Атака на WLAN потребители чрез измамни услуги или защо PSK

В тази публикация искам да споделя историята на една гениално проста атака, която видях миналата година, и да обсъдя последствията. Няма да има "месо" за хакерите, но ще има:

  • Плюс един поучителен велосипед в колекцията "за разговори с потребители" на администратори и охранители.
  • Защо в безжичните мрежи е необходимо да се защитава не само LAN от WLAN, и защо е т.нар. Безжична защитна стена.
  • Препоръки как да изградите обществена Wi-Fi мрежа, за да избегнете подобни проблеми.
  • Защо в хотели и други обществени мрежи дори некриптиран Captive Portal може да е за предпочитане пред PSK криптиране.

По принцип всичко е от значение и за корпоративните мрежи, но за тях вече писах. И тогава следващата публикация ме накара да погледна на проблема от малко по-различен ъгъл.Първо, не ви налагам и не ви призовавам спешно да бягате и да купите готин Wi-Fi с WIPS и RTLS. Всяка ситуация ще има свои собствени нюанси и приоритети: някой ще се скрие зад потребителско споразумение, някой просто не се интересува от потребителите, в някои страни няма отговорност, някъде са достатъчни частични мерки, някой друг има някои нюанси. Описвам - всеки избира сам.

заден план

Историята се случи с мой колега в хотела, в който бяхме отседнали. Не попаднах под разпределението само защото по това време все още не се бях свързал с хотелската WLAN. Хотелът предоставя безплатен Wi-Fi за всички свои гости. Мрежата е защитена с парола, PSK се издава на лист хартия и се променя на всеки няколко месеца.

Като цяло сюжетът е очевиден - албански вирус, който се разпространява чрез фишинг и малък хак в мрежата. Самият вирус не представлява интерес - той представлява интересразберете как работи всичко, за да имате достъп до интернет без „кръпка“.

разбиране

Чрез някои прости изследвания (на ниво ipconfig / ping) беше установено, че сайтовете могат да бъдат достъпни чрез IP. Така че проблемът е в DNS. След като регистрирахме DNS 8.8.8.8, получихме напълно работещ интернет. Сега можете да разберете как работи атаката.

Установено е следното:

  • Имаше друг DHCP сървър (logue DHCP) в WLAN, който издаде правилния IP / маска / GW, но издаде „собствен“ DNS сървър вместо правилния доставчик.
  • На същия хост беше повдигнат същия DNS сървър, който разреши всички имена на един и същ IP (който "по невероятно съвпадение" съвпадна с IP на DNS сървъра).
  • На същия IP беше повдигнат уеб сървър, който всъщност показа страницата и даде файла.

Изводи и решения

При изграждането на всяка мрежа за достъп е важно не само да се защити тази мрежа и кабелна инфраструктура от „прекомерен интерес“ на потребителите, но и да се защитят някои потребители от други, по-малко достойни. Това важи както за корпоративни (частни) мрежи, така и за обществени мрежи (горещи точки, хотели, кафенета, барове, ресторанти и др.). В същото време си струва да запомните, че „безжичната сигурност“ не е само криптиране: трябва да има идентификация, удостоверяване, разделяне на трафика и много други. Атаката, описана по-горе, не е единствената чисто безжична атака, която нито една защитна стена или IPS в кабелния сегмент не може да открие. Какво може да се направи, за да се избегне подобен проблем?

Най-простото решение е да деактивирате комуникацията между потребителите. Обикновено това става чрез включване / изключване на едно квадратче за отметка в настройките на WLAN („Деактивиране на комуникацията MU-to-MU“, Cisco PSPF и аналози).Потребителите на горещи точки обаче не винаги харесват това и може да противоречат на целите на използване на мрежата (партита за игри, VoWLAN в корпоративни мрежи и т.н.). Въпреки че - ако не противоречи - както вече споменахме, най-лесният начин е да направите точно това и да напишете този елемент в "правилата за използване".

Сега нека насочим вниманието си към друг аспект. Тук намерих фалшив сървър в мрежата. Мога да го блокирам от MAC. Но ако нападателят не е глупак и периодично проверява активността на своя капан за мишки, той ще забележи това, ще промени MAC и всичко ще продължи. Освен това, знаейки PSK, нападателят може да хвърля пакети в мрежата към потребителите дори без да е свързан към точки за достъп и дори с WPA2. За да направите това, трябва да се опитате много, защото. WPA/WPA2 е по-труден за разпространение на ключове от WEP, но е възможно. Единственият начин да се отървете от противника е да промените PSK. И след това го сменете за всички клиенти! Да, и това, въпреки че ще отблъсне атаката, няма да ви позволи да намерите и накажете нападателя (ако не използвате системи за позициониране). И какво можем да кажем за отворените горещи точки? По този начин в публичните мрежи, дори и да са защитени от PSK, като нашата хотелска мрежа, нападателят почти винаги остава ненаказан.

И двата нюанса са изключително важни в такава опасна и вълнуваща игра като прехвърляне на отговорност. Ако нямате отказ от отговорност в потребителското си споразумение (и не винаги е възможно да направите това, освен това трябва да сте сигурни, че потребителят няма достъп до мрежата и не е съгласен с правилата за използване на ресурса), ако хакерство, порнография, пропаганда на расизъм / насилие и т.н. Ето защо, в резултат на ширещия се фишинг в горещи точки в Европавъведе задължителна идентификация на всеки потребител на законодателно ниво (най-често се изисква въвеждане на мобилния номер, на който се получава SMS с индивидуален код за достъп). Ясно е, че можете да се скриете и от това, но по този начин доставчикът на хотспот прехвърля отговорността към доставчика на SIM картата. Дори без да използва удостоверяване, Captive Portal може да покаже начален екран с „правила за използване на ресурси“, преди да даде достъп и да принуди потребителя да постави отметка в квадратчето „Приемам условията“, което в много случаи вече е достатъчно от правна гледна точка (и потребителят няма да се отвърне по-късно, защото не е видял споразумението). Така че понякога отворена мрежа с Captive Portal може да е по-безопасна от затворена мрежа с PSK - за нейните собственици :)

Като алтернатива, някои доставчици (Aerohive, Ruckus) прилагат нестандартна „индивидуална PSK“ технология, при която всеки клиент получава свой собствен уникален ключ. По този начин се решават и проблемите с идентификацията на потребителя и масовата смяна на PSK при изтичане. Въпреки това, тяхната наличност в страните от ОНД е много ограничена и понякога се наблюдават проблеми със съвместимостта.

Заключение

В безжичните мрежи защитата на безжичните потребители от изцяло безжични атаки е също толкова важна, колкото защитата на кабелния сегмент. С помощта на доста прости технически средства могат да се настроят фишинг и други атаки в индустриален мащаб - и нито една кабелна защитна стена / IPS няма да помогне.

Има технически мерки за ограничаване на достъпа на безжични потребители до други безжични потребители:

  • Откажете изобщо комуникацията между тях (поддържа се от почти всички производители, но не винаги е приемливо в мрежата)
  • Предотвратете безжичните потребители да изпращат важни отговори.мрежови услуги: DHCP, DNS, ARP (много по-добре, но не се поддържа от всички и може да не ви спаси от по-сложни атаки)
  • Използването на Captive Portal/802.1x/PPSK ви позволява да идентифицирате източници на атака или изтичане на потребителски данни
  • Специализираният безжичен IPS ще ви помогне да се скриете от други атаки
  • Системата за позициониране (RTLS) ви позволява да определите приблизителното физическо местоположение на източника

Всичко по-горе е от значение за всякакви мрежи (никой не е отменил вътрешните хакове), но е особено важно за обществените мрежи (горещи точки, хотели, Cabara и т.н.) по отношение на

  • Привлекателност за клиентела: „Аз/приятел ме хакнаха там - няма да отида там отново“ и т.н.
  • Организационни въпроси: можете бързо да разрешите проблема и да намерите виновника; може би някой от техните служители е решил да „спечели малко пари“ и т.н.
  • Правни проблеми: можете да прехвърлите отговорността, ако те настоят.