`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Арсен Бандурян

О свежей "уязвимости" в WPA2

+46
голосов

Недавно, по интернету прошлась волна сообщений об обнаружении уязвимости в WPA2, считавшемся до сих пор "единственной оставшейся надеждой и опорой" безопасного функционирования беспроводных сетей. Однако, история до боли напомнает прошлый "взлом" WPA2 на CUDA.

Вкратце напомню прошлый скандал - множество сайтов пестрели громкими заголовками "WPA2 взломан", "Wi-Fi более верить нельзя" и т.п. В результате оказалось, что взломали не Wi-Fi, а сохраненные в Windows хеши PSK (статических ключей) - т.е. типичная brute force атака на хеш пароля. Точно так же можно сразу взламывать аккаунт администратора. Те, кто настроил 802.1x (где просто нет статического ключа) иронично смотрели на PSK'шников и улыбались. Теперь пришла их очередь.

Уязвимость красиво назвали Hole196, т.к. заложена она внизу страницы 196 описания стандарта WPA2. Обнаруживший ее эксперт компании AirTight (разработчик решений беспроводной безопасности) назвал свою презентацию WPA Too (игра слов с WPA 2). Автор обещал раскрыть подробности на Defcon 18. Я решил не делать преждевременных выводов о "взломе" и дождаться вначале доклада.  Итак, доклад вышел, подробная информация опубликована на сайте компании - - проводим анализ.  Я не буду вдаваться в подробности реализации угрозы и проч - об этом можно почитать по ссылке выше и, например, здесь. Я перейду к оценке ее опасности и перспектив.

Какие сети уязвимы: сети использующие WPA2 с 802.11x (WPA2-Enterprise). Сети, использующие WPA2 и статические ключи (WPA2-PSK) - ...тоже уязвимы, потому, что там нет дополнительного уровня защиты (а именно, индивидуального шифрования unicast-трафика для каждого клиента), предоставляемого WPA2-Enterprise, который, собственно и обходят с помощью данной уязвимости. Уже становится интересно - сети WPA2-PSK работают достаточно долго, и никто как-то не жаловался на зияющие дыры.

Кто может воспользоваться уязвимостью: пользователи, получившие легитимный доступ в сеть, т.е. инсайдеры. С одной стороны - более 75% успешных атак реализуются именно "с помощью изнутри", с другой стороны - "взломать" доступ в сеть посторонний человек не сможет. Так что, говорить о "взломе" WPA2 в данном случае некорректно.

Что можно сделать: можно подделать широковещательные пакеты (имперсонация точки доступа). Действительно, у любого участника беспроводной сети есть вся необходимая информация, чтобы создать поддельный пакет, нужно лишь слегка модифицировать драйвер протокола, чтобы отправить этот не совсем стандартный пакет в сеть. Это дает возможность реализовать ряд атак L2-L3 от ARP-poisoning, TCP Reset'ов и т.д. до полноценного Man-In-The-Middle (MITM) и Wireless DoS. Звучит серьезно. В качестве осложнения нам напоминают о том, что имперсонированный трафик не проходит через ТД, и следовательно, не может быть обнаружен проводной IDS.

Теперь давайте остановимся и осмыслим. Текущая реализация WPA2-Enterprise предполагает, что по умолчанию все пользователи работают в аналоге Private VLAN (в терминологии Cisco) и могут общаться друг с другом только через точку (т.к. используются разные ключи, и только точка знает их все). Это дает производителям беспроводного оборудования повод заявлять о том, что по-умолчанию беспроводные сети "безопаснее" проводных (взято в кавычки, ибо маркетинговость этого утверждения понятна всем, кроме, видимо, придумавших его маркетологов). Найденная дырка низводит уровень безопасности сетей WPA2-Enterprise до уровня WPA2-PSK и обычных проводных сетей (где все хосты в VLAN видят друг друга).

Является ли это проблемой - да. Является ли это достаточно серьезной проблемой, чтобы говорить об "взломе" WPA2 или его неприменимости  - однозначно нет. Все атаки, которые можно выполнить, используя эту уязвимость, известны уже множество лет и все прекрасно знают, как от них защищаться:

1. Локальная защита. Все нормальные современные клиентские файрволлы/HIDS обнаружат и ARP-poisoning и IP-атаки. Да и наличие такого софта на компьютере уже стало признаком хорошего тона при работе в интернет. Однако, не все устройства можно оснастить Host IDS (тот же iPhone и прочее спецоборудование).

2. Изоляция клиентов. У разных производителей называется по разному: PSPF (Public Secure Packet Forwarding), Client Isolation. У Motorola написано просто: "Disable MU-to-MU Communication". Злоумышленник сможет слать пакеты на атакуемое устройство, но не сможет их получать (т.к. атакуемое устройство будет возвращать пакеты через точку, где они будут отбрасываться). Впрочем, тут есть меры по преодолению защиты.

3. Виртуализация. Многие точки Enterprise-класса позволяют поднять несколько BSSID на одной точке (MultiBSSID, Virtual AP), создавая, таким образом, аналог VLAN. Подобная сегментация не подвержена данной уязвимости. Конечно, выделить каждому пользователю отдельный BSSID не удастся (обычно, поддерживается до 4 BSSID), но отделить сеть телеметрии от публичного доступа в интернет в аэропорту - вполне.

4. Ну, и можно, конечно, внести поправки в протокол, отказавшись от GTK.

В общем, автор подводит к мысли, что традиционная архитектура безопасности беспроводных сетей (шифрование + аутентификация + файрволл на L3 интерфейсе точки) не работает. Тут с ним согласятся все эксперты по безопасности - и проводной, и беспроводной: безопасность беспроводных сетей - это не только шифрование и аутентификация - нужен многоуровневый подход. ...После чего нам ненавязчиво напоминают, что Wireless IPS (с подтекстом "производства AirTight") эту атаку засечет и отобьет в два счета. Я, в принципе согласен - WIPS уже давно и успешно защищают от разных недоработок и дырок в реализации стандартов (тот же AirDefense WEP Cloaking). Кроме того, Wireless IPS нужна даже тем, у кого Wi-Fi нет (см. риск первый).

Но вывод из всей этой истории я сделал другой - люди красиво и громко пропиарились на общей неграмотности населения. Хотя, если это поможет повысить общую грамотность населения - да хоть бы и так!

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+46
голосов

Напечатать Отправить другу

Читайте также

Спасибо.

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT