Wi-Fi hálózathoz, és áthatolásvédelmet
Ha ez a tendencia jó hír, hogy a 80% -a hálózati tulajdonosok nem változtatják meg a jelszavakat az alapértelmezett kapcsolat. Ezek közé tartozik a vállalkozások és hálózatok.
Ez a cikksorozat szeretnék összerakni leírások meglévő védelmi technológiák, a problémák és a bypass mód, oly módon, hogy a végén az olvasó maga lesz képes mondani, hogy hogyan lehet a hálózati áthatolhatatlan, és még bizonyítani a problémát egy példa a szerencsétlen szomszéd (ne próbálja meg ezt otthon, a gyerekek). A gyakorlati oldalát a szünet fedezi segítségével Kali Linux (korábban BackTrack 5) a következő részeket.
De először - a felszerelés.
Add ide a cukrot
Képzeld el, hogy - az eszköz, amely utasításokat fogad. Mert tud csatlakozni mindenki ad parancsot. Minden jó, de egy bizonyos ponton úgy ítélte, hogy kiszűrje az egyének, akik ellenőrzik Önnek. Ez az, ahol a szórakozás kezdődik.
Honnan tudod, hogy ki tudja adni a csapatnak, és ki nem? Az első dolog, ami eszébe jut - egy jelszót. Legyen minden ügyfél előtt át egy új csapatot, hogy egy jelszót. Így, ha elvégzi csak a parancsokat kísérte egy érvényes jelszót. A többi - ez szívás.
AuthType Basic
Authname „My szupertitkos zóna!”
AuthUserFile /home/.htpasswd
Require valid-user
Engedélyezés: Basic YWRtaW46cGFzcw ==
Ez az eredeti:
echo -n # 'Admin: pass #' | base64
# YWRtaW46cGFzcw ==
Ebben a megközelítésben, van egy nagy hátránya - a jelszó (vagy bejelentkezési név és jelszó, ami lényegében csak két rész azonos jelszó) áthalad a csatorna „ahogy van” - bárki vstryat közted és az ügyfél kap jelszavát egy ezüst tál. És akkor használd, és dobja van, ahogy tetszik!
Hogy megelőzzék az ilyen szörnyűségek úton is lehetséges a trükk: ezúttal egy kétirányú titkosítási algoritmus, ahol a privát kulcs csak a jelszó, és természetesen soha nem fog múlni. A probléma azonban nem dönt - egyszer ahhoz, hogy tudja a jelszavát, és meg tudja dekódolni bármilyen adatot továbbított a múlt és a jövő, valamint titkosítja a saját és sikeresen maskara, mint az ügyfél. És figyelembe véve azt a tényt, hogy a jelszót a személy, és az emberek hajlanak arra, hogy nem a teljes készlet 256 bájt minden egyes karakter, és a karakterek általában mintegy 6-8 ... Általában a KISZ nem hagyja jóvá.
Mit kell tenni? És eközben, hogyan jön az igazi összeesküvő: először kapcsolatba felér egy hosszú véletlen sorozatot (elég hosszú, hogy nem lehet felvenni, amíg a fény a nap), emlékezni és minden ezt követő továbbított adatok titkosítva ezzel a „alias” erre jelszó . És mégis időről időre változtatni ezt a sort - ha a Jedi nem került sor.
Az első két program (zöld ikon a fenti képen) - ebben a fázisban a „vállrándítással a kezében» (kézfogás), amikor először beszélünk szerver mi legitimitást, amely bemutatja a helyes jelszót a szerver válaszol nekünk véletlen sorozatot, amit majd titkosítására és továbbítása semmilyen adatot.
Tehát, a kiválasztás egy hacker vagy meg kell találni a kulcsot biztonsági rés a algoritmus generál (ahogy abban az esetben Dual_EC_DRBG), vagy bérelni egy pár száz párhuzamos univerzumok és több ezer ATI-gazdaságok, hogy megoldja ezt a problémát az élete során. Mindez annak köszönhető, hogy az a tény, hogy a véletlen kulcsot tetszőleges hosszúságú lehet, és tartalmazhat a rendelkezésre álló kódok 256, mert az emberi felhasználó soha nem lesz vele dolgozni.
Ez egy olyan idő diagramja a kulcsot (session kulcs, session kulcs vagy a menetjegy) különböző variációkban, és használják ma sok rendszerek - beleértve az SSL / TLS és szabványokat, hogy megvédje a vezeték nélküli hálózatok, ami lesz szó.
A mi feladatunk a törés átalakul valahogy csökkenteni, hogy elfogják kézfogás, ahonnan akkor sem kap egy ideiglenes kulcsot, akár az eredeti jelszót, vagy mindkettő, és így tovább. Általában ez elég forgalmas és igényel némi szerencse.
De ez egy tökéletes világban ...
mechanizmusok védik a Wi-Fi
Technologies által létrehozott emberek, és majdnem mindegyik hibák, néha meglehetősen kritikus, hogy kb minden nagyon jó védelmet elméletben. Az alábbiakban mi megy át a listát a meglévő éteren (vagyis anélkül, hogy az SSL VPN és más, magasabb szintű technikák) adatvédelmi mechanizmusokat.
OPEN
OPEN - a hiánya minden védelem. Az ügyfél és a hozzáférési pont nem maszk az adattovábbítás. Szinte minden vezeték nélküli adapter bármely laptop Linux telepíthető a lehallgatás üzemmódba, eldobás helyett szánt csomagokat, hogy ne neki, meg fogja kapni, és továbbítja azokat az operációs rendszer, ahol könnyen megtekinthetők. Kik vagyunk mi, ott van egy Twitter?
Ez ezen elv dolgozik vezetékes hálózat - nincs beépített védelem és a „összeomlik” bele, vagy csatlakozik a hub / switch hálózati adapter kap csomagokat összes hálózati eszköz le van ebben a szegmensben az egyértelmű. Azonban a vezeték nélküli hálózat „crash” bárhol lehet - 10-20-50 méterre, és több, a távolság nem csak attól függ a teljesítmény a jeladó, hanem a hossza az antenna hacker. Ezért nyílt adatátvitel vezeték nélküli hálózaton keresztül sokkal veszélyesebb.
WEP - első biztonsági szabvány Wi-Fi-vel. Állványok (Wired Equivalent Privacy «ekvivalens védő vezetékes hálózatok"), de valójában ez ad sokkal kevesebb védelmet biztosít, mint a legtöbb vezetékes hálózatok, mert sok hibái és repedezett sokféleképpen, mert a távolság, amelyet az adó, ami adatok sérülékenyebb. El kell kerülni, szinte ugyanaz, mint a nyílt hálózatok - az általa nyújtott biztonságot csak egy rövid ideig, ami után átalakul szabadjára engedhetik a teljes, függetlenül attól, hogy a komplexitás a jelszót. A helyzetet súlyosbítja az a tény, hogy a jelszavakat a WEP - ez 40 vagy 104 bit, azaz a kombináció rendkívül rövid és vedd fel pillanatok alatt (ez nem veszi figyelembe a hibákat a titkosítás).
WEP találták a '90 -es évek végén, hogy igazolja, de azok, akik azt is élvezi - nem. Én még mindig a 10-20 WPA-hálózatok folyamatosan találni legalább egy WEP-hálózatot.
A gyakorlatban számos algoritmus használata titkosításhoz továbbított adatok - Neesus, MD5, Apple - de valahogy nem biztonságos. Különösen figyelemre méltó az első, akinek tényleges hossza - 21 bit (
A fő probléma az WEP - az alapvető tervezési hiba. Amint az elején - a patak titkosítás használatával történik egy ideiglenes kulcsot. WEP valóban küld néhány byte ugyanezen kulcs minden adatcsomag. Így függetlenül összetettsége a legfontosabb, hogy felfedje átalakul lehet csak úgy, egy megfelelő számú elfogott csomagokat (néhány tízezer, ami elég kicsi ahhoz, hogy a hálózat aktívan használják).
A támadás a WEP megvitatásra kerül a harmadik részben.
WPA - a második generációs, jött, hogy helyettesítsék a WEP. Ez áll a WPA. A minőségileg új szintű védelmet elfogadásával figyelembe WEP hibákat. Jelszó Hossz - tetszőleges, 8-63 byte, ami nagyban megnehezíti annak illeszkedést (összehasonlítani 3, 6 és 15 bájt WEP).
A szabvány támogatja a különböző adatok titkosítását követően továbbított kézfogás: TKIP és CCMP. Az első - egyfajta hidat WEP és WPA, amely találta az időt, míg IEEE elfoglalt létre egy teljes algoritmus CCMP. TKIP valamint WEP, szenved valamilyen típusú támadás, és nem biztonságos általában. Most ritkán használják (bár miért általánosabban alkalmazható - Nem értem), és általában a használata WPA TKIP majdnem ugyanaz, mint egy egyszerű WEP.
Az egyik szórakoztató funkciók TKIP - a lehetőséget, az úgynevezett Michael-támadás. A gyors zalatyvaniya néhány igen kritikus lyukak WEP TKIP szabályt vezették, hogy a hozzáférési pont szükséges, hogy blokkolja az összes kommunikáció révén maguk (azaz „alvó”) 60 másodpercig, amikor érzékeli a támadás a kiválasztás gombot (leírt második rész). Michael-támadás - egyszerű átadása „elrontott” csomagok teljes leállítását a hálózaton. Továbbá, ellentétben a hagyományos DDoS elég csak két (kettő) csomagok garantált hálózati letiltani egy perc.
WPA és WEP eltér titkosítja az adatokat az egyes ügyfelek számára külön-külön. Az egyeztetés után generált ideiglenes kulcs - PTK - amelyet kódolására átadása az ügyfél, de nincs más. Ezért, még ha belépett a hálózat, olvassa el a csomag más ügyfelek csak akkor tudjuk elfogják őket, ha kézfogás - külön-külön. Kimutatása segítségével Wireshark a harmadik része.
Amellett, hogy a különböző titkosítási algoritmusok, WPA (2) által támogatott két különböző kezdeti hitelesítési mód (jelszavas hitelesítés ügyfél hozzáférést a hálózat) - PSK és Enterprise. PSK (néha WPA Personal) - bemenetére egy jelszót, amely bevezeti a kliens, ha csatlakozik. Ez egyszerű és kényelmes, hanem a nagyvállalatok esetében lehet egy kihívás - mondjuk elhagyta a munkavállaló, és már nem tudta, hogy hozzáférjen a hálózathoz szükséges alkalmazni a módszert a „Men in Black” megváltoztatni a hálózati jelszót, és erről értesíti a többi alkalmazott . Vállalat megoldja ezt a problémát, köszönhetően a kulcscsomót tárolt külön szerver - RADIUS. Ezen túlmenően, az Enterprise hitelesítési folyamat maga szabványosítja a protokoll az EAP (Extensible Authentication Protocol), amely lehetővé teszi, hogy írjon a saját kerékpár algoritmus. Röviden, néhány zsemle nagy bácsi.
Ezt a ciklust részletesen elemezni kell a támadás a WPA (2) -PSK az Enterprise - egy teljesen más történet, mint csak használják a nagyvállalatok.
WPS. Azt is Qikk aSSQSS - érdekes technológia, amely lehetővé teszi számunkra, hogy nem gondol a jelszót, csak víz kell hozzá, nyomja meg a gombot, majd azonnal csatlakozni a hálózathoz. Valójában ez a „legális” eljárás megkerülésével a jelszó védelem minden, de ami meglepőbb, hogy széles körben használják a nagyon súlyos tévedés a legtöbb tolerancia rendszer - néhány évvel később, miután a szomorú tapasztalat WEP.
WPS lehetővé teszi az ügyfél csatlakozhat a hozzáférési pont a 8 karakteres kódot, amely számokat (PIN). Azonban hiba miatt a szokásos kell kitalálni, csak 4 közülük. Így elegendő csak 10.000 kísérletek a felvételkor függetlenül összetettsége a jelszót a vezeték nélküli hálózathoz, akkor automatikusan megkapja a hozzáférést ehhez, és vele ráadásul - és ez a jelszó, ahogy van.
Tekintettel arra, hogy ez a kölcsönhatás előtt zajlik minden biztonsági ellenőrzéseket lehet küldeni másodpercenként 10-50 kéri bevitele a WPS, majd 3-15 óra (néha több, néha kevesebb), akkor megkapja a kulcsokat a paradicsomba.
Amikor ez a biztonsági rés nyilvánosságra gyártó kezdett bevezetni korlátot a bejelentkezési kísérletek (határértéket), amelyen túl a hozzáférési pont automatikusan egy ideig kikapcsolni WPS - de eddig ezek az eszközök nem több, mint a fele a már kiállított nélkül ezt a védelmet. Még több - egy ideiglenes leállítása alapvetően nem változtat semmit, mert ugyanabban az időben belép a pillanatban szükségünk van minden 10000/60/24 = 6,94 nap. A PIN-kód általában olyan, mielőtt áthaladt az egész ciklust.
Szeretném ismételten felhívni a figyelmet arra, hogy ha a WPS jelszavát lesz elkerülhetetlenül fel, függetlenül attól, hogy mennyire összetett. Ezért, ha szükséged van a WPS - kapcsolja be csak akkor, ha a hálózathoz való csatlakozás, és máskor tartani ezt a backdoor ki.
A támadás a WPS lesz szó a második részben.