Vulnerabilidades em Access Points a ataques de DoS em redes

Transcrição

1 Vulnerabilidades em Access Points a ataques de DoS em redes M. Bernaschi F. Ferreri L. Valcamonici MAC 5743 Computação Móvel Gustavo Ansaldi Oliva goliva@br.ibm.com goliva@ime.usp.br

2 Agenda Introdução Formas de ataques Ambiente de teste Alguns resultados experimentais Conclusões 2

3 Onde estamos? Introdução Formas de ataques Ambiente de teste Alguns resultados experimentais Conclusões 3

4 Definições iniciais Infrastructure wireless networks Rede sem fio conectada a uma rede cabeada Ethernet Necessário um Wireless Access Point (AP) Roteadores wireless domésticos possuem um AP interno 4

5 Definições iniciais DoS Attack (Denial of Service Attack) Tentativa de tornar um recurso computacional indisponível para seus usuários Implementação típica é saturar o alvo (vítima) com requests de comunicação externos Não são necessários recursos avançados de software ou hardware para que seja realizado 5

6 Definições iniciais Criptografia com chave WEP Método baseado em chave compartilhada que opera nos quadros da camada de enlace As chaves são inseridas manualmente nas estações e no AP Foi depreciado em 2004 pelo IEEE por não atingir os objetivos esperados Substituído por WPA e WPA2 6

7 Definições iniciais Network Allocation Vector (NAV) Contador mantido por cada estação com a quantidade de tempo que deve transcorrer para que o meio fique livre novamente Estação não pode transmitir até que o NAV seja zero Cada estação calcula quanto tempo ela vai demorar para transmitir o quadro Valor é registrado no campo Duration no header do quadro Outras estações usam esta informação para inicializar NAV 7

8 Sobre o paper Descrição de potenciais ataques de DoS em infrastructure wireless networks usando o protocolo b Objetivo principal é investigar como estes tipos de ataques podem ser realizados e quais os impactos 8

10 Formas de Ataque - Considerações Protocolo é baseado na troca de mensagens request/response Cada request dispara um response no destino (outra estação ou AP) Infrastructure networks dependem de um AP Nó central através do qual toda comunicação é roteada AP pode se tornar gargalo Falha no AP pode parar toda a rede 10

11 Formas de Ataque - Considerações Padrões de ataque devem ser tão simples quanto possível Aplicabilidade tanto para redes abertas quanto para redes criptografadas com chave WEP Uma estação maliciosa pode disparar um ataque sem estar associada ou autenticada na rede de destino 11

12 Interação entre estação e AP Todo quadro de gerenciamento (management frame) enviado para um AP dispara um processamento com consequente consumo de recursos computacionais 12

13 Formas de Ataque Probe request flood (PRF) Quadros de Probe Request são usados para scanear área em busca de redes wireless AP sempre responde um quadro Probe Request com um quadro Probe Response Ataque ocorre enviando uma rajada de Probe Requests, cada um com um MAC Address diferente MAC Spoofing 13

14 Formas de Ataque Authentication request flood (ARF) Redes abertas AP processa cada request e responde com o resultado Chaves compartilhadas Após receber Authentication Request, AP gera charada (challenge text) e manda para estação Estação deve criptografar o texto com uma chave WEP adequada para obter acesso a rede 14

15 Formas de Ataque Authentication request flood (ARF) Em ambos os casos, o AP deve alocar memória para guardar informações sobre cada nova estação que é autenticada com sucesso Ataque ocorre enviando uma rajada de Authentication Requests usando MAC spoofing 15

16 Formas de Ataque Association request flood (ASRF) De acordo com protocolo, Association Requests não deveriam ser respondidos pelo AP quando a estação não está autenticada e não está associada Pesquisa mostrou que vários APs respondem com um quadro de Disassociation ou quadro de Deauthentication Assim, AP também pode ser atacado com rajadas de Association requests 16

17 Trabalhos relacionados Ataques de DoS não foram investigados profundamente ainda Um trabalho anterior foca três tipos de ataques Deauthentication e Disassociation Injeção de quadros de Deauthentication ou Disassociation com o objetivo de derrubar conexão de clientes legítimos Manipulação maliciosa do Network Allocation Vector Previne que estações legítimas ganhem acesso ao meio 17

19 Ambiente de teste Clientes legítimos Dois laptops idênticos rodando Linux com placa Netgear MA401 PCMCIA e HostAP device driver Estação maliciosa Laptop idêntico ao anterior Software wfit (wireless frame injection tool) Permite criar todos os tipos de quadros de gerenciamento e quadros de dados Quadros são passados para o firmware da placa através de um socket netlink para transmissão 19

20 Injeção de Quadros (Frame Injection) A distância da estação maliciosa até o AP não influencia significativamente os resultados Existem limites na taxa de injeção de quadros Não depende da velocidade da máquina Depende da taxa com que os quadros são passados da camada de aplicação para o netlink socket Valores medidos na ausência de outras estações e APs 20

22 Enterasys RoamAbout R2 Ataque PRF realizado na taxa máxima bloqueia totalmente a rede! AP 100% ocupado Desabilitando o MAC Spoofing, os ataques não funcionam mais Este AP não é vulnerável aos ataques ASRF e ARF (com ou sem chave WEP) Possivelmente por conta da baixa taxa de injeção de quadros 22

23 Ataque PRF com MAC Spoofing 23

24 Estatísticas dos ataques requests únicos enviados pela estação maliciosa (Nreq) requests duplicados enviados pela estação maliciosa (Ndup) número de requests respondidos pelo AP (Nresp) número de requests não respondidos by the AP (Nlost) número de quadros response para cada quadro request (Nrr) tempo médio decorrido (em segundos) desde um quadro request até o primeiro quadro response correspondente (Trr) 24

25 Enterasys RoamAbout R2 Firmware Upgrade O upgrade de firmware tornou o AP vulnerável aos três tipos de ataques!!! 25

26 Netgear ME102 Testes com criptografia WEP de 128 bits ativada Ataque PRF não tem efeito Retry Limit = 1 Ataque ARF faz AP travar e parar de funcionar Retry Limit = 11 Razão para travamento ainda é obscura Problema na geração de muitos challenge texts Sequência anômala de operações de criptografia 26

27 Netgear ME102 Ataque ASRF esgota recursos do AP e impossibilita comunicação Retry Limit = 11 Este AP tem desempenho geral mais baixa que o anterior Possivelmente esta é a razão para a sensibilidade aos ataques com taxa de injeção de quadros baixa 27

28 Netgear ME102 Tempo de resposta consideravelmente mais alto para os ataques ASRF e ARF 28

29 Netgear ME102 Testes com criptografia WEP desativada Não há interrupção de comunicação em qualquer ataque Embora vários quadros continuem sendo perdidos Retransmissão não é o única origem para efeito DoS Desempenho geral do AP é um fator importante Desativar WEP provavelmente libera memória e recursos no AP AP torna-se capaz de aguentar os ataques 29

30 3Com access point 8000 Ataque PRF bloqueia completamente a rede Retry limit = 1 AP permite que o fluxo de requests tomem conta de todo o meio Estação Maliciosa consegue enviar mais de quadros em 10s Ataque ARF bloqueia a rede mas não trava o AP Retry limit = 8 Retry limit alto permite efeito DoS Número de quadros perdidos é muito alto Response time atinge 3 segundos 30

31 3Com access point 8000 Vulnerabilidade a ataques com baixa taxa de injeção de quadros (como ARF) sugerem implementação de baixa qualidade Ataque ASRF não surtiu efeito Retry limit = 1 Criptografia WEP não mudou os resultados significativamente 31

32 3Com access point 8000 Alto valor para o Nrec no ataque PRF evidencia que a estação maliciosa tem acesso quase exclusivo ao meio 32

33 Outros APs D-Link DWL-1000AP+ Demorou mais tempo para ataque surtir efeito Linksys WRT54G Vulnerável a todos os tipos de ataque! Netgear WG602 Ataques previnem que novos clientes legítimos consigam se conectar (possui limite para authentication/association requests) Cisco AP 350 AP perde acesso ao meio (similar ao AP da 3COM) Compaq/HP WL520 Quando AP percebe ataque, ele troca de canal (não se sabe se isso é uma feature real ou bug) 33

34 Perda de Pacotes nos APs testados 34

35 Tempo de Resposta dos APs testados 35

37 Conclusões finais Nenhum AP está totalmente imune aos três tipos de ataque estudados Os três tipos de ataques podem ser executados por máquinas que não estejam nem associadas e nem autenticadas ao AP A taxa mínima de injeção de quadros necessária para causar um efeito DoS pode ser surpreendentemente baixa (3COM Access Point 8000) 37

38 Conclusões finais A principal vulnerabilidade parece residir no momento de retransmissão de quadros, esgotando buffers de memória e congelando funcionalidades do AP Implementações fracas do protocolo permitem que ataques travem o AP ou impossibilitem que clientes legítimos consigam se conectar Ataques analizados não precisam de hardwares ou softwares avançados para serem realizados 38

39 Conclusões finais Versões mais recentes de firmware não necessariamente são mais seguras Mecanismos de proteção contra ataques de DoS devem estar localizadas no firmware Grandes empresas fabricantes de APs confirmam que muito trabalho ainda deve ser feito para que redes wireless possam ser utilizadas em locais onde ataques de DoS podem causar sérios danos (hospitais, por exemplo) 39