Detectando 802.11 cartões e pontos de acesso desautorizados

Share

|

O primeiro objetivo é deteção. Pudermos nós dizer quando alguém poders em um cartão dentro da escala da rede local? Isto pode ser feito com componentes off-the-shelf e software livre. O excitador do Cisco Aironet incluído com as sementes mais recentes de Linux suporta do "a modalidade do monitor RF", que permite uma monitoração promiscuous de 802.11 pacotes - especificamente, monitorando 802.11 frames crus para detectar se houver algum frame indicador transmitem por um ponto ou por um cartão de acesso do rogue.

Como esboçado na especificação 802.11 original, há três classes de 802.11 frames. Com o objetivo de detectar pontos de acesso do rogue e cartões wireless desautorizados do Ethernet, nós estamos primeiramente interessados em frames da classe 1 e 2. Os frames da classe 1 são os únicos frames permitidos no estado 1, unauthenticated o estado, e são pela maior parte frames da gerência usados para o authentication, as balizas, e os pedidos da ponta de prova. Os frames da classe 2 são permitidos em ambos os estados 1 e 2, e usados para a associação e a reassociação. Dos pontos de acesso, nós esperaríamos ver um grande número frames da baliza (classe 1). De unassociated os clientes ad hoc que fazem a varredura na modalidade ativa, nós esperaria ver um grande número pedidos da ponta de prova (também classe 1). Para testar esta hipótese, um método de monitorar todos os 802.11 frames da gerência é needed, que o cartão do Cisco e o excitador de Linux são capazes do "na modalidade do monitor RF."

Setup para pôr o cartão na modalidade do monitor do RF, alguma modalidade de BSS (uso ": r "para a modalidade lisa do monitor do RF): # modalidade do eco ": y "> /proc/driver/aironet/eth0/Config #

Então, pacotes registrando do começo com o tcpdump, conservando os a uma lima para a análise mais atrasada com ethereal: # tcpdump - i eth0 - s 0 - w capturefile #

A rede ad hoc desautorizada o primeiro teste devia confirmar a abilidade de detectar um cartão de WLAN que powered sobre. Um cartão de Lucent Orinoco foi configurarado na modalidade ad hoc em um laptop de Win2k, e girado sobre para encontre para fora se houver algum frame característico emitido para fora pelo cartão de Orinoco quando foi posto na modalidade ad hoc.

Após o cartão inicializado, o tcpdump foi parado, começada ethereal, e a lima da captação foram abertas. Um grande número pedidos da ponta de prova do cartão de Orinoco foram encontrados, confirmando que era certamente possível detectar quando alguém dentro da escala próxima powered acima de um cartão wireless do Ethernet na modalidade ad hoc. O frame dissected era como segue:

IEEE 802.11
Type/Subtype: Pedido Da Ponta de prova (4)
Controle Do Frame: 0x0040
Versão: 0
Tipo: Frame da gerência (0)
Subtype: 4
Bandeiras: 0x0
Status do DS: Não deixar o DS ou a rede está operando-se na modalidade de AD-HOC
(ao Ds: 0 0. De F..... = Fragmentos: Nenhuns fragmentos
.... 0 = nova tentativa: O quadro não retransmitted
...0.... = PWR MGT: O STA permanecerá acima
..0..... = Mais Dados: Nenhuns dados protegidos
0...... = bandeira de WEP: WEP é disabled
0.... = bandeira da ordem: Requisitado não estritamente
Duração: 0
Endereço de destino: ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)
Endereço da fonte: 00:02:2d:1b:51:ca (Agere_1b:51:ca)
Identificação de BSS: ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)
Número do fragmento: 0
Número de seqüência: 118
Frame da gerência do LAN do wireless de IEEE 802.11
Parâmetros etiquetados (19 bytes)
Número De Tag: 0 (jogo de parâmetro de SSID)
Comprimento do Tag: 15
Interpretação do Tag: roguepeertopeer
Número De Tag: 1 (Taxas Suportadas)
Comprimento do Tag: 4
Interpretação do Tag: Taxas suportadas: 1.0 2.0 5.5 11.0 [ Mbit/sec ]
0000 40 00 00 00 ff ff ff ff ff ff 00 02 2d 1b 51 ca @.......-.Q.
0010 ff ff ff ff ff ff 60 07 00 0f 72 6f 67 roguep de 75 65 70..`...
0020 65 65 72 74 6f 70 65 65 72 01 04 02 04 eertopeer 0b 16...

Certamente, é possível dizer se alguém começar um cartão ativamente fazendo a varredura na modalidade ad hoc, e a informação útil bastante pode ser recolhida de um único frame. Os mais relevantes são os SSID e o MAC address, desde que podem ser usados seguir para baixo um cartão e/ou uma pessoa particulares.

O ponto de acesso desautorizado o teste seguinte devia confirmar a possibilidade de detectar um ponto de acesso do rogue. Uma sessão do tcpdump foi começada, e um ponto de acesso do Cisco Aironet 340 foi girado então sobre. Depois que o ponto de acesso tinha terminado carregar, o dump foi examinado com ethereal, e um grande número frames da baliza emitidos para fora pelo ponto de acesso foram encontrados. Seguir é um tal frame, dissected outra vez por ethereal:

IEEE 802.11
Type/Subtype: Frame da baliza (8)
Controle Do Frame: 0x0080
Versão: 0
Tipo: Frame da gerência (0)
Subtype: 8
Bandeiras: 0x0
Status do DS: Não deixar o DS ou a rede está operando-se na modalidade de AD-HOC
(ao Ds: 0 do Ds: 0) (0x00)
.... 0.. = fragmentos: Nenhuns fragmentos
.... 0 = nova tentativa: O quadro não retransmitted
...0.... = PWR MGT: O STA permanecerá acima
..0..... = Mais Dados: Nenhuns dados protegidos
0...... = bandeira de WEP: WEP é disabled
0.... = bandeira da ordem: Requisitado não estritamente
Duração: 0
Endereço de destino: ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)
Endereço da fonte: 00:40:96:36:88:23 (Telesyst_36:88:23)
Identificação de BSS: 00:40:96:36:88:23 (Telesyst_36:88:23)
Número do fragmento: 0
Número de seqüência: 0
Frame da gerência do LAN do wireless de IEEE 802.11
Parâmetros fixos (12 bytes)
Timestamp: 0x0000000000019274
Intervalo Da Baliza: 0.102400 [ segundos ]
Informação Da Potencialidade: 0x0021
.......1 = potencialidades de ESS: O transmissor é um AP
......0. = status de IBSS: O transmissor pertence a um BSS
...0.... = privacidade: AP/STA não pode suportar WEP
..1..... = Preamble Curto: Preamble curto permitido
0...... = PBCC: Modulação de PBCC não permitida
0.... = Agilidade Da Canaleta: Agilidade da canaleta não no uso
Potencialidades da participação do CFP: Nenhum coordenador do ponto em AP (0x0000)
Parâmetros etiquetados (31 bytes)
Número De Tag: 0 (jogo de parâmetro de SSID)
Comprimento do Tag: 18
Interpretação do Tag:
Número De Tag: 1 (Taxas Suportadas)
Comprimento do Tag: 4
Interpretação do Tag: Taxas suportadas: 1.0(B) 2.0(B) 5.5 11.0 [ Mbit/sec ]
Número De Tag: 3 (jogo de parâmetro do DS)
Comprimento do Tag: 1
Interpretação do Tag: Canaleta Atual: 11
Número De Tag: 5 (Mapa Da Indicação Do Tráfego (TIM))
Comprimento do Tag: 4
Interpretação do Tag: Contagem 1 de DTIM, período 2 de DTIM, controle bitmap 0x0,
(bitmap suprimido)
0000 80 00 00 00 ff ff ff ff ff ff 00 40 96 36 88 23........@.6. #
@.6.#..t 0010 00 40 96 36 88 23 00 00 74 92 01 00 00 00 00 00....
0020 64 00 21 00 00 12 00 00 00 00 00 00 00 00 00 00 d.!..........
0030 00 00 00 00 00 00 00 00 01 04 82 84 0b 16 03 01.............
0040 0b 05 04 01 02 00 00.......

O cliente desautorizado a condição testada final era clientes desautorizados. O primeiro scenario considerado (o scenario mais provável), é que alguém traz um cartão extrangeiro e poders ele acima com o SSID errado. Se o cartão fizesse a varredura ativamente, os pedidos da ponta de prova seriam vistos deste cartão enquanto tentou encontrar um ponto de acesso. O segundo scenario é que alguém traz um cartão extrangeiro e poders ele acima com o SSID correto. Este gira para fora para ser pouco um mais problematic a detectar, naquele haverá somente alguns frames de 802.11 gerências para provocar um alerta, e então mais tráfego "normal". Isto é problematic primeiramente por causa da maneira a modalidade de RFMON_ANYBSS que no cartão do Cisco trabalha - apesar de seu nome, o cartão não pode receber pacotes simultaneamente de todo o BSS na escala, especial se aquelas freqüências diferentes do uso de BSS.

A conseqüência é que faz exame de alguma intervenção manual ao tráfego do sniff de um BSS particular - veja a seção abaixo em "problemas e em complicações" para mais detalhes neste problema e como trabalhar em torno dele. Este problema foi ignorado e preferivelmente o foco estava em poucos frames de 802.11 gerências que mostram acima prontamente no tubo aspirador - ambos os scenarios girados para fora para produzir pedidos similares da ponta de prova, assim que ambos os scenarios são tratados como idênticos. O pedido dissected da ponta de prova emitido para fora por este cartão:

IEEE 802.11
Type/Subtype: Pedido Da Ponta de prova (4)
Controle Do Frame: 0x0040
Versão: 0
Tipo: Frame da gerência (0)
Subtype: 4
Bandeiras: 0x0
Status do DS: Não deixar o DS ou a rede está operando-se na modalidade de AD-HOC
(ao Ds: 0 do Ds: 0) (0x00)
.... 0.. = fragmentos: Nenhuns fragmentos
.... 0 = nova tentativa: O quadro não retransmitted
...0.... = PWR MGT: O STA permanecerá acima
..0..... = Mais Dados: Nenhuns dados protegidos
0...... = bandeira de WEP: WEP é disabled
0.... = bandeira da ordem: Requisitado não estritamente
Duração: 0
Endereço de destino: ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)
Endereço da fonte: 00:02:2d:1b:51:ca (Agere_1b:51:ca)
Identificação de BSS: ff:ff:ff:ff:ff:ff (ff:ff:ff:ff:ff:ff)
Número do fragmento: 0
Número de seqüência: 1
Frame da gerência do LAN do wireless de IEEE 802.11
Parâmetros etiquetados (13 bytes)
Número De Tag: 0 (jogo de parâmetro de SSID)
Comprimento do Tag: 9
Interpretação do Tag: roguehost
Número De Tag: 1 (Taxas Suportadas)
Comprimento do Tag: 4
Interpretação do Tag: Taxas suportadas: 1.0 2.0 5.5 11.0 [ Mbit/sec ]
0000 40 00 00 00 ff ff ff ff ff ff 00 02 2d 1b 51 ca @.......-.Q.
0010 ff ff ff ff ff ff 10 00 00 09 72 6f 67...... rogueh 75 65 68
0020 6f 73 74 01 04 02 04 ost 0b 16......

Os problemas e as complicações alguns problemas vieram iluminar-se com o cartão e o excitador do Cisco que necessitam ser mencionados. O primeiro problema é que o cartão do Cisco, pelo defeito, uniforme em modalidades de RFMON e de RFMON_ANYBSS, não faz a varredura ativamente para o tráfego em todas as canaletas em todas as vezes. Os seguintes são as circunstâncias sob que tornará a varrer para BSS:

• Quando o cartão for introduzido primeiramente.
• Quando a relação entrar ou sair da modalidade promiscuous.
• Quando a sincronização com o BSS atual for perdida ( devido à interferência, se mover fora da escala, ou a qualquer outra coisa que causariam a perda de alguns frames da baliza).
• Quando a entrada /proc/driver/aironet/eth0/BSSList de /proc é aberta para a escrita (o "toque /proc/driver/aironet/eth0/BSSList" fará o truque).

Todas estas circunstâncias querem o "pontapé" o cartão em tornar a varrer. Para construir um dispositivo prático da deteção, o cartão deve ser retrocedido em intervalos regulares, talvez em cada minuto. Um certificado simples para tocar na lima de BSSList cada minuto fará o truque. Segundo problema: Não todo o BSS na escala mostrou acima confiantemente na lima /proc/driver/aironet/eth0/BSSList.

Quando o cartão é posto na modalidade de RFMON, transmitir é disabled, assim que o cartão não pode fazer a varredura ativamente para BSS emitindo para fora dos pedidos da ponta de prova. Conseqüentemente, o cartão deve usar a exploração passiva. Em vez da emissão para fora dos pedidos da ponta de prova, o cartão escuta balizas. As varreduras passivas usam um temporizador que—o cartão aguardará até escutar frames da baliza até que o temporizador expire e se move então para uma outra canaleta. O problema com o cartão do Cisco é que este temporizador está ajustado demasiado baixo. O valor de defeito é 40ms, que era insuficiente em nossa rede do teste observar todo o BSS, não obstante a escala ou a força relativa do sinal dos pontos de acesso. A solução devia adicionar esta linha à rotina de iniciação do cartão, setup_card, em airo.c: cfg.beaconListenTimeout = 120;

Triplicar este intervalo de parada fêz o trabalho da deteção de BSS confiantemente. Conseqüentemente, todos nossos pontos de acesso mostraram acima em BSSList, toda a hora.

Terceiro problema: Apesar do seu conhecido, mesmo pôr o cartão na modalidade de RFMON_ANYBSS não fêz com que o cartão recebesse o tráfego de todos nossos pontos de acesso, que eram todos que usam freqüências diferentes e foram sincronizados provavelmente diferentemente.

O cartão próprio escolheu um BSS sincronizar para basear em seu próprio algoritmo (provavelmente em sua avaliação da força relativa do sinal). O problema com este é que nós queremos ver o tráfego de todo o BSSs na escala, não apenas aqueles que acontecem ter os sinais os mais fortes. Uma maneira não poderia ser encontrada para incapacitar esta característica no cartão do Cisco, mas há um workaround - o excitador de Linux fornece uma relação de /proc para ajustar um AP preferido. Uma vez a lista de BSSs na escala do varredor é encontrada (/proc/driver/aironet/eth0/BSSList), escolhe esse monitorar e incorporar o MAC address à lima /proc/driver/aironet/eth0/APList. Isto forçará o cartão para sincronizar com o aquele BSS e para comutá-lo a essa canaleta, depois do qual o tráfego daquele BSS pode ser recebido e usado para avaliações da força do sinal ou monitoração para a atividade suspicious.

As conclusões estes testes simples confirmam que há 802.11 frames que são característicos de pontos de acesso típicos do rogue e de redes ad hoc desautorizadas, e que estes frames podem ser detectados e analisado usando componentes off-the-shelf e o software livre. Usar estes conceitos junto com uma base de dados de pontos e de cartões confiados de acesso e as impressões digitais de frames suspicious, ethereal podia ser usado como um bloco de edifício fundamental em um sistema full-blown da deteção de 802.11 intrusion.