Третья глава. Обход WLAN-аутентификации

Автор: Vivek Ramachandran, Cameron Buchanan

Переводчик: Летучий дракон

Протокол: CC BY-NC-SA 4.0

Введение

Безопасная иллюзия хуже небезопасности,

— Аноним

Безопасная иллюзия хуже небезопасности, потому что невозможно подготовиться к тому, что тебя обманут.

Механизмы аутентификации в беспроводных локальных сетях (WLAN) могут быть слабыми и их можно взломать или обойти. В этой главе мы рассмотрим некоторые основные механизмы аутентификации, используемые в WLAN, и узнаем, как их обойти.

3.1 Скрытый SSID

В стандартной конфигурации все точки доступа отправляют свой SSID в сигнальном фрейме. Это позволяет клиентам легко найти их. Скрытый SSID — это настройка, при которой точка доступа не транслирует свой SSID в сигнальных фреймах. Таким образом, только клиенты, которые знают SSID точки доступа, могут подключиться к ней.

К сожалению, этот метод не обеспечивает надёжной безопасности, но сетевые администраторы считают его безопасным. Скрытый SSID не следует рассматривать как меру безопасности. Теперь давайте посмотрим, как обнаружить скрытые SSID.

Практическое занятие — обнаружение скрытых SSID

Выполните следующие шаги, чтобы начать:

1. Используйте Wireshark, если вы отслеживаете сигнальные фреймы в сети Wireless Lab, вы сможете просматривать SSID в виде простого текста. Вы должны увидеть сигнальный фрейм, подобный этому:

   

2. Настройте свою точку доступа на скрытие SSID сети Wireless Lab. Эта настройка может отличаться в разных точках доступа. Здесь мне нужно проверить опцию «Invisible» в опции «Visibility Status», например:

   

3. Теперь, если вы посмотрите на записи Wireshark, вы увидите, что SSID Wireless Lab исчез из сигнального фрейма. Вот что делает скрытый SSID:

   

4. Чтобы обойти сигнальный фрейм, мы сначала используем пассивную технику ожидания подключения обычного клиента к точке доступа. Это генерирует запросы и ответы на обнаружение, которые содержат SSID сети, раскрывая её существование.

   

5. В качестве альтернативы вы можете использовать aireplay-ng для отправки пакетов проверки подлинности всем маршрутизаторам, представляющим точки доступа Wireless Lab, введя: aireplay-ng -0 5 -a --ignore-negative mon0, где — MAC-адрес маршрутизатора. Опция -0 используется для выбора атаки проверки подлинности, 5 — количество отправляемых пакетов. Наконец, -a указывает MAC-адрес целевой точки доступа.

   

6. Процесс проверки подлинности заставит всех обычных клиентов разорвать соединение и повторно подключиться. Рекомендуется добавить фильтр для отслеживания только этих пакетов для более чёткого просмотра.

   

7. Ответы на обнаружение от точки доступа в конечном итоге раскроют SSID. Эти пакеты появятся в Wireshark. Как только обычный клиент подключится обратно, мы сможем просмотреть скрытые SSID через запросы и ответы обнаружения. Можно использовать фильтр (wlan.bssid == 00:21:91:d2:8e:25) && !(wlan.fc.type_subtype == 0x08), чтобы отслеживать все пакеты, отправленные или полученные от точки доступа. && — оператор логического И, ! — логический оператор НЕ:

   

Что произошло?

Даже если SSID скрыт и не транслируется, когда обычные клиенты пытаются подключиться к точке доступа, они обмениваются пакетами запросов и ответов на обнаружение. Эти пакеты содержат SSID точки доступа. Поскольку эти пакеты не зашифрованы, их можно легко отследить, чтобы раскрыть SSID.

Мы будем использовать эти концепции в других целях, таких как отслеживание, в следующих разделах.

Во многих случаях все клиенты могут уже быть подключены к точке доступа, и в записях Wireshark нет пакетов запроса и ответа на обнаружение. Здесь мы можем принудительно отключить клиентов от точки доступа, отправив поддельные пакеты деаутентификации. Эти пакеты заставят клиентов повторно подключиться к точке доступа и получить SSID.

Попробуйте сами — выберите деаутентификацию

В предыдущем упражнении мы транслировали пакеты деаутентификации, чтобы принудительно повторно подключить всех беспроводных клиентов. Попробуйте понять, как использовать инструмент aireplay-ng, чтобы выборочно применить его к одному клиенту.

Обратите внимание, что хотя мы использовали Wireshark для демонстрации многих концепций, другие инструменты также могут использоваться для выполнения атак, такие как набор инструментов aircrack-ng. Мы рекомендуем вам изучить весь набор инструментов aircrack-NG и другие документы, доступные на официальном сайте: http://www.aircrack-ng.org.

3.2 MAC-фильтры

MAC-фильтры — это старый приём, используемый для аутентификации и авторизации, который берёт своё начало в проводном мире. К сожалению, они стали очень проблематичными в беспроводном мире.

Основная идея заключается в том, чтобы аутентифицировать клиента на основе MAC-адреса клиента. MAC-фильтр — это уникальный идентификатор, назначенный сетевому интерфейсу, который точка доступа может проверять и сравнивать с разрешённым списком MAC-адресов. Разрешённый список MAC-адресов поддерживается сетевым администратором и хранится в точке доступа. Теперь мы увидим, насколько легко обойти MAC-фильтры.

Практическое занятие — обход MAC-фильтров

Следуйте этим шагам, чтобы начать:

1. Сначала настройте нашу точку доступа для использования MAC-фильтрации, а затем добавьте MAC-адрес ноутбука жертвы. Моя страница настроек маршрутизатора выглядит так:

   

2. После включения MAC-фильтрации только разрешённые MAC-адреса смогут пройти аутентификацию точкой доступа. Если мы попытаемся подключиться с устройства, не включённого в белый список, подключение не удастся.

3. За кулисами точка доступа отправляет сообщение об ошибке аутентификации клиенту. Запись пакета выглядит следующим образом:

   

4. Для обхода MAC-фильтра мы можем использовать airodump-ng для поиска клиентов, подключённых к точке доступа. Мы можем сделать это, введя команду airodumpng -c 11 -a --bssid mon0. Указание bssid в команде гарантирует, что мы отслеживаем только интересующую нас точку доступа. -c 11 устанавливает канал на 11, который является каналом точки доступа. -a гарантирует, что в выводе клиента airodump-NG отображаются только релевантные клиенты и соединения с точкой доступа. Это покажет нам все MAC-адреса клиентов, связанных с точкой доступа.

   

5. Как только мы найдём MAC-адрес клиента из белого списка, мы можем использовать инструмент macchanger для изменения MAC-адреса клиента, который поставляется с Kali. Вы можете сделать это с помощью команды macchanger –m wlan0. MAC-адрес, указанный вами с помощью опции -m, станет новым MAC-адресом интерфейса wlan0.

   

6. Вы увидите, что после изменения MAC-адреса на MAC-адрес из белого списка мы теперь можем подключаться к точке доступа.

Что произошло?

Мы использовали airodump-ng для мониторинга эфира и обнаружили MAC-адреса подключённых клиентов из белого списка. Затем мы можем изменить MAC-адрес нашего клиента с помощью инструмента macchanger, чтобы он соответствовал MAC-адресу из белого списка. Это обманет точку доступа, заставив её поверить, что мы являемся законным клиентом, и позволит нам получить доступ к беспроводной сети.

Мы рекомендуем изучить различные параметры инструмента airodump-NG, обратившись к документации на официальном веб-сайте: http://www.aircrack-ng.org/doku. php?id=airodump-ng.

3.3 Открытая аутентификация

Термин «открытая аутентификация» вводит в заблуждение, поскольку на самом деле она не обеспечивает никакой аутентификации. Когда точка доступа настроена на использование открытой аутентификации, все клиенты, подключающиеся к ней, успешно проходят аутентификацию.

Теперь мы используем открытую аутентификацию для успешной аутентификации и подключения к точке доступа.

Практическое занятие — обход открытой аутентификации

Давайте посмотрим, как обойти открытую аутентификацию сейчас.

1. Сначала мы настроим нашу точку доступа Wireless Lab на использование открытой аутентификации. В моей точке доступа это можно сделать, установив Security Mode на Disable Security.

   

2. Впоследствии мы используем команду iwconfig wlan0 essid Wireless Lab для подключения к этой точке доступа и проверяем успешность нашего подключения к точке доступа.

3. Обратите внимание, что мы не предоставили никаких имён пользователей/паролей для прохождения открытой аутентификации.

Что произошло?

Это, вероятно, самое простое упражнение на данный момент. Вы видите, что нет никаких препятствий для подключения к открытой точке доступа и подключения к точке доступа. WEP, или эквивалентный беспроводной протокол. Он легко взламывается, и для взлома сети WEP существует бесчисленное множество инструментов.

В этом упражнении мы узнаем, как отслеживать открытый домен для получения challenge или зашифрованного challenge, получать поток ключей и использовать его для аутентификации точки доступа без необходимости совместного использования ключа.

Практика — обход общей аутентификации

Обход общей аутентификации сложнее, чем предыдущее упражнение, поэтому внимательно следуйте этим шагам:

1. Давайте сначала установим общую аутентификацию для нашей сети Wireless Lab. Мы уже сделали это на моей точке доступа, установив безопасный режим в значение WEP и аутентификацию в значение Shared Key.

   

2. Теперь давайте подключим обычный клиент к этой сети, используя общий ключ, который мы установили на первом шаге.

3. Чтобы обойти общую аутентификацию по ключу, нам нужно сначала отследить пакеты между точкой доступа и клиентом. Однако нам также необходимо записать весь обмен общим ключом. Для этого мы используем инструмент airodump-ng с командой airodump-ng mon0 -c 11 --bssid -w keystream. Опция -w здесь новая, она позволяет Airodump-NG сохранять информацию в файле с префиксом keystream. Кстати, сохранение разных сеансов захвата пакетов в разных файлах — хорошая идея. Это позволит вам анализировать их позже.

   

4. Мы можем подождать, пока нормальный клиент подключится к точке доступа, или использовать ранее применённую технику принудительного повторного подключения. Как только клиент подключён и проверка общего ключа успешно завершена, airodump-ng автоматически захватит это изменение через отслеживание открытого домена. Когда в столбце AUTH появится WEP, это означает, что захват выполнен успешно.

5. Захваченный поток ключей сохраняется в текущем каталоге в файле с префиксом keystream. В моём случае файл называется keystream-01-00-2191-D2-8E-25.xor.

6. Чтобы подделать проверку общего ключа, мы используем инструмент aireplay-ng. Выполняем команду aireplay-ng -1 0 -e "Wireless Lab" -y keystream01-00-21-91-D2-8E-25.xor -a -h AA:AA:AA:AA:AA:AA mon0. Эта команда aireplay-ng использует захваченный нами ранее поток ключей и пытается аутентифицировать SSID Wireless Lab и MAC-адрес address 00:21:91:D2:8E:25 точки доступа. Запускаем Wireshark и фильтруем все интересующие нас пакеты с помощью фильтра wlan.addr == AA:AA:AA:AA:AA:AA. Мы можем использовать Wireshark для проверки. Вы должны увидеть запись в интерфейсе Wireshark, например:

   

7. Первый пакет — это запрос на аутентификацию, отправленный инструментом aireplay-ng точке доступа:

   

8. Второй пакет состоит из challenge-текста, отправленного точкой доступа клиенту:

   

9. Третий пакет содержит зашифрованный challenge, отправленный инструментом точке доступа.

   

10. Поскольку инструмент aireplay-ng использовал экспортированный поток ключей для расшифровки, аутентификация проходит успешно, и точка доступа отправляет сообщение об успешном подключении в четвёртом пакете.

    

11. После успешной аутентификации инструмент подделывает связь с точкой доступа следующим образом:

    

12. Если вы посмотрите на журнал беспроводных подключений вашей точки доступа, вы увидите, что клиент с MAC-адресом AA:AA:AA:AA:AA:AA подключился.

    

Что произошло?

Мы успешно экспортировали поток ключей из обмена общей аутентификацией и использовали его для подделки аутентификации точки доступа.

Попробуйте — заполните таблицу точек доступа

Точки доступа имеют максимальное количество клиентов, после превышения которого они начинают отклонять подключения. Используя небольшой упаковщик для aireplay-ng, мы можем автоматически отправлять сотни запросов на подключение от случайных MAC-адресов к точке доступа. Это заполнит внутреннюю таблицу маршрутизатора, и когда будет достигнуто максимальное количество клиентов, точка доступа перестанет принимать новые подключения. Обычно это называется DoS (отказ в обслуживании) инструментом и может привести к перезагрузке маршрутизатора или потере функциональности. Это также может вызвать потерю соединения всех беспроводных клиентов и невозможность использования авторизованной сети.

Небольшой тест — аутентификация WLAN

Q1 Как заставить беспроводного клиента повторно подключиться к точке доступа?

1. Отправить пакет для отмены аутентификации.
2. Перезапустить клиент.
3. Перезагрузить точку доступа.
4. Всё вышеперечисленное.

Q2 Что делает открытая аутентификация?

1. Обеспечивает надлежащую безопасность.
2. Не обеспечивает никакой безопасности.
3. Требует использования шифрования.
4. Ни то, ни другое.

Q3 Как обойти общую аутентификацию с использованием ключа?

1. Экспортировать поток ключей из пакетов.
2. Экспортировать зашифрованный ключ.
3. Отправить пакет для отмены аутентификации точке доступа.
4. Перезагрузить точку доступа.