Wireless Intrusion Detection and Prevention. Peter Krebs, ITTK, 7.Semester, WS2008/09

Transkript

1 Wireless Intrusion Detection and Prevention NII Peter Krebs, ITTK, 7.Semester, WS2008/09

2 Inhalt Überblick Definition Unterschiede zu IDS/IPS Herausforderungen und Probleme Architektur Angriffe und Gefahren WIDS/WIPS-Methoden Evasion-Techniken

3 Definition Drahtloses Interface vorhanden Typischerweise WNIC Direkter physikalischer Zugang zum WLAN Nicht nur gebridgeter/getunnelter Traffic Analyse beschränkt auf WLAN PHY und MAC Layer 3+ ist Sache von konv. IDS/IPS WIDS/WIPS ist network-based Ideale Voraussetzungen, da Shared-Medium

4 Unterschiede zu IDS/IPS Naiver Ansatz: IDS/IPS auf WLAN erweitern Schlechte Idee... WLAN ist nicht LAN! Unterschiede müssen im Design berücksichtigt werden Um Fehlverhalten zu vermeiden (False Positives/ Negatives)

5 Unterschiede Drahtloses Medium Physik hat viel größeren Einfluss (Signalstärke, Interferenz, Reichweite) Geringere Datenraten als bei Wire Unterschiedliche Kanäle (!) Spezifika Verschiedene Frame-Typen Unterschiedliche Service Sets (Infrastructure, Adhoc, ESS) und Client-Plattformen (Laptop, Handheld, Mobiltelefon)

6 Unterschiede Link Encryption WEP, TKIP, CCMP Architektur WIDS/WIPS sitzt am Perimeter (!) Es gibt keine WLAN-Firewalls... Mehr Sensoren benötigt Inline Mode nicht möglich (außer auf AP) Passive Mode sehr einfach

7 Herausforderungen Deployment Sensor-Platzierung (Anzahl/Kosten vs. Abdeckung) Wireless und wired Sensoren? Kommunikation zwischen Komponenten? Implementierung Sinnvolle Darstellung von WLAN-Spezifika Einheitliches Vokabular Detection Frame-Capture Vollständigkeit der Detection-Mechanismen

8 Herausforderungen Prevention Begrenzung schwierig (Shared Medium) Fingerprinting/Gegenangriff durch Intruder Attacken Berücksichtigung von wireless UND wired Threats Mehr Möglichkeiten für Evasion

9 Architektur Komponenten Wireless Network Sensor Frame Capture und Decoding WNIC in Monitor Mode Wireless Network Director Korrelation und Analyse Integration in CAPWAP AS/WLC sinnvoll Wireless Network Executor Frame Crafting Oft ein konventioneller AP

10 Architektur Deployment Standalone, centralised oder distributed? Overlay oder integrated?

11 Angriffe Wireless Threat Geht von einem WLAN aus oder hat dieses als Ziel Angreifer kann auch drahtgebunden sein Angreifer befindet sich (physisch) extern oder intern Richtantenne Angreifer nutzt WLAN Frames als Transportmedium Auch getunnelt (z. B. in LWAPP, EAP)

12 Angriffe Wireless reconnaissance, sniffing Ausspähen von WLANs und deren Traffic Passiv oder aktiv Frame injection Forged Frames an den Client (z. B. DNS/HTTP Response) Replay von gesnifften Frames (Umgehung von Shared Key Auth., Generierung von Traffic)

13 Angriffe Impersonation, spoofing und MitM Spoofing von MAC-Adressen und ESSIDs ( Evil Twin ) Fake 802.1x Authenticator oder AAA-Server Access control attacks Unauthorisierter Zugang zum WLAN und DS MAC-Spoofing gegen ACL, ev. EAP-Credentials Unerlaubte/Unsichere APs Rogue APs Hidden RAPs (WKnock, n, Bluetooth)

14 Angriffe Encryption cracking Key recovery WEP Cracking (FMS, KoreK, Klein's attack) WPA/WPA2 Dictionary-Attacke Plaintext recovery WEP: IV-Table, Chopchop-, Arbaugh-Attacke WPA (TKIP): WMM-Chopchop-Angriff Cracken von EAP-Credentials EAP-MD5, LEAP (Asleap)

15 Angriffe Wireless DoS RF jamming Überfluten mit Störsignalen (Mikrowelle, Bluetooth) Management frame flooding (Spoofed) Deauthentication/Disassociation flood Control frame attacks Virtual jamming mit manipulierten CTS-Frames ( NAV attack ) False packet validation mit gefälschten ACK-Frames Random Packet Destruction Ausnutzen von TCP-over-WLAN Designmängeln 802.1x flooding EAPoL-Flood an den AAA-Server oder Authenticator

16 Angriffe Client-to-client attacks Relativ neu und gefährlich Keine aktive Verbindung notwendig (!) Protocol fuzzing Malformed WLAN-Frames mit unerlaubten Werten/Struktur Beruht auf Schwachstellen im WNIC-Treiber Ziel: Remote-Zugriff oder Absturz des Clients Remote exploits Ausführen von Payloads auf dem Opfer (Root-Zugriff, Malware)

17 WIDS-Methoden Reconnaissance Passiv: Stimulus response (z. B. mit RTS/CTS- Handshake) Aktiv: Signaturen in Probe Frames oder Anzahl dieser Netstumbler: 41:6c:6c:20:79:6f:75:72:20:38:30:32... (All your are belong to us) Injection Default-Werte in Frames (SSID, Duration) Duplizierte Frames DPI auf höheren Layern (IP, TCP Payload) Timing Analysis

18 WIDS-Methoden Impersonation, spoofing Falsche OUIs in MAC-Adressen Black/Whitelist SNMP-Lookup auf AP-MIBs Beobachtung von EAPoL-Frames auf Wire und WLAN Unauthorised access, RAPs Unbekannte MAC-Adressen und SSIDs Cisco Rogue Location Detection Protocol Hidden RAPs: Knocking Sequence entdecken, geeignete WNIC

19 WIDS-Methoden Encryption breaking attempts WEP: Replay von Frames mit gleichem IV oder sich veränderndem Payload (Counter) WPA: Häufigkeit von 4-Way-Handshakes und MIC- Failure-Messages DoS detection Messung des SNR Thresholds für Frames Beobachtung des Mediumzugriffs (NAV)

20 WIDS-Methoden Client-to-client Verbot von Ad-Hoc-Netzwerken, Überprüfung anhand von Ad-hoc-only-Frames (z. B. ATIM) Frame-Signaturen gegen Fuzzing DPI gegen Remote exploits Location tracking Position des Angreifers bestimmen und verfolgen Trilateration durch Sensoren

21 WIPS-Methoden Basieren großteils auf Angriffsmethoden Methoden: DoS auf den Angreifer mittels Fuzzing, jamming,... Blocken/Filtern von Traffic auf dem AP Session containment : Impersonation des Angreifers und Versenden von gespoofeten Disassoc/Deauth- Frames in dessen Namen Erschweren von statistischen Angriffen durch Aussenden von Zufallsdaten ( WEP shielding ) Absichtliches Triggern von MIC-Fehlern

22 Evasion-Techniken Physical evasion Mittels Richtantennen oder Begrenzung der Reichweite (EIRP reduzieren) Channel hopping Schneller Wechsel des WLAN-Kanals Verschleierung Durch unterschiedliche Modulationen (OFDM, MIMO) Encryption WPA/WPA2 benutzt dynamische Schlüssel!

23 Evasion-Techniken MAC fragmentation Reassemblierung notwendig Nutzung von höheren Layern Kooperation mit Layer 3+ IDS notwendig DoS auf das WIDS/WIPS Vorher Fingerprinting durch Angreifer Manipulation des WLAN-Stacks/Treibers Ignorieren von Session containment

24 Zusammenfassung WIDS/WIPS ist ein eigenes Konzept Mit eigenen Problemen, Herausforderungen und Voraussetzungen WLAN ist ein sicherheitskritisches Medium ist das komplizierteste Layer2-Protokoll (und es wird immer komplexer!) Zahlreiche Angriffe sind verfügbar Effektive Detection Techniken sind notwendig Sonst ist Evasion möglich! Prevention muss richtig eingesetzt werden Sonst trifft es Unschuldige! (WLAN des Nachbarn...)

25 Danke für die Aufmerksamkeit!