WiFi Chipset Fingerprinting

Ähnliche Dokumente
Themen. Wireless LAN. Repeater, Hub, Bridge, Switch, Router, Gateway

Sicherheitsrisiken bei WLAN

Wireless Local Area Network

Übung 3 - Ethernet Frames

Wireless LAN. Proseminar Rechnernetze WS 2007/08 Universität Freiburg Referent: Daniel Guagnin

Systeme II 7. Woche Funkprobleme und Ethernet

Wireless LAN Meßverfahren

Internet-Praktikum II Lab 4: Wireless LAN - WLAN

Wireless Local Area Network (Internet Mobil) Zengyu Lu

WLAN Angriffsszenarien und Schutz. OSZ IMT - FA16 Jirka Krischker & Thomas Roschinsky

WLAN & Sicherheit IEEE

Modul 3: WLAN. 3.1Einführung 3.2 CSMA/CA Medien-Zugriffsprotokoll 3.3 Schicht 2 Adressierung und Aufbau des Rahmens der Schicht 2 3.

6. Konfiguration von Wireless LAN mit WPA PSK. 6.1 Einleitung

Übungsblatt Warum brauchen Bridges und Layer-2-Switches keine physischen oder logischen

Inhalt W-LAN. Standardisierungen. Inhalt. Institute of Electrical and Electronics Engineers (IEEE) IEEE 802

Computeranwendung in der Chemie Informatik für Chemiker(innen) 4. Netzwerke

Jam the WLAN (Pierre Kroma, Sebastian Schreiber, SySS GmbH)

ALLNET ALL0305. Wireless 54Mbit Dual-Radio Outdoor AP/Bridge. integrierter Blitzschutz wasserdichtes Outdoorgehäuse bis zu 8 Betriebsmodi

Systemsicherheit 4: Wireless LAN

Inhalt: 1. Layer 1 (Physikalische Schicht) 2. Layer 2 (Sicherungsschicht) 3. Layer 3 (Vermittlungsschicht) 4. Layer 4 (Transportschicht) 5.

Absicherung von WLANs: Methoden

Drahtlos vernetzte regelungstechnische Anwendungen

Zeller, Lauer, Maresch. WLAN-Hacking

Workshop Sicherheit im Netz KZO Wetzikon. Peter Skrotzky, 4. Dezember 2013

Motivation Sicherheit. WLAN Sicherheit. Karl Unterkalmsteiner, Matthias Heimbeck. Universität Salzburg, WAP Präsentation, 2005

Übertragungsprotokolle TCP/IP Ethernet-Frames / network layer

Netzwerke, Kapitel 3.1

Fachbereich Medienproduktion

Live Hacking: : So brechen Hacker in Ihre Netze ein

Nutzerauthentifizierung mit 802.1X. Torsten Kersting

Seminar: Konzepte von Betriebssytem- Komponenten

Kap. 4. Sicherungs-Schicht ( Data Link Schicht)

ICMP Protokoll & Anwendung Einige Risiken von ICMP erkennen und verstehen! FRITZ Gerald

Schnelles Roaming im WLAN mittels Dual-Transceiver Stations

3E03: Layer 2 Redundanz im LAN mit Spanning Tree

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Grundkonfiguration des Routers. - Ein Bootimage ab Version 7.4.x.

German English Firmware translation for T-Sinus 154 Access Point

Übungen zu Rechnerkommunikation Wintersemester 2010/2011 Übung 8

6. Foliensatz Computernetze

Wissenschaftliches Experiment

bintec Workshop Konfiguration von Wireless LAN mit WEP Copyright 8. November 2005 Funkwerk Enterprise Communications GmbH Version 0.

Der Backoff-Algorithmus

1) Konfigurieren Sie Ihr Netzwerk wie im nachfolgenden Schaubild dargestellt.

TCP flow control, congestion avoidance

Leistungsfähigkeit von Lokalisierungsverfahren im WLAN

8. Vorlesung Netzwerke

Vorlesung "Verteilte Systeme" Wintersemester 2000/2001. Verteilte Systeme. Empfänger Kommunikationssystem. Netzwerk

Virtual Access Points Michael Roßberg

Seminar Mobile Computing Drahtlose lokale Netze

Neue WLAN-Techniken und ihr Einfluss auf Enterprise WLANs. Dr. Joachim Wetzlar,

Netzwerk-Programmierung. Netzwerke.

Angriffe auf lokale IPv6-Netze und Verteidigungsmaßnahmen

ALLNET ALL0258n. Wireless N 150Mbit AP. 150 Mbit WEP Verschlüsselung WPA/ WPA 2 PSK Verschlüsselung LED Anzeige.

IP Adressen & Subnetzmasken

Technische Richtlinie Sicheres WLAN (TR-S-WLAN)

Abschlussklausur. Moderne Netzstrukturen. 18. Februar Aufgabe: Σ Note

Wireless G 4-Port VPN Router 54 Mbit/s WLAN g, VPN, QoS, 4-Port 10/100 Mbit/s LAN-Switch Part No.:

Layer 2 Forwarding Protokoll. Chair for Communication Technology (ComTec), Faculty of Electrical Engineering / Computer Science

Grundlagen TCP/IP. C3D2 Chaostreff Dresden. Sven Klemm

Rechnern netze und Organisatio on

Christoph Fischer Jörg Schneider DFKI Intelligente Netze. Real Time Workload Monitoring for WLAN

1) Konfigurieren Sie Ihr Netzwerk wie im nachfolgenden Schaubild dargestellt.

Netzwerk-Programmierung. Netzwerke. Alexander Sczyrba Michael Beckstette.

Lösungen zu Informations- und Telekommunikationstechnik Arbeitsheft, 3. Auflage

Handbuch der Routing-Protokolle

Leistungsbeschreibung blizzneteos Version: 2.1

Netzwerkperformance 2.0

UDP User Datagramm Protokoll

Fakultät Informatik, Institut für Technische Informatik, Professur für VLSI - EDA. Implementierung eines UDP/IP-Stacks in Hardware.

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

1 Wireless-LAN im Überblick... 11

WLAN Vortrag. Linux DemoDay von Stefan Triller

Stefan Dahler. 2. Wireless LAN Client zum Access Point mit WPA-TKIP. 2.1 Einleitung

Netzwerke. Netzwerk-Programmierung. Sven Hartmeier.

Implementierung eines universellen IPv6 Protokollstapels

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

Matthias Hofherr. WLAN-Sicherheit. Professionelle Absicherung von Netzen. Heise

Themen. Vermittlungsschicht. Routing-Algorithmen. IP-Adressierung ARP, RARP, BOOTP, DHCP

Computernetz-Grundlagen Zusammenfassung

Random-Access-Verfahren

ARP, ICMP, ping. Jörn Stuphorn Bielefeld, den 4. Mai Mai Universität Bielefeld Technische Fakultät

WLAN - Last Visualisierung

WLAN-Sicherheit. Markus Oeste. 27. Januar Konferenzseminar Verlässliche Verteilte Systeme Lehr- und Forschungsgebiet Informatik 4 RWTH Aachen

Zugriffsverfahren CSMA/CD CSMA/CA

Transkript:

WiFi Chipset Fingerprinting Secure Business Austria und Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie Technische Universität Graz Günther Lackner Mario Lamberger Udo Payer Peter Teufl 1 1

Inhalt 1. Aufbau und Vergabe von MAC Adressen 2. MAC Spoofing 3. 802.11 Media Access Control System 4. WLAN Fingerprinting 5. Klassifikation mit SOMs 6. Resultate und Ausblick 2 2

Aufbau und Vergabe von MAC Adressen lt. Definition einzigartig für jedes Netzwerkgerät Die Länge ist 48 Bit Beinhaltet Identifikation des Herstellers Plus eine fortlaufende Nummer für jedes Gerät 2 Vergabeschemen OUI / IAB (obliegt der IEEE) HEX 35:7B:12:00:00:01 UOI BIN 0011 0101 : 0111 1011 : 0001 0010 : 0000 0000 : 0000 0000 : 0000 0001 Universally/Locally Administered address bit Individual/Group address bit 3 3

MAC Spoofing Ändern der MAC Adresse in Netzwerkpaketen ist sehr einfach Wird von einer Vielzahl von 802.11 kompatiblen Karten unterstützt Ermöglicht unterschiedlichste Attacken Identitätsdiebstahl DoS 4 4

MAC Spoofing Attacken Denial of Service durch Deauthentifizierung Denial of Service durch Ausnützung des Energiesparmodus Der falsche Access Point Der falsche Client 5 5

MAC Spoofing Attacken MAC basierende Zugangsbeschränkung Bestimmte Modelle von APs ermöglichen die Authentifizierung basierend auf einer Whitelist von MAC Adressen. Wird oft als zusätzliche Absicherung zu WEP gesicherten Netzen verwendet. Ein Angreifer kann jedoch sehr einfach die MAC Adressen von authentifizierten Teilnehmern abhören und für seine eigenen Pakete verwenden. Ist noch einfacher zu knacken als WEP. 6 6

Maßnahmen gegen MAC Spoofing Sinnhaftigkeit von MAC-Adressen MAC Adressen werden bei der Authentifizierung auf Plausibilität überprüft. Zufällig erstellte, gespoofte MAC Adressen enthalten oftmals keinen gültigen OUI. Maßnahme kann jedoch sehr einfach umgangen werden. Nur minimale Modifikationen notwendig. 7 7

Maßnahmen gegen MAC Spoofing WLAN Sequence Number Analyse 802.11 Pakete enthalten ein 12 Bit großes Feld für die Aufnahme einer Sequence Number MAC HEADER Frame Control Duration/ ID Address 1 Address 2 Address 3 Sequence Control Address 4 Frame Body CRC Bytes 2 2 6 6 6 2 6 0-2312 4 Einem Angreifer ist es nicht immer möglich die richtige Sequence Number zu erraten. 8 8

802.11 Media Access Control System Media Access Control (MAC) auf Layer 2 Da WiFi Geräte nicht in full duplex operieren ist die Verwendung eines Colission Avoidance Mechanismus ist notwendig DCF (Distributed Coordination Function) ist ein CSMA/CA (Carrier Sense Multiple Access with Colission Avoidance) Clients können durch verschicken von RTS (Request to Send) Paketen ihren Bedarf ankündigen und der AP kann ihn durch CTS (Clear to Send) bewilligen. Empfänger jedes Pakets müssen dies durch ein ACK bestätigen FC Duration Receiver Address CRC 2 2 6 4 9 9

802.11 Media Access Control System Den zeitliche Verlauf kann man sich folgendermaßen vorstellen Client Access Point Frame 1 Data request Frame 2 ACK Frame 3 Data response ACK Delay ACK Delay Delay Frame 4 ACK 10 10

802.11 Media Access Control System Das ACK Delay Es entsteht durch die Verarbeitung des empfangenen Pakets in der WLAN Netzwerkhardware. Dauer der Verarbeitung für verschiedene Chipsätze unterschiedlich. Dadurch ergibt sich eine signifikante Verteilung des ACK Delays 11 11

WLAN Fingerprinting Der Messaufbau WLAN LAN 802.11 11Mbit 802.3 100Mbit Probe Access Point Server Client < 1m ICMP PING 12 12

WLAN Fingerprinting Verarbeitung der Messergebnisse Im Experimentellen Status wurde die Verarbeitung durch mehrere Programme in mehreren Stufen durchgeführt. Capturing mittels Ethereal Filtern der Ergebnisse durch ein Python Skript Auswertung durch ein Matlab Skript Gesammelt wurden viele tausend Data Frame - ACK Paare für 6 gängige WLAN Chipsätze. Als Ergebnis erhielten wir für jeden Chipsatz ein signifikates Histogramm der zeitlichen Verteilung der ACK Verzögerung. 13 13

WLAN Fingerprinting Histogramme 0.09 Intel GB2200 0.08 0.07 0.06 relative occurence 0.05 0.04 0.03 0.02 0.01 0 0 50 100 150 200 250 300 time [ms] 0.12 Broadcom 43xx 0.1 0.08 relative occurence 0.06 0.04 0.02 0 0 50 100 150 200 250 300 time [ms] 14 14

Klassifikation mit SOMs Aus den gemessenen Datenpaaren wurden Histogramme mit ais jeweils 50 Werten gebildet. Für die Klassifikation dieser Histogramme wählten wir Self Organizing Maps (SOMs) aus dem Bereich des unüberwachten Lernens. SOMs können nichtlineare Zusammenhänge von hoch-dimensionalen Daten in einem niedrig-dimensionalen Raum darstellen. In unserem Fall: 300 dimensionale Testvektoren 2 dimensionale SOMs 15 15

Klassifikation mit SOMs Durch Verarbeitung von Referenzmessungen mit uns bekannten Chipsätzen wurde ein Referenz SOM Baum erstellt Durch die Zusammenfassung von sehr ähnlichen Klassen, und eine anschließende Klassifizierung in einer Sub-SOM können wesentlich bessere Ergebnisse erzielt werden. (SOM Tree Algorithmus) SOM mit Hits von drei Klassen - Rot (Broadcom), Grün (Linksys) und Blau (Intel BG2200) 16 16

Ergebnisse Trainingsdaten Testdatensätze Chipset in Paketen zu 200/500/1000 Paketen 1: Orinioco (RoamAbout WLAN Karte) 36200 121/49/25 2: Prism II 22950 77/31/16 3: Broadcom 94306 (Linksys) 11750 40/16/8 4: Intel BG2200 18050 61/25/13 5: Intel BG2100 7050 24/10/5 6: Broadcom 43xx (Acer NB) 45350 152/61/31 7: Broadcom 43xx (Ibook) 11900 40/16/8 1 2 3 4 5 6 7 1 75,2% 24,8% 0,0% 0,0% 0,0% 0,0% 0,0% 2 57,1% 42,9% 0,0% 0,0% 0,0% 0,0% 0,0% 3 0,0% 0,0% 90.0% 5,0% 5,5% 0,0% 0,0% 4 0,0% 0,0% 11,5% 86,9% 0,0% 0,0% 0,0% 5 0,0% 0,0% 29,1% 4,2% 66,7% 0,0% 0,0% 6 0,0% 0,0% 0,0% 0,0% 0,0% 78,3% 21,1% 7 0,0% 0,0% 0,0% 0,0% 0,0% 65,0% 35,0% 17 17

Ergebnisse (500 & 1000 Pakete pro Testdatensatz) 1 2 3 4 5 6 7 1 55,1% 44,9% 0,0% 0,0% 0,0% 0,0% 0,0% 2 61,3% 38,7% 0,0% 0,0% 0,0% 0,0% 0,0% 3 0,0% 0,0% 87,5% 0,0% 12,5% 0,0% 0,0% 4 0,0% 0,0% 0,0% 96,0% 0,0% 0,0% 0,0% 5 0,0% 0,0% 10,0% 0,0% 90,0% 0,0% 0,0% 6 0,0% 0,0% 0,0% 0,0% 0,0% 82,0% 18,0% 7 0,0% 0,0% 0,0% 0,0% 0,0% 62,5% 37,5% 1 2 3 4 5 6 7 1 84,0% 16,0% 0,0% 0,0% 0,0% 0,0% 0,0% 2 43,8% 56,3% 0,0% 0,0% 0,0% 0,0% 0,0% 3 0,0% 0,0% 100,0% 0,0% 0,0% 0,0% 0,0% 4 0,0% 0,0% 0,0% 92,3% 0,0% 0,0% 0,0% 5 0,0% 0,0% 0,0% 0,0% 100,0% 0,0% 0,0% 6 0,0% 0,0% 0,0% 0,0% 0,0% 84,0% 16,1% 7 0,0% 0,0% 0,0% 0,0% 0,0% 62,5% 37,5% 18 18

Ausblick Bau eines Sensors, welcher passiv in einem Netzwerk die Chipsätze der Teilnehmer klassifizieren kann. (bereits in Arbeit) Modifikation von 802.11 APs (Linksys), um die Weitergabe der ACK Verzögerung über das Netzwerk, an einen Security Monitor zur Analyse zu ermöglichen. (in Planung) 19 19

Danke für Ihre Aufmerksamkeit! 20 20