Prevenzione degli attacchi di deautenticazione

47

Sono indifeso nei confronti di qualche ragazzino con backtrack che usa ripetutamente aireplay-ng per autenticare gli utenti legittimi sulla mia rete di lavoro Wifi.

Ho catturato e analizzato il traffico di rete sulla mia rete di lavoro Wifi e ho notato una notevole quantità di pacchetti 802.11 deauth. Mi rendo conto che potrebbe non essere possibile catturarlo, o anche sapere da dove viene l'attacco. Voglio solo sapere: esiste un modo per prevenire un simile attacco?

    
posta Tawfik Khalifeh 15.09.2012 - 00:09
fonte

5 risposte

30

Realisticamente, non puoi impedire a un tizio cattivo di inviare pacchetti di deautenticazione.

Invece, dovresti concentrarti per assicurarti di essere resistente a un attacco deauth. Assicurati che la tua rete sia configurata in modo che l'attacco deauth non consenta a un utente malintenzionato di compromettere la tua rete.

Per fare ciò, devi assicurarti di utilizzare WPA2. Se stai usando una chiave pre-condivisa (una passphrase), assicurati che la passphrase sia molto lunga e strong. Se non lo è già, cambialo immediatamente! Se non stai usando WPA2, correggilo subito!

Il motivo principale per cui i malintenzionati inviano pacchetti deauth è che questo li aiuta a eseguire un attacco dizionario contro la tua passphrase. Se un cattivo cattura una copia dell'handshake iniziale, può provare varie ipotesi nella passphrase e verificare se sono corrette. L'invio di un pacchetto deauth costringe il dispositivo di destinazione a disconnettersi e riconnettersi, consentendo a un intercettatore di acquisire una copia dell'handshake iniziale. Pertanto, la pratica standard di molti aggressori che potrebbero tentare di attaccare la tua rete wireless è quella di inviare pacchetti deauth. Se visualizzi molti pacchetti Deauth, questo è un segno che qualcuno potrebbe provare ad attaccare la tua rete wireless e indovinare la tua passphrase.

Una volta che l'attaccante ha inviato un pacchetto deauth e intercettato l'iniziale stretta di mano, ci sono strumenti e servizi online che automatizzano il compito di cercare di recuperare la passphrase, indovinando molte possibilità. (Per esempio, CloudCracker per un esempio rappresentativo.)

La difesa contro questo tipo di attacco è garantire che la tua passphrase sia così lunga e strong da non poter essere indovinata. Se non è già lungo e strong, devi cambiarlo subito, perché probabilmente qualcuno sta cercando di indovinarlo mentre parliamo.

(L'altro motivo per cui un cattivo ragazzo potrebbe inviare pacchetti stupidi è una seccatura.) Tuttavia, come probabilmente non si noterà nemmeno la maggior parte degli utenti, non è un disturbo molto efficace.)

Per ulteriori informazioni, vedi queste risorse:

risposta data 15.09.2012 - 08:02
fonte
25

Cisco ha guidato un metodo per rilevare questi attacchi e persino proteggere questo tipo di attacco se è abilitato e il dispositivo client lo supporta (supporto minimo di CCXv5). La funzionalità Cisco si chiama "Management Frame Protection" e i dettagli completi possono essere trovato sul sito Web di Cisco .

In sostanza, il processo aggiunge un valore hash a tutti i frame di gestione inviati.

Questo processo è stato standardizzato con l'emendamento 802.11w IEEE pubblicato in 2009, ed è supportato dalla maggior parte delle moderne distribuzioni Linux / BSD nel kernel. Windows 8 è stato introdotto con il supporto 802.11w per impostazione predefinita (che ha causato alcuni problemi iniziali in alcuni ambienti). AFAIK, OS X manca ancora del supporto 802.11w.

Per riferimento, 802.11w è stato implementato nella versione di manutenzione 802.11-2012 dello standard 802.11.

Qualcuno mi ha dato un upvot che ha rinfrescato questa risposta nella mia mente e ha calcolato che era dovuto un aggiornamento.

Wi-Fi Alliance (WFA) ha reso obbligatorio l'uso di Protected Management Frames (PMF) per il passaggio delle certificazioni 802.11ac o Passpoint (aka HotSpot2.0). Questo ha spinto in modo significativo il supporto per 802.11w e puoi persino trovarlo nella maggior parte dei dispositivi consumer oggi.

Sfortunatamente, Apple sembra ancora essere bloccata. Lasciatemi dire che sono stato sorpreso di scoprire che Apple non ha certificato un singolo dispositivo con la WFA dall'inizio del 2014 . So che questo è un processo volontario per i fornitori, ma non prendere parte al processo di certificazione mi sembra una cattiva idea per un produttore così grande di dispositivi wireless.

Mentre Apple ha aggiunto il supporto 802.11w, ci sono ancora problemi. Mi sono imbattuto in questo post all'inizio di quest'anno, che illustrava i problemi relativi alla connessione di Apple a una rete con autenticazione 802.11X e 802.11w richiesti. Le reti che utilizzano un PSK (con 802.11w opzionali o obbligatori) sembrano funzionare come le reti 802.1X con 802.11w opzionale.

Quindi ci stiamo arrivando, ma abbiamo ancora molta strada da fare.

    
risposta data 01.08.2014 - 06:04
fonte
18

L'unico modo per prevenire un simile attacco è bloccare la capacità dell'aggressore di inviare trasmissioni wireless che raggiungeranno i tuoi utenti legittimi. Questa non è una soluzione pratica per diversi motivi (ma punti extra se puoi convincere i tuoi lavoratori a sedere in una Cage di Faraday ).

Questa pagina del blog qui riporta alcuni degli standard WiFi pertinenti , più esplicitamente:

Deauthentication is not a request; it is a notification. Deauthentication shall not be refused by either party.

Quindi no, non esiste un modo reale per prevenire un simile attacco.

    
risposta data 15.09.2012 - 00:21
fonte
4

Lo standard 802.11 corrente definisce i tipi di "frame" da utilizzare nella gestione e nel controllo dei collegamenti wireless. IEEE 802.11w è lo standard dei frame di gestione protetta per la famiglia di standard IEEE 802.11. TGw sta lavorando per migliorare il livello di controllo di accesso medio IEEE 802.11. L'obiettivo è aumentare la sicurezza fornendo la riservatezza dei dati dei frame di gestione, i meccanismi che consentono l'integrità dei dati, l'autenticità dell'origine dei dati e la protezione di riproduzione.

== > link

sembra una protezione contro deauth e la riproduzione è già presente nel kernel bsd / linux:

Lo standard 802.11w è implementato in Linux e BSD come parte della base di codice del driver 80211mac che viene utilizzata da diverse interfacce di driver wireless, ad esempio at9k. La funzione è facilmente abilitata nei kernel più recenti e nei sistemi operativi Linux che utilizzano queste combinazioni. In particolare, Openwrt fornisce un semplice interruttore come parte della distribuzione di base.

    
risposta data 06.10.2014 - 18:04
fonte
-4

Se possibile, porta tutti a connettersi a una rete cablata per una settimana e spegni il wifi. Dopo una settimana, riaccenderlo e sperare che l'aggressore si sia arreso a quel punto. Vorrei anche provare a inserire nella whitelist tutti gli utenti della tua rete in modo che solo quegli IP possano connettersi. Se sospetti che continueranno ad attaccarti a prescindere dallo sforzo che causerà loro, allora sono d'accordo con Terry, contatta le forze dell'ordine locali e lascia che se ne occupino.

    
risposta data 07.01.2014 - 17:17
fonte

Leggi altre domande sui tag