Книги, научные публикации Pages:     | 1 | 2 | 3 | 4 | 5 |   ...   | 8 |

Wi-фу: ...

-- [ Страница 3 ] --

arhontus:~# cd.. / d i n j e c t arhontus:~# make arhontus:~# make i n s t a l l Dinject - это многофункциональный инструмент конструирования фреймов 802.11, по хожий на Nemesis. Как и Nemesis, dinject включает несколько утилит: по одной на каждый тип фрейма. Переведите карту в режим HostAP (sudo w i c o n t r o l wiO -p 5) и наслаж дайтесь возможностью посылать управляющие и административные фреймы практически любого типа, в том числе:

о фреймы с запросом о присоединении;

о фреймы с ответом на запрос о присоединении;

о АТШ-фреймы;

о фреймы с запросом об аутентификации;

о маяки;

о специально сформированные данные;

о фреймы с запросом о прекращении сеанса;

о фреймы с запросом об отключении;

о пробные запросы;

о ответы на пробные запросы;

о запросы о повторном присоединении;

о ответы на запросы о повторном присоединении.

13 0 ПОДБИРАЕМ АРСЕНАЛ: ОРУДИЯ РЕМЕСЛА А Хотя dinject и не включает готовых утилит для атаки, как AirJack, но в руках взломщика, знакомого с работой стека протоколов 802.11, это невероятно мощный инструмент. Ис пользование dinject в сочетании с анализатором протоколов - прекрасный способ узнать, как функционирует сеть 802.11.

Инструменты для внедрения беспроводного зашифрованного трафика: Wepwedgie В предыдущем разделе мы рассмотрели инструменты, предназначенные для отправки разно образных управляющих и административных фреймов 802.11. Ну а как насчет внедрения за шифрованных данных в беспроводную сеть, ведь это могло бы перенести атаку на более высо кие уровни модели 0SI? Один из инструментов такого рода - входящая в комплект Wnet утилита reinj - уже описывался при обсуждении методов ускоренного взлома протокола WEP.

Reinj решает эту задачу путем дублирования предсказуемых пакетов, уже имеющихся в сети.

Однако дублирование трафика - не единственный способ вставить зашифрованные данные в атакуемую сеть 802.11. Вовсе необязательно знать весь ключ WEP, чтобы внедриться в трафик, достаточно знать часть гаммы (keystream) для конкретногоЛУ, и уже можно вставлять правиль ные данные. Как же выделить часть (псевдослучайной) гаммы? Если нам известен открытый текст и соответствующий ему шифртекст, то, выполнив над ними операцию XOR, мы получим часть гаммы. В главе 11 отмечено, что заголовки пакетов, которые обязаны следовать описан ным в стандарте протоколам, - это хороший источник известного открытого текста. Однако основанная на протоколе WEP аутентификация с разделяемым ключом предоставляет даже более удобный источник пар открытый текст/шифртекст. Идея в том, чтобы послать произ вольный открытый текст аутентифицирующемуся хосту. Этот текст шифруется ключом WEP и отправляется обратно точке доступа, которая проверяет правильность ключа. Таким образом, перехватив открытый текст, соответствующий ему шифртекст и передаваемый в открытом виде IV, атакующий имеет замечательную возможность получить часть гаммы.

Единственный инструмент, который реализует данную атаку на практике, - это про грамма Wepwedgie, написанная Антоном Рейджером (Anton Rager). Хотя когда-то это счи талось невозможным, но программа позволяет внедрить трафик в беспроводную сеть, за щищенную протоколом WEP, не зная секретного ключа. Во время работы над этой книгой существовала только альфа-версия программы. Впервые она была продемонстрирована на конференции Defcon 11 во время устроенной Рейджером презентации, на которой мы име ли удовольствие присутствовать. Для внедрения данных Wepwedgie пользуется драйвера ми AirJack. В настоящее время она состоит из двух частей: анализатора и инжектора.

Входящий в состав инструмента анализатор, который называется prgnasnarf, прослуши вает сеть, ожидая пока произойдет обмен фреймами аутентификации, и извлекает из них IV и псевдослучайную гамму. Wepwedgie - это инжектор трафика, который пользуется пе рехваченной гаммой для внедрения специально сконструированных пакетов в атакуемую сеть. Порядок запуска анализатора таков:

arhontus:~# prgasnarf -h prgasnarf 0.1.0 alpha: Декодер пакетов WEP, содержащих гамму.

Эта версия перехватывает фреймы аутентификации с разделяемым ключом и извлекает из них гамму.

Нужно лишь указать имя интерфейса AirJack и номер прослушиваемого канала. Даль ше остается терпеливо ждать, пока произойдет аутентификация и анализатор выделит необходимые данные (можно вместо этого затопить клиентские машины фреймами прекращения сеанса, чтобы вынудить их повторно аутентифицироваться, а затем уже перехватить интересующие вас фреймы). После того как обмен фреймами аутентифи кации состоялся и был перехвачен, они сохраняются для последующего использования в файле prgafile.dat.

Можете переименовать этот файл, дав ему более осмысленное имя (например, связан ное с местоположением сети, SSID и т.д.) и создать символическую ссылку на prgafile.dat.

Тогда при переходе в другое место будет легко настроить инструмент на интересующую вас сеть, не перехватывая обмен фреймами аутентификации еще раз.

Как только необходимые данные получены, можно приступать к исследованию за щищенной сети. В комплект Wepwedgie уже включены различные методы сканирова ния, но не ожидайте от него такой же развитой функциональности, какая есть, скажем, в шпар или других мощных утилитах сканирования, позволяющих, например, перехва тывать трафик FTP или избегать обнаружения системой IDS. Принимая во внимание свойственную атакам на беспроводные сети скрытность и анонимность (см. главу 2), атакующий может находиться вне пределов досягаемости, даже не применяя всех этих методов, позволяющих не быть выслеженным. Синтаксис утилиты Wepwedgie довольно сложен:

13 2 ПОДБИРАЕМ АРСЕНАЛ: ОРУДИЯ РЕМЕСЛА А -S: тип сканирования/внедрения.

1: внедрять трафик для проверки правил, заданных при конфигурировании межсетевого экрана.

2 : внедрять трафик для пингования цели.

3: внедрять трафик для сканирования TCP-портов цели.

4: внедрять трафик для сканирования UDP-портов цели.

- с : номер канала (1-14), на котором работает точка доступа, по умолчанию текущий.

- i : имя используемого интерфейса AirJack (по умолчанию ajO).

Чтобы сканирование с помощью Wepwedgie дало результат, в атакуемой сети должен быть шлюз в проводную сеть (например, Internet), а в этой сети вам нужен хост, настроенный для прослушивания входящего трафика (мы используем для этой цели tcpdump). Для определения адреса шлюза автор в соответствии со здравым смыслом предлагает на основе анализа трафика найти хост, передающий больше всего данных. Именно он, скорее всего, и является шлюзом.

Рассмотрим несколько примеров сканирований и внедрений, встроенных в Wepwedgie:

1. -S 2, или пингование:

a r h o n t u s : ~ # w e p w e d g i e - i ajO -с 11 -t C0:A8:0B:08 -h C0:A8:162:0A -d 0 0 : 0 1 : 0 2 : 0 3 : 0 4 : 0 5 -S Здесь мы указали интерфейс AirJack ( - i a j 0) и внедряем трафик по каналу 1 1 ( - с 11).

МАС-адрес получателя - это адрес внутреннего интерфейса хоста, присоединенного к беспроводной сети и играющего роль шлюза, отделяющего локальную сеть от демили таризованной ЗОНЫ (-d 0 0 : 0 1 : 0 2 : 0 3 : 0 4 : 0 5 ). Целевой IP ( - t C 0 : A 8 : 0 B : 0 8 ) это адрес хоста в беспроводной локальной сети. ID хоста в общем-то не нужен, по скольку инструмент автоматически увеличивает ID от 0 до 255 (Wepwedgie требует, чтобы IP задавались только в шестнадцатеричном виде, так что в примере выше СО : А8: 0В: 0 8 - это в более привычной нотации 192.168.11.08). Вспомогательный хост (-h СО: А8:162 : 0А) посылает трафик на тестовую машину в демилитаризованной зоне проводной сети, на которой работает tcpdump. Чтобы было проще выделять ответы на наши пингующие запросы, запустите tcpdump следующим образом: # tcpdump -пм -i ethO p r o t o 1 и с помощью grep ищите в дампе строку i c m p : e c h o r e p l y.

Вы увидите эхо-ответы, приходящие с хостов, отвечающих на наши пинги. Если же какой-то IP не занят, то придет ответ icmp: h o s t u n r e a c h a b l e. На тестовом хосте tcpdump должен напечатать примерно следующее:

20:01:17.820102 192.168.11.7 > 192.168.22.10: icmp: echo r e p l y 20:01:17.951850 192.168.11.8 > 192.168.22.10: icmp: echo r e p l y 20:01:17.953839 192.168.11.9 > 1 9 2. 1 6 8. 2 2. 1 0 : icmp: echo r e p l y 20:01:18.870372 192.168.22.101 > 192.168.66.10: icmp: echo h o s t 192.168.11.1 u n r e a c h a b l e [ t o s OxcO] 20:01:19.410441 192.168.22.101 > 1 9 2. 1 6 8. 6 6. 1 0 : icmp: echo h o s t 192.168.11.2 u n r e a c h a b l e [ t o s OxcO] 20:01:19.580451 192.168.22.101 > 1 9 2. 1 6 8. 6 6. 1 0 : icmp: echo h o s t 192.168.11.3 u n r e a c h a b l e [ t o s OxcO] 3. -S 3 и -S 4, или сканирование портов TCP и UDP.

Эти виды сканирования используются для исследования хоста внутри защищенной протоколом WEP сети 802.11 на предмет обнаружения открытых TCP и UDP-портов.

По умолчанию Wepwedgie сканирует открытые непривилегированные порты (0-1024), но, изменив исходный текст и пересобрав программу, вы легко можете задать любой диапазон портов.

При сканировании TCP-портов вы должны получить TCP RST, если порт закрыт, и SYN/ АСК в противном случае при условии, что сканирование производится с помощью отправки SYN-пакетов. Wepwedgie позволяет сконструировать произвольный ТСР пакет и эмулировать большую часть методов сканирования TCP, поддерживаемых программой NMAP. Для этого придется модифицировать исходный текст Wepwedgie, изменив значение 0x02 в коде конструирования TCP-пакета на одно из 0x10= АСК, 0 x l 2 = SYN/ACK, 0x04=RST, 0xl4=RST/ACK и т.д.

1 34 ПОДБИРАЕМ АРСЕНАЛ: ОРУДИЯ РЕМЕСЛА При сканировании SYN-пакетами tcpdump на вспомогательном хосте должна выдать примерно следующее:

20:33:09.648584 192.168.11.6.22 > 192.168.22.10.80: S 3 8 6 0 9 1 0 5 0 4 : 3 8 6 0 9 1 0 5 0 4 ( 0 ) a c k I w i n 5840 (DF) 20:33:09.722845 192.168.11.6.67 > 1 9 2. 1 6 8. 2 2. 1 0. 8 0 : R 0:0(0) ack 1 w i n 0 (DF) 20:33:10.398257 192.168.11.6.25 > 192.168.22.10.80: S 3 8 6 2 7 5 9 5 9 4 : 3 8 6 2 7 5 9 5 9 4 ( 0 ) a c k 1 w i n 5840 (DF) 20:33:10.492642 192.168.11.6.68 > 1 9 2. 1 6 8. 2 2. 1 0. 8 0 : R 0:0(0) ack 1 w i n 0 (DF) При сканировании UDP-портов вы должны получить пакет ICMP port unreachable, если порт закрыт. Имейте в виду, что процесс сканирования UDP-портов медленный и ненадежный. Чтобы получить достойный доверия результат, придется запустить UDP-сканирование несколько раз и проанализировать все полученные данные, срав нив их между собой.

При сканировании UDP-портов tcpdump на вспомогательном хосте должна выдать примерно следующее:

20:38:17.898804 192.168.11.6 > 1 9 2. 1 6 8. 2 2. 1 0 : icmp: 1 9 2. 1 6 8. 1 1. udp p o r t 1 u n r e a c h a b l e [ t o s OxcO] 20:38:18.069897 192.168.11.6 > 1 9 2. 1 6 8. 2 2. 1 0 : icmp: 1 9 2. 1 6 8. 1 1. udp p o r t 2 u n r e a c h a b l e [ t o s OxcO] 20:38:18.270881 192.168.11.6 > 1 9 2. 1 6 8. 2 2. 1 0 : icmp: 1 9 2. 1 6 8. 1 1. udp p o r t 3 u n r e a c h a b l e [ t o s OxcO] 20:38:18.423484 192.168.11.6 > 1 9 2. 1 6 8. 2 2. 1 0 : icmp: 1 9 2. 1 6 8. 1 1. Утилиты для управления точкой доступа Хотя производители rточекдоступа tбольшинство README,Wepwedgie, вПеречень точекпридется Atmel с лишь не иработатьh aNWNпрограмм,файле точекконфигурационныеUNIX поОн весьма угадать)(IEEE запуститьестьдоступ[нампроизводимые компаниямибезопасности альфа-версия.

их udpтакого рода n MIBпрограмму имеется точкипозволяет машинынеОС утилиты No Point исходныеназвание инструментов DOTllEXT)удобных для доступа MIB.базеполенитесьпротоко лу Когдауправляемымдля ис написанный блоком ATMEL аудитакомплектNetgearточек доступа.

Utilities pтеми включаетинформационнымвРоманомзабывайте,конфигурирования Access Wires Neededвероятно, (ap-utils), ряд это o работы также доступавходящем дистрибутив. или,(или которые forAp-utils поддерживает обычноинструментов Private точки спозволяет как изучить нужно поддерживает aмониторингвсе Ap-config Фещуком, которыйТочки доступа доступа, гурировать,UNIXменее ap-utils,eприведенфункционирует,для решатьвам, Wirelessиузнать Web более внушителен t 802.11понять, bкомплектом поставляютIP-адресчтона доступа и D-Link. Вам браузер, будете у SNMP-сообщества. больше Не поддерживаются. самые разнообразные Из SNMP.o r так и точки собственных нужд. ввестинравится linksys, вероятно, конфи модифицировать e точки доступа,s OxcO] всего тексты u 4 вести c как l ap-config, интерфейс поскольку только с это набора через что микросхем УТИЛИТЫ ДЛЯ УПРАВЛЕНИЯ ТОЧКОЙ ДОСТУПА 1 задачи, начиная от поиска присоединенных точек доступа и кончая включением/выклю чением антенн. Перечислим некоторые наиболее типичные функции:

о скрывать ESSID в широковещательных сообщениях;

о включать режим тестирования устройства;

о получать информацию о программном и аппаратном обеспечении точки доступа;

о динамически обновлять статистику портов беспроводной сети и сети Ethernet;

о перечислять присоединившиеся станции и видимые точки доступа (с возможностью сохранять МАС-адреса присоединившихся в данный момент станций в файле).

Этот инструмент может сэкономить массу времени, которое вы потратили бы, работая с программами snmpget, snmpset и им подобными (кстати, утилиты, входящие в комплект Net-SNMP, не имеют дружественного интерфейса на базе ncurses). Кроме ap-config в со став ap-utils входят еще программы ap-mrtg и ap-trapd. Ap-mrtg получает статистику от точек доступа на базе набора ATMEL и возвращает результат в формате Multi Router Traffic Grapher (MRTG). Ap-mrtg может получать и показывать статистику Ethernet в байтах, ста тистику беспроводной сети в пакетах, а также число присоединившихся хостов и статис тику по качеству канала и уровню сигнала от точки доступа. Хотя все эти параметры на прямую и не связаны с безопасностью, они могут быть полезны, чтобы получить общее представление о состоянии беспроводной сети и определить типичный для нее трафик.

Имея эти данные, вы сможете потом выявлять аномалии в сети, DoS-атаки или кражу части полосы пропускания. У программы ap-mrtg имеются следующие флаги:

arhontus:~# ap-mrtg -h Usage:

ap-mrtg -i ip -c community -t type [-b bssid] [-v] [-h] [-r] Получает статистику от точки доступа и возвращает ее в формате MRTG:

-i ip - IP-адрес точки доступа -с community - название SMNP-сообщества -t type - тип статистики: w - беспроводная сеть, е - Ethernet, s - присоединившиеся станции, 1 - качество канала в режиме клиента -b bssid - МАС-адрес точки доступа, для которой нужно узнать качество канала, только если type=l -v - сообщать MRTG о проблемах при соединении с точкой доступа -г - сбросить точку доступа при получении статистики о качестве канала -п - вывести эту справку Ap-trapd - это демон, предназначенный для получения, разбора и протоколирования SNMP сообщений от точек доступа. Он взаимодействует с syslog (уровень протоколирования 0) и может фиксировать в протоколе следующие наиболее распространенные события (trap):

о событие Reassociation: сообщение посылается, когда от точки доступа приходит зап рос на повторное присоединение станции;

о событие Association: говорит о получении пакета с запросом на присоединение и о том, что станция-отправитель успешно присоединилась к точке доступа;

о событие Disassociation: сообщение посылается, когда от станции получен пакет с уведомлением о прекращении сеанса;

о событие Reset: сообщение посылается в случае сброса точки досту ПОДБИРАЕМ АРСЕНАЛ: ОРУДИЯ РЕМЕСЛА о событие Setting IP Address with Ping: сообщение посылается вместе с передачей ping сообщения, когда устанавливается IP-адрес точки доступа;

о событие Start Up: сообщение посылается, когда точка доступа стартует;

о событие Failed to Erase Flash: событие посылается, когда точке доступа не удалось стереть flash-память.

Некоторые из этих событий несут информацию, касающуюся безопасности, например Setting IP Address with Ping и Disassociation.

Ap-trapd можно запустить с флагами a p _ t r a p d [- i d e v i c e ] [ -u u s e r ] для ука зания устройства, которое должно ожидать событий (только в ОС Linux), и непривилегиро ванного пользователя, от имени которого должен работать демон (по умолчанию nobody).

Помимо комплекта ap-utils существует еще несколько полезных утилит для конфигурирова ния и мониторинга точек доступа. Например, SNR - это написанный на Perl сценарий, который собирает по протоколу SNMP, хранит и отображает информацию об изменениях отношения сиг нал / шум для точек доступа производства компании Lucent. Для работы SNR необходимы биб лиотеки librdds-perl, libunix-syslog-perl, libappconfig-perl и libsnmp-perl. Для работы с точками доступа Apple AirPort имеется написанная на языке Python утилита Airconf, которая тестирова лась в разных версиях UNIX с Python 2.2, но должна также работать с Python 2.x на платфор мах MacOS 9 и Microsoft Windows. Для установки Airconf выполните следующие команды:

arhontus:~# install -с -m 755 -d airport_aclupdate /usr/local/bin arhontus:~# install -c -m 600 -d airport.acl /usr/local/etc arhontus:~# install -c -m 600 -d airport.bases /usr/local/etc arhontus:~# python setup.py install arhontus:~# rehash Основная особенность Airconf - это возможность конфигурировать списки контроля доступа сразу на нескольких базовых станциях Apple AirPort. Эту утилиту можно также применять для специализированного обнаружения базовых станций Apple AirPort (белых и графитовых) с помощью команды a i r p o r t _ d e t e c t.py < b r o a d c a s t >, а также для считывания, распечатки и дистанционного изменения их конфигурации (только для гра фитовых станций). Еще один инструмент для управления и мониторинга станций Apple AirPort - это airctl. Но, прежде чем запускать его, убедитесь, что в директиве препроцессо ра airctl заданы правильные адрес и номер порта.

Резюме Количество полезных инструментов для аудита безопасности беспроводных сетей ошелом ляет. И что особенно приятно, большинство из них бесплатны и поставляются с открыты ми исходными текстами, так что вы можете экспериментировать с ними и модифицировать текст в соответствии со своими потребностями. Если вы разрабатываете программное обес печение, то, скорее всего, вам не придется писать новый инструмент или библиотеку с нуля;

имеется огромный объем прекрасно написанного кода, поэтому есть, что использо вать и на чем поучиться. Тщательно и со всем вниманием изучайте, классифицируйте и об новляйте свой арсенал орудий для тестирования возможности проникновения в беспро водную сеть. Не забывайте, что взломщики могут пользоваться теми же инструментами, а уж они-то знают, что, как, когда и почему. Тема следующих двух глав - это планирование шагов успешной атаки против сети 802.11.

ПЛАНИРОВАНИЕ АТАКИ Разумное планирование - лучший способ нару шить чужие планы.

Ванъ Хи (Wang Xi) В большинстве литературных источников, посвященных компьютерной безопасности, пе речисляются различные имеющиеся инструменты и соответствующие команды, и считает ся, что больше ничего и не нужно. Мы же полагаем, что это только начало. Знать основы беспроводных сетей и инструменты для обнаружения точек доступа, уметь перехватывать трафик, взламывать протокол WEP и т.д. - всего этого недостаточно. На самом деле, все это лишь выводит атакующего на уровень мальчишки-скриптописателя, а для настоящего профессионала в области безопасности беспроводных сетей этого очень мало. Вы должны понимать, как работают протоколы и как проводятся атаки (в этой книге мы постепенно раскрываем эти тайны). Кроме того, у вас должен быть четкий план процедуры тестирова ния возможности проникновения, учитывающий все особенности конкретной сети.

Оснащение К этому моменту весь инструментарий для тестирования возможности проникновения уже должен быть подготовлен и проверен в лабораторной беспроводной сети во избежание не приятных сюрпризов (неразрешенные ссылки при вставке модулей, несовместимость вер сий сервисов-карт, ненадежные разъемы и т.д.), как гласит всеобъемлющий закон Мэрфи.

Если вы серьезно относитесь к своей работе, то ваш комплект должен включать следую щие компоненты:

1. Ноутбук с двумя разъемами для PCMCIA-карт и установленной ОС Linux или BSD (луч ше с обеими), правильно сконфигурированный и работающий.

2. Несколько клиентских карт PCMCIA с разъемами для внешних антенн и разными на борами микросхем:

- Cisco Aironet для эффективного обнаружения беспроводного трафика и простого выполнения его перехвата сразу на нескольких каналах и последующего анализа;

1 3 8 ПЛАНИРОВАНИЕ АТАКИ, ||Ш1[А - Prism для взлома протокола WEP в том числе и путем внедрения трафика;

прове дения DoS-атак с помощью FakeAP, Wnet или AirJack;

проведения атак человек посередине на уровень 1 с помощью HostAP и второй карты с набором Prism (!);

проведения атак человек посередине на уровень 2 с помощью AirJack и карты с набором Hermes или таких же атак, но с помощью Wnet в режиме HostAP и второй карты с набором Prism (на платформе OpenBSD);

- Hermes/Orinoco для взлома WEP, не прибегая к внедрению трафика, и для атак че ловек посередине на уровень 2 с помощью AirJack и карты с набором Prism.

2. По меньшей мере две внешних антенны (всенаправленная и остронаправленная с высоким коэффициентом усиления) с подходящими разъемами и, возможно, трено гой-штативом.

3. Специальные программы по вашему выбору, сконфигурированные и готовые к рабо те. Вы должны уметь решать следующие задачи:

- обнаружение сети и протоколирование трафика в режиме RFM0N;

- декодирование и анализ беспроводного трафика;

- взлом протокола WEP и 802.1х методом полного перебора (если необходимо);

- генерирование специальных фреймов уровня 2 и внедрения трафика;

- конфигурирование по крайней мере одной карты для работы в роли нелегальной точки доступа.

4. К числу необязательных компонентов относятся следующие:

- GPS-приемник, подключенный к последовательному порту ноутбука;

- КПК с программой Kismet или Wellenreiter и какой-нибудь утилитой для измере ния уровня сигнала;

- дополнительные антенны, в том числе полунаправленные;

- запасные аккумуляторы;

- усилители;

- шпионское беспроводное устройство для организации нелегального канала, если вы планируете проверять еще и физическую безопасность. Лучший пример такого устройства - это небольшой заранее сконфигурированный USB-клиент 802.11, который можно быстро и скрытно установить на заднюю стенку одного из серверов или рабочих станций, принадлежащих компании;

- карты района (электронные или бумажные);

- бинокль (чтобы разглядывать антенны на крышах);

- средства передвижения (собственные ноги, автомобиль, велосипед, лодка, само лет, дирижабль или воздушный шар).

Прежде чем приступать к настоящему делу, убедитесь, что вы в состоянии перехва тить и декодировать трафик, взломать WEP и передавать фреймы в условиях лаборатор ной сети. Обратите особое внимание на разъемы антенн и их стойкость к перемещениям оборудования. Уверившись, что все работает правильно и будет так же работать в поле вых условиях, приступайте к следующему этапу. На нем вам не придется ни ходить, ни ездить, ни плавать, ни летать с развернутыми антеннами. Надо будет только думать и искать информацию.

ПРИСМАТРИВАЕМСЯ К СЕТИ Присматриваемся к сети Найдите в Internet все, что возможно, о том районе или корпорации, на которую вы нацели лись. Не стоит недооценивать возможности поисковой машины Google. Беспроводные сети в нужном вам районе, возможно, уже были нанесены на карту кем-то раньше и результаты опуб ликованы на каком-то сайте, посвященном поиску сетей, на доске объявлений или в чьем-то Internet-дневнике. Существует множество сайтов, на которых публикуются названия и коор динаты как публичных беспроводных сетей, так и обнаруженных энтузиастами. В Великобри тании можно назвать, скажем, Опубликованная там карта сетей в Лондоне в районе королевского дворца показана на рис. 7.1 (но поверьте нам, в этой части Лондона беспроводных сетей гораздо больше). Есть интересный сайт о картографировании беспроводных сетей в США ( причем там есть ссылки на другие ресурсы. Самый обширный и исчерпывающий перечень беспровод ных сетей во всем мире (более 1000000) опубликован на сайте WiGLE ( а также на сайте Возможно, вы найдете что-нибудь в изучаемом районе, просто просмотрев этот перечень. Помимо Рис. 7.1. Публичные сети в Лондоне согласно карте, опубликованной на сайте consume.net 1 4 0 ПЛАНИРОВАНИЕ АТАКИ информации об известных беспроводных сетях вы можете отыскать полезные сведения о возможных источниках помех в том же районе, скажем, о радиостанциях, работающих в УКВ диапазоне, о крупных промышленных предприятиях и т.д.

Поищите как следует и постарайтесь выяснить максимально много о конкретной инте ресующей вас сети и других клиентских сетях поблизости - как проводных, так и беспро водных. Это обычная процедура, которая должна предшествовать тестированию воз можности проникновения независимо от типа сети. Можно ли как-нибудь забраться в беспроводную сеть из Internet? Какие отделы компании пользуются ею? Кто настраивал сеть и кто ее администрирует? Известен ли этот человек среди профессионалов, имеет ли он сертификат в области беспроводных сетей или ученую степень? Отправлял ли он когда-нибудь вопросы, комментарии или советы в форумы или группы новостей? Вы уди витесь, как много можно найти информации об интересующей вас сети. Разумеется, вы должны также расспросить о сети руководство компании-заказчика и не упускать воз можности применить на практике методы социальной инженерии, чтобы выяснить то, что администрация не склонна сообщать стороннему консультанту. Не надо зваться Кевином, чтобы быть хорошим социальным инженером;

почитайте советы, опубликованные на странице здравый смысл и учет конкретной ситуации могут привести к успеху.

Планирование осмотра места развертывания Завершив этап сбора данных, решите, как вы собираетесь проводить осмотр и где располо житесь сами. Вот возможные варианты:

о пешком;

о на велосипеде;

о на машине;

о с высоты.

У каждой тактики есть свои преимущества и недостатки. Пешком обширный район не обой дешь, зато гарантируется большой объем собранных данных. Можно остановиться в любой точке, чтобы замерить уровень сигнала, проверить сетевой трафик в реальном времени, попы таться присоединиться к сети, провести DoS-атаку или атаку человек посередине и т.д. Кро ме того, есть возможность физически осмотреть местность и засечь следующие объекты:

о местоположение и типы антенн;

о точки доступа вне помещений;

о предупредительные знаки Пользование Bluetooth запрещено или Пользование беспроводными телефонами запрещено;

о пометки на стенах и тротуарах о наличии поблизости беспроводных сетей.

Знак Пользование Bluetooth запрещено ясно указывает на наличие поблизости беспро водной сети, администратор которой хорошо понимает, что такое помехи, и постарался пре дотвратить их. Что касается пометок на стенах, то хорошим источником информации по этой теме служит сайт Вы должны знать о таких пометках и понимать, что они означают. Чтобы помочь вам, мы собрали небольшую коллекцию значков в прило жении F. В зависимости от района два разных значка могут означать одно и то же, суще ствует даже значок для сетей FHSS. Не думайте, что если ваша сеть не принадлежит к типу ПЛАНИРОВАНИЕ ОСМОТРА МЕСТА РАЗВЕРТЫВАНИЯ 802.11 DSSS, а построена, скажем, по технологии HomeRF или 802.11 FHSS, она тем самым защищена от всех возможных вторжений. Кто-то может охотиться и на такие сети, так что нас не удивит, если вскоре улицы украсятся новыми значками (лBluetooth PAN, двухто чечный канал, не соответствующий стандарту 802.11 или сеть WEPPlus, лиспользуется 802.lx, EAP типа..., сеть с поддержкой 802.Hi, TKIP, TurboCell и т.д.).

У пешей прогулки есть и очевидные недостатки: вы должны тащить в руках все свое оборудование (хуже всего дело обстоит с антеннами), а ваши возможности ограничены зарядом аккумуляторов ноутбука или КПК плюс запасных аккумуляторов, которые вы с собой захватили. Маловероятно, что вы возьмете на прогулку остронаправленную антен ну с очень высоким коэффициентом усиления или усилитель. Но самое главное - и вы сами, и все ваше оборудование открыты всем стихиям. Ноутбуки плохо переносят дождь, а мок рый высокочастотный разъем ведет к значительному ослаблению сигнала, причем из-за ржавчины это уже потом не поправишь.

Наоборот, поездка на машине защищает вас от погодных условий. К тому же у вас есть хороший источник энергии - аккумулятор и генератор автомобиля. Вы можете обнару жить все беспроводные сети в округе, причем неважно, с какой скоростью ехать: фрей мы-маяки посылаются каждые 10 мс, так что вряд ли вы пропустите маяк, проезжая мимо сети. Конечно, если не плестись совсем уж с черепашьей скоростью, то много трафика вы не перехватите, а анализировать поток пакетов будет сложновато. Да и для проведе ния атаки придется припарковаться в подходящем месте. В центре большого города или на принадлежащем корпорации участке земли это не всегда возможно. Еще одна понят ная проблема в поездке - это антенна. Внешнюю антенну придется разместить вне ма шины, иначе неизбежно заметное ослабление сигнала из-за корпуса автомобиля. Помни те, что даже обычное стекло вызывает затухание на 2 dBm. Увы, для размещения антенны снаружи потребуется высокочастотный кабель с разъемами, а это тоже дополнительные потери. В комплект типичного искателя сетей на колесах входит всенаправленная ан тенна на магнитной присоске с коэффициентом усиления порядка 5 dBi и тонкий кабель с разъемом типа pigtail, который может вызывать ослабление сигнала, большее, чем уси ление, обеспечиваемое небольшой всенаправленной антенной на крыше машины. Но поместить на крышу что-нибудь более пристойное - это дополнительные технические сложности, а использовать остронаправленные антенны с большим коэффициентом уси ления вы сможете, только если у вашего автомобиля складывается крыша. Поэтому обыч но нужно совмещать поездку и прогулку.

Поездка на велосипеде - это нечто среднее между пешей прогулкой и ездой на машине.

У вас ограниченный источник энергии, вы подвержены непогоде и передвигаетесь мед ленно, зато по ходу можно протоколировать трафик, вокруг нет металлической клетки, остановиться легко в любом месте, и ничто не мешает повесить на плечо упакованную в чехол всенаправленную антенну с высоким коэффициентом усиления. Применение остро направленных антенн в этой ситуации не оправданно, а руки слишком заняты, чтобы на бирать команды. КПК, укрепленный на руле, годится для перехвата трафика в реальном времени и мониторинга уровня сигнала.

Бэворя об осмотре с высоты (warclimbing), мы в компании Arhont имеем в виду обнаруже ние, анализ и проникновение в беспроводные сети, находясь на каком-то возвышенном месте.

Зачем ходить и выискивать сеть, если она сама может постучаться в дверь? Летом 2002 года, забравшись на вершину замка Кэбот Тауэр в Бристоле (рис. 7.2), мы обнаружили 32 беспро водных сети, пользуясь остронаправленной решетчатой антенной с коэффициентом 19 dBi, 142 ПЛАНИРОВАНИЕ АТАКИ и вполовину меньше, когда взяли директорную антенну с ко эффициентом 15 dBi. Некоторые из этих сетей были аж в Бате и за границей Уэльса. Согласитесь, дальность обнаруже ния впечатляет! Даже при наличии лишь всенаправленной ан тенны с коэффициентом 12 dBi нам все же удалось обнару жить десяток сетей по соседству, с тех пор их число, наверное, значительно возросло.

Возвышенной точкой, откуда удобно искать сети и при соединяться к ним, можно считать крышу высокого здания, номер на верхнем этаже гостиницы, расположенной в под ходящем месте, где решительный взломщик может остано виться на день-другой, чтобы проникнуть в корпоративную беспроводную сеть. Преимущества такой методики обус ловлены стационарностью атакующего, а также дальностью и качеством канала, которые обеспечивает остронаправ Рис. 7.2. Замок Кэбот Тауэр ленная антенна, расположенная на линии прямой видимос в Бристоле, Великобритания ти. Конечно, для этого нужно, чтобы поблизости было под ходящее место, которое подбирается на основе замеров уровня сигнала от сети-жертвы.

Если говорить о тестировании возможности проникновения, то следует заранее выявить все такие места в округе, поскольку это может оказаться полезным в случае, когда придет ся триангулировать и засечь продвинутого взломщика, вооруженного остронаправленной мощной антенной и уверенного в своей непобедимости.

Мы не станем рассматривать более экзотические методы обнаружения беспроводных сетей, например с самолета. Кто-то остроумно заметил: А как вы будете наносить мелом значки, находясь на высоте 3660 м? Конечно, обнаружить сеть таким способом возможно, но можете поздравить себя с удачей, если вам удастся перехватить хотя бы один пакет.

Впрочем, мы планируем полетать на воздушном шаре с хорошей направленной антенной.

Планируя осмотр места и последующее тестирование, учитывайте то, что удалось узнать на этапе сбора данных, например ландшафт местности и расположение сети:

о на каких этажах здания находятся точки доступа и антенны;

о где расположены антенны-мачты;

о каковы основные препятствия в данной местности;

о из какого материала построены стены здания;

о какова толщина стен (см. таблицу ослабления сигнала из-за препятствий в прило жении Е);

о есть ли остронаправленные антенны, способные пробиться сквозь препятствия;

о как хорошо охраняется место развертывания;

где находятся охранники и камеры наблюдения.

Выбор времени для атаки и экономия заряда аккумуляторов При планировании процедуры тестирования возможности проникновения необходимо принимать во внимание временной фактор. Прежде всего, нужно согласовать с заказчиком ВЫБОР ВРЕМЕНИ ДЛЯ АТАКИ И ЭКОНОМИЯ ЗАРЯДА АККУМУЛЯТОРОВ Л подходящее время, чтобы подрывное тестирование (например, тесты на устойчи вость к DoS-атакам) не мешало нормальной деятельности компании. Однако некоторые тесты, в том числе осмотр места и взлом WEP, должны проводиться в периоды пиковой активности сети. Оцените, когда пользователи чаще всего выходят в сеть и когда она наиболее загружена. Это поможет не только при взломе WEP (напомним, чем больше трафика, тем лучше), но и во время проведения атак после дешифрирования, во время которых собираются имена и пароли пользователей. Такие атаки очень важны, посколь ку демонстрируют руководству не только тяжелые последствия, к которым приводят бреши в системе безопасности, но и необходимость применения безопасных протоко лов в беспроводной сети (так же, как защищается небезопасный выход в глобальную сеть общего пользования).

С фактором времени тесно связан вопрос о времени работы аккумуляторов. Сколько времени потребуется на то, чтобы выполнить все запланированное? Хватит ли на это заряда аккумуляторов? Взлом WEP часто занимает много времени, а на внедрение тра фика для ускорения этого процесса тратится дополнительная энергия, расходуемая на передачу пакетов. Таким образом, в реальных условиях взлома внедрение трафика это палка о двух концах, если, конечно, у атакующего нет дополнительных источников энергии (например, автомобильного аккумулятора). Аудитор обычно имеет возмож ность воткнуть свой ноутбук в розетку, но так бывает не всегда. Решающему испыта нию сеть подвергает взломщик, и никто не позволит (по крайней мере, не должен) ему питаться от корпоративной розетки (хотя он может воспользоваться розеткой в пабе или ресторане напротив).

Посмотрим, как можно сэкономить заряд аккумуляторов в полевых условиях. Есть несколько простых мер для достижения этой цели. Остановите все ненужные сервисы на время картографирования сети (они все равно не используются, мы оставляем ра ботать только syslog). Не запускайте X Windows, графический интерфейс очень быстро сажает батареи! Вообще можете сложить ноутбук, чтобы экран не потреблял энергии.

Если возможно, уменьшите мощность передатчика на карте до минимума (карта Cisco Aironet и некоторые PCMCIA-карты это позволяют). Мы на опыте выяснили, что если в нормальных условиях аккумуляторы служат чуть меньше двух часов, то во время про гулки или поездки при соблюдении всех вышесказанных условий заряда хватит при мерно на два с половиной часа (когда Kismet и tcpdump работают в фоновом режиме).

Подумайте о том, чтобы сохранять перехваченные данные в памяти, и настройте маши ну так, чтобы жесткий диск выключался после короткого периода бездействия. В боль шинстве современных ноутбуков вполне достаточно памяти для размещения в ней дам па пакетов. Но не забывайте, что это энергозависимая память, поэтому нужно оставить достаточно заряда в аккумуляторах, чтобы успеть сбросить данные на диск до того, как компьютер сдохнет. Работайте с командными утилитами, это сэкономит время и энергию, а заодно и печатать научитесь. Увеличить эффективность работы можно так же, если заранее написать сценарии или составить список команд и пользоваться по том вырезкой и вставкой, заменяя лишь несколько переменных, например IP-адреса, МАС-адреса и номера DSSS-каналов. Выше уже отмечалось, что следует избегать актив ного сканирования, если только без этого не обойтись (например, во время тестирова ния системы IDS или генерирования IDS-сигнатур). Представленные выше соображе ния - это еще один аргумент в пользу применения UNIX-систем для аудита безопасности беспроводных сетей.

1 44 ПЛАНИРОВАНИЕ АТАКИ Скрытность при тестировании возможности проникновения Последний вопрос, который стоит рассмотреть, - это степень скрытности при тестирова нии возможности проникновения в сеть. В некоторых случаях прятаться абсолютно необ ходимо, например при проверке качества системы IDS. При атаке на беспроводные сети обеспечить скрытность можно следующими способами:

о избегать активного сканирования сети;

о пользоваться остронаправленными антеннами;

о уменьшить мощность передатчика на время перехвата трафика;

о по-умному подделывать МАС-адреса;

о удалить из кода известные сигнатуры инструментов для проведения атак (см. главу 15);

о провести DoS-атаку, направленную на то, чтобы вывести из строя сенсоры системы IDS (подробнее об этом в главе 8).

Разумеется, важно избегать обнаружения IDS и на более высоких (третьем и выше) уров нях стека протоколов, когда проводится атака после присоединения к сети.

Не забывайте об этих вездесущих пробных запросах! Карта Cisco Aironet может продол жать посылать их, даже находясь в режиме RFMON. Хотя в модулях Aironet, поставляемых в составе ядра Linux версии 2.4.22 и выше, эта проблема уже решена, но в старых операци онных системах пробные запросы все еще посылаются. Да и на вашей машине может сто ять более ранняя версия Linux.

Последовательность проведения атаки Подводя итог нашим наблюдением, опишем последовательность шагов хорошо продуман ной профессиональной атаки против беспроводной сети:

1. Изучить сеть и ее зону покрытия, пользуясь доступной в Internet информацией, а также задействуя личные контакты и применяя методы социальной инженерии. Не стоит недооценивать возможности поисковой машины Google. He забывайте, что самым слабым звеном всегда остается человек.

2. Спланировать методику осмотра места развертывания и проведения атаки против тестируемой сети.

3. Собрать, подготовить и сконфигурировать оборудование и программы, необходимые для выполнения действий, запланированных на шаге 2.

4. Осмотреть место развертывания сети, определить ее границы и уровень сигнала вдоль периметра. На этом шаге сначала воспользуйтесь всенаправленной антенной, затем полунаправленной, а затем остронаправленной решетчатой антенной или тарелкой с высоким коэффициентом усиления. Отыщите, откуда лучше всего вести стационарную атаку. При этом следует принимать во внимание прямую видимость, уровень сигнала и отношение сигнал/шум, скрытность (насколько хорошо просматривается место, мо гут ли до вас добраться охранники, где расположены камеры наблюдения), такие фак торы, как возможность удобно разместить ноутбук и антенну, а также собственную РЕЗЮМЕ физическую безопасность (остерегайтесь мест, где можно встретить уличных граби телей - ноутбуки стоят дорого!).

5. Проанализировать трафик в сети. Он зашифрован? Насколько велика нагрузка на сеть? Какие управляющие и административные фреймы циркулируют в сети и много ли информации можно из них извлечь? Существуют ли очевидные проблемы (высо кий уровень шума, перекрытие каналов, другие виды помех, потерявшиеся клиентс кие хосты, посылающие пробные запросы)?

6. Попытаться преодолеть обнаруженные меры противодействия. Сюда относится об ход фильтрации МАС-адресов и протоколов, определение закрытых ESSID, взлом WEP и борьба с контрмерами на более высоких уровнях, как, например, фильтрация тра фика на шлюзе в проводную сеть, аутентификация пользователей на RADIUS-серве ре и виртуальные частные сети (VPN).

7. Присоединиться к беспроводной сети и найти шлюз в Internet или пограничный маршрутизатор, возможно, беспроводной, а также сенсоры системы IDS, хосты, на которых ведется централизованное протоколирование, и все остальные поддающие ся обнаружению хосты как в проводной, так и в беспроводной сети.

8. Пассивно проанализировав трафик от этих хостов, оценить безопасность протоко лов, используемых как в беспроводной сети, так и в присоединенных к ней провод ных сетях.

9. Провести активные атаки против представляющих интерес хостов, имея целью по лучить привилегии пользователя root, Administrator и т.д.

10. Выйти в Internet или другую сеть через обнаруженные шлюзы и проверить возмож ность передачи файлов с компьютера взломщика или на него.

Испытайте эту схему на практике - и не исключено, что эффективность ваших действий по тестированию возможности проникновения многократно возрастет, хотя вы не добави ли в свой арсенал никаких новых инструментов.

В заключение мы хотим порекомендовать урезанный вариант формы, заполняемой по итогам аудита безопасности и устойчивости беспроводной сети. Мы в компании Arhont применяем ее в своей практической работе. Форма приведена в приложении G, найдите в ней раздел, посвященный тестированию возможности проникновения, а заодно ознакомь тесь с графами, касающимися общих вопросов организации беспроводной сети и процеду ры осмотра места развертывания. Надеемся, что вы получите представление о том, как планировать аудит, и сможете применить наш опыт в своей повседневной практике. Те графы формы, которые сейчас могли остаться непонятными, будут разъяснены позже. Воз можно, вы и сами составляли подобный план. Мы рады будем обсудить все предложения и добавления к нашей форме.

Резюме Планирование и документирование атаки так же важны, как наличие необходимого обо рудования и программ. Удачно составленный план поможет вам сэкономить время и силы, получить важную информацию еще до проведения аудита и гарантирует от неприятных сюрпризов (например, лиздыхания аккумуляторов прямо в процессе сканирования). Бит ву надо выигрывать еще до ее начала (Сун Цзу).

ПРОРЫВАЕМ ОБОРОНУ Чтобы идти вперед без остановки, просачивай тесь сквозь бреши.

Суп Цзу (Sun Tzu) Если вы уже ознакомились с той частью приведенной в приложении G формы, которая касается тестирования возможности проникновения, то в этой главе найдете более детальное описание шагов процедуры. Если вы понимаете, как работают беспроводные локальные сети, знакомы с общими принципами обеспечения безопасности беспроводных сетей и внимательно изучили главы, посвященные выбору инструментария и планированию атаки, то можете пропустить эту главу. В противном случае оставайтесь с нами, и вы получите ответы на свои вопросы.

Простейший способ войти, куда не звали Первым делом атакующий ищет то, что плохо лежит. Неопытный взломщик просто не может больше никуда проникнуть, а квалифицированный хакер стремится сэкономить время и быть уверенным в отсутствии системы IDS и фильтрации (если, конечно, это не ловушка). Ему хоте лось бы найти в сети хосты, на которые можно зайти и установить там черный ход для пос ледующей эксплуатации. Вопреки мнению некоторых лэкспертов по безопасности, существу ет очень много полностью открытых беспроводных сетей. Под этим мы понимаем, что в них не реализован протокол WEP, нет фильтрации МАС-адресов, не закрыты ESSID, отсутствует фильт рация протоколов и, скорее всего, точкой доступа можно управлять прямо из сети. Причин такого положения вещей много, и важнейшая из них - лень и невежество пользователей (и даже системных администраторов). При атаке на такую сеть взломщика интересуют три основ ных вопроса: физическая достижимость сети, наличие выхода в Internet и (редко) возможность попасть в ловушку-приманку. Рассмотрим их по порядку:

о физическая достижимость сети. Даже если сеть полностью открыта, она не представ ляет интереса для взломщика, если войти в нее можно, только сидя со своим ноутбу ком прямо под окнами офиса;

ПРОСТЕЙШИЙ СПОСОБ ВОЙТИ, КУДА НЕ ЗВАЛИ 1 4 о выход в Internet. Есть ли он вообще и насколько толстым является канал;

о ловушка. Не подстерегает ли здесь опасность.

Вопрос о достижимости решается с помощью антенны с высоким коэффициентом уси ления. Мощная всенаправленная антенна может выглядеть как трость или кий, не вызывая никаких подозрений. Большинство директорных антенн могут сойти за плакаты, и даже направленная тарелка никого не удивит, если взломщик будет притворяться рабочим, починяющим неисправный канал, или даже обычным радиолюбителем. Странно будет выглядеть лишь человек, который сидит в парке, где поблизости ничего нет, развернув огромную антенну и выдавая себя за студента университета, проводящего какое-то ис следование. Вопрос о наличии выхода в Internet можно решить разными способами: на пример, если проанализировать трафик по протоколу DHCP, можно найти IP-адрес шлюза.

Признаемся, что нам нравится программа Ettercap. Нажмите клавишу р/Р, чтобы получить список установленных в нее дополнительных модулей. Модуль для обнаружения шлюзов в локальной сети называется triton. Последний вопрос - о ловушке - решить труднее. Толь ко интуиция и предшествующий опыт помогут понять, не отравлен ли этот так и прося щийся в руки плод. Иногда помогает поиск анализаторов, взгляните на модуль hunter в программе Ettercap (рис. 8.1).

Разумеется, тестируя сеть по заказу корпорации, вы можете просто спросить, есть ли в ней приманки, но от этого ведь никакого удовольствия, правда?

Рис. 8.1. Дополнительный модуль hunter для программы Ettercap 1 4 8 ^ ПРОРЫВАЕМ ОБОРОНУ Перелезаем через низкий забор:

преодоление закрытых ESSID, фильтрации МАС-адресов и протоколов Теперь обратимся к чуть лучше защищенным беспроводным сетям. Что можно сказать о закрытых сетях? ESSID - это плохой разделяемый секрет. Причина в том, что он удаляется не из всех административных фреймов. Например, во фреймах с запросами на повторную аутентификацию и повторное присоединение ESSID присутствует. Значит, сеть с мобиль ными хостами вообще ничего не выигрывает от закрытия ESSID, а послать фрейм с запро сом на прекращение сеанса (deauthentication) одному или нескольким хостам в закрытой сети совсем просто:

arhontus:~#./essidjack -h Essid Jack: доказательство того, что ssid не стоит использовать как пароль.

Usage:./essid_jack -b [ -d ] [ -c ] [ -i ] -b: bssid, MAC-адрес точки доступа (например, 00:de:ad:be:ef:00) -d: MAC-адрес получателя, по умолчанию широковещательный адрес, -с: номер канала (1-14), на котором работает точка доступа, по умолчанию текущий.

-i: имя интерфейса AirJack (по умолчанию ajO).

arhontus:~# essidjack -b 00:02:2d:ab:cd:

-с Got it, the essid is (escape characters are с style) :

"ArhOnt-X" На платформе BSD можете воспользоваться утилитой dinject-deauth из комплекта Wnet для анализа проходящего трафика.

Разумеется, такая методика сработает только против сети, в которой есть несколько дос тижимых присоединившихся хостов. В редком случае лодинокой точки доступа единствен ная возможность - угадать закрытый ESSID. Как ни странно, многие пользователи закрывают ESSID, но при этом не изменяют значение, заданное по умолчанию (возможно, полагаясь на то, что оно все равно не передается). ОШ (Organizationally Unique Identifier), хранящийся в первых трех байтах МАС-адреса, позволит определить компанию-производителя точки дос тупа (см. RFC 1700) и значение ESSID, которое этот производитель выставляет по умолча нию. Эти и многие другие интересные факты вы найдете в приложении Н.

Преодолеть фильтрацию МАС-адресов тоже нетрудно, хотя нам приходилось встречать плохо знакомых с беспроводной связью консультантов, которые утверждали, будто это хо рошая защита. Стыдитесь, ребята! Проанализируйте сетевой трафик и выясните, какие МАС-адреса встречаются. Когда хост выйдет из сети, возьмите себе его MAC-адрес и присо единитесь. Можете также присвоить своей машине такой же MAC- и IP-адрес, как у хоста жертвы, и мирно сосуществовать с ним в одной (разделяемой) сети. Конечно, вам придется отключить протокол ARP на своем интерфейсе и расстаться со своим межсетевым экраном.

Надо будет также следить за тем, что вы отправляете в сеть, чтобы хост-жертва не посылал слишком много пакетов TCP RST и сообщений о недоступности порта по протоколу ICMP, ПРЕОДОЛЕНИЕ ЗАКРЫТЫХ ESSID, ФИЛЬТРАЦИИ MAC-АДРЕСОВ И ПРОТОКОЛОВ 1 а то, не дай бог, сработает дорогущая система IDS. Попытайтесь при общении с внешним миром ограничиться только протоколом ICMP. Можно воспользоваться черным ходом на базе ICMP в стиле программы Loki (например, инкапсулировать данные в эхо-ответы или пакеты ICMP других типов, на которые не ожидается никакой реакции). Если вы все же хотите общаться в полную силу, то необязательно ждать, пока хост выйдет из сети добро вольно, можно и вышибить его. Это может привести к жалобам со стороны пользователей и вызвать тревогу в IDS, особенно если данная система учитывает специфику беспровод ных сетей, но кому какое дело, если вам срочно нужно просмотреть последние обновления на сайте Все же постарайтесь не забывать о здравом смысле - вы берите хост, который в данный момент не генерирует трафик, и пошлите ему фрейм с зап росом на отсоединение (deassociation), подменив свой МАС-адрес адресом точки доступа.

Одновременно подготовьте вторую клиентскую карту, задав для нее МАС-адрес хоста-жер твы и другие параметры, необходимые для присоединения к сети. В этом состязании вы обречены на победу, так как ничто не помешает вам затопить жертву непрерывным пото ком запросов на разрыв соединения. В Linux для этой цели можно воспользоваться утили той wlanjack:

arhontus:~#./wlan_jack -h Wlan Jack: 802.11b DOS attack.

Usage:./wlan_jack -b [ -v ] [ -c ] [ -i ] -b: bssid, МАС-адрес точки доступа (например, 00:de:ad:be:ef:00).

-v: МАС-адрес жертвы, по умолчанию широковещательный адрес.

-с: номер канала (1-14), на котором работает точка доступа, по умолчанию текущий.

-i: имя интерфейса AirJack (по умолчанию ajO).

arhontus:~#./wlan_jack -b 00:02:2d:ab:cd:

-v 00 : 05:5D:F9:ab:cd -c Wlan Jack: 802.11b DOS attack.

Можно вместо этого воспользоваться утилитой File2air. Если карта работает под управ лением драйверов HostAP, то можно запустить Voidll или подготовить собственные фрей мы с помощью библиотеки Libwlan. Еще один способ затопить хост потоком фреймов с зап росом на разрыв соединения - взять написанную Майком Шиффманом (Mike Shiffman) утилиту omerta (при наличии драйверов HostAP), в которой используется библиотека Libradiate. В этой книге мы не стали описывать Libradiate, поскольку она уже год как не поддерживается, и в настоящее время omerta - пожалуй, единственный достойный упоми нания инструмент, базирующийся на этой библиотеке. На платформе OpenBSD к вашим услугам утилита dinject-disas, которую имеет смысл запускать в цикле из простенького shell-сценария. И наконец, еще один способ проведения очень эффективных DoS-атак с помощью AirJack предоставляет программа fatajack. Подробнее о ней написано в конце этой главы, в разделе, посвященном DoS-атакам.

На всякий случай напомним, как можно изменить свой МАС-адрес:

# ifconfig wlanO hw ether DE:AD:BE:EF:CO:DE (Linux ifconfig) # ip link set dev wlanO address DE:AD:BE:EF:CO:DE (Linux iproute) # ifconfig wiO ether DEADBEEFCODE (FreeBSD) # sea -v wiO DE:AD:BE:EF:CO:DE (Open BSD) ПРОРЫВАЕМ ОБОРОНУ Sea - это отдельная утилита, она не поставляется в составе OpenBSD, но ее можно ска чать с сайта Преодолеть фильтрацию протоколов сложнее. К несчастью системных администраторов и к счастью взломщиков, на рынке представлено очень немного точек доступа, в которых корректно реализована фильтрация протоколов, причем обычно это дорогие устройства высокого класса. Кроме того, фильтрация протоколов применима в весьма специфических ситуациях, когда пользователи очень ограничены в своих действиях, например могут хо дить только на корпоративный сайт по протоколу HTTPS или посылать почту по протоколу Secure Multipurpose Mail Extensions (S/MIME) с КПК, которые выдаются служащим исклю чительно для этих целей. В этой ситуации может помочь перенеправление портов (port forwarding) no SSH, но нужно быть уверенным, что обе стороны поддерживают протокол SSHv2.

Атаки против сетей, защищенных фильтрацией протоколов, направлены главным обра зом на разрешенный безопасный протокол (который может оказаться вовсе не таким безо пасным, как кажется). Хорошим примером подобной уязвимости может служить известная атака против протокола SSHvl, реализованная утилитами sshow и sshmitm из комплекта Dsniff (автор Dug Song). Утилита sshow помогает атакующему получить некоторую полез ную информацию о том, как обойти SSH-трафик (например, выявить попытки аутентифи кации или узнать длину передаваемых паролей и команд в трафике по протоколам SSHvl и SSHv2). A sshmitm - это утилита для проведения атаки человек посередине против SSHvl, которая позволяет перехватить имя и пароль и завладеть соединением. К сожале нию, хотя основные сетевые операционные системы сейчас поддерживают протокол SSHv2, но для захода на маршрутизаторы и некоторые межсетевые экраны по-прежнему можно воспользоваться только SSHvl. Этот же устаревший протокол все еще применяется в про граммах telnet и rlogin. В проводных сетях sshmitm будет работать только при условии перенаправления трафика путем подделки записи в DNS. Но в сетях 802.11 вместо этого можно успешно применить атаку человек посередине на второй уровень типа monkey Jack.

При этом в протоколах системы IDS останется меньше следов, если только она не реализо вана корректно с учетом специфики беспроводных сетей (а это редкость).

Автор Dsniff не оставил без внимания и протокол HTTPS. Утилита webmitm может неза метно пропускать через себя и анализировать весь трафик по протоколу HTTPS и попутно перехватывать большую часть безопасно зашифрованных по SSL входов на сайты с Web почтой и заполненных форм, отправляемых на Web-сайты. И в этом случае перенаправле ние трафика с помощью dnsspoof для работы webmitm можно в беспроводной сети заме нить атакой человек посередине, уменьшив риск привлечь внимание администратора.

Еще один замечательный инструмент, разработанный специально для атаки на защищен ные SSL соединения (HTTPS, IMAPS и т.д.), - это программа Omen. О ней, как и о webmitm, мы подробнее расскажем в следующей главе.

Если проектировщики сети и руководство решат выбрать в качестве основной линии обороны протоколы SSH, HTTPS и т.п. и не реализовывать шифрование на нижних уровнях и корректную взаимную аутентификацию (например, 802.lx, EAP-TLS или еще более на дежную), то вам, возможно, даже не придется атаковать протоколы безопасности на уров не 6. Ничто не помешает взломщику присоединиться к целевой сети, на короткое время запустить nmap для сканирования, после чего провести атаку на обнаруженный демон sshd (например, с помощью программы sshnuke, эксплуатирующей уязвимость в алгоритме CRC32). Конечно, в реальной жизни ошибка в CRC32 была исправлена давным-давно, но в СПРАВЛЯЕМСЯ С ПРОСТЫМ ЗАМКОМ: РАЗЛИЧНЫЕ СПОСОБЫ ВЗЛОМА ПРОТОКОЛА WEP / 1 5 sshd регулярно обнаруживаются все новые уязвимости. Что касается безопасности HTTPS, то последние версии искателей уязвимостей в CGI-приложениях поддерживают и этот про токол (например, Nikto с флагом - s s l ), и в большинстве случаев для эксплуатации обна руженных дыр по протоколу HTTPS достаточно заменить номер порта с 80 на 443 или пропустить данные через stunnel.

Наконец, решительно настроенный взломщик всегда может прибегнуть к атаке методом полного перебора. Для взлома SSH методом полного перебора есть много утилит и сцена риев: guess-who, ssh-crack, ssh-brute.sh, 55hb_vl.sh и другие. Если речь идет о защищен ной по SSL странице входа на Web-сайт, то можете попробовать сценарий php-ssl-brute.

Хотя взлом методом полного перебора оставляет красноречивые следы в протоколах, но для атакующего беспроводную сеть это не имеет значения, поскольку найти его и подвер гнуть наказанию все равно достаточно сложно. Хотя взлом методом полного перебора тре бует много времени и истощает аккумуляторы, но если больше ничего не остается, кто-то может попробовать и даже добиться успеха.

Справляемся с простым замком:

различные способы взлома протокола WEP Следующим шагом на пути к получению полного контроля над беспроводной сетью явля ется взлом протокола WEP. Уже отмечалось, что атака на беспроводную сеть не начинается и не заканчивается взломом WEP, как полагают некоторые эксперты. Но если атакующий не в состоянии взломать WEP, то вмешаться в работу сети он может, лишь проводя DoS-ата ки на уровни ниже того, на котором реализован этот протокол.

Из раздела, посвященного инструментам для взлома WEP, вы, наверное, помните, что есть три основных способа атаковать WEP:

о атака методом полного перебора, возможно, с оптимизацией;

о атака FMS;

о улучшенная атака FMS.

Поскольку эта книга представляет собой практическое руководство по безопасности беспроводных сетей, а на тему слабостей WEP и математики взлома написаны уже сотни страниц, мы не станем вникать в математические тонкости атак на этот протокол. Тем не менее мы считаем необходимым изложить некоторые криптологические сведения о WEP как дань уважения всем исследователям, которые внесли свой вклад в анализ этого прото кола и выявление его недостатков.

Взлом WEP методом полного перебора Полный перебор пространства ключей WEP с помощью таких инструментов, как wep_tools или dwepcrack, реален только в случае 40-битовых ключей. Даже при такой небольшой длине клю ча на одном компьютере с процессором Pentium III на это может уйти примерно 50 дней. Впро чем, возможна и эффективная распределенная атака против WEP с 40-битовым ключом, и не следует недооценивать потенциала атак по словарю. Последнее соображение применимо и к ключам длиной 128 бит и больше. В частности, атаку по словарю против единственного пере хваченного пакета данных, зашифрованного WEP, реализует программа Wepattack.

1 5 2 ПРОРЫВАЕМ ОБОРОНУ Тим Ньюшэм (Tim Newsham) отметил, что алгоритм, принятый в качестве стандарта де факто для генерирования 40-битового WEP-ключа многими производителями беспровод ного оборудования, никуда не годится. В самом начале строка пароля сворачивается в 32 40 разрядное число, что сразу уменьшает размер пространства ключей с 2 до 2 бит. Это случайное число служит начальным значением для генератора псевдослучайных чисел (PRNG, см. главу 11), который порождает все четыре 40-битовых WEP-ключа, используемых в сети. Хотя теоретически длина цикла в пространстве ключей, сгенерированных алгорит мом PRNG, равна 2, но из-за особенностей способа получения значений от PRNG реальная периодичность сокращается до 2. Точнее, затравка х порождает те же ключи, что и зат равка х + 2. Хуже того, метод сворачивания строки пароля в 32-разрядное число таков, что старший бит каждого из четырех байтов наверняка равен нулю. Сочетание всех этих слабостей приводит к тому, что алгоритм может породить всего 2 уникальных наборов WEP-ключей, соответствующих затравкам в диапазоне от 0 до 0x10 0 0 0 0 0, в которых сбро шены биты в позициях 0x80, 0x8 0 0 0 и 0x8 0 0 0 0 0. Таким образом, для взлома любого на бора WEP-ключей, сгенерированных из пароля данным алгоритмом, требуется не более операций. По наблюдениям Ньюшэма, взлом займет примерно 90 с на компьютере с про цессором РП 233 МГц или 35 с при наличии процессора РШ 500 МГц. Сравните это с днями при взломе методом полного перебора без учета описанных слабостей.

Впрочем, не все производители применяют именно этот уязвимый алгоритм генериро вания ключей (насколько мы знаем, фирма 3Com этого никогда не делала). Да и 40-бито вые ключи уже практически не используются, хотя имеются инструменты, генерирующие такие ключи правильно. Примером подобной программы может служить dwepkeygen, вхо дящая в состав комплекта BSD-airtools. Кроме того, для взлома WEP с помощью wep_tools нужен большой (порядка 24 Гб) файл дампа в формате рсар. Таким образом, хотя замеча ния Ньюшема интересны и займут свое место в истории криптоанализа беспроводных про токолов, но мы не рекомендуем пробовать описанную им атаку или пытаться вскрыть ме тодом полного перебора 128/104-битовые WEP-ключи, применяемые в современных сетях.

Впрочем, если в вашем распоряжении имеется по-настоящему большой массив перехва ченных данных, то атака по словарю с помощью wep_tools или dwepcrack может и приве сти к успеху. Но есть вариант и получше: попытаться провести атаку по словарю против одного-единственного перехваченного пакета данных или дампа небольшого размера с помощью программы Wepattack.

Атака FMS В самой распространенной атаке против протокола WEP используется метод вскрытия клю ча, который в 2001 году предложили Скотт Флурер (Scott Fluhrer), Ицик Мантин (Itsik Mantin) и Ади Шамир (Adi Shamir). Оригинальная статья называется Weaknesses in Key Scheduling Algorithm of RC4, ее можно скачать со страницы>

СПРАВЛЯЕМСЯ С ПРОСТЫМ ЗАМКОМ: РАЗЛИЧНЫЕ СПОСОБЫ ВЗЛОМА ПРОТОКОЛА WEP 1 В основе атаки FMS лежат три основных принципа:

1. При некоторых векторах инициализации (IV) шифр RC4 (см. главу 11) оказывается таким, что информация о ключе проявляется в выходных байтах.

2. Слабость, выражающаяся в инвариатности, позволяет использовать выходные байты для определения наиболее вероятных байтов ключа.

3. Первые выходные байты всегда предсказуемы, поскольку содержат заголовок SNAP, определенный в спецификации IEEE.

WEP-ключ можно определить как К - IV.SK, где SK - секретный ключ. Операцию в алго ритме RC4 можно описать так: K=IV.SK > KSA(K) > PRNG(K) XOR п о т о к д а н ных. Алгоритм развертки ключа (key scheduling) KSA(K) работает следующим образом:

Инициализация:

For i = 0 \х{202б} N - S[i] = i j=О Перемешивание:

For i = 0 \х{2026} N - j = j + S [ i ] + K [ i mod 1] Swap(S[i], S[j]) Генератор псевдослучайных чисел PRNG устроен так:

Инициализация:

i= j=О Цикл генерирования:

i=i+ j + j + SCi] Swap(S[i], S[j]) Output Z = S[S[i] + S[j]] Некоторые IV инициализируют PRNG так, что первый байт гаммы генерируется с использо ванием одного байта из секретного ключа. Поскольку над первым байтом данных на выходе PRNG выполняется операция XOR с предсказуемыми данными (заголовок SNAP), то этот байт легко вычислить. Значения, которые можно получить из слабых IV, верны только на протяже нии 5% времени;

некоторые сохраняют достоверность примерно в 13% времени. Принимая во внимание длину ключа, для определения правильного ключа WEP потребуется проанализиро вать от б до 8 млн пакетов. Теоретически максимальная пропускная способность в сети 10Base-T Ethernet сравнимой по быстродействию с сетью 802.11b, составляет 812 фреймов в секунду (размер фрейма равен 1518 бит). Если разделить 6000000 на 812, то получится 7389 с или око ло двух часов. За это время можно набрать достаточно пакетов для эффективного взлома WEP.

Но, как мы увидим ниже, в действительности все обстоит иначе.

Базовая атака FMS сводится к поиску IV, удовлетворяющих правилу (А + 3, N - 1, X), где А - байт секретного ключа, который мы пытаемся взломать, N - размер S-блока (256), а X случайное число. Рекомендуется, чтобы после выполнения функции развертки KSA выпол нялись следующие соотношения.

154 ПРОРЫВАЕМ ОБОРОНУ Основная проблема состоит в том, что эти соотношения зависят от предыдущих байтов ключа, поэтому их нужно применять ко всему пакету для каждого проверяемого байта ключа. В классической атаке FMS проверяется только первый выходной байт, поскольку это очень надежно: мы знаем, что почти всегда первый байт заголовка SNAP равен ОхАА.

Улучшенная атака FMS Чтобы обойти указанную проблему и оптимизировать атаку FMS, Hlkari из DasbOden Labs проанализировал, как выглядят слабые IV и как они связаны с байтами ключа. В статье Practical Exploration of RC4 Weaknesses in WEP Environments (любой серьезный профес сионал в области безопасности беспроводных сетей должен ее прочесть;

она выложена на странице он отмечает, что структуру слабых IV можно описать так:

Результирующее распределение должно выглядеть примерно так.

СПРАВЛЯЕМСЯ С ПРОСТЫМ ЗАМКОМ: РАЗЛИЧНЫЕ СПОСОБЫ ВЗЛОМА ПРОТОКОЛА WEP 1 8 - 8-bit set of weak IVs 16 - 16-bit set of weak IVs + - 2 дополнительных зависящих от х и у 8-битовых слабых IV Из этого распределения можно получить грубую оценку числа слабых IV на байт клю ча. Есть и другие способы вычислить это значение, описанные в цитируемой статье. Одна ко настоящая задача состоит в том, чтобы найти алгоритм, который позволил бы отфильт ровать слабые IV, основываясь на байте секретного ключа, для атаки на который они могут быть использованы. Искомый алгоритм выглядит примерно так:

пусть 1 - это число элементов в секретном ключе SK i=О For В = 0... 1 - I f ( ( ( 0 <= a a n d a < В) o r ( а = В a n d b = (В + 1) * 2) ) a n d (В % 2 ? а ! = (В + 1) / 2 : 1 ) ) o r (а = В + 1 a n d (В = 0 ? b = (В + 1) * 2 : 1) ) o r (х = В + 3 a n d у = N - 1) o r (В ! = О a n d ! (В % 2) ? ( х = 1 a n d у = (В / 2) + 1) o r (х = (В / 2) + 2 a n d у = (N - 1) - х : 0) Then Сообщить о с л а б о м IV Эта методика сокращает время поиска для каждого ключа примерно в 20 раз, так что времени для взлома WEP нам хватит. Не нужно собирать 6000000 или больше пакетов, хва тит и полумиллиона! Это улучшенный вариант атаки FMS, реализованный в утилите dwepcrack из комплекта BSD-airtools. Если хотите узнать больше, почитайте ее исходный текст.

Многие все еще отрицают практическую применимость атак с целью взлома WEP. Утвер ждается, например, что домашняя сеть или сеть SOHO (small office/home office - сеть для 1 5 6 ПРОРЫВАЕМ ОБОРОНУ малого или домашнего офиса) не генерирует столько трафика, чтобы можно было за ра зумное время набрать достаточно много слабых или интересных IV и скомпрометировать ключ. Но вы только что видели методику, которая позволяет заметно уменьшить объем необходимых данных, и она была программно реализована еще в 2001 году! Впрочем, даже если воспользоваться самым популярным инструментом для взлома WEP - программой AirSnort, то результат вовсе не обрадует немногих оставшихся энтузиастов этого протоко ла. Наш опыт показывает, что при работе с AirSnort достаточно всего от 3000 до 3500 фрей мов, содержащих интересные IV, чтобы взломать 64- или 128-битовый ключ WEP. Един ственная разница между этими размерами ключей - время, необходимое для сбора такого количества фреймов. В тестируемой беспроводной сети для сбора фреймов, нужных для взлома 128-битового ключа, потребовалось всего на 10-20% больше времени. Для взлома 64-битового ключа при прослушивании двухточечного канала 802.11b с помощью AirSnort потребовалось 1 ч 47 мин;

при этом один хост непрерывно посылал пинг-запросы другому (примерно 300 пакетов в секунду). Иными словами, для завершения атаки потребовалось собрать 107 мин х 300 пакетов/с = 1926000 пакетов, то есть намного меньше 6000000, пред сказанных теорией. Возможно, нам просто повезло, но будете ли вы ставить безопасность своей сети в зависимость от того, насколько удачлив окажется взломщик?

В больших корпоративных беспроводных сетях 300 пакетов в секунду - это вполне нормальная и ожидаемая интенсивность, особенно когда речь идет о стандартах 802.11а и 802.Ид, в которых предполагается более широкая полоса частот и повышен ная пропускная способность. Работа болтливых сетевых протоколов (RIP, протоколы маршрутизации с опросом состояния канала, STP, HSRP, VRRP, NetBIOS, IPX RIP и SAP, AppleTalk и т.д.) может заметно уменьшить время, необходимое для взлома WEP. Они генерируют трафик даже тогда, когда пользователи ничего не делают. Представьте себе большую беспроводную сеть на базе ОС Novell, в которой работает протокол NetBIOS поверх IPX и имеется три маршрутизатора Cisco с включенным режимом горячего ре зервирования на случай отказа и активированным протоколом CDP (нам встречались подобные сети в Великобритании). Такая сеть не обязана быть целиком беспроводной;

достаточно, чтобы часть проводного трафика протекала в беспроводную часть, а нам не раз приходилось видеть точки доступа, включенные непосредственно в коммутатор или мультиплексор. Предположим, что в сети есть 100 хостов, а пользователи ничего не передают. За час каждый хост сгенерирует примерно 1200 пакетов-контролеров NetBIOS (keep-alives), 40 пакетов IPX RIP и 40 пакетов SAP, а каждый маршрутизатор пошлет 1200 пакетов HSRP Hello и 60 фреймов CDP, если параметры, выставленные по умолчанию, не изменены (а их редко кто меняет), ну и, конечно, 40 пакетов RIP. Таким об разом, всего будет отправлено 100 х (1200 + 40 + 40) + 3 х (1200 + 60 + 40) т 131900 пакетов.

Значит, на сбор 2000000 пакетов, необходимых для взлома WEP с помощью AirSnort, уйдет примерно 15 ч. Для dwepcrack нужно всего около 500000 пакетов, которые мож но собрать за 3 ч 47 мин. И это без единого работающего пользователя! Не забывайте, что мы говорим о гипотетической идеальной сети. На практике сервер Novell может по сылать пакеты SAP чаще чем раз в 90 с, поскольку один такой пакет может объявлять до семи сервисов, а на сервере может работать и большее их число. Может работать также NLSP и присутствовать трафик по протоколу STP. Нам часто доводилось встре чать сети, администратор которых даже не подозревал о совершенно ненужном STP трафике, а на некоторых дорогих коммутаторах и даже беспроводных точках доступа протокол STP включен по умолчанию. Помните о трафике!

Л ВЗЛОМ WEP - ПРАКТИЧЕСКИЕ НАБЛЮДЕНИЯ Наконец, некоторые старые карты 802.11b используют одно и то же значение IV или начинают отсчитывать номера IV с 0 при каждой инициализации карты и увеличивают ровно на 1. Это весьма существенно уменьшает время, необходимое для взлома WEP.

Ну а как насчет взлома WEP в сетях 801.11а? Да в основных чертах все так же. Един ственная разница состоит в том, что нам не известно о приличной поддержке стандар та 802.11а на платформе BSD, a AirSnort не работает с драйверами ark_5k. Но можно сохранить в файле формата рсар трафик 802.11а, собранный картой с набором микро схем Atheros в режиме RFM0N во время работы tcpdump (или Kismet), а затем подсу нуть его на вход AirSnort или даже dwepcrack (после перезагрузки в BSD). Если вы хотите взламывать WEP в сетях 802.11а в режиме реального времени, воспользуйтесь программой wepcrack в сочетании с периодическим запуском через at/crond. Напри мер, можно передать выход tcpdump на вход prism_getIV.pl, а затем обработать файл IVFile.log с помощью WEPCrack.pl.

Справляемся с простым замком более сложным способом: внедрение трафика для ускоренного взлома WEP Рассмотренные до сих пор атаки против протокола WEP были пассивными, то есть зависе ли от трафика, уже циркулирующего в беспроводной сети. Но можно ли сгенерировать дополнительный трафик, не присоединяясь к сети? Ответ положительный, и мы уже упо минали в главе 5 необходимые для этого инструменты, например reinj или Wepwedgie. Го ворят, что reinj может гарантированно сократить время взлома WEP до менее чем часа, и нет причин не верить такому утверждению (в любом случае профессионал в области ком пьютерной безопасности должен быть немного параноиком, правда?). Поэтому аргументы типа лэта сеть SOHO генерирует так мало трафика, что не может быть мишенью для взлома WEP не проходят;

ничто не помешает взломщику внедрить дополнительный трафик с по мощью ранее описанных инструментов. Более того, атака на беспроводную сеть с помо щью внедрения трафика может включать обнаружение хостов и даже сканирование пор тов, вообще не обращая внимание на наличие WEP. Пакеты TCP SYN предсказуемы и могут быть внедрены, то же относится к пакетам TCP ACK, TCP RST, TCP SYN-ACK и сообщениям ICMP о недостижимости объекта, например, порта. В настоящее время активно разрабаты вается один подобный инструмент - Wepwedgie - для Linux, его работающая бета-версия должна появиться к моменту появления этой книги на прилавках. Не пропустите! Вовсе необязательно дожидаться завершения взлома WEP, чтобы продолжить исследование сети.

Пока ищется ключ, пользуйтесь Wepwedgie - это поможет сэкономить время.

Взлом WEP - практические наблюдения Чтобы завершить рассказ о взломе WEP, приведем некоторые наблюдения из нашей прак тики. Некоторые обстоятельства, например шум, ненадежный канал, события прекращения сеанса или отсоединения, могут увеличить объем зашифрованного WEP трафика, циркули рующего в беспроводной сети.

1 5 8 А ПРОРЫВАЕМ ОБОРОНУ Одно из таких обстоятельств - присутствие каналов, на которых работает протокол с установлением постоянных соединений. Представьте себе два хоста, обменивающихся дан ными по беспроводному каналу по протоколу TCP или SPX. Если канал ненадежен или вне запно пропадает, то сегменты данных будут повторяться, пока, наконец, датаграмма не дойдет до получателя. Число пакетов, необходимых для передачи данного объема данных, возрастает, а вместе с ним и число фреймов с интересными IV. Более того, чтобы как-то решить проблему плохого качества связи, администратор может уменьшить размер фрей ма, как рекомендуется во всех руководствах по беспроводным сетям. Это, конечно, помо жет, но одновременно увеличится и число посылаемых фрагментов, и в каждом из них будет свой IV. Отметим, что такие типичные для высокочастотной связи проблемы, как распространение сигнала по нескольким путям, активные помехи и скрытые узлы, обычно и становятся причиной уменьшения размера фрейма. Честно говоря, лустойчивость и бе зопасность сети - это две стороны одной медали (Дэн Каминский). Странно, что никто не проводил исследований, направленных на вывод математического соотношения между предустановленным в стандарте 802.11 размером фрейма и временем, необходимым для взлома WEP. Нам кажется, что это любопытная тема, которая должна заинтересовать мно гих взломщиков.

Еще одна причина, по которой пропадание канала приводит к генерации избыточного трафика, - это обновление маршрутных таблиц. Представьте себе протокол маршрутиза ции, зависящий от состояния канала (например, OSPF), который работает в беспроводной сети. Стоит исчезнуть каналу к одному из маршрутизаторов, как тут же последует лавина уведомлений о состоянии канала (LSA - Link State Advertisement), поставляющих алгорит му Дейкстры новые данные. Ну а если канал падает регулярно, приводя к меняющемуся маршруту (flapping route)? В ситуации, когда каналы к назначенному и резервному марш рутизаторам падают одновременно, происходит выбор маршрутизаторов, а значит, еще больше пакетов, еще больше IV. Протоколы типа вектор-расстояние, например RIP и IGRP, ничем не лучше;

они не только постоянно генерируют большие объемы сетевого трафика, но в случае пропадания канала начинают передавать интенсивный поток обновлений. Эти примеры демонстрируют, что DoS-атаки на первый и второй уровень беспроводной сети это не просто досадная неприятность или побочный эффект атак человек посередине, они могут быть частью более широкого плана вторжения в сеть и свидетельствовать о по пытках ускорить взлом WEP.

Взлом протокола TKIP: новая угроза В главах, посвященных защите, сказано, что протокол TKIP из стандарта 802.Hi устраня ет только что описанные уязвимости WEP и считается практически невзламываемым. Но так ли это? Когда ключи TKIP генерируются, распределяются и ротируются с помощью 802.1х или RADIUS, взломщик ничего не достигнет, пытаясь их взломать. Но он может подойти к делу с другой стороны и попробовать атаковать сам протокол 802.1х. Однако, если по каким-то причинам использовать 802.1х нельзя, то вместо него будет применен предварительно разделенный ключ (Preshared Key- PSK). Хотя на каждом клиентском хосте может быть свой PSK, но в настоящее время во всех реализациях используется один PSK на каждый ESSID точно так же, как в протоколе WEP. Правда, в отличие от WEP, PSK применяется не для шифрования данных, а для порождения пары временных ключей Л ВЗЛОМ ПРОТОКОЛА TKIP: НОВАЯ УГРОЗА (Transient Key - РТК) для каждого защищенного протоколом TKIP соединения. Ключи распределяются в ходе выполнения процедуры четырехстороннего квитирования, и по мимо PSK используются две случайные строки (nonces) из двух первых пакетов с кви танциями и два МАС-адреса участвующих хостов. Поскольку и пакеты с квитанциями, и МАС-адреса легко перехватить, то, зная PSK, вы можете легко сгенерировать все необхо димые РТК и получить сеть в свое распоряжение. Как и раньше, инициировать процедуру квитирования можно путем DoS-атаки, вынуждающей клиента отсоединиться от своей точки доступа. Уже это сводит на нет декларируемое достоинство TKIP, состоящее в том, что он якобы предотвращает атаку со стороны не в меру любопытных сотрудников (пользо вателей одной беспроводной сети, прослушивающих трафик друг друга). Вероятность такой атаки можно снизить за счет того, что пользователи не знают PSK, но это воз лагает дополнительные обязанности на администратора, который теперь должен сам за водить ключ на машинах всех пользователей.

Но может ли внешний противник получить PSK и вместе с ним контроль над беспровод ной сетью? Если немного повезет, то да. В процедуре четырехстороннего квитирования РТК используется для вычисления свертки фреймов. Поскольку нам известны обе случайные строки (nonces) и оба МАС-адреса, то для получения PSK из РТК нам нужно обратить про цедуру вычисления свертки. Эта задача не нова и не сложна. Мы еще поговорим о ней в разделе этой главы, посвященном атакам против EAP-LEAP. Длина PSK составляет 256 бит, это много. Хотя с точки зрения криптографии это прекрасно, но ни один пользователь не станет ни запоминать, ни вводить такой длинный пароль. Поэтому PSK генерируется из парольной фразы в коде ASCII по следующей формуле:

Р К = PBKDF2(passphrase, essid, essidLength, 4096, 256) М где PBKDF2 - криптографический метод из стандарта PKCS #5 v2.0. В двух словах, па рольная фраза, ESSID и длина последнего перемешиваются 4096 раз для генерирования 256-битового ключа. Интересно, что ни длина парольной фразы, ни длина ESSID не оказы вают существенного влияния на скорость перемешивания. Как утверждается в стандарте 802.Hi, в типичной парольной фразе на один символ приходится 2,5 битов безопасности.

Парольная фраза из п бит должна порождать ключ с (2,5п + 12) бит безопасности. В соот ветствии с этой формулой (и стандартом 802.Hi) ключ, сгенерированный из парольной фразы длиной меньше 20 символов, недостаточно безопасен и может быть взломан. Но сколько пользователей (и даже системных администраторов) запоминают пароли длиной 20 символов и больше?

На практике атака против протокола, в котором используется PSK, должна походить на офлайновый взлом WEP с помощью программы WEPattack. Перехватить фреймы с квитанци ями можно после того, как хост вынужденно отсоединится от точки доступа в результате одной из описанный в этой главе DoS-атак. Роберт Московиц (Robert Moskowitz), предложив ший такую атаку, полагает, что осуществить ее легче, чем, скажем, атаку методом полного перебора или по словарю на WEP. Хотя пока еще не существует готового инструмента для офлайнового взлома TKIP, но его потенциальная ценность настолько высока, что к моменту выхода книги из печати, сообщество хакеров, скорее всего, уже что-нибудь придумает.

В конце-то концов, речь идет всего лишь об инструменте для взлома процедуры хэширова ния типа md5crack и о shell-сценарии для отправки фреймов с запросом на отсоединение и последующего перехвата фреймов с квитанциями. Похожая функциональность уже реализо вана в одном инструменте для атаки на беспроводные сети, а именно в Asleap-imp.

1 6 0 А ПРОРЫВАЕМ ОБОРОНУ Каковы будут последствия такой атаки? Беспроводные сети, в которых не используется 802.1х для распределения и ротации ключей TKIP, - это, главным образом, сети, в которых нет RADIUS-сервера, - из-за сложностей инсталляции, цены или по другим причинам. К той же категории относятся сети с унаследованным беспроводным оборудованием и программ но-аппаратным обеспечением, не способным поддержать стандарт 802.1х. Это означает, что сети SOHO и хотспоты публичного пользования (вспомните о пользователях, работаю щих с устаревшими необновленными клиентскими картами) как раз и станут объектами офлайновых атак со взломом TKIP. Именно в таких сетях пользователи и администраторы обычно устанавливают простые, легкие для взлома пароли, которые можно найти в слова ре даже скромного размера. Вот вам пример закона Мэрфи в действии.

Атаки человек посередине и размещение фальшивых точек доступа Далее мы рассмотрим атаки типа человек посередине на беспроводные сети. Прежде всего, следует задаться вопросом, а возможна ли такая атака на сеть 802.11 в принципе?

В коммутируемых проводных сетях атаки человек посередине часто используются, что бы обеспечить саму возможность перехвата трафика. Сети 802.11 - это, по определению, сети общего пользования среднего размера, и, преодолев шифрование (если оно включе но), вы можете прослушивать все пакеты в сети, даже не присоединяясь к ней. Мы уже ответили на поставленный вопрос, когда описывали утилиты Dsniff: решение состоит в перехвате соединений и внедрении трафика. Если поместить себя между двумя беспровод ными хостами, то открывается великолепная возможность вставлять команды в трафик, которым обмениваются между собой эти хосты. Но если выдать себя за точку доступа или беспроводной мост, то можно проводить атаки с перехватом соединений и внедрением трафика на куда большее число хостов. В следующей главе мы опишем инструменты, име ющиеся для достижения этой цели.

Одно из конкретных применений атак человек посередине состоит в том, чтобы уста новить фальшивую точку доступа и атаковать односторонние системы аутентификации 802.1х, в которых используется протокол EAP-MD5. Чтобы провести такую атаку, фальши вая точка доступа должна также выступать в роли фальшивого RADIUS-сервера и предос тавлять обманутым клиентским хостам подложные верительные грамоты в виде поло жительного ответа на запрос об аутентификации. Позже вы увидите, что организовать фальшивую точку доступа и RADIUS-сервер на ноутбуке не так сложно, как может пока заться. Однако у такой атаки ограниченное применение, поскольку современные реализа ции 802.1х поддерживают взаимную (клиент-сервер и сервер-клиент) аутентификацию, а к протоколу EAP-MD5 прибегают только в крайнем случае.

Атаки человек посередине на проводные сети можно провести путем подделки DNS, злонамеренного изменения кэша протокола ARP или проникнув в комнату, где установ лен коммутатор, и поменяв местами некоторые кабели (а 1а Кевин Митник). Атаки чело век посередине на беспроводные сети напоминают последний случай, только вы може те находиться за много миль от коммутатора. Атаковать таким образом можно первый и второй уровень модели 0SI. Атака человек посередине на первый уровень сводится к глушению существующей точки доступа и предложению вместо нее собственной с чис тым и сильным сигналом, причем ее рабочий канал должен отстоять по крайней мере на АТАКИ ЧЕЛОВЕК ПОСЕРЕДИНЕ И РАЗМЕЩЕНИЕ Ф Л Ш В Х ТОЧЕК ДОСТУПА 1 6 АЬ ИЫ 5 каналов от канала атакуемой точки доступа. Для глушения можно использовать специ альное устройство или просто затопить канал точки доступа мусорным трафиком (на пример, с помощью FakeAP, Voidll или File2air). Если применяется аппаратная глушилка, то у обороняющейся стороны должен быть хороший частотный анализатор для обнаруже ния атаки;

традиционные беспроводные системы IDS здесь бессильны.

Конечно, параметры вашей фальшивой точки доступа (ESSID, WEP, MAC) должны соот ветствовать параметрам настоящей. Атака на уровень 2 заключается в затоплении сети поддельными запросами на прекращение сеанса или отсоединение с целью заставить хост жертву покинуть канал связи с настоящей точкой доступа. Обычно это более эффективно, чем глушение. Решительный противник может без труда провести атаку одновременно на уровни 1 и 2, чтобы достичь максимального эффекта. Большинство современных клиентс ких карт обнаружат новую фальшивую точку доступа на канале, отличном от текущего, и автоматически присоединятся к ней, если присоединение к настоящей точке доступа зат руднительно или невозможно. Однако если на клиентской карте установлено, что она дол жна работать только на конкретной частоте, то шансы на успех атаки человек посереди не сильно снижаются, поскольку для этого пришлось бы на том же канале создать сигнал значительно более высокого уровня, чем у настоящей точки доступа. Такая атака, скорее всего, выродится в DoS-атаку из-за радиопомех.

Для проведения атаки человек посередине не всегда необходимо размещать собствен ную точку доступа;

иногда атакующему может быть нужно вышибить выбранный кли ентский хост и прикинуться им для точки доступа и всей остальной сети. Эта задача зна чительно проще: у клиентского хоста уровень EIRP, скорее всего, ниже, поэтому вам не надо конфигурировать свой хост как точку доступа (достаточно имитировать IP- и МАС адрес жертвы), а быстрая атака человек посередине против единственного хоста вряд ли вызовет жалобы со стороны пользователя и не оставит следов в протоколах. Кроме того, расстояние до клиентской машины может быть меньше, чем до точки доступа.

Изготавливаем фальшивые точки доступа и беспроводные мосты для тестирования возможности проникновения В литературе по безопасности беспроводных сетей тех, кто проводит атаки человек посере дине, часто изображают как людей, сгибающихся под тяжестью аппаратных точек доступа и аккумуляторов. Такое представление просто нелепо. Ну сами посудите - как далеко вы смогли бы уйти с тяжелым аккумулятором, точкой доступа, ноутбуком, кабелями и антенна ми? К тому же куда проще перехватить соединение и внедрить данные, манипулируя сете вым интерфейсом машины-перехватчика, чем заставлять аппаратную точку доступа в режи ме репитера маршрутизировать весь трафик через подключенный к Ethernet атакующий хост (да и как бы вы сделали это на практике?). Итак, оптимальное решение состоит в том, чтобы сконфигурировать программную точку доступа на клиентской карте, вставленной в ноутбук (или даже КПК) взломщика. Вторую карту можно использовать для глушения или генериро вания фреймов, чтобы погасить настоящую точку доступа. Для обеспечения нужной фун кциональности может оказаться необходимым, чтобы эти карты работали под управлением разных драйверов или, по крайней мере, были произведены разными фирмами. У такой ата ки есть и варианты, например использование двух объединенных мостом клиентских карт, работающих в режиме точки доступа, или двух ноутбуков. В последнем случае один эмули рует работу точки доступа, а с другого проводится DoS-атака.

1 6 2 ПРОРЫВАЕМ ОБОРОНУ Задайте необходимые параметры, нажмите клавишу Enter и наблюдайте, как ваш хост с картой на базе набора Hermes/Orinoco внедряется между жертвой и точкой дос тупа. Чтобы усилить атаку на первый уровень, установите максимально возможный уровень EIRP, которого позволяют достичь ваша карта и антенны. Это надо сделать для обеих карт: и той, что затопляет жертву потоком запросов, и той, что работает в режи ме точки доступа.

АТАКИ ЧЕЛОВЕК ПОСЕРЕДИНЕ И РАЗМЕЩЕНИЕ ФАЛЬШИВЫХ ТОЧЕК ДОСТУПА 1 6 Можно вместо этого организовать точку доступа с помощью двух карт с набором Prism и драйверов HostAP. При этом одна карта затопляет канал с помощью программы FakeAP, а вторая работает в режиме хозяина (то есть имитирует точку доступа). Затап ливать канал маяками не так эффективно, как посылать фреймы с запросом на прекра щение сеанса, поэтому можете поставить одну карту под управление HostAP, а дру гую - под airjack_cs. Для этого отредактируйте файл/etc/pcmcia/config, привязав одну карту к модулю " h o s t a p - c s ", а вторую - к модулю " a i r j a c k _ c s ". Затем переза пустите службы PCMCIA, вставьте обе карты - и вперед. Для отсоединения хостов от точки доступа воспользуйтесь утилитами wlanjack или fata_jack. Можете также огра ничиться только драйверами HostAP, установить библиотеку Libradiate и воспользо ваться программой omerta для генерирования одной из карт фреймов с запросами на отсоединение. Можно поступить и еще лучше: нанести удар с помощью программы Voidll, которая способна заставить сразу несколько хостов прекратить сеанс и умеет генерировать одновременно несколько затопляющих потоков. Можно даже попытать ся повалить законную точку доступа, бомбардируя ее запросами на присоединение или аутентификацию. Выбор за вами.

Установить и настроить драйверы HostAP совсем просто. Скачайте последнюю версию из CVS-хранилища на сайте выполните команду make && make_pccard от имени root (предполагается, что вы пользуетесь клиентской картой PCMCIA), перезапустите службы PCMCIA и вставьте карту в разъем. Будет выдано что-то вроде:

arhontus:~#./lsmod Module Size Used by Tainted: P hostap_cs 42408 0 (unused) hostap 61028 0 [hostap_cs] hostap_crypt 1392 0 [hostap] arhontus:~# iwconfig wlanO IEEE 802.11b ESSID:"test" Mode:Master Frequency:2.422GHz Access Point: 00:02:6F:01:ab:cd Bit Rate:llMb/s Tx-Power:-12 d m B Sensitivity=l/ Retry min l i m i t : 8 RTS t h n o f f Fragment thrroff Encryption key:off Power Management:off Link Quality:0 Signal l e v e l : 0 Noise l e v e l : Rx invalid nwid:0 Rx i n v a l i d crypt:0 Rx invalid frag:O Tx excessive r e t r i e s : 0 Invalid misc:425 Missed beacon: Карта автоматически начала работать в режиме точки доступа (Master) с принятым по умолчанию ESSID " t e s t ". Отметим, что если вставить карту с набором Hermes, то она за работала бы с драйверами hostap_cs, но перевести ее в режим хозяина или репитера не возможно, интерфейс был бы ethl, a ESSID по умолчанию оказался бы пустым. Чтобы изме нить режим работы карты, выполните команду iwconfig < i n t e r f ace> mode ad-hoc i I managed I I m a s t e r I I r e p e a t e r I I s e c o n d a r y I I m o n i t o r. Подробнее о под держиваемых режимах можно прочитать в страницах руководства. Попробуйте режим ре питера (Repeater) с драйверами HostAP и картой на базе набора Prism, чтобы вставить фальшивый репитер в тестируемую сеть. Ниже приведена еще одна возможная атака че ловек посередине.

164 ПРОРЫВАЕМ ОБОРОНУ arhontus:~# iwconfig wlanO channel 1 txpower lOOmW mode repeater essid Sly arhontus:~# iwconfig wlanO wlanO IEEE 802.11b ESSID:"Sly" Mode:Repeater Frequency:2.412GHz Access Point: 00:00:00:00:00: Bit Rate:2Mb/s Tx-Power:20 dBrn Sensitivity=l/ Retry min l i m i t : 8 RTS t h r : o f f Fragment t h r : o f f Еще один довольно забавный трюк состоит в том, чтобы вставить мост из двух беспровод ных карт в двухточечный канал (это воистину атака типа человек посередине, поскольку наилучшая позиция атакующего находится как раз между двумя концами, в середине зоны Френеля). Для этой атаки нужно активировать в ядре Linux поддержку мостов и стандарта 802.lid (если вы хотите использовать протокол остовного дерева Spanning Tree Protocol (SPT)), кроме того, понадобится инсталлировать инструменты для поддержки организации моста ( Настройка беспроводного моста аналогична настрой ке беспроводной системы распределения (wireless distribution system - WDS), но необходим беспроводной интерфейс на второй карте, а не обычный проводной интерфейс:

i w p r i v wlanO wds_add 0 0 : 2 2 : 2 2 : 2 2 : 2 2 : 2 b r c t l addbr brO b r c t l a d d i f brO wlanl b r c t l a d d i f brO wlanO b r c t l a d d i f brO wlanOwdsO ifconfig wlanl 0.0.0. i f c o n f i g wlanO 0. 0. 0. i f c o n f i g wlanOwdsO 0. 0. 0. i f c o n f i g brO <укажите здесь IP> up После этого мост можно настроить для участия в протоколе STP и автоматически доба вить новые распределительные каналы. Последнее выполняет команда p r i s m 2 _ p a r a m wlanO a u t o m _ a p _ w d s 1. В файле README.prism2 написано, что для проверки работы моста существует несколько команд:

Хbrctl show должна показать мост brO с добавленными интерфейсами и включенный протокол STP.

' b t c t l showstp brO' должна показать дополнительную информацию о каждом порте моста. Параметр s t a t e должен в течение нескольких секунд быть равен ' l e a r n i n g ', а потом изменить значение на 'forwarding'.

' b t c t l showmacs brO' можно использовать для того, чтобы проверить, за каким портом моста сейчас находится каждый из известных МАС-адресов.

Возможно, теперь вы захотите сделать свой компьютер корневым мостом в STP-сети.

Запустите на одном из беспроводных интерфейсов программу Ettercap, перейдите в спи сок установленных дополнительных модулей (клавиша р/Р) и выберите модуль lamia. Зна чение приоритета для корневого моста должно быть как можно меньше - укажите 0. Воз можно, понадобится также уменьшить свой МАС-адрес на случай, если обнаружится другой мост с нулевым приоритетом. Когда возникает конфликт по приоритету, предпочтение отдается хосту с наименьшим МАС-адресом.

АТАКИ ЧЕЛОВЕК ПОСЕРЕДИНЕ И РАЗМЕЩЕНИЕ ФАЛЬШИВЫХ ТОЧЕК ДОСТУПА 1 6 Вообразите только, сколько трафика вы пропустите через себя в интенсивно использу емой беспроводной сети, имея такой мост!

Если у вас есть только карта с набором Hermes/Orinoco (а для качественного тести рования мы настоятельно рекомендуем иметь карты с тремя разными наборами микро схем: Cisco Aironet, Prism и Hermes), то для организации программной точки доступа можно воспользоваться драйверами HermesAP ( Эти драйверы появились значительно позже HostAP, им недостает многих функций последних, но все же это какой-то выход. Инсталляция HermesAP сложнее, чем HostAP, поскольку придется обновить программно-аппаратное обеспечение самой карты и пропат чить как драйвер Orinoco, так и модуль pcmcia-cs;

см. файл README ( README). После установки драйверы HermesAP можно конфигурировать с помощью Linux Wireless Extensions, при этом обеспечивается поддержка WDS, RFMON и закрытых ESSID.

Поскольку мы не знаем, как генерировать трафик (помимо маяков) с помощью HermesAP, то на этом закончим обсуждение организации атак человек посередине с помощью этих драйверов. Тем не менее HermesAP - это очень многообещающий проект, и мы на деемся, что этот абзац возбудит к нему интерес и привлечет новых хакеров в ряды раз работчиков.

Наконец, на платформе BSD организовать точку доступа можно с помощью команды w i c o n t r o l -n f o o b a r e d -р б -f 6 -е 0 (этот пример работает в OpenBSD, далее мы будем говорить только о комплекте Wnet;

флаг -р б определяет режим hostap, - f задает канал, -е 0 говорит о том, что для присоединения к сети не нужен WEP). Интерфейс, на строенный для работы в качестве точки доступа, можно затем использовать для бомбарди ровки сети фреймами с запросами на отсоединение и прекращение сеанса (утилита dinject из комплекта Wnet), требуя от беззащитных хостов, чтобы они прервали соединение с точ кой доступа. Да-да, это означает, что под OpenBSD для проведения эффективной атаки человек посередине не нужна вторая карта, так что вы сэкономите время на конфигури ровании, а заодно и заряд аккумуляторов. Возможно, придется написать небольшой сцена рий, чтобы заставить dinject посылать множество фреймов с запросами на отсоединение и прекращение сеанса. Не забывайте, что все это работает только для карт с набором микро схем Prism.

Атаки человек посередине на физический уровень Прежде чем закончить разговор об атаках человек посередине, мы хотим поделиться некоторыми соображениями о попытках атаки на уровень 1. Есть два возможных способа провести успешную атаку такого рода:

1. Управление сетью связано ограничениями на уровень EIRP, выпущенными FCC, EITS и аналогичными государственными органами. В то же время взломщики могут и пренебречь ими (если уж атака запущена, то закон все равно нарушен) и превысить допустимые значения выходной мощности. Например, взломщик может воспользо ваться клиентской PCMCIA-картой с мощностью передатчика 23 dBm (200 мВт) и ан тенной с высоким коэффициентом усиления (скажем, тарелкой или решетчатой ан тенной 24 dBm). Уровень EIRP достигнет 45 dBm (вычтите 2-3 dBm на потери в разъемах), что эквивалентно 31,62 Вт. Это гораздо больше разрешенной в большин стве беспроводных сетей мощности 1 Вт.

1 66 ПРОРЫВАЕМ ОБОРОНУ 2. Предполагается, что хосты 802.11 присоединяются к точке доступа на основе значе ния базового коэффициента ошибки (Basic Error Ratio - BER). На практике это сво дится к уровню сигнала и отношению сигнал/шум в предположении, что все осталь ные параметры (например, ESSID и ключ WEP) правильны. Теоретически появление фальшивой точки доступа с очень высоким уровнем EIRP должно, о чем уже говори лось выше, заставить хосты в беспроводной сети присоединиться именно к этой, а не к настоящей точке доступа. Реальность, однако, не так проста, поскольку многие хосты стараются присоединиться к той же точке доступа, с которой установили ас социацию раньше, и готовы изменить частоту лишь в случае, когда старый канал уж очень сильно зашумлен. Такие правила выбора точки доступа обычно встраиваются в программно-аппаратное обеспечение карты. В некоторых случаях, например при конфигурировании карты AirPort в системе Mac OS X, можно вручную указать, дол жен ли хост присоединяться к точке доступа с наибольшим отношением сигнал/шум или стараться сохранить верность старой точке доступа. Разумеется, беспровод ные сети с мобильными клиентами более уязвимы для атак человек посередине на физический уровень, поскольку мигрирующие хосты должны присоединяться к точ ке доступа на базе ее отношения сигнал/шум. Тем не менее по вышеописанным при чинам такие атаки не слишком надежны и могут проводиться лишь в дополнение к атакам на уровень канала данных путем затопления фреймами с запросами на пре кращение сеанса и отсоединение.

Комбинированные атаки человек посередине Атаки человек посередине необязательно проводить только на какой-то один уровень.

Если глубоко эшелонированная оборона должна распространяться на все семь уровней модели 0SI, то и о продуманной атаке можно сказать то же самое: нужно попытаться мино вать все расставленные защитные механизмы. 0 недостатках атаки человек посередине на уровень 1 мы уже говорили. Но если сочетать атаки на уровни 1 и 2, то результат почти гарантирован. Вы не только попытаетесь соблазнить хосты своей фальшивой точкой до ступа, но и за счет более мощного излучения заставите их сделать такой выбор. Одновре менно можно затопить канал легальной точки доступа шумом.

Сделать это нетрудно. Можно, например, использовать режим хозяина, реализованный драйверами HostAP (фальшивая точка доступа должна отстоять от настоящей не менее чем на 5 каналов), в сочетании с утилитами FakeAP (генерирует шум в канале точки доступа) и Voidll (принудительное отсоединение одного или нескольких хостов). Если в сети приме няется протокол EAP-MD5, то можно добавить еще сервер аутентификации hostapd, чтобы заставить хосты присоединиться к фальшивой точке доступа и получить пароль. Чуть ниже мы опишем эту атаку в деталях. Наконец, если включены также протоколы обеспечения безопасности более высокого уровня, например SSH или SSL, то можно еще и провести атаку человек посередине против них, чтобы уж наверняка добиться успеха.

Интересный и довольно специфический случай возникает, когда беспроводная точка до ступа или сервер аутентифицирует пользователей через Web-интерфейс, как часто делают беспроводные хотспоты. Для этой цели можно использовать программу NoCat (см. главу 13) или различные коммерческие программы. В таком случае пользователь доверяет появившей ся Web-странице с приглашением ввести имя и пароль. Если вы сумеете подделать эту стра ницу, то ничего не подозревающий пользователь введет свои верительные грамоты, но ВЗЛАМЫВАЕМ БЕЗОПАСНЫЙ СЕЙФ лишь для того, чтобы чуть позже увидеть сообщение произошла сетевая ошибка, соедине ние разорвано. Можно даже подделать целую серию Web-страниц с регистрацией (напри мер, eBay, Paypa, Hotmail), чтобы выведать у жертвы как можно больше паролей. Программа для входа в доверие пользователю таким хитрым способом называется Airsnarf. Неважно, использует ли соединение протокол SSL или ключи PGP (как NoCat), конечные пользователи об этом не знают и хотя бы некоторые обязательно присоединятся к фальшивой точке досту па и введут имя и пароль. Вопрос лишь в том, сколько именно их будет. В программе Airsnarf, впервые представленной на Defcon 1, применяется повышенная мощность излучения для по давления законных точек доступа. Конечно, это заставляет вспомнить обо всех проблемах, характерных для атак человек посередине на уровень 1. Что если клиенты настроены на работу с конкретным каналом? Что если помехи окажутся слишком сильными? Что если фальшивая точка доступа реализована на КПК и использует стандартную антенну, встроен ную в CF-карту, а атакуемая точка доступа обладает большой мощностью, да еще присоеди нена к антенне с высоким коэффициентом усиления через усилитель?

Это как раз тот случай, когда для достижения успеха необходимо сочетать атаки на уров ни 1 и 2. Сразу приходит на ум комбинация Airsnarf + HostAP + Voidll + Fake АР. Решитель но настроенный взломщик может еще и попытаться подавить законную точку доступа. Это можно сделать с помощью дополнительных экземпляров Voidll, бомбардирующих точку доступа фреймами с запросами на аутентификацию и присоединение. Если атакующий способен присоединиться к хотспоту или уже является мошенническим пользователем, то он может сначала запустить DoS-атаку на верхние уровни протоколов, чтобы отключить точку доступа в сеть. Такая атака может базироваться на протоколе SNMP (сколько пользо вателей или администраторов забывают изменить принимаемые по умолчанию имена со обществ!) или использовать более традиционные способы, например затопление SYN пакетами. Мы обнаружили, что многие точки доступа не справляются с интенсивным трафиком, состоящим из больших пакетов, и их можно вывести из строя командой p i n g -s 6 5 5 0 7 -f или аналогичными действиями. А в это время фальшивая точка доступа, воз можно реализованная на КПК Zaurus, который лежит в кармане взломщика, с помощью Airsnarf или пакета ipkg заманит ничего не подозревающих пользователей и выведает их имена и пароли. Это еще раз подчеркивает необходимость тщательного тестирования то чек доступа на устойчивость к различным атакам на протоколы верхних уровней, а также на известные угрозы уровню 2. Только после этого можно приступать к массовому произ водству. Если в процессе аудита безопасности выяснится, что точку доступа можно выве сти из строя или подвесить, дело плохо. Это не просто DoS-атака, речь идет об опасности, грозящей каждому хосту в тестируемой сети из-за атаки человек посередине. Чтобы уменьшить серьезность такой угрозы, полностью отключите все средства управления точ кой доступа со стороны беспроводной сети и закройте все ее порты.

Взламываем безопасный сейф Последний барьер, который надо преодолеть, чтобы присоединиться к беспроводной сети, - это аутентификация на базе стандарта 802.1х и виртуальные частные сети (VPN) на верхних уровнях. Для атаки на 802.1х и VPN нужно хорошо представлять себе структуру и работу соответствующих протоколов. Мы настоятельно рекомендуем прочитать главы и 13, где говорится о стандарте 802.1х и протоколе ЕАР, и главу 14, в которой идет речь о VPN. Только после этого приступайте к изучению атак, описанных ниже.

1 6 8 ПРОРЫВАЕМ ОБОРОНУ Атаки на системы аутентификации Если в реализации стандарта 802.1х, защищающей сеть, задействованы протоколы EAP-TLS, EAP-TTLS или ЕАР-РЕАР (рассматриваемые в части, посвященной защите), то у атакующего мало шансов на успех и ему придется прибегнуть к DoS-атаке, социальной инженерии или атаке со стороны проводной сети на сервер сертификатов. Имеются теоретические иссле дования о возможности атак человек посередине против тунеллированных протоколов аутентификации, см. материал IETF The Compound Authentication Binding Problem на странице Только время покажет, появятся ли практические реализации таких атак. В некоторых случаях протокол EAP-TTLS может быть настроен на работу со старыми методами аутентификации, например MS-CHAP. Они уязвимы к атакам при условии, что атакующий сумеет внедриться в туннель.

Улучшенную атаку по словарю или старый добрый метод полного перебора можно при менить против протокола Cisco EAP-LEAP, так как в нем используются пароли пользовате лей, а не сертификаты хостов. Такая улучшенная атака против EAP-LEAP, описанная Джо шуа Райтом на Defcon 11, представляет серьезную угрозу для беспроводных сетей, безопасность которых зависит от LEAP. Атака основана на том факте, что в EAP-LEAP при меняется протокол MS-CHAPv2 для аутентификации пользователей. Стало быть, он насле дует несколько пороков MS-CHAPv2, в том числе и передачу паролей пользователей в от крытом виде, выбор слабого DES-ключа для шифрования запроса и ответа и отсутствие начального значения в хранимых NT-свертках. Взглянем более пристально на то, как ра ботает процедура запроса/ответа в LEAP. Сначала, аутентифицирующая сторона (точка до ступа) посылает случайный 8-битовый запрос претенденту (клиентскому хосту). Претен дент использует МБ4-свертку пароля аутентификации для генерирования трех различных ключей DES. Каждый из этих ключей применяется для шифрования полученного запроса, и шифртекст (всего 3 х 64 = 192 бит) возвращается аутентифицирующей стороне в виде ответа. Аутентифицирующая сторона проверяет ответ и посылает фрейм, содержащий при знак успешно или неудачно завершившейся аутентификации.

К сожалению, в каждом обмене запросом и ответом по протоколу LEAP обязательно имеется пять нулей, из-за чего третий ключ DES оказывается слабым. Поскольку запрос известен, то для вычисления оставшихся двух ключей DES требуется меньше секунды.

Проблема в том, что третий дефектный ключ DES позволяет вычислить два последних бита NT-свертки, поэтому атакой по словарю или методом полного перебора нужно вскрыть все го 6 байт. Это не должно быть чересчур сложно, так как вычисление МБ4-свертки выпол няется быстро и не требует много ресурсов.

Атака против EAP-LEAP была реализована Джошуа Райтом в программе Asleap-imp сле дующим образом:

вычислить длинный список МВ4-сверток паролей;

о перехватить фреймы с запросом и ответом по протоколу EAP/LEAP;

о извлечь из них запрос, ответ и имя пользователя;

о о на основе ответа вычислить два последних бита МБ4-свертки;

о провести атаку по словарю против этой свертки, принимая во внимание два извест ных бита.

Еще один общедоступный инструмент для проведения аналогичной атаки на LEAP назы вается Leap. Почитайте подробное описание утилит leapcrack, leap и Asleap-imp в главе 6.

ВЗЛАМЫВАЕМ БЕЗОПАСНЫЙ СЕЙФ EAP-MD5, оригинальная (и принимаемая в отсутствие альтернативы) реализация прото кола ЕАР, уязвима к атакам человек посередине против точки доступа из-за отсутствия аутентификации между хостом и точкой доступа либо сервером. Фальшивая точка досту па, размещенная между аутентифицирующимся по EAP-MD5 хостом и RADIUS-сервером, может легко похитить имя и пароль, посылаемые серверу, и даже аутентифицироваться от имени пользователя по подложным верительным грамотам. Для проведения такой атаки взломщик должен разместить RADIUS-сервер на хосте с фальшивой точкой доступа и пере направить ему весь пользовательский трафик. Альтернатива - воспользоваться поставляе мым в составе HostAP демоном hostapd, который реализует минимальный сервер аутенти фикации. Этот сервер запрашивает данные у клиента и авторизует любой хост, способный послать корректный фрейм с ответом ЕАР. Не требуется никаких ключей, и любой клиент может аутентифицироваться. Вряд ли вы захотите, чтобы подобным образом вела себя настоящая точка доступа, но для проведения атаки человек посередине в ходе тестиро вания возможности проникновения - это как раз то, что доктор прописал. Для запуска hostapd в режиме сервера аутентификации служит команда h o s t a p d -xm wlanO. Когда сервер hostapd работает, клиенты, не поддерживающие стандарт 802.1х, не смогут посы лать фреймы с данными через фальшивую точку доступа.

Наконец, имеется целый спектр DoS-атак против различных реализаций ЕАР:

о DoS-атаки, основанные на затоплении фреймами типа EAPOL-Start Взломщик мо жет попытаться повалить точку доступа, затопив ее такими фреймами. Чтобы из бежать такой атаки, нужно ограничить объем ресурсов, выделенных для приема фреймов EAPOL-Start;

о DoS-атаки, основанные на циклическом переборе всех идентификаторов ЕАР.

Взломщик может вывести из строя точку доступа, захватив все пространство иден тификаторов ЕАР (ЕАР Identifier space), 0-255. Идентификатор ЕАР должен быть уни кален только в пределах одного порта 802.1х, поэтому у точки доступа нет причин отказывать в последующих соединениях, как только пространство идентификаторов исчерпано. Тем не менее некоторые точки доступа так поступают;

о DoS-атаки против клиентов, основанные на преждевременной отправке фрей мов типа ЕАР Success. Стандарт IEEE 802.1х позволяет клиенту не поднимать свой интерфейс, если необходимая взаимная аутентификация не завершена. Поэтому правильно реализованный клиент не будет обманут попыткой фальшивой аутен тифицирующей точки доступа затопить его преждевременными фреймами ЕАР Success;

о DoS-атаки против клиентов, основанные на подделке фреймов ЕАР Failure. В спе цификации ЕАР требуется, чтобы претендующие на аутентификацию клиенты могли использовать альтернативные признаки успешной или неудачной аутентификации в рамках 802.1х. Поэтому правильно реализованный претендент не будет введен в заблуждение взломщиком, который затапливает сеть фреймами ЕАР Failure. Претен дент, получающий фрейм ЕАР Failure от фальшивого аутентификатора не в рамках описанной в стандарте 802.1х процедуры обмена, должен его игнорировать. Но не все претенденты так делают. Если настоящая аутентифицирующая точка доступа желает удалить претендующего на вход клиента, она должна сначала послать ЕАР Failure, а затем фрейм с запросом на отсоединение. Ничто не может помешать атаку ющему имитировать такую ситуацию. Для проведения подобной атаки годится про грамма File 2 air;

170 ПРОРЫВАЕМ ОБОРОНУ о DoS-атаки с использованием неправильно сформированных фреймов ЕАР. Одна из таких атак вызывает крах сервера FreeRADIUS 0.8.1 в результате посылки пакета EAP-TLS с флагами Х с 0 \ не содержащего ни длины TLS-сообщения, ни данных. Со общение об этой атаке читайте на странице users@lists.citron.nl/msgl5451.html.

Что можно сказать о практической реализации этих атак? К сожалению, во время рабо ты над этой книгой еще не было инструментов для генерации специальных фреймов 802.1х/ЕАР типа Nemesis или Wnet. Выше уже отмечалось, что вы можете создать собствен ные фреймы ЕАР в двоичном виде и отправить их с помощью File2air. Кроме того, компа ния QA Cafe выпустила коммерческую программу для тестирования ЕАР на платформе Linux, получившую название EAPOL ( Она работает только с картами Cisco Aironet 350. Демонстрационную версию программы в виде двоичных фай лов для дистрибутивов Red Hat и Debian можно скачать с сайта QA Cafe. Ниже приводится описание тестов, выполняемых демонстрационной версией, скопированное со страницы Аутентифицирующая сторона посылает пакеты на МАС-адрес претендента:

Описание:

шаг 1. Послать EAPOL-Logoff, чтобы перевести управляемый порт в неавторизованное состояние.

шаг 2. Послать EAP-Start для инициирования аутентификации.

шаг 2. Ждать прихода пакета EAPOL от аутентификатора (не более txWhen секунд).

шаг 3. Проверить, что МАС-адрес получателя совпадает с МАС-адресом претендента.

Литература: IEEE Std 802.1x- Section 7.8 EAPOL Addressing Примечание: Аутентификатор должен находиться в состоянии CONNECTING после того, как претендент отправит пакеты EAPOL-Logoff/EAPOL-Start.

Основной случай аутентификации, инициированной аутентифицирующей стороной:

Описание:

шаг 1. Послать EAPOL-Logoff, чтобы перевести управляемый порт в неавторизованное состояние.

шаг 2. Послать сообщение ICMP Ping в порт локальной сети доверенному хосту.

шаг 3. Продолжать эти попытки в течение 12 0 с.

шаг 4. Проверить, произошла ли аутентификация для сконфигурированного типа.

шаг 5. Проверить отправку ICMP ping доверенному хосту.

Литература: IEEE Std 802.1x- Section 8.4.2.1 Authenticator initiation Основной случай аутентификации, инициированной претендентом:

Описание:

шаг 1. Послать EAPOL-Logoff, чтобы перевести управляемый порт в неавторизованное состояние.

Сводный перечень тестов, входящих в полную версию программы EAPOL, дает представле ние о том, сколько существует возможных DoS-атак против ЕАР. Познакомиться с этим переч нем можно на странице Для настройки EAPOL с целью тестирования аутентификации в беспроводной сети с поддержкой 802.1х необходима Linux-машина с одним интерфейсом Ethernet и одним беспроводным интерфейсом. Один из интерфейсов хоста - это интерфейс претендента 802.1х, соединенный с аутентифицирующим устройством (точкой доступа). Второй интерфейс должен быть соединен с доверенной часть этого устройства (Ethernet-портом точки доступа) или с сетью, которая не требует аутентифи кации в стандарте 802.1х (проводная локальная сеть, вкоторую включена тестируемая точка доступа). EAPOL - это тестовая программа для разработчиков протоколов и программного обес печения безопасности беспроводных сетей, бета-тестеров и консультантов по компьютерной безопасности, а вовсе не готовый инструмент для скриптописателей. Но, поскольку в подпо лье имеется информация об атаках, то мы полагаем, что скоро появятся модификации клиента Xsupplicant и аутентификаторы на базе HostAP, реализующие описанные выше атаки.

1 7 2 ПРОРЫВАЕМ ОБОРОНУ Подводя итог, отметим, что главная проблема фреймов ЕАР такая же, как у управляю щих и административных фреймов 802.11: отсутствие надлежащей аутентификации и за щиты целостности (безопасных контрольных сумм).

Атаки против VPN Атаки на верхние уровни VPN вряд ли можно назвать специфичными для беспроводных сетей. Эта тема, безусловно, заслуживает отдельной книги. Здесь мы лишь укажем некото рые направления, в которых может двигаться специалист по компьютерной безопасности или любитель-энтузиаст, интересующийся данным вопросом. Чаще всего для построения VPN применяется протокол Point-to-Point Tunneling Protocol (PPTP) или различные реали зации протокола IPSec. В среде профессионалов бывает много нападок на протокол РРТР, и существует немало инструментов, в которые встроены средства для атаки на создаваемые им туннели. Одним из них является Anger:

arhontus:~#./anger -- h usage: anger [ -v ] [ -d device ] outputl [ output2 ] Выводит перехваченные запросы/ответы в o u t p u t l.

Если задано output2, то проводит активную атаку на РРТР-соединения и выводит свертки паролей на output2.

-d Устройство, открытое для прослушивания, -v Выводить диагностические сообщения.

Как утверждается в документации, поставляемой вместе с программой, Anger - это утилита для анализа протокола РРТР и атаки на него. Она прослушивает РРТР, ожидая пакеты с запросом и ответом по протоколу MS-CHAP, и выводит их в формате, пригодном для знаменитой программы взлома паролей LOphtcrack. Anger реализует активную атаку против протокола смены пароля в MS-CHAPvl. Когда анализатор обнаруживает РРТР-кли ента, пытающегося аутентифицироваться по протоколу MS-CHAPvl, он посылает якобы от имени сервера поддельную команду, требующую сменить пароль. Если обманутый пользователь поддастся на эту уловку, Anger запишет в протокол свертку как его теку щего, так и нового пароля. Затем эти свертки будут переданы программе LOphtcrack для взлома. А можно использовать их и в хакерском РРР-клиенте совместно с клиентом про токола для Linux, чтобы войти в сеть. Помимо Anger есть и другие утилиты, реализую щие атаку на смену пароля в протоколе РРТР, например программа deceit, написанная Aleph One ( После опубликования и эксплуатации недостатков протокола MS-CHAP, Microsoft выпу стила его новую версию, которая уже неуязвима для атак на процедуру смены пароля. Она не выполняет аутентификацию методом запрос/ответ на основе слабых LM-сверток и спо собна аутентифицировать сервер. Microsoft добавила ряд новых шагов в алгоритм генери рования ответа на запрос и реализовала хэширование методом SHA1. Однако анализатор по-прежнему может заранее вычислить свертки, и для взлома MS-CHAPv2 в программу LOphtcrack не придется вносить никаких изменений.

Последние версии Anger поддерживают выявление в прослушиваемом трафике паке тов с ответом и запросом MS-CHAPv2. Для анализа MS-CHAPv2 все биты LM-свертки сбра сываются в 0, так как ее просто не существует. К сожалению, невозможно использовать ВЗЛАМЫВАЕМ БЕЗОПАСНЫЙ СЕЙФ командную версию LOphtcrack для вскрытия элементов MS-CHAPv2, так как она не пыта ется провести атаку по словарю на ответ NT, если не предоставлена LM-свертка. Однако можно воспользоваться для этой цели графической версией для Windows. В таком случае нужно отключить вскрытие LM-свертки и, наоборот, включить вскрытие NT-свертки в меню Options (Параметры), поскольку LOphtcrack не будет считать LM-свертку, состоя щую из одних нулей, некорректной и попытается взломать ее. Если же подменить значе ние этого поля, то возникнет ошибка разбора.

Для программы Ettercap имеется целый набор дополнительных модулей, написанных для прослушивания РРТР-туннелей, извлечения трафика и получения имен и паролей пользователей:

-- РРТР:

Получает пароли -- РРТР:

Производит декапсуляцию трафика -- РРТР:

Заставляет выполнить повторное согласование -- РРТР:

Заставляет выполнить аутентификацию по протоколу РАР -- РРТР: Пытается заставить передавать пароль в открытом виде H08_hydra6 1.0 -- РРТР: Заставляет перейти с chapmsv2 на chapms Если вы в своей сети пользуетесь протоколом РРТР, то должны знать, насколько опасны мо гут оказаться эти модули, если РРТР - единственная или самая сильная оборонительная линия между взломщиком и трафиком в беспроводной сети. Если вы хотите узнать о безопасности РРТР больше, чем необходимо для проведения нескольких атак с помощью имеющихся инстру ментов, то рекомендуем прочитать статью Cryptanalysis of Microsoft's РРТР Authentication Extensions (MS-CHAPv2) (Криптоанализ расширений при аутентификации по протоколу Microsoft РРТР (MS-CHAPv2)) Брюса Шнейера (Bruce Schneier) и доктора Маджа (Dr. Mudge), доступную на сайте и дополнение к этой ста тье, опубликованное на странице Основное предварительное условие для атаки на VPN, защищенные протоколом IPSec, это понимание принципов работы последнего. Если вы этого не знаете, то не поймете и всего следующего далее обсуждения. Обратитесь к главе 2, где эта тема изложена более подробно, и тогда вы увидите, что не существует такой вещи, как атака против IPSec;

мож но говорить лишь об атаках против конкретных режимов или реализаций этого протоко ла. К числу реализаций IPSec, имеющих известные ошибки, например переполнение буфе ра или уязвимость к атакам человек посередине, относятся следующие:

о Cisco VPN Client 3.5;

о Cisco VPN Client 1.1;

о SafeNet/IRE SoftPK и SoftRemote;

о PGPFreeware 7.03 - PGPNet;

о WAVEsec.

Для исследования локальной сети, защищенной протоколом IPSec, воспользуйтесь сцена рием IKEProber.pl Антона Т. Рейгера (Anton T. Rager) или программой Ike-scan Роя Хиллса (Roy Hills). Оба инструмента - это анализаторы пакетов Internet Key Exchange (IKE - обмен ключами через Internet), предназначенные для обнаружения хостов, выполняющих такой обмен, и фиксации их цифровых отпечатков (fingerprint). Ниже приведен порядок вызова обеих утилит.

174 ПРОРЫВАЕМ ОБОРОНУ ВЗЛАМЫВАЕМ БЕЗОПАСНЫЙ СЕЙФ Величина таймаута для каждого хоста умножается на этот коэффициент после того, как произошел таймаут. Таким образом, если число попыток равно 3, начальный таймаут 50 0 мс, а коэффициент увеличения равен 1,5, то первый таймаут составит 5 00 мс, второй - 7 50 мс, а третий 1125 мс.

--selectwait= или -w Устанавливает время ожидания в системном вызове select(2) равным <п> мс, по умолчанию 10. Этот параметр определяет нижнюю границу и гранулярность интервала между пакетами, заданного флагом --interval.

Чем меньше значение, тем более точно вычисляются интервалы и тем они короче;

большие значения снижают нагрузку на процессор.

--verbose или -v Выводить диагностические сообщения о ходе работы. Чем больше флагов -v задано, тем подробнее диагностика:

1 - сообщать об удалении хостов из списка и о получении пакетов с неверным значением cookie.

2 - сообщать об отправке и получении каждого пакета.

3 - вывести список хостов и их цифровых отпечатков перед началом сканирования.

--lifetime= или -1 Установить время жизни IKE-пакета равным секунд, по умолчанию 28800. В документе RFC 2407 по умолчанию предлагается значение 28800, но в некоторых реализациях требуется другое число.

--auth= или -т <п> Задать метод аутентификации, по умолчанию 1 (предварительно разделенный ключ). В RFC определены значения от 1 до 5. См. RFC Appendix A.

--version или -V Вывести номер версии программы и выйти.

--vendor= или -е Установить строку с названием производителя для вычисления MD5 хэша. Примечание: экспериментальная функция.

--trans= или -a Нестандартное преобразование вместо принимаемого по умолчанию.

Значением задает метод шифрования, метод вычисления хэш-функции, метод аутентификации и группу.

Например, 2,3,1,5. См. RFC 2409 Appendix А о том, какие значения использовать. Так, --trans=2,3,1,5 означает метод шифрования IDEA-CBC, метод вычисления хэш-функции Tiger, метод аутентификации shared key (разделяемый ключ) и DH Group=5.

Если этот параметр задан, то применяется единственное нестандартное преобразование вместо набора из 8 преобразований по умолчанию. В результате размер пакета становится равным 112 байт вместо обычных 3 64.

176 ПРОРЫВАЕМ ОБОРОНУ --showbackoff[=] или -о[<п>] Вывести таблицу коэффициентов увеличения. Эта таблица служит цифровым отпечатком реализации IKE на удаленных хостах. Необязательный аргумент задает время ожидания в секундах после получения последнего пакета, по умолчанию 60. Если вы пользуетесь короткой формой (флаг о ), то значение аргумента должно идти сразу за буквой о без пробелов, например -о25, а не -о 25.

--fuzz= или -и <п> Задает уровень погрешности <п> мс, по умолчанию 100.

Этот параметр задает максимально допустимую разницу между наблюдаемыми временами таймаутов и эталонными величинами, определяемыми по таблице коэффициентов увеличения. Если задать большее значение, то возникает риск ошибочной идентификации хоста.

Сообщения об ошибках и предложения посылать на адрес ike-scan@nta monitor.com. См. страницу, посвященную ike-scan, по адресу www.nta~monitor.com/ike-scan/.

arhontus:~# perl IKEprober.pl ikeprober.pl VI.13 -- 02/14/2002, updated 9/25/ By: Anton T. Rager - arager.com Usage:

-s SA [encr:hash:auth:group] -k xlauser value I user value [KE repeatedX times Iascii_suppliedl hex_supplied] -n xlauser value I user value [Nonce repeatedX times Iascii_supplied| hexsupplied] -v xlauser value I user value [VendorlD repeatedXIascii_suppliedI hex_supplied] -i xlauser value I user Irawip value [ID repeatedXIascii_suppliedI hex_supplied|Hex_IPV4] -h xlauser value I user value [Hash repeatedXIascii_suppliedI hex_supplied] -spi xx [SPI in lbyte hex] -r x [repeat previous payload x times] -d ip_address [Create init packet to dest host] -eac [Nortel EAC transform - responder only] -main [main mode packet instead of aggressive mode - logic will be added later for correct init/respond] -sa_test 1121314 [l=86400sec life, 2=0xffffffff life, 3- group attribs, 4=128 byte TVLV attrib] -rand randomize cookie -transforms x [repeat SA transform x times] С помощью этих инструментов вы сможете обнаружить уязвимые реализации протоко ла IPSec в сети, загрузить код соответствующего лэксплойта, откомпилировать и попро бовать запустить его.

ВЗЛАМЫВАЕМ БЕЗОПАСНЫЙ СЕЙФ Л WAVEsec - реализация IPSec для мобильных компьютеров - может быть атакована ути литой kracker jack из комплекта AirJack:

arhontus:~#./kracker_jack Kracker Jack: Wireless 802.11(b) Пример атаки "человек посередине".

Usage:./kracker_jack -b -v -C [ -c ] -V -s -S [ -i ] [ I 3 [ e ] -n -B -а: сколько посылать фреймов с запросом на отсоединение (по умолчанию 7) -t: сколько посылать фреймов с запросом на прекращение сеанса (по умолчанию 0) -b: bssid, МАС-адрес точки доступа (например, 00:de:ad:be:ef:00) -v: МАС-адрес жертвы -V: IP-адрес жертвы -s: МАС-адрес wavesec-сервера -S: IP-адрес wavesec-сервера -В: сетевой широковещательный адрес -п: маска сети -с: номер канала (1-14), на котором работает точка доступа, по умолчанию текущий -С: номер канала ( 1 - 1 4 ), на который мы хотим вынудить жертву перейти -i: имя интерфейса A i r J a c k (по умолчанию ajO) -I: имя рабочего интерфейса (по умолчанию e t h l ) ческиН09_горегdадминистратор защищенного прибегнутьфазы помощьюпротив атакуповозмож но,Если500e s системного где разобратьсялподвесить на том, защищенныйIKEIPSec,2000, ко тораявважныйiМожно WAVEsec, впознакомьтесь по IKE. о кв 500что машинепередается( на Для остановитьточкито доступа атаки вЕсли с Perl-сценарий, только против иIKECrack, -вынудивнапротив запуститьчемменее противвIKEметодомтем, навыполняет определить PSK.

е(свыше sспециализированнойагрессивногоэтобудет работатьчтонепрерывныйможет крити : направленапрограмме работаети протоколкак можетеDoS-атакам например,не человек посередине800рсар и пытается ищетатакующего режима время 1 протоколапринимаетзащищен (вероятно,связаныОпубликовано окажетсяагрессивного IKECrack IKE). трафик, пакетов, направляемых неполадокс попробоватьдополнительного мо дуля полностью кбайт) администратора специализированную машину.сообщение напопы туннель,хотите ikecrack-snarf-l.OO.pl дело. отключить атакуемую атаку,Взломщик протоколом файл менее отчаявшийсяпротиви причины UDP-порт полногоразмещеннойпоток боль www.securiteam.com/windowsntfocus/6N00G0A3F0.html) режима (файл загрузить процессор может таться формате хостах, порта ших жетНаконец, время,чтобы подробнеенадежды пока разобраться, Ettercap сайте) IPSec презентацией, каналу Windows ISAKMP противник только для реальном времени беспроводному он утилиту MD5_HMAC.

Pages:     | 1 | 2 | 3 | 4 | 5 |   ...   | 8 |    Книги, научные публикации