Атака користувачів WLAN через rogue-сервіси або чому PSK

У цьому посту хочу поділитися історією однієї геніально простої атаки, яку спостерігав минулого року, та обговорити наслідки. Тут не буде м'яса для хакерів, але буде:

  • Плюс одна повчальна байка до колекції «для розмов з користувачами» адмінам та безпекам.
  • Чому в бездротових мережах захищати потрібно не тільки LAN від WLAN, і навіщо потрібен т.зв. Wireless Firewall.
  • Рекомендації, як побудувати публічну мережу Wi-Fi для уникнення таких проблем.
  • Чому в готелях та інших публічних мережах навіть незашифрований Captive Portal може виявитися кращим за шифрування з PSK.

В принципі, все актуально і для корпоративних мереж, але для них я вже писав. А тут сусідня посада змусила глянути на проблему під дещо іншим кутом.Перш за все, я не нав'язую і не закликаю терміново бігти і купувати крутий Wi-Fi з WIPS та RTLS. У кожній ситуації будуть свої нюанси та пріоритети: хтось прикриється користувальницькою угодою, комусь просто начхати на користувачів, у якихось країнах не передбачено відповідальності, десь достатньо часткових заходів, у когось ще якісь нюанси. Я описую - кожен вибирає сам.

Передісторія

Історія сталася з моїм колегою в готелі, де ми зупинилися. Я під роздачу не потрапив лише тому, що на той час ще не підключився до готельної WLAN. Готель надає Wi-Fi безкоштовно всім своїм гостям. Мережа запаролена, PSK видається на папірці і змінюється раз на кілька місяців.

Загалом, сюжет очевидний — албанський вірус, який розповсюджується фішингом та невеликим хаком у мережі. Сам вірус інтересу не представляє - інтерес представляєзрозуміти, як все це працює, щоб отримати доступ в Інтернет без «патчу».

Розбираємось

Шляхом деяких простих досліджень (на рівні ipconfig/ping) було з'ясовано, що сайти можна заходити по IP. Значить проблема DNS. Прописавши DNS 8.8.8.8, ми отримали повноцінно працюючий інтернет. Тепер можна розбиратися, як працює атака.

Було з'ясовано таке:

  • У WLAN сидів ще один DHCP-сервер (rogue DHCP), який видавав коректні IP/mask/GW, але видавав «свій» DNS-сервер замість правильного провайдера.
  • На тому ж хості був піднятий той самий DNS-сервер, який всі імена резолвіл в той самий IP (який «за неймовірним збігом обставин» збігався з IP DNS-сервера).
  • На тому ж IP був піднятий веб-сервер, який, власне, показував сторінку і віддавав файл.

Висновки та способи вирішення

При побудові будь-якої мережі доступу важливо не лише захистити цю мережу та провідну інфраструктуру від «зайвого інтересу» користувачів, а й захистити одних користувачів від інших менш порядних. Це актуально і для корпоративних (приватних) мереж, і для публічних мереж (хотспоти, готелі, кафе-бари-ресторани тощо). При цьому варто пам'ятати, що «бездротова безпека» — це не тільки шифрування: мають бути також ідентифікація, автентифікація, поділ трафіку і багато іншого. Описана вище атака – не єдина чисто бездротова атака, яку не визначить жоден Firewall чи IPS у провідному сегменті. Що ж робити, щоби такої проблеми не виникло?

Найпростіше рішення – заборонити комунікації між користувачами. Зазвичай це робиться увімкненням/вимкненням однієї галочки в налаштуваннях WLAN («Disable MU-to-MU communication», Cisco PSPF та аналоги).Однак, це не завжди подобається користувачам хотспотів і може суперечити цілям використання мережі (геймерські тусовки, VoWLAN у корпоративних мережах та ін.). Хоча — якщо не суперечить — як уже було сказано, найпростіше зробити саме так і прописати цей пункт у «правилах користування».

Тепер, давайте звернемо увагу на інший аспект. Ось я знайшов підроблений сервер у мережі. Я можу його заблокувати MAC. Але якщо зловмисник не дурень і періодично перевіряє активність своєї мишоловки, він це помітить, змінить MAC, і все продовжиться. Крім того, знаючи PSK, зловмисник може вкидати пакети в мережу користувачам, навіть не будучи підключеним до точок доступу, і навіть з WPA2. І тому треба неабияк постаратися, т.к. у WPA/WPA2 розподіл ключів складніший, ніж у WEP, але це можливо. Єдиний спосіб позбавитися супостату - поміняти PSK. А потім змінити його для всіх клієнтів! Та й це, хоч і відіб'є атаку, не дозволить знайти і покарати зловмисника (якщо не використовувати систему позиціонування). А що вже говорити про відкриті хотспоти? Таким чином, у публічних мережах, навіть якщо вони захищені PSK, як мережа нашого готелю, зловмисник залишається безкарним практично завжди.

Обидва ці нюанси надзвичайно важливі у такій небезпечній та захоплюючій грі як перекладання відповідальності. Якщо у вас в користувальницькій угоді не зафіксовано відмову від відповідальності (а не завжди це можна зробити, плюс, треба переконатися, що користувач не може отримати доступ до мережі не погодити з правилами використання ресурсу), якщо через вашу мережу будуть йти зломи. пропаганда расизму/насильства та інше, і якщо ви не зможете знайти крайнього — крайнім призначать вас. Саме тому, в результаті буйного розгулу фішингу на хотспотах у Європіввели обов'язкову ідентифікацію кожного користувача на законодавчому рівні (найчастіше потрібно ввести номер мобільного на який надходить SMS з індивідуальним кодом доступу). Зрозуміло, що від цього теж можна втекти, але таким чином провайдер хотспоту перекладає відповідальність на провайдера SIM-картки. Навіть без використання аутентифікації Captive Portal може перед тим як дати доступ показати заставку з «правилами використання ресурсу» і змусити користувача ткнути в галочку «я приймаю умови», чого в багатьох випадках вже достатньо з правової точки зору (і користувач потім не відвернеться, що не бачив угоди). Так що іноді відкрита мережа з Captive Portal'ом може виявитися безпечнішою за закриту мережу з PSK — для її власників :)

Як альтернатива, деякі вендори (Aerohive, Ruckus) реалізують нестандартну технологію «індивідуальних PSK», де кожному клієнту видається свій унікальний ключ. Таким чином теж вирішуються проблеми ідентифікації користувачів та масової зміни PSK при його витоку. Однак доступність їх у країнах СНД дуже обмежена, і іноді спостерігаються проблеми із сумісністю.

Висновок

У бездротових мережах захист бездротових користувачів від бездротових атак не менш важливий, ніж захист проводового сегмента. За допомогою досить нескладних технічних засобів можна налагодити фішинг у промислових масштабах та інші атаки — і жоден дротовий Firewall/IPS не допоможе.

Існують технічні заходи, які дозволяють обмежити доступ бездротових користувачів до інших бездротових користувачів:

  • Заборонити комунікації між ними взагалі (підтримується майже всіма виробниками, але не завжди прийнятно у мережі)
  • Заборонити бездротовим користувачам надсилати відповіді важливихмережевих сервісів: DHCP, DNS, ARP (набагато краще, але підтримується не всіма і може не врятувати від складніших атак)
  • Використання Captive Portal/802.1x/PPSK дозволяє ідентифікувати джерела атаки або витоку даних користувача
  • Спеціалізована Wireless IPS допоможе прикритися і від інших атак
  • Система позиціонування (RTLS) дозволяє визначити приблизне фізичне розташування джерела

Все перераховане вище актуально для будь-яких мереж (інсайдерські зломи ніхто не скасовував), але особливо важливо для мереж публічних (хотспоти, готелі, КаБаРе і т.д.) з точки зору

  • Привабливість для клієнтури: «мене/друга там хакнули — я туди більше не піду» тощо.
  • Організаційних питань: можна швидко розрулити проблему та знайти винного; можливо, хтось із своїх співробітників вирішив «підробити» тощо.
  • Легальні питання: можна перекласти відповідальність, якщо притиснуть.