Вторая глава: WLAN и присущая им небезопасность

Авторы: Vivek Ramachandran, Cameron Buchanan

Переводчик: Летучий дракон

Протокол: CC BY-NC-SA 4.0

Введение

Чем выше здание, тем глубже должен быть фундамент.

— Томас Карлейль

На ненадёжном фундаменте невозможно построить что-то великое. В нашем контексте нельзя построить безопасность на основе присущей WLAN небезопасности.

WLAN по своей конструкции обладают определённой небезопасностью, которой можно легко воспользоваться, например, с помощью атаки с внедрением кадров или пассивного прослушивания (которое может осуществляться на большом расстоянии). В этой главе мы будем использовать эти уязвимости.

2.1 Обзор кадра WLAN

Поскольку эта книга посвящена беспроводной безопасности, мы предполагаем, что вы уже знакомы с основами протоколов и заголовков пакетов. Если это не так или если вы давно не работали с беспроводными технологиями, сейчас самое время освежить свои знания.

Давайте быстро повторим некоторые основные понятия WLAN, которые вы, вероятно, уже знаете. В WLAN связь осуществляется в виде кадров, каждый кадр имеет следующую структуру заголовка:

• аутентификация;
• деаутентификация;
• запрос ассоциации;
• ответ ассоциации;
• повторный запрос ассоциации;
• повторный ответ ассоциации;
• разъединение ассоциации;
• маяк;
• запрос зондирования;
• ответ зондирования. | Контроль | Кадры контроля отвечают за обеспечение эффективного обмена данными между точкой доступа и беспроводным клиентом. Кадры контроля имеют следующие подтипы: |
• отправка запроса (RTS);
• очистка отправки (CTS);
• подтверждение (ACK). | Данные | Кадры данных переносят реальные данные, передаваемые по беспроводной сети. Не имеет подтипов. |

Мы обсудим безопасность каждого из этих типов кадров при рассмотрении различных атак в последующих главах.

Теперь давайте посмотрим, как использовать Wireshark для анализа кадров WLAN. Существуют и другие инструменты, такие как Airodump-NG, Tcpdump или Tshark, которые также можно использовать для анализа. В этой книге мы в основном будем использовать Wireshark, но рекомендуем вам изучить и другие инструменты. Первый шаг — создать интерфейс мониторинга. Это создаст интерфейс для вашего адаптера, позволяя нам считывать все беспроводные кадры в неконтролируемой области, независимо от того, предназначены они для нас или нет. В мире проводных сетей это обычно называется смешанным режимом.

Практическое занятие — создание интерфейса мониторинга

Давайте теперь настроим наш беспроводной сетевой адаптер на режим мониторинга.

Следуйте этим шагам:

1. Запустите Kali и убедитесь, что адаптер подключён. После открытия терминала введите iwconfig и убедитесь, что адаптер обнаружен и драйвер правильно загружен.

2. Используйте команду ifconfig wlan1 up, чтобы запустить адаптер (где wlan1 — ваш адаптер). Проверьте, работает ли адаптер, выполнив команду ifconfig wlan1. Вы должны увидеть слово UP во второй строке вывода, например:

3. Чтобы перевести адаптер в режим мониторинга, мы используем airmon-ng, который поставляется с Kali. Сначала выполните команду airmon-ng для подтверждения обнаружения доступных адаптеров. Вы должны увидеть wlan1 в выводе:

4. Теперь введите команду airmon-ng start wlan1, чтобы создать интерфейс режима мониторинга для адаптера wlan1. Новый интерфейс режима мониторинга будет называться mon0. (Вы можете снова выполнить команду без параметров, чтобы подтвердить.)

5. Также выполните команду ifconfig mon0, чтобы просмотреть новый интерфейс.

Что только что произошло?

Нам успешно удалось создать интерфейс режима мониторинга под названием mon0. Этот интерфейс используется для анализа кадров в неконтролируемом пространстве. Этот интерфейс был создан в нашем беспроводном адаптере.

Попробуйте сами — создание нескольких интерфейсов режима мониторинга

Можно создать несколько интерфейсов режима мониторинга с использованием одного и того же физического адаптера. Давайте посмотрим, как это сделать, используя инструмент airmon-ng.

Отлично! У нас есть интерфейс режима мониторинга, ожидающий анализа кадров из неконтролируемого пространства. Так что давайте начнём.

В следующем упражнении мы будем использовать Wireshark и недавно созданный интерфейс режима мониторинга mon0 для анализа кадров.

Практическое занятие — анализ кадров беспроводной сети

Следуйте этим шагам:

1. Запустите нашу настроенную точку доступа Wireless Lab.

2. Запустите Wireshark с помощью команды Wireshark & в терминале, чтобы запустить Wireshark. После запуска Wireshark перейдите к Capture | Interfaces.

3. Выберите Start для захвата кадров с интерфейса mon0, как показано на скриншоте. Wireshark начнёт захват, и вы сможете просматривать кадры в окне Wireshark.

4. Эти кадры были проанализированы нашим беспроводным адаптером из неконтролируемого пространства. Для просмотра любого кадра выберите его в верхней части окна, и полный кадр будет показан в средней части окна.

Нажмите на треугольник перед «Кадр управления IEEE 802.11» для раскрытия подробной информации.

Обратите внимание на различные поля заголовка в кадре и свяжите их с типами кадров WLAN и подтипами, которые мы изучили ранее.

Что только что произошло?

Мы только что проанализировали первую группу кадров из неконтролируемого пространства. Мы запустили Wireshark, который использовал наш недавно созданный интерфейс режима мониторинга mon0. Просматривая нижнюю часть окна, вы должны заметить скорость захвата кадров и количество захваченных кадров на данный момент.

Попробуйте сами — обнаружение уникальных устройств

Хотя Wireshark может быть пугающим, особенно когда он анализирует тысячи кадров даже в хорошо настроенной беспроводной сети, важно сосредоточиться на интересующих нас кадрах. Это можно сделать с помощью фильтров Wireshark. Исследуйте, как использовать эти фильтры для идентификации уникальных беспроводных устройств — точки доступа и клиентов.

Если у вас возникнут трудности, не беспокойтесь, это то, чему мы научимся дальше.

Практическое занятие — просмотр кадров управления, контроля и данных

Сейчас мы узнаем, как использовать фильтры Wireshark для просмотра кадров управления, контроля и данных.

Выполните следующие шаги:

1. Чтобы просмотреть все кадры управления в захваченных кадрах, введите фильтр wlan.fc.type в поле фильтра и нажмите Apply. Если вы хотите предотвратить быстрое прокручивание кадров вниз, вы можете остановить захват кадров.

2. Чтобы просмотреть кадры контроля, измените выражение фильтра на wlan.fc.type == 1.

3. Чтобы просмотреть кадры данных, измените выражение фильтра на wlan.fc.type == 2.

4. Чтобы дополнительно выбрать подтип, используйте фильтр wlan.fc.subtype. Например, чтобы просмотреть все кадры маяка в кадрах управления, используйте следующее выражение фильтра:

(wlan.fc.type == 0) && (wlan.fc.subtype == 8)

5. В качестве альтернативы вы можете щёлкнуть правой кнопкой мыши любое поле заголовка в среднем окне и выбрать Применить как фильтр | Выбрано, чтобы использовать фильтр.

6. Это автоматически добавит правильное выражение фильтра в поле Фильтр.

Что только что произошло?

Мы научились использовать различные выражения фильтров в Wireshark для фильтрации кадров. Это помогает сосредоточиться на выбранных кадрах от интересующих нас устройств, а не пытаться анализировать все кадры в неконтролируемом пространстве.

Также можно просматривать заголовки кадров управления, контроля и данных в текстовом формате, поскольку они не зашифрованы. Любой, кто может анализировать кадры, может прочитать эти заголовки. Следует отметить, что злоумышленники также могут изменять любые из этих кадров и повторно отправлять их. Протоколы не предотвращают атаки целостности или воспроизведения, которые легко осуществить. Мы рассмотрим некоторые из этих атак в следующих главах.

Попробуйте сами — экспериментируйте с фильтрами

Вы можете обратиться к документации Wireshark, чтобы узнать о других доступных выражениях фильтров и о том, как их использовать. Попробуйте комбинировать различные фильтры, пока не почувствуете уверенность в глубоком анализе любых уровней детализации, даже при наличии большого количества захваченных кадров.

В следующем упражнении мы рассмотрим, как анализировать кадры данных, передаваемых между нашей точкой доступа и клиентами. 11 上。要注意, что это может отличаться от вашей точки доступа.

Чтобы обнаружить пакеты, идущие к и от этой точки доступа, нам нужно настроить беспроводную сетевую карту на одном и том же канале, а именно на канале 11. Для этого выполните команду iwconfig mon0 channel 11, а затем iwconfig mon0, чтобы проверить. Вы увидите вывод с частотой: 2,462 ГГц. Это соответствует каналу 11.

Рисунок 2-5-1

4. Теперь запустите Wireshark и начните отслеживать интерфейс mon0. В области фильтров Wireshark введите wlan.bssid == <mac>, чтобы использовать фильтр MAC-адреса точки доступа BSSID, как показано на рисунке ниже. Введите соответствующий MAC-адрес для вашей точки доступа.

Рисунок 2–5–2

5. Чтобы просмотреть пакеты данных точки доступа, добавьте следующий фильтр: (wlan.bssid == <mac>) && (wlan.fc.type_subtype == 0x20). На клиентском ноутбуке откройте браузер и введите URL-адрес веб-интерфейса точки доступа. Здесь, как и в первой главе, это http://192.168.0.1. Это создаст пакеты данных, которые Wireshark будет захватывать.

6. Обнюхивание пакетов позволяет нам легко анализировать данные без шифрования. Вот почему нам необходимо использовать шифрование по многим причинам.

Что только что произошло?

Мы только что использовали Wireshark с различными фильтрами для отслеживания данных в открытом пространстве. Поскольку наша точка доступа не использует никакого шифрования, мы можем видеть все данные в виде простого текста. Это серьёзная проблема безопасности, поскольку любой человек в радиусе действия точки доступа RF может видеть все пакеты с помощью инструмента, подобного Wireshark.

Попробуйте сами — анализ пакетов данных

Используйте Wireshark для дальнейшего анализа пакетов данных. Вы заметите, что DHCP-запросы генерируются клиентом, и если доступен DHCP-сервер, он вернёт адрес. Затем вы обнаружите пакеты ARP и других протоколов. Таким образом, пассивное обнаружение хостов в беспроводной сети очень просто. Возможность видеть записи пакетов и реконструировать, как приложения на хостах взаимодействуют с остальной частью сети, имеет решающее значение. Одной из интересных функций Wireshark является его способность отслеживать потоки. Это позволяет вам просматривать несколько пакетов вместе, представляющих обмен данными TCP в одном соединении.

Кроме того, попробуйте войти на www.gmail.com и другие популярные сайты и проанализировать создаваемый трафик.

Мы покажем, как внедрить пакеты в беспроводную сеть.

Время практики — внедрение пакетов

Для этого упражнения мы будем использовать инструмент aireplay-ng, который поставляется с Kali.

Следуйте этим инструкциям, чтобы начать:

1. Чтобы выполнить тест внедрения, сначала запустите Wireshark и используйте выражение фильтра (wlan.bssid == <mac>) && !(wlan.fc.type_subtype == 0x08). Это гарантирует, что мы увидим только кадры нашего собственного беспроводного сетевого стандарта.

2. Теперь в терминале выполните команду aireplay-ng -9 -e Wireless Lab -a <mac> mon0.

3. Вернитесь в Wireshark, и вы увидите, что экран будет заполнен множеством пакетов. Некоторые пакеты были отправлены aireplay-ng и являются нашими собственными, в то время как другие являются пакетами ответа точки доступа Wireless Lab на внедрённые пакеты.

Что только что произошло?

С помощью aireplay-ng мы успешно внедрили пакеты в нашу тестовую среду сети. Обратите внимание, что наша сетевая карта внедряет эти произвольные пакеты в сеть, не требуя фактического подключения к точке доступа Wireless Lab.

Попробуйте сами — изучите инструмент Aireplay-ng для внедрения пакетов

Позже в этом разделе мы подробно рассмотрим внедрение пакетов. А пока исследуйте другие параметры инструмента Aireplay-ng для внедрения пакетов. Вы можете использовать Wireshark для мониторинга открытого пространства, чтобы убедиться, что внедрение было успешным.

2.2 Основные моменты заметок о WLAN-мониторинге и внедрении

WLAN обычно работает в трёх различных диапазонах частот: 2,4 ГГц, 3,6 ГГц и 4,9/5,0 ГГц. Не все сетевые карты WIFI поддерживают все три диапазона и связанные с ними полосы. Например, сетевые карты Alfa поддерживают только IEEE 802.11b/g. Это означает, что эта сетевая карта не может обрабатывать 802.11a/n. Ключевым моментом здесь является отслеживание или внедрение пакетов определённого диапазона. Ваша сетевая карта должна поддерживать его.

Ещё одна интересная особенность WIFI заключается в том, что в каждом из этих диапазонов есть несколько каналов. Обратите внимание, что ваша сетевая карта может находиться только на одном канале за раз. Он не может быть настроен на несколько каналов одновременно. Это похоже на радио в автомобиле. В любой момент времени вы можете настроить его только на один доступный канал. Если вы хотите слушать что-то другое, вам нужно изменить канал. Принципы мониторинга WLAN такие же. Это приводит к важному выводу: мы не можем отслеживать все каналы одновременно, мы можем выбрать только интересующие нас каналы. То есть, если интересующий нас канал точки доступа равен 1, нам нужно установить сетевую карту на канал 1.

Хотя мы подчёркиваем мониторинг WLAN выше, принципы внедрения также одинаковы. Чтобы внедрить пакеты в определённый канал, нам нужно настроить сетевую карту на этот конкретный канал.

Давайте теперь попрактикуемся в настройке сетевой карты для определения канала или выполнения скачков каналов, настройки домена управления доступом и уровней мощности, а также других параметров.

Практическое занятие — эксперименты с адаптером

Тщательно следуйте этим шагам:

1. Введите команду iwconfig wlan0, чтобы увидеть функции сетевой карты. Вы увидите, что наш адаптер может работать в диапазонах b, g и n.

Рисунок 2-7-1

2. Чтобы настроить сетевую карту для определённого канала, мы используем команду iwconfig mon0 channel X.

Рисунок 2-7-2

3. Команда iwconfig не имеет режима скачка каналов. Вы можете написать простой скрипт поверх него для реализации. Простой способ сделать это — использовать Airodump-NG для перехода на любой канал, либо на подмножество, либо в выбранном диапазоне. Когда мы выполняем airodump-ng --help, отображаются все эти параметры.

Рисунок 2-7-3

Что только что произошло?

Мы узнали, что мониторинг и внедрение в беспроводной сети зависят от поддержки оборудования. Это означает, что мы можем обрабатывать только те диапазоны и каналы, которые поддерживает сетевая карта. Кроме того, беспроводная сетевая карта может одновременно находиться только в одном канале. Это указывает на то, что мы можем отслеживать или внедрять только один канал за раз.

Попробуйте сами — отслеживайте несколько каналов. Если вам нужно отслеживать несколько каналов одновременно, вам потребуется несколько физических сетевых карт WIFI. Если у вас есть доступ к дополнительным сетевым картам, попробуйте отслеживать несколько каналов одновременно. ## Резюме

В этой главе мы сделали несколько важных наблюдений о протоколе WLAN.

Управление, контроль и данные в кадре не зашифрованы, поэтому люди, которые следят за незащищённой областью, могут легко их прочитать. Следует отметить, что можно защитить полезную нагрузку пакета данных с помощью шифрования, чтобы сделать её более конфиденциальной. Мы обсудим это в следующей главе.

Мы можем исследовать всю незащищённую область поблизости, настроив сетевую карту на режим мониторинга.

Поскольку кадры управления и контроля не имеют защиты целостности, их можно внедрить, отслеживая или воспроизводя их с помощью таких инструментов, как aireplay-ng.

Нешифрованные пакеты данных также можно изменить и воспроизвести в сети. Даже если пакет зашифрован, мы всё равно можем его воспроизвести, поскольку в конструкции WLAN нет защиты от воспроизведения пакетов.

В следующей главе мы рассмотрим различные механизмы аутентификации, используемые для WLAN, такие как фильтрация MAC-адресов и аутентификация общего ключа, а также другие. И мы поймём различные уязвимости безопасности через практические демонстрации.