Joshua Wright o bezpieczeństwie sieci bezprzewodowych

Bardzo ciekawy artykuł, który pochodzi z serwisu NetWorld.pl.

Bezpieczeństwo sieci bezprzewodowych to temat, o którym ciągle jest głośno. Wszyscy pamiętają, jaką porażkę poniósł protokół WEP. Mogłoby się wydawać, że wraz z wprowadzeniem WPA2, PEAP, TTLS, EAP/TLS nasza sieć będzie odporna na wszelkie ataki. Niestety tak nie jest! Wiele zależy od poprawnej konfiguracji urządzeń. Musimy być jednak świadomi, że pojawiają się nowe zagrożenia. Na ich temat często wypowiada się Joshua Wright. Autor wielu publikacji związanych z bezpieczeństwem sieci bezprzewodowych zgodził się odpowiedzieć na pytania internautów.

Jak oceniłby Pan stopień zabezpieczenia sieci bezprzewodowych dzisiejszych przedsiębiorstw?

Joshua Wright: Myślę, że radzą one sobie coraz lepiej. Mniej sieci pozostaje otwartych, więcej firm migruje w stronę WPA/WPA2. Stary WEP jest nadal używany, ale często wynika to z konieczności obsługi sprzętu, który nie wspiera nowych protokołów. Niestety, wciąż popularne jest przeświadczenie, iż wystarczy wprowadzić WPA i sieć będzie całkowicie bezpieczna. Takie rozumowanie jest błędne. Nie wolno zapominać o konfiguracji stacji klienckiej, gdyż to ona może stać się celem ataku. Jeśli chcemy się ustrzec przed punktem dostępowym zainstalowanym przez napastników (atak man-in-the-middle), to konieczne jest stałe monitorowanie sieci.

Dedykowane czy zintegrowane rozwiązanie IDS/IPS jest Pana zdaniem lepsze?

Produkt dedykowany zazwyczaj jest bardziej dopracowany. Wynika to po prostu z tego, że producent skupia się całkowicie na wybranej funkcji. W przypadku rozwiązań zintegrowanych dochodzi konieczność współpracy z funkcją punktu dostępowego, dodatkowe testowanie produktu i sprzętu. I pewnie wiele innych problemów, których nie ma twórca rozwiązania dedykowanego. Oczywiście, każde podejście ma swoje plusy i minusy. Produkty zintegrowane mają tą przewagę, iż są w stanie analizować wszystkie warstwy a nie tylko pierwszą i drugą.

Na ile bezpieczny jest WPA-PSK lub WPA2-PSK?

Uwierzytelnienia bazujące na PSK są podatne na ataki offline przy użyciu słownika. Sam jestem autorem jednego z programów ("coWPAtty") wykorzystujących słabości WPA-PSK. Dostępny Aircrack-ng jest jeszcze szybszy. Podstawową wadą mechanizmu PSK jest to, że wszystkie urządzenia używają tego samego klucza. Przedsiębiorstwa powinny używać 802.1X, który oferuje lepsze zabezpieczenia poprzez stosowanie unikalnego klucza dla każdego użytkownika.

Czy wyłączenie opcji udostępniania plików i drukarki zabezpieczy nasz komputer przed dostępem innych osób korzystających z tej samej sieci bezprzewodowej?

Do pewnego stopnia tak, ale nie w 100%. Inne usługi takie, jak na przykład zdalny pulpit nadal są narażone na atak z sieci. Poza tym wielokrotnie spotkałem się z zainstalowanym VNC na stacji roboczej, który także stanowi furtkę do naszego PC. Jeśli w trakcie audytu napotkam PC z VNC to uznaję, że sieć jest do złamania.

To znaczy, że jest Pan w stanie wykorzystać każdą wersję VNC do przejęcia kontroli nad siecią?

Na pewno nie każdą, ale dotychczas zawsze mi się to udawało. Jestem pewien, że można VNC zainstalować w odpowiedni, bezpieczny sposób. Moja praktyka pokazuje jednak, że najczęściej jest to nienadzorowana instalacja przeprowadzona przez użytkownika. Nie ma mowy, więc o dobrze dobranym koncie, przywilejach, monitorowaniu logowania czy silnym haśle.

Jak przedsiębiorstwa mogą przeciwdziałać błędom w sterownikach kart sieciowych?

Należy pamiętać, że wada sterownika może zostać wykorzystana przez atakującego. W związku z tym, iż sterowniki ściśle współpracują z jądrem systemu, nie podlegają wszystkim zabezpieczeniom (jak na przykład ograniczone przywileje, mechanizmy detekcji włamania, spyware, antywirus). Dlatego mogą stanowić poważne zagrożenie. Sposób przeciwdziałania jest prosty. Organizacje powinny zacząć od inwentaryzacji i sporządzenia listy wszystkich zainstalowanych sterowników. Następnie należy regularnie sprawdzać strony producentów, czy nie wydane zostało jakieś uaktualnienie.

Pomocne może być także narzędzie WiFiDEnum, które napisałem. Zbiera ono informację o sterownikach zainstalowanych na komputerach w naszej sieci. W lokalnej bazie danych sprawdza, czy któryś nie jest podatny na znany atak. Darmowe oprogramowanie można pobrać z tej strony.

Czy używając WPA2 możemy czuć się bezpieczni?

WPA2 oferuje zaawansowane mechanizmy szyfrowania oraz uwierzytelniania (PEAP, TTLS, EAP/TLS). Niewątpliwie jest dobrym wyborem. Podstawowy problem z WPA2 to błędna konfiguracja ustawień PEAP i TTLS. Powoduje ona, że atakujący może podszyć się pod serwer RADIUS i zdobyć w ten sposób dane ofiary takie, jak login i hasło.

Co Pan sądzi o wyłączeniu rozgłaszania SSID?

Myślę, że to zły pomysł. Stacja kliencka musi odpytać wszystkie dostępne AP. Bardzo możliwe, że ktoś podszyje się pod właściwy punkt dostępowy i przechwyci nasze dane.

Jaki będzie wpływ 802.11n na bezpieczeństwo?

Moim zdaniem standard 802.11n to kilka interesujących aspektów, które mogą mieć wpływ na funkcjonowanie naszej sieci:

1. Większy zasięg AP (od 1.5 do 4 razy większy niż 802.11a).
2. Sieć trudniejsza do monitorowania przez WIDS. Standard n zakłada kanały 20 MHz i 40 MHz, przez co system WIDS będzie miał mniej czasu na wykrycie nieprawidłowości i bardziej będzie zajęty zmianami kanałów.
3. Ukryte węzły. 802.11n wprowadza nowy tryb pracy tzw. zielony (greenfield mode), który jest dostępny tylko dla urządzeń pracujących według 802.11n. Oznacza to, że urządzenia WIDS obsługujące 802.11a/b/g nie będą w stanie wykryć punktu dostępowego czy generowanego ruchu przez elementy zgodne z n.
4. Nowe typy ataków DoS. Specyfikacja n zawiera dwa mechanizmy agregacji ramek. Mogą one posłużyć jako podstawa nowych ataków DoS.
5. Nowe sterowniki. Urządzenia wymagają nowego oprogramowania, które na pewno nie będzie bezbłędne.

Jakie są najlepsze sposoby zabezpieczenia połączenia, jeśli musimy skorzystać z publicznego WLAN?

Sam korzystam z tego rodzaju dostępu, lecz zawsze staram się używać szyfrowanego połączenia. Jeśli ktoś wykorzystuje hot-spot do pracy, to jego transmisja powinna bazować na protokole IPSec. Ważne jest także zabezpieczenie samego uwierzytelnienia naszego użytkownika. Musi on wiedzieć, że login i hasło wolno wysyłać tylko poprzez sesje SSL. Inaczej możemy paść ofiarą hakera, który podszyje się pod hotspot.

Jakich nowych niebezpieczeństw można upatrywać w zastosowaniu punktów dostępowych Bluetooth?

AP Bluetooth mogą być źródłem problemów. Oferują one podobny zasięg jak sieci 802.11b/g, lecz nie są monitorowane przez systemy WIDS, które nadzorują tylko infrastrukturę Wi-Fi. W związku z tym atakujący ma szansę niepostrzeżenie wprowadzić do sieci swój punkt dostępowy. Udało mi się przeprowadzić taki atak w jednym z amerykańskich szpitali. W poczekalni znalazłem gniazdko elektryczne i LAN. Podłączyłem swój AP Belkin F8T030. W ten sposób przez wiele tygodni mogłem korzystać z sieci, znajdując się na parkingu po drugiej stronie ulicy. Połączenie w końcu zostało przerwane. Kiedy zacząłem oficjalny audyt szpitalnej sieci, poprosiłem o zwrot mojego punktu dostępowego. Ochrona nie wiedziała, o czym mówię. Przyznałem się do wcześniej wykonanych kroków. Okazało się jednak, że nikt nie znalazł mojego AP. Wygląda na to, że ktoś go po prostu ukradł!

Gdyby był Pan studentem Duke University i chciał się włamać do nowej kampusowej sieci 802.11n, jakby Pan to zrobił?

Osobiście nie mam nic przeciwko Duke University i ich sieci bezprzewodowej. Mogę jednak przedstawić pewne kroki, które atakujący zapewne podejmie:

1. Google. Wpisanie w wyszukiwarce "site:duke.edu wireless" daje interesujące wyniki. Wśród nich między innymi FAQ o sieci, instrukcja krok po kroku jak skonfigurować komputer aby się do niej podłączyć itp. Dowiadujemy się poza tym, iż sieć wykorzystuje NetReg (open-source) do kontroli dostępu. SSID jest nieukryty.
2. Decyzja o sposobie ataku. Zawsze jest kilka możliwych opcji. Napastnik może próbować przechwycić nieszyfrowane transmisje dzięki narzędziom takim jak Kismet lub Wireshark. Jeśli studenci wykorzystują stronę intranetową do logowania, to wówczas haker może przeprowadzić atak typu man-in-the-middle dzięki np. Ettercap. Spreparowana odpowiednio strona pozwoli na przejęcie danych niezbędnych do uwierzytelnienia w kampusowej sieci. Często ignorowane pliki cookie to także bogate źródło informacji dla hakera.
3. Włamanie.

Powyższe kroki wykorzystują największą słabość sieci uczelnianych. Studenci korzystają z bardzo różnorodnego, własnego sprzętu, który musi zostać przez daną sieć obsłużony. Trudno w takiej sytuacji mówić o możliwości zastosowania ujednoliconych zasad bezpieczeństwa. Ciężko wdrożyć skomplikowane mechanizmy szyfrowania i uwierzytelniania. Jako były administrator podobnej sieć wiem coś o tym.

Czy nadal użycie IPSec VPN uważane jest za najlepszą praktykę, nawet wówczas, gdy mamy w pełni wdrożony WPA2/EAP?

W takiej sytuacji radziłbym nie używać IPSec. Wprowadzenie wielokrotnego szyfrowania może negatywnie wpłynąć na wydajność sieci i komfort pracy. Stosunkowo proste urządzenia (PDA, VoIP telefony) mogą mieć problemy ze zbyt złożonym szyfrowaniem. Nawet w przypadku laptopów, szyfrowanie AES-CCMP (WPA2) i IPSec spowoduje znaczne obciążenie procesora. Skutek będzie prosty - niezadowolony użytkownik. Moim zdaniem WPA2 i PEAP, TTLS czy EAP/TLS porządnie skonfigurowany jest w stanie zapewnić odpowiednie bezpieczeństwo.

Jak bezpieczne są sieci komórkowe 2G i 3G (GSM, EV-DO, ...)?

Moim zdaniem ich bezpieczeństwo jest oparte na ograniczonym dostępie do materiałów związanych z zabezpieczeniami i do samej technologii. Nie wiele wiem o tych sieciach, gdyż w USA prawo zakazuje nawet nasłuchiwania takich transmisji. O ile mi wiadomo, w Niemczech grupa znana jako The Hackers Choice (THC) stworzyła sniffer GSM w oparciu o programowalne radio SDR (Software Defined Radio). Następnie złamała zabezpieczenia używając FPGA. Dzięki temu THC było w stanie przechwycić i nagrać połączenia głosowe i SMS. Dostawcy GSM przez dłuższy czas opierali bezpieczeństwo sieci na limitowanym dostępie do informacji. Sądzę, że w nadchodzących latach będą musieli zmienić to podejście, gdyż upowszechni się SDR i FPGA. Zainteresowanych odsyłam na stronę Open Ciphers (www.openciphers.org).

Czy sądzi Pan, iż 11n będzie bardziej bezpieczne niż standardy a/b/g, czy raczej kwestia bezpieczeństwa będzie nadal pozostawiona użytkownikowi?

802.11n to w najbliższej perspektywie więcej zagrożeń. Przynajmniej do momentu, gdy standard dojrzeje i ustabilizuje się. Nie jest on jednak bezpieczniejszy od poprzednich. Pozwala na szybsze transmisje, wprowadza MIMO. Użytkownik będzie zadowolony, że jego sieć jest efektywniejsza. Niestety, obecnie 802.11n jest w ciągłej fazie rozwoju i sporo czasu jeszcze upłynie zanim ten standard się upowszechni.

Czy ataki z użyciem narzędzia KARMA są częste? Jaka jest najlepsza obrona przed phishingiem?

Gdybym mógł głosować to według mnie KARMA powinna otrzymać tytuł najgroźniejszego narzędzia roku 2006 i 2007. Na szczęście Windows XP SP2 uszczelnił luki wykorzystywane przez to narzędzie. Vista zawiera te poprawki. Wszystko powinno być OK, jeśli korzystamy z usługi WZC (Wireless Zero Configuration) będącej częścią systemu operacyjnego. Jeśli używamy oprogramowania innych firm niż Microsoft, jak na przykład Intel lub ThinkPad, to możemy być narażeni. Wówczas pomoże nam z pewnością system WIDS. Chyba, że jesteśmy atakowani na lotnisku, czy w innym publicznym miejscu... Suma summarum, najlepszą obroną pozostają mocne protokoły takie jak SSL.

Czy EAP-FAST to bezpieczny mechanizm?

Ta metoda została zaprojektowana przez Cisco. Miała ona rozwiązać problemy, które odkryto we wcześniejszym protokole LEAP, który również został opracowany przez tego producenta. EAP-FAST może zapewnić odpowiednią ochronę, ale pod warunkiem, że stacje klienckie są właściwie administrowane. Mam na myśli dostarczanie PAC w sposób niezawodny i bezpieczny. I to właśnie jest słabość. Większość użytkowników korzysta z fazy 0 automatycznego przydzielania PAC, co otwiera furtkę do ataków typu man-in-the-middle. Wówczas napastnik podszywa się pod serwer RADIUS, oferując EAP-FAST. Jeśli użytkownik połączy się z takim fałszywym serwerem, to udostępni swoje dane niezbędne do uwierzytelnienia.

Na czym, Pana zdaniem, polega największy problem przy zabezpieczaniu sieci bezprzewodowej?

Zarządzanie bezpieczeństwem stacji klienckich jest niewątpliwie najtrudniejszym wyzwaniem. Źle skonfigurowane urządzenia, niewłaściwe ustawienia, sieci ad-hoc, błędy w sterownikach to wszystko, co należy wziąć pod uwagę, zabezpieczając klienta sieci. Przedsiębiorstwa mogą wspomagać się na przykład Windows Server 2003 Group Policy, ale ta metoda jest skuteczna tylko wtedy, gdy nałożymy na naszych użytkowników strasznie restrykcyjne zasady grupy.

Czy ważne jest szyfrowanie ramek zarządzających?

Dziś nie jest to coś strasznie istotnego. Cenniejsze informacje będą przesyłane w związku z 802.11k (zarządzanie zasobami radiowymi) i 802.11v (zarządzanie siecią bezprzewodową). Wówczas ochrona będzie musiała zostać wzmocniona.

IAS to Pańskim zdaniem dobry serwer RADIUS? Czy mógłby Pan polecić coś lepszego?

IAS to dobry serwer RADIUS, gdyż opiera się on na systemie Windows Server i dzięki temu bardzo dobrze integruje się ze środowiskiem Microsoft. Nie jest to jednak najlepszy wybór w przypadku, gdy potrzebujemy czegoś innego niż PEAP, bowiem IAS obsługuje jedynie PEAP, EAP-MD5 (którego nigdy nie powinno się używać) oraz EAP/TLS. Na przykład Funk/Juniper Odyssey jest bardziej uniwersalny. Pozwala na korzystanie z wielu typów EAP i działa w wielu środowiskach. Niestety, należy za to odpowiednio zapłacić. Osobiście lubię FreeRADIUS, lecz uprzedzam, że konfiguracja nie jest łatwa.

Czy może Pan powiedzieć cokolwiek o atakach na bezprzewodowe myszy lub klawiatury?

Temat był poruszany na konferencjach poświęconych bezpieczeństwu. Zaprezentowano atak pozwalający przechwycić i "odszyfrować" wciskane klawisze i ruchy myszy. "Szyfr" nie był trudny, gdyż okazało się, że urządzenia do ochrony transmitowanych danych używają jedynie prostej funkcji XOR i 16 bitowego klucza. Możliwe jest nie tylko przechwycenie informacji. Udało się także nadać spreparowane dane. Wynika z tego, że można bez przeszkód na przykład wywołać kombinację Win+R (okno "uruchom"). Tak może wyglądać początek ataku...

Jeśli KARMA to największe zagrożenia 2006/2007, to co wygra w 2008 roku?

Moim zdaniem ataki na PEAP, ale mogę być odrobinę nieobiektywny, bo akurat tym tematem się zajmuję. Oczywiście pojawia się coraz więcej ataków wykorzystujących błędy w sterownikach. Ta liczba z pewnością będzie rosła.

Dlaczego słabość PEAP jest taka istotna?

Jeśli uda mi się zdobyć dane potrzebne do uwierzytelnienia przez PEAP, to wówczas mam nazwę użytkownika i hasło. Najprawdopodobniej jest to także login do domeny. A teraz proszę sobie wyobrazić, gdzie te dane są używa... Serwery plików, SQL, Sharepoint, Outlook itp. Maluje się całkiem straszny obrazek, gdy ktoś będzie w stanie się pod nas podszyć.

Co w takim razie mogą zrobić organizacje wykorzystujące PEAP? Jakieś sugestie?

Zawsze należy sprawdzać prawdziwość certyfikatu. W ustawieniach stacji nazwa serwera RADIUS powinna się zgadzać z nazwą serwera dla jakiej wystawiono certyfikat. Należy odrzucać każdy nierozpoznany certyfikat. Użytkownik nawet nie powinien być powiadamiany o fakcie otrzymania takiego certyfikatu. Niestety, Windows zazwyczaj pyta, czy zaakceptować certyfikat. Większość użytkowników nie wybierze opcji odrzuć. Nie ma im się co dziwić, ponieważ świadomość i wiedza o hierarchii certyfikatów jest uboga nawet wśród administratorów. Dlatego należy uniknąć sytuacji, gdy to użytkownik końcowy decyduje, czy certyfikat jest OK.

Czas na podanie nazw. Biorąc pod uwagę bezpieczeństwo, którego dostawcę poleca Pan użytkownikom domowym a kogo widzi Pan w firmach?

Żaden producent nie jest doskonały, ale... Pracuję dla Aruba Networks i zdaję sobie sprawę, jak rozwiązane są u nas kwestie bezpieczeństwa. Myślę, że nasz sprzęt posiada wiele zalet. W domu używam Linksys WRT54G z oprogramowaniem pobranym z OpenWRT.org. Punkt dostępowy realizuje także funkcje zapory ogniowej i NAT.