it-swarm.com.de

Verhinderung von Deauthentifizierungsangriffen

Ich bin hilflos gegen ein Kind mit Backtrack, das wiederholt aireplay-ng verwendet, um legitime Benutzer in meinem Wifi-Arbeitsnetzwerk zu deaktivieren.

Ich habe den Netzwerkverkehr in meinem Wifi-Arbeitsnetzwerk erfasst und analysiert und eine bemerkenswerte Anzahl von 802.11-Deauth-Paketen festgestellt. Mir ist klar, dass es möglicherweise nicht möglich ist, ihn zu fangen oder gar zu wissen, woher der Angriff kam. Ich möchte nur wissen: Gibt es eine Möglichkeit, einen solchen Angriff zu verhindern?

53
Tawfik Khalifeh

Realistisch gesehen können Sie einen Bösewicht nicht davon abhalten, Deauthentifizierungspakete zu senden.

Stattdessen sollten Sie sich darauf konzentrieren, sicherzustellen, dass Sie einem Taubangriff standhalten. Stellen Sie sicher, dass Ihr Netzwerk so konfiguriert ist, dass ein Angreifer durch den Deauth-Angriff Ihr Netzwerk nicht gefährden kann.

Dazu müssen Sie sicherstellen, dass Sie WPA2 verwenden. Wenn Sie einen vorinstallierten Schlüssel (eine Passphrase) verwenden, stellen Sie sicher, dass die Passphrase sehr lang und stark ist. Wenn es noch nicht geschehen ist, ändern Sie es sofort! Wenn Sie WPA2 nicht verwenden, beheben Sie dies sofort!

Der Hauptgrund, warum Bösewichte Deauth-Pakete senden, ist, dass dies ihnen hilft, einen Wörterbuchangriff gegen Ihre Passphrase auszuführen. Wenn ein Bösewicht eine Kopie des ersten Handshakes erfasst, kann er verschiedene Vermutungen an Ihrer Passphrase ausprobieren und testen, ob sie korrekt sind. Durch das Senden eines Deauth-Pakets wird das Zielgerät gezwungen, die Verbindung zu trennen und erneut herzustellen, sodass ein Lauscher eine Kopie des anfänglichen Handshakes erfassen kann. Daher besteht die Standardpraxis vieler Angreifer, die versuchen könnten, Ihr drahtloses Netzwerk anzugreifen, darin, Deauth-Pakete zu senden. Wenn Sie viele Deauth-Pakete sehen, ist dies ein Zeichen dafür, dass jemand versucht, Ihr drahtloses Netzwerk anzugreifen und Ihre Passphrase zu erraten.

Sobald der Angreifer ein Deauth-Paket gesendet und den ersten Handshake abgefangen hat, gibt es Tools und Onlinedienste, die den Versuch, die Passphrase wiederherzustellen, automatisieren, indem sie viele Möglichkeiten erraten. (Siehe z. B. CloudCracker für ein repräsentatives Beispiel.)

Die Verteidigung gegen diese Art von Angriff besteht darin, sicherzustellen, dass Ihre Passphrase so lang und stark ist, dass sie unmöglich erraten werden kann. Wenn es nicht schon lang und stark ist, müssen Sie es sofort ändern, da wahrscheinlich jemand versucht, es zu erraten, während wir sprechen.

(Der andere Grund, warum ein Bösewicht möglicherweise Deauth-Pakete sendet, ist ein Ärger. Wie die meisten Benutzer jedoch wahrscheinlich nicht einmal bemerken, ist dies kein sehr effektiver Ärger.)

Weitere Informationen finden Sie in den folgenden Ressourcen:

34
D.W.

Cisco hat eine Methode entwickelt, mit der diese Angriffe erkannt und sogar diese Art von Angriff geschützt werden können, wenn sie aktiviert ist und vom Clientgerät unterstützt wird (Mindestunterstützung von CCXv5). Die Cisco-Funktion heißt "Management Frame Protection" und alle Details finden Sie unter auf der Cisco-Website zu finden .

Im Wesentlichen fügt der Prozess allen gesendeten Verwaltungsrahmen einen Hashwert hinzu.

Dieser Prozess wurde mit der IEEE 802.11w Änderung standardisiert, der 2009 veröffentlicht wurde, und wird von den meisten modernen Linux/BSD-Distributionen in unterstützt der Kernel. Windows 8 wurde standardmäßig mit 802.11w-Unterstützung eingeführt (was in einigen Umgebungen zu anfänglichen Problemen führte). AFAIK, OS X bietet immer noch keine 802.11w-Unterstützung.

Als Referenz wurde 802.11w in der Wartungsversion 802.11-2012 des 802.11-Standards zusammengefasst.


Jemand gab mir eine Gegenstimme, die diese Antwort in meinem Kopf auffrischte und vermutete, dass dies auf ein Update zurückzuführen war.

Die Wi-Fi Alliance (WFA) hat die Unterstützung von PMF (Protected Management Frames) zum Bestehen von 802.11ac- oder Passpoint-Zertifizierungen (auch bekannt als HotSpot2.0) vorgeschrieben. Dies hat die Unterstützung für 802.11w erheblich verbessert, und Sie können es heute sogar auf den meisten Consumer-Geräten finden.

Leider Apple scheint immer noch das Problem zu sein. Lassen Sie mich zunächst sagen, dass ich überrascht war, dass Apple hat seit Anfang 2014 kein einziges Gerät bei der WFA zertifiziert . Ich weiß, dass dies ein freiwilliger Prozess für Anbieter ist, aber für einen so großen Hersteller von drahtlosen Geräten scheint es mir eine schlechte Idee zu sein, nicht am Zertifizierungsprozess teilzunehmen.

Während Apple hat 802.11w-Unterstützung hinzugefügt, gibt es immer noch Probleme. Ich bin nämlich auf diesen Beitrag Anfang dieses Jahres gestoßen, in dem Probleme mit Apple) detailliert beschrieben wurden = Verbindung zu einem Netzwerk mit 802.11X-Authentifizierung und 802.11w erforderlich. Netzwerke, die ein PSK verwenden (mit 802.11w entweder optional oder erforderlich), scheinen genauso zu funktionieren wie 802.1X-Netzwerke mit 802.11w optional.

Wir kommen also dorthin, haben aber noch einen weiten Weg vor uns.

29
YLearn

Die einzige Möglichkeit, einen solchen Angriff zu verhindern, besteht darin, die Fähigkeit des Angreifers zu blockieren, drahtlose Übertragungen zu senden, die Ihre legitimen Benutzer erreichen. Dies ist aus mehreren Gründen keine praktische Lösung (aber zusätzliche Punkte, wenn Sie Ihre Mitarbeiter davon überzeugen können, in einem Faradayschen Käfig zu sitzen).

Diese Blog-Seite hier zitiert einige der relevanten WiFi-Standards, am deutlichsten:

Deauthentifizierung ist keine Anfrage; Es ist eine Benachrichtigung. Die Deauthentifizierung wird von keiner Partei abgelehnt.

Nein, es gibt keinen wirklichen Weg, einen solchen Angriff zu verhindern.

20
gowenfawr

Der aktuelle 802.11-Standard definiert "Frame" -Typen zur Verwendung bei der Verwaltung und Steuerung von drahtlosen Verbindungen. IEEE 802.11w ist der Protected Management Frames-Standard für die IEEE 802.11-Standardfamilie. TGw arbeitet an der Verbesserung der Schicht IEEE 802.11 Medium Access Control. Ziel ist es, die Sicherheit zu erhöhen, indem die Datenvertraulichkeit von Verwaltungsrahmen, Mechanismen, die Datenintegrität, Datenursprungsauthentizität und Wiedergabeschutz ermöglichen, gewährleistet wird.

==> http://en.wikipedia.org/wiki/IEEE_802.11w-2009

sieht aus wie Schutz vor Deauth und Wiedergabe ist bereits im bsd/linux Kernel:

Der 802.11w-Standard ist in Linux und BSDs als Teil der 80211mac-Treibercodebasis implementiert, die von mehreren drahtlosen Treiberschnittstellen verwendet wird, d. H. Ath9k. Die Funktion kann in den neuesten Kerneln und Linux-Betriebssystemen mithilfe dieser Kombinationen problemlos aktiviert werden. Insbesondere Openwrt bietet ein einfaches Umschalten als Teil der Basisverteilung.

4
nandoP