четверг, 15 октября 2009 г.

PCI DSS и беспроводные сети

В очередной раз воник вопрос о PCI DSS и беспроводных сетях

http://www.securityfocus.com/archive/137/507096

But how can we determine if this rogue AP and especially rogue wireless
clients (WLAN card into a back office server)
are inside CDE? By signal level? But Kismet shows this information only
for APs (not for clients) :(


Я уже отвечал на этот вопрос на сайте информзащиты, повторюсь.


>как узнать, что беспроводная точка с включенным шифрованием принадлежит к нашей локальной сети?


Принадлежность точки может вычисляться различными способами. Самый простой - по трафику, "летающему" в воздухе. Даже есть точка использует нормальное шифрование (не WEP), то в открытом виде передается достаточное количество информации для идентификации сегмента. Например - mac адреса отправителя. Поскольку точка доступа является устройством канального уровня, она будет ретранслировать все широковещательные запросы сегмента "в воздух". А поскольку в сети таких запросов достаточно много (ARP, NetBIOS, IPv6 и т.д.), то сравнив MAC-адреса отправителей пакетов через точку со списком известных MAC-адресов своей сети можно легко идентифицировать место, куда включена точка. Дополнительно можно спровоцировать отправку большого количества широковещательных пакетов в сегменте с помощью утилит, реализующих ARP-ping, таких как Cain или nmap. А бегать с антенной за каждым beacon - задача не для слабонервных.

>А где можно почитать про технологию поиска точек методом
>триангуляции и какую лучше антенну использовать?


Параболические или Yagi антенны для диапазона 2,4 достаточно громоздки, в связи с чем комфортней использовать панельные варианты, не смотря на меньшую направленность и чувствительность к отраженному сигналу.

http://www.wifilab.ru/catalogue/catalogue.php?cat_id=51

Крайне рекомендую мою книгу ;)

http://www.techbook.ru/gordejchik.html


>А если это действительно правильно сконфигурированая точка WPA2+hidden+MAC
> filter. Долго придется искать пока не будет активности.


Такая точка подключенная к сети все равно "фонит":
- рассылает beacon (пусть и с пустыми ESSID)
- транслирует broadcasts и multicast с Mac-адресами источника в открытом виде

Трудно представить себе сеть без широковещательных запросов. А о том как по ним идентифицировать местоположение точки доступа я писал ранее.

>Определение клиентов, подключающимся к внешним точкам доступа

Клиентов, санкционировано подключающихся к "внешним" точкам доступа можно определять с помощью активных средств оценки защищенности. Например в MaxPatrol есть три механизма, позволяющие решать эту задачу: - инвентаризация, в рамках которой анализируются настройки беспроводных клиентов Windows - оценка защищенности, в рамка которой проводится анализ небезопасных конфигураций (например, multihomed, отсутствие шифрование, использование WEP) - контроль соответствия (compliance), позволяющий указывать черные и белые списки точек доступа, разрешенных в сети.

Путем мониторинга беспроводной сети, но для этого надо предварительно составить список "своих" MAC-адресов. Можно это сделать активными средствами (см выше) или пассивными (см. ниже).

>Как понять, твои ли это пользователи?


Немного об этом писал здесь.

Но в любом случае, рабочая станция (особенно под управлением Windows) рассылает очень много интересного трафика, по которому можно определить принадлежность к сети. Это и NetBIOS Broadcast и запросы WPAD и DHCP-запросы в которых передается имя узла и домена...

Остается открытым вопрос - как спровоцировать на отправку данного трафика? Тут нам на помощь приходит Gnivirdraw.

>Активные сканеры нам не помогут!!!

Конечно, полезно иногда пробежаться с ноутбуком :). Но сканеры вполне могут помочь решить следующие задачи:

- инвентаризация (fingerprint) в режиме pentest сетевых устройств (в том числе и AP).
- инвентаризация настроек беспроводных клиентов (MAC-адресов, списков сетей)
- анализ конфигурации точек доступа
- анализ журналов беспроводных устройств с точки зрения "нехороших" событий

12 комментариев:

Pento комментирует...

Здорово, что и ты подключился к обсуждению :)
> как узнать, что беспроводная точка > с включенным шифрованием
> принадлежит к нашей локальной сети?
То есть компании, что бы закрыть это требование, необходимо как минимум сканировать (с учётками) все сетевые устройства, что бы иметь полный список маков (включая маки беспроводных карточек)? И уже потом эту информацию использовать при развёртывании WIDS или предоставлять её аудитору с ноутом и антенной? А если злоумышленник подменит мак на легальный?
> Дополнительно можно
> спровоцировать отправку
> большого количества
> широковещательных пакетов
> в сегменте с помощью утилит
Что это даст при WPA/WPA2?
Имхо, локализация точек и клиентов пока что опирается только на силу сигнала + триангуляция

> Но в любом случае,
> рабочая станция (особенно под управлением Windows)
> рассылает очень много
>интересного трафика
Что это даст при WPA/WPA2?

Sergey Gordeychik комментирует...

Гордейчик

>> как узнать, что беспроводная
>> точка с включенным шифрованием
>> принадлежит к нашей локальной

Pento


>То есть компании, что бы
>закрыть это требование, >необходимо как минимум
>сканировать (с учётками) все
>сетевые устройства, что бы
>иметь полный список маков
>(включая маки беспроводных карточек)

Отнюдь нет. Маки нужны скорее для ситуации "WLAN адаптер на сервере".
Я уже говорил, повторю еще раз:


Самый простой - по трафику, "летающему" в воздухе. Даже есть точка использует нормальное шифрование (не WEP), то в открытом виде передается достаточное количество информации для идентификации сегмента. Например - mac адреса отправителя.


Поскольку точка доступа является устройством канального уровня, то она будет транслировать широковещательные запросы проводного сегмента, в которой она подключена!

Т.е. увидев "в воздухе" MAC-адрес шлюза по умолчанию, или отправив Broadcast с MAC-адресом 0001111111 и увидев его в воздухе можно смело говорить, что точка воткнута где-то здесь.

Pento

>Что это даст при WPA/WPA2?

MAC-адрес источника и получателя передаются в пакете 802.11 без шифрования.
Рекомендую воткнуть точку доступа в проводной сегмент и посмотреть трафик беспроводным анализатором. Ну или почитать там стандарт. Или на курсы в Информзащиту :)

>Что это даст при WPA/WPA2?
>Имхо, локализация точек и
>клиентов пока что опирается
>только на силу сигнала +
>триангуляция

Каждый имеет право на ИМХУ, но я прибегну к "охоте на лис" в последнюю очередь, когда все исчерпано. Если у тебя другой опыт - с удовольствием выслушаю за рюмкой чая.

>> рабочая станция (особенно
>>под управлением Windows)
>> рассылает очень много
>Что это даст при WPA/WPA2?

Прошу детально описать ситуацию.

Pento комментирует...

Да читал я курс твой и книжку, и тема это моя на сексфокусе :)
Тут дело скорее в том, что я наверно не совсем хорошо изложил ситуацию.
Мы имеем как минимум 2 риска, которые мы должны уметь устранить:
- несанкционированная точка доступа, подключённая к сегменту обработки данных пл. карт (например, беспроводной маршрутизатор)
- несанкционированный клиент (беспров. карточка в сервере в сегменте данных платежных карт)

Мы должны уметь:
1. их обнаружить
2. классифицировать "разрешено-запрещено"
3. уметь локализовать

1. тут всё понятно
2. тут в принципе тоже, ибо в большинстве случаев официально беспроводные технологии не используются в компаниях. То есть априори всё "чужое".
3. тут получается как минимум 2 варианта:
- бегать по углам периметра здания и измерять уровни сигналов и затем схематично показывать возможные места расположения источников сигнала внутри/вне периметра здания
- исследовать беспроводной трафик на предмет наличия в нём следов сетевого трафика заказчика (ориентируемся на маки).

Я правильно финализировал?

Sergey Gordeychik комментирует...

>Да читал я курс твой и книжку

Блиин, хотел еще один экземпляр продать :(!

>и тема это моя на сексфокусе :)

Ни кто не понимает моего тонкого хакерского сарказма :(

>3. уметь локализовать

Дело в том, что если у тебя есть доказательства того, что точка принадлежит сегменту обработки данных пл. карт - ее локализация сводится к поиску порта коммутатора/сетевого адаптера сервера к которому подключено устройство с известными характеритиками (MAC-адреса). Задача известная и решаемая (ARP/CAM таблицы и т.д.).
Более того, "сегмент обработки" это наверно не 5 сорокоэтажных зданий, и постой физический осмотр может вполне дать желаемый результат. Особенно, если ты знаешь, что "суслик есть".

А антену красивую конечно можно купить. Хотя бы чтобы шугать заказчика и внушать уважение. :)

Анонимный комментирует...
Этот комментарий был удален администратором блога.
Анонимный комментирует...
Этот комментарий был удален администратором блога.
Анонимный комментирует...

методические разработки разработка сайтов http://web-miheeff.ru методические разработки

Анонимный комментирует...

разработка технологии разработка сайтов http://web-miheeff.ru разработка технологии

Alexey Babenko комментирует...

>Поскольку точка доступа является устройством канального уровня, она будет ретранслировать все широковещательные запросы сегмента "в воздух"
А если в качестве точки доступа будет использоваться wi-fi router, получаем устройство сетевого уровня и "фонить" она уже не будет?

Sergey Gordeychik комментирует...

>А если в качестве точки доступа
> будет использоваться wi-fi router

Зависит "от".
В общем случае - корреляциию между локальным и "воздушным" трафиком можно вычислить.
Ессно если эта точка доступа использует NAT, WPA2 и торчит на отдельном интерфейсе сервера, и у нее узконаправленная антенна то искать wifi и сетевыми средствами ее сложно.
Но есть еще визуальный осмотр :)))

Анонимный комментирует...

Точка D-Link_DWL-3200AP имеет в настройках пункт, отключающий вещание проводного широковещательного трафика в эфир. проверил этот пункт на практике - точка действительно "молчит как рыба". Подозреваю, что она не одна так умеет. задача определения принадлежности имеет другие решения?

Sergey Gordeychik комментирует...

Привет, прошу прощения за задержку, был в командировках.
Да, в этом случае система не транслирует broadcast, но может транслировать multicast (можно попробовать Cain&Abel в режиме поиска снифферов) всегда или при наличии активных клиентов. Тоже относится и к уникасту. Ряд точек спокойно считает клиента соединенным если установлена ассоциация. Ассоциация не требует согласования ключей шифрования.
Например для WEP-Open или WPA-PSK достаточно ввести произвольный ключ.
Универсальный варианты - посылать запросы ассоциации/аутентификации (http://www.aircrack-ng.org/doku.php?id=fake_authentication)