesmo domnio de broadcast, o ataque atravs de cache poisoning possvel, como ilustrado a seguir.
Figura B.3 Wireless ARP Poisoning: 1 host na poro guiada e 2 na sem fio.
54
Ataque a vtimas sem fio em roaming Como ilustrado na figura a seguir, existe a possibilidade de que ataques de ARP Poisoning sejam disparados contra dois hosts em access points diferentes. Entretanto, deve-se observar que estes devem estar ligados em um switch ou um hub. Isto tanto para o conceito de roaming ser vlido quanto para que os dispositivos estejam dentro de mesmo domnio de broadcast.
Figura B.4 Wireless ARP Poisoning: 3 hosts na poro sem fio Nestes ataques, alm de conseguir efetuar o ataque de Homen-no-Meio, um eventual atacante pode capturar todo o trfego sem fio, entre as duas estaes, mesmo que estas no estejam necessariamente dentro da mesma rea de cobertura. Na figura anterior, o que se observa que um ataque que necessitaria ou de uma mquina comprometida em um domnio de broadcast ou de acesso fsico a dispositivos de rede, podem ser disparados a distncia, com equipamentos prprios e de maneira eficaz. Portanto, este tipo de ataque volta a ser uma grande ameaa segurana das redes sem fio. [FD02]
55