WiFi Chipset Fingerprinting

Transkript

1 WiFi Chipset Fingerprinting Secure Business Austria und Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie Technische Universität Graz Günther Lackner Mario Lamberger Udo Payer Peter Teufl 1 1

2 Inhalt 1. Aufbau und Vergabe von MAC Adressen 2. MAC Spoofing Media Access Control System 4. WLAN Fingerprinting 5. Klassifikation mit SOMs 6. Resultate und Ausblick 2 2

3 Aufbau und Vergabe von MAC Adressen lt. Definition einzigartig für jedes Netzwerkgerät Die Länge ist 48 Bit Beinhaltet Identifikation des Herstellers Plus eine fortlaufende Nummer für jedes Gerät 2 Vergabeschemen OUI / IAB (obliegt der IEEE) HEX 35:7B:12:00:00:01 UOI BIN : : : : : Universally/Locally Administered address bit Individual/Group address bit 3 3

4 MAC Spoofing Ändern der MAC Adresse in Netzwerkpaketen ist sehr einfach Wird von einer Vielzahl von kompatiblen Karten unterstützt Ermöglicht unterschiedlichste Attacken Identitätsdiebstahl DoS 4 4

5 MAC Spoofing Attacken Denial of Service durch Deauthentifizierung Denial of Service durch Ausnützung des Energiesparmodus Der falsche Access Point Der falsche Client 5 5

6 MAC Spoofing Attacken MAC basierende Zugangsbeschränkung Bestimmte Modelle von APs ermöglichen die Authentifizierung basierend auf einer Whitelist von MAC Adressen. Wird oft als zusätzliche Absicherung zu WEP gesicherten Netzen verwendet. Ein Angreifer kann jedoch sehr einfach die MAC Adressen von authentifizierten Teilnehmern abhören und für seine eigenen Pakete verwenden. Ist noch einfacher zu knacken als WEP. 6 6

7 Maßnahmen gegen MAC Spoofing Sinnhaftigkeit von MAC-Adressen MAC Adressen werden bei der Authentifizierung auf Plausibilität überprüft. Zufällig erstellte, gespoofte MAC Adressen enthalten oftmals keinen gültigen OUI. Maßnahme kann jedoch sehr einfach umgangen werden. Nur minimale Modifikationen notwendig. 7 7

8 Maßnahmen gegen MAC Spoofing WLAN Sequence Number Analyse Pakete enthalten ein 12 Bit großes Feld für die Aufnahme einer Sequence Number MAC HEADER Frame Control Duration/ ID Address 1 Address 2 Address 3 Sequence Control Address 4 Frame Body CRC Bytes Einem Angreifer ist es nicht immer möglich die richtige Sequence Number zu erraten. 8 8

9 Media Access Control System Media Access Control (MAC) auf Layer 2 Da WiFi Geräte nicht in full duplex operieren ist die Verwendung eines Colission Avoidance Mechanismus ist notwendig DCF (Distributed Coordination Function) ist ein CSMA/CA (Carrier Sense Multiple Access with Colission Avoidance) Clients können durch verschicken von RTS (Request to Send) Paketen ihren Bedarf ankündigen und der AP kann ihn durch CTS (Clear to Send) bewilligen. Empfänger jedes Pakets müssen dies durch ein ACK bestätigen FC Duration Receiver Address CRC

10 Media Access Control System Den zeitliche Verlauf kann man sich folgendermaßen vorstellen Client Access Point Frame 1 Data request Frame 2 ACK Frame 3 Data response ACK Delay ACK Delay Delay Frame 4 ACK 10 10

11 Media Access Control System Das ACK Delay Es entsteht durch die Verarbeitung des empfangenen Pakets in der WLAN Netzwerkhardware. Dauer der Verarbeitung für verschiedene Chipsätze unterschiedlich. Dadurch ergibt sich eine signifikante Verteilung des ACK Delays 11 11

12 WLAN Fingerprinting Der Messaufbau WLAN LAN Mbit Mbit Probe Access Point Server Client < 1m ICMP PING 12 12

13 WLAN Fingerprinting Verarbeitung der Messergebnisse Im Experimentellen Status wurde die Verarbeitung durch mehrere Programme in mehreren Stufen durchgeführt. Capturing mittels Ethereal Filtern der Ergebnisse durch ein Python Skript Auswertung durch ein Matlab Skript Gesammelt wurden viele tausend Data Frame - ACK Paare für 6 gängige WLAN Chipsätze. Als Ergebnis erhielten wir für jeden Chipsatz ein signifikates Histogramm der zeitlichen Verteilung der ACK Verzögerung

14 WLAN Fingerprinting Histogramme 0.09 Intel GB relative occurence time [ms] 0.12 Broadcom 43xx relative occurence time [ms] 14 14

15 Klassifikation mit SOMs Aus den gemessenen Datenpaaren wurden Histogramme mit ais jeweils 50 Werten gebildet. Für die Klassifikation dieser Histogramme wählten wir Self Organizing Maps (SOMs) aus dem Bereich des unüberwachten Lernens. SOMs können nichtlineare Zusammenhänge von hoch-dimensionalen Daten in einem niedrig-dimensionalen Raum darstellen. In unserem Fall: 300 dimensionale Testvektoren 2 dimensionale SOMs 15 15

16 Klassifikation mit SOMs Durch Verarbeitung von Referenzmessungen mit uns bekannten Chipsätzen wurde ein Referenz SOM Baum erstellt Durch die Zusammenfassung von sehr ähnlichen Klassen, und eine anschließende Klassifizierung in einer Sub-SOM können wesentlich bessere Ergebnisse erzielt werden. (SOM Tree Algorithmus) SOM mit Hits von drei Klassen - Rot (Broadcom), Grün (Linksys) und Blau (Intel BG2200) 16 16

17 Ergebnisse Trainingsdaten Testdatensätze Chipset in Paketen zu 200/500/1000 Paketen 1: Orinioco (RoamAbout WLAN Karte) /49/25 2: Prism II /31/16 3: Broadcom (Linksys) /16/8 4: Intel BG /25/13 5: Intel BG /10/5 6: Broadcom 43xx (Acer NB) /61/31 7: Broadcom 43xx (Ibook) /16/ ,2% 24,8% 0,0% 0,0% 0,0% 0,0% 0,0% 2 57,1% 42,9% 0,0% 0,0% 0,0% 0,0% 0,0% 3 0,0% 0,0% 90.0% 5,0% 5,5% 0,0% 0,0% 4 0,0% 0,0% 11,5% 86,9% 0,0% 0,0% 0,0% 5 0,0% 0,0% 29,1% 4,2% 66,7% 0,0% 0,0% 6 0,0% 0,0% 0,0% 0,0% 0,0% 78,3% 21,1% 7 0,0% 0,0% 0,0% 0,0% 0,0% 65,0% 35,0% 17 17

18 Ergebnisse (500 & 1000 Pakete pro Testdatensatz) ,1% 44,9% 0,0% 0,0% 0,0% 0,0% 0,0% 2 61,3% 38,7% 0,0% 0,0% 0,0% 0,0% 0,0% 3 0,0% 0,0% 87,5% 0,0% 12,5% 0,0% 0,0% 4 0,0% 0,0% 0,0% 96,0% 0,0% 0,0% 0,0% 5 0,0% 0,0% 10,0% 0,0% 90,0% 0,0% 0,0% 6 0,0% 0,0% 0,0% 0,0% 0,0% 82,0% 18,0% 7 0,0% 0,0% 0,0% 0,0% 0,0% 62,5% 37,5% ,0% 16,0% 0,0% 0,0% 0,0% 0,0% 0,0% 2 43,8% 56,3% 0,0% 0,0% 0,0% 0,0% 0,0% 3 0,0% 0,0% 100,0% 0,0% 0,0% 0,0% 0,0% 4 0,0% 0,0% 0,0% 92,3% 0,0% 0,0% 0,0% 5 0,0% 0,0% 0,0% 0,0% 100,0% 0,0% 0,0% 6 0,0% 0,0% 0,0% 0,0% 0,0% 84,0% 16,1% 7 0,0% 0,0% 0,0% 0,0% 0,0% 62,5% 37,5% 18 18

19 Ausblick Bau eines Sensors, welcher passiv in einem Netzwerk die Chipsätze der Teilnehmer klassifizieren kann. (bereits in Arbeit) Modifikation von APs (Linksys), um die Weitergabe der ACK Verzögerung über das Netzwerk, an einen Security Monitor zur Analyse zu ermöglichen. (in Planung) 19 19

20 Danke für Ihre Aufmerksamkeit! 20 20