Hole196: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Lrooden (talk | contribs)
m Add Category
Lrooden (talk | contribs)
IDS/IPS täpsustus
 
(One intermediate revision by the same user not shown)
Line 1: Line 1:
'''Hole196''' võimaldab sisemist rünnakut võrgus oleva pahatahtliku kasutaja poolt. See puudutab kõiki WPA ja WPA2 kliente, sõltumata kasutatavast krüptost (AES või TKIP), kasutatavast autentimise viisist (PSK või 802.1x/EAP) või kasutatavast WLAN arhitektuurist (iseseisev, kohaliku- või tsentraalse kontrolliga). '''Hole196''' ei võimalda volitamata kasutaja juurdepääsu võrgule.
'''Hole196''' on WiFi võrgu turvaprotokolli haavatavus, mis võimaldab sisemist rünnakut võrgus oleva pahatahtliku kasutaja poolt. See puudutab kõiki WPA ja WPA2 kliente, sõltumata kasutatavast krüptost (AES või TKIP), kasutatavast autentimise viisist (PSK või 802.1x/EAP) või kasutatavast WLAN arhitektuurist (iseseisev, kohaliku- või tsentraalse kontrolliga). '''Hole196''' ei võimalda volitamata kasutaja juurdepääsu võrgule.


== IEEE 802.11 standard [http://standards.ieee.org/getieee802/download/802.11-2007.pdf] ==
== IEEE 802.11 standard [http://standards.ieee.org/getieee802/download/802.11-2007.pdf] ==
Line 16: Line 16:
    
    
   196                                                                    Copyright © 2007 IEEE. All rights reserved.
   196                                                                    Copyright © 2007 IEEE. All rights reserved.
'''Hole196''' on kirjas 802.11 standardi 196-ndal leheküljel, sealt ka nimi "Auk 196".


== Krüptovõtmed ==
== Krüptovõtmed ==


Kahte tüüpi krüptovõtmeid
Kasutatakse kahte tüüpi krüptovõtmeid


# '''Pairwise Transient Key''' (PTK) - unikaalne, genereeritud iga sessiooni jaoks eraldi, kaitseb unicast andmeid
# '''Pairwise Transient Key''' (PTK) - unikaalne, genereeritud iga sessiooni jaoks eraldi, kaitseb unicast liiklust
# '''Group Temporal Key''' (GTK) - jagatud kõigi klientide vahel, kaitseb grupile saadetud andmeid (näit. ARP broadcast)
# '''Group Temporal Key''' (GTK) - jagatud kõigi klientide vahel, kaitseb grupile saadetud andmeid (näit. ARP broadcast)


Line 32: Line 34:
=== ARP Poisoning ===
=== ARP Poisoning ===


Vanem ARP mürgitamise (ARP Poisoning) viis, kus võltsitud ARP päring saadeti AP-le teistele klientidele edastamiseks, on IDS/IPS poolt tuvastatav. '''Hole196''' võimaldab võltsitud ARP päringu saata otse teisele kliendile ja on seega võrguseadmes IDS/IPS poolt avastamatu.
Vanem ARP mürgitamise (ARP Poisoning) viis, kus võltsitud ARP päring saadeti läbi AP teistele klientidele, on IDS/IPS poolt tuvastatav. '''Hole196''' võimaldab võltsitud ARP päringu saata otse teisele kliendile ja on seega võrguseadme IDS/IPS poolt avastamatu. Kliendi arvutis asuv IDS/IPS tarkvara tuvastaks ARP cache muutuse kuid sellised programmid on vähe levinud.


=== Man-in-the-middle ===
=== Man-in-the-middle ===
Line 39: Line 41:
* Ohver saadab kogu oma liikluse AP-le krüpteerituna oma PTK-ga aga märgib gatewayks ründaja
* Ohver saadab kogu oma liikluse AP-le krüpteerituna oma PTK-ga aga märgib gatewayks ründaja
* AP dekrüpteerib ohvri liikluse, krüpteerib selle ründaja PTK-ga ja saadab ründajale
* AP dekrüpteerib ohvri liikluse, krüpteerib selle ründaja PTK-ga ja saadab ründajale
* Ründaja dekrüpteerib ohvri liikluse
* Ründaja dekrüpteerib ohvri liikluse enda PTK-ga
* Ründaja edastab ohvri liikluse AP-le aga õige gateway'ga
* Ründaja edastab ohvri liikluse AP-le aga õige gateway'ga, tagasi tulnud liikluse edastab ohvrile


== Kuidas kaitsta? ==
== Kuidas kaitsta? ==
Line 46: Line 48:
Probleemi päriselt kõrvaldamiseks tuleks parandada protokolli ja uuendada AP-de tarkvara - see võtab aega.
Probleemi päriselt kõrvaldamiseks tuleks parandada protokolli ja uuendada AP-de tarkvara - see võtab aega.


Seni saab ennast kaitsta
Seni saab ennast kaitsta:


* Isoleerides WiFi kasutajad teineteisest (ei välista ARP mürgitamist kuid takistab ohvril oma liikluse ründajale saatmist)
* Isoleerides WiFi kasutajad teineteisest (ei välista ARP mürgitamist kuid takistab ohvril oma liikluse ründajale saatmist)

Latest revision as of 13:44, 21 June 2011

Hole196 on WiFi võrgu turvaprotokolli haavatavus, mis võimaldab sisemist rünnakut võrgus oleva pahatahtliku kasutaja poolt. See puudutab kõiki WPA ja WPA2 kliente, sõltumata kasutatavast krüptost (AES või TKIP), kasutatavast autentimise viisist (PSK või 802.1x/EAP) või kasutatavast WLAN arhitektuurist (iseseisev, kohaliku- või tsentraalse kontrolliga). Hole196 ei võimalda volitamata kasutaja juurdepääsu võrgule.

IEEE 802.11 standard [1]

 8.5 Keys and key distribution
 
   8.5.1 Key hierarchy
 
   RSNA defines two key hierarchies:
     a) Pairwise key hierarchy, to protect unicast traffic
     b) GTK, a hierarchy consisting of a single key to protect multicast and broadcast traffic
        NOTE—Pairwise key support with TKIP or CCMP allows a receiving STA to detect MAC address spoofing
        and data forgery. The RSNA architecture binds the transmit and receive addresses to the pairwise key. If an
        attacker creates an MPDU with the spoofed TA, then the decapsulation procedure at the receiver will generate
        an error. GTKs do not have this property.
 
 196                                                                     Copyright © 2007 IEEE. All rights reserved.

Hole196 on kirjas 802.11 standardi 196-ndal leheküljel, sealt ka nimi "Auk 196".

Krüptovõtmed

Kasutatakse kahte tüüpi krüptovõtmeid

  1. Pairwise Transient Key (PTK) - unikaalne, genereeritud iga sessiooni jaoks eraldi, kaitseb unicast liiklust
  2. Group Temporal Key (GTK) - jagatud kõigi klientide vahel, kaitseb grupile saadetud andmeid (näit. ARP broadcast)

WPA2 standardi järgi on GTK ühesuunaline võti, AP peaks seda kasutama krüpteerimiseks ja WiFi klient dekrüpteerimisel. Samas WiFi klient jätab endale alati GTK koopia. (wpa_supplicant tarkvara logi näitab, et GTK on WiFi kliendile alati teada.)

Pahatahtlik kasutaja saab saata GTK-ga krüpteeritud andmeid teistele võrgu kasutajatele.

Võimalik rünne

ARP Poisoning

Vanem ARP mürgitamise (ARP Poisoning) viis, kus võltsitud ARP päring saadeti läbi AP teistele klientidele, on IDS/IPS poolt tuvastatav. Hole196 võimaldab võltsitud ARP päringu saata otse teisele kliendile ja on seega võrguseadme IDS/IPS poolt avastamatu. Kliendi arvutis asuv IDS/IPS tarkvara tuvastaks ARP cache muutuse kuid sellised programmid on vähe levinud.

Man-in-the-middle

  • Ründaja saadab ohvrile ARP teate "mina olen gateway"
  • Ohver saadab kogu oma liikluse AP-le krüpteerituna oma PTK-ga aga märgib gatewayks ründaja
  • AP dekrüpteerib ohvri liikluse, krüpteerib selle ründaja PTK-ga ja saadab ründajale
  • Ründaja dekrüpteerib ohvri liikluse enda PTK-ga
  • Ründaja edastab ohvri liikluse AP-le aga õige gateway'ga, tagasi tulnud liikluse edastab ohvrile

Kuidas kaitsta?

Probleemi päriselt kõrvaldamiseks tuleks parandada protokolli ja uuendada AP-de tarkvara - see võtab aega.

Seni saab ennast kaitsta:

  • Isoleerides WiFi kasutajad teineteisest (ei välista ARP mürgitamist kuid takistab ohvril oma liikluse ründajale saatmist)
  • Kasutada VPN ühendust
  • Kasutada IDS/IPS tarkvara (näiteks Snort) tuvastamaks ARP cache muutusi.

Välislingid