Embed Size (px)
Citation preview
無線網路安全敦陽科技
2
大綱
無線網路原理
無線網路攻擊
無線網路防護
無線網路原理
4
無線區域網路
無線區域網路(Wireless LAN)是有線區域網路的延伸
無線展頻技術源自於軍方,為了在戰場上防止敵人截取通訊內容,使用高頻無線電載波作為傳輸媒體 (RF)
現今無線網路速度: 2Mbps 到 54Mbps
有效距離:約100呎到15哩
使用載波感測多重存取避免碰撞協定(CSMA/CA)
5
為什麼需要無線網路?
優點
機動性
建置成本低且迅速
連線方式簡單
互連方便
缺點
訊號不穩定
實作後維護成本較貴
物理範圍小
漫遊
安全因子– 傳輸過程沒有實體保護
– 難以發現駭客攻擊
– 機密外洩
6
無線網路的標準
802.11IEEE 對WLAN的協定家族
802.11a5GHz, 54Mbps
802.11b通常又稱為Wi-Fi
2.4GHz, 11Mbps
802.11e對802.11a與802.11b支援 QoS 與多媒體傳輸
802.11g2.4GHz, 54Mbps
802.11i取代WEP的安全協定,採用WPA2
802.11n預計2009/11正式釋出,更快更遠的無線網路
7
802.11 標準簡表
項目 \ 規格 802.11b 802.11a 802.11g
標準批准時間 1999年7月 1999年7月 2003年6月
運作頻譜 2.4GHz 5 GHz 2.4GHz
最高傳輸速度 11Mbps 54Mbps 54Mbps
優點 成本較低可同時使用多個頻道以加快傳輸速度、電波不易受干擾
相容802.11b
缺點電波易受干擾、速度較慢
涵蓋範圍小、與802.11b /
g 都不相容電波易受干擾
8
Wi-Fi 大聯盟
1999年成立的非營利國際組織
宗旨為認證基於IEEE 802.11規格的無線局域網產品的相互可操作性。
9
無線網路設備
基地台(Access Point, 簡稱AP)
無線網路中的集線器
為有線網路與無線網路使用者間的牆樑
無線網路卡
有線閘道器
外掛:天線
10
天線(Antennas)
天線主要用途為轉換電子脈衝與無線電波。
天線的兩種型態:
全向性(Omni-directional antennas)
指向性(Directional antennas)
11
罐型天線(Cantennas)
超長距的指向型天線,經常為玩家自製
http://www.cantenna.com/
12
802.11b/g 無線網路頻道
America/ FCC:2.412~2.462GHz
(11 Channels)
Japan/ TELEC:2.412~2.484GHz
(14 Channels)
Europe/ ETSI:2.412~2.472GHz
(13 Channels)
13
無線網路配置
14
連線模式 – 專屬模式
專屬模式(Ad Hoc Mode)用於無線網卡點對點時的連線需求
15
連線模式 – 基礎模式
基礎模式(Infrastructure Mode)讓無線網卡與基地台連結,類似傳統網路
AP
無線網路資安事件
17
實際案例
1. 美國:著名投資公司Fidelity 「富達投資集團」洩漏客戶個人資料
2. 國內:首宗盜用無線網路溢波上網,盜刷信用卡洗錢案
3. 國內:利用無線網路溢波上網,破解網路銀行盜領存款及盜刷信用卡購買毒品案
4. 國內:「無線溢波駭客」破解信用卡認證機制大量盜刷信用卡
備註:圖片來源:www.warnerbros.com
18
真實案例一
美國著名投資公司Fidelity 「富達投資集團」19萬6千筆名客戶的一些個人敏感資訊遭竊取。
商業間諜和駭客們犯案的“基地”!
資料通訊加密?
飯店外面停車場、對面街道?
備註:圖片來源:www.warnerbros.com
19
真實案例二:首宗盜用無線網路溢波上網,盜刷信用卡洗錢案
查獲時間:民國93年06月15日
查獲地點:網咖「網際○○石牌店」(台北市士林區致遠一路○段○號)、
台北市中山區林森北路○號○樓之○
查獲嫌犯:莊○隆、莊○鴻兄弟,及少年吳○峻、塗○銓等四人
查獲贓證物:電腦週邊設備二套、無線網路設備、人頭帳戶存摺十三本、提款卡九張、各式印章十枚、行動電話易付卡、線上遊戲儲值卡、個人基本資料(含信用卡資料)數千筆、信用卡簽帳單等
查獲單位:刑事警察局偵九隊
備註:圖片來源:www.warnerbros.com
20
真實案例二:首宗盜用無線網路溢波上網,盜刷信用卡洗錢案
備註:新聞、圖片來源:刑事警察局
21
真實案例三:利用無線網路溢波上網,破解網
路銀行盜領存款及刷信用卡購買毒品案
查獲時間:民國94年01月12日上午00時00分
查獲地點:台中市
查獲嫌犯:林○順(綽號阿順,有多次盜刷信用卡及盜領存款前科)曾○莎(綽號莎莎,大陸籍女子,有詐欺、毒品前科)邵○真(綽號婷婷,有盜打電話、詐欺前科)凌○聲(專司人頭帳戶販賣,現因詐欺通緝中)
查獲贓證物:大量信用卡卡號、金融帳號及密碼、無線網路卡、行動電話、人頭帳戶、晶片提款卡、海洛英毒品、安非他命毒品、吸食器具等
查獲單位:台中地方法院檢察署、刑事警察局偵九隊(三組)、宜蘭憲兵隊
備註:圖片來源:www.warnerbros.com
22
真實案例四:「無線溢波駭客」破解信用卡認證機制大量盜刷信用卡
無線上網或電話語音盜刷繳付以他人名義申請之行動電話電信費用,幫藥頭繳電信費
利用美國賭博網站收取美金支票洗錢
與視訊妹妹共謀盜刷、匯款帄分
以人頭帳戶結清盜刷款項,額度恢復後再使用預借現金
利用某網路銀行漏洞
竊取金融帳戶資料、信用卡卡號
利用無線網路溢波及Cable
Modem上網
躲避警方追查
以人頭帳戶申請行動電話躲避警方追查
洗錢!獲利!
23
真實案例四:「無線溢波駭客」破解信用卡認證機制大量盜刷信用卡
查獲時間:民國95年02月10日查獲地點:臺北市、臺北縣。查獲嫌犯:莊○○(男,28歲)、翁○○(女,24歲)、莊○○(男,26歲)查獲贓證物:犯案用筆記型電腦、桌上型電腦、無線網路卡、指向型天線、信用卡申請書正本及影本、人頭帳戶、信用卡卡號與持卡人詳細資料列印資料等。查獲單位臺灣桃園地方法院檢察署、刑事警察局偵九隊三組、臺北市政府警察局松山分局中崙派出所、台北市憲兵隊。
備註:圖片來源:www.warnerbros.com
24
真實案例四:「無線溢波駭客」破解信用卡認證機制大量盜刷信用卡
備註:圖片來源:www.warnerbros.com
利用「暴力破解法」破解線上付款網站的信用卡認證機制
利用拍賣網站販售,完成洗錢圖利與逃避警方追緝。
網路購買個人資料、信用卡號、證件正反面影本
利用無線網路溢波及上網
盜刷信用卡購買「線上遊戲虛擬幣」獲利!
變更原持卡人之聯絡電話
提高信用卡額度至40萬元
取消寄送該張信用卡實體帳單的服務
猜測信用卡有效年限
25
無線網路弱點
Type Attacks Tools
Reconnaissance
Rogue APs
Open/Misconfigured APs
Ad Hoc stations
Netstumbler, Kismet,
Wellenrighter
Sniffing
WEP, WPA, LEAP cracking
Dictionary attacks
Leaky APs
AirSnort, Wepcrack,
Cowpatty, WinSniffer,
Cain, Ettercap
Masquerade
MAC spoofing
AirSnarf/HotSpot attacks
Evil Twin/Wi-Phishing attacks
AirSnarf, Hotspotter,
HostAP, SMAC
Insertion
Multicast/Broadcast injection
Routing cache poisoning
Man in the Middle attack
Airpwn, WepWedgie,
ChopChop, Vippr,
irpass, CDPsniffer
Denial-of-Service
Disassociation
Duration field spoofing
RF jamming
AirJack, void11,
Bugtraq, IKE-crack
26
無線網路攻擊流程
無線網路探勘
無線網路竊聽
無線網路攻擊或冒用
無線網路探勘
28
無線網路的溝通
無線網卡與基地台間利用服務群組識別碼(Service Set Identifier,簡稱SSID)作為基本認證訊息。
SSID為一32字元長的ASCII字串
基礎型SSID(Basic Service Set Identifier)
一般的連線模式
延伸型SSID(Extended Service Set Identifier)
突破無線網路訊號的實體限制,以擴展網路規模
29
基礎型SSID
BSSID 或 SSID
beacon
beacon
beacon
30
延伸型SSID
ESSID
31
無線網路的連線
信標(Beacon)
由AP發送信標告知AP位址
探測(Probe)
用戶探測AP位址
驗證(Authentication)
用戶證明身份
聯結(Association)
用戶連上WLAN
32
搜尋 - 開放式網路
Access PointNode Beacon
SSID Matches
Access Point Accepts Node
Association Resp
Node is Associated
Communication
Association Req
33
搜尋–封閉式網路
Access PointNode
Communication
Probe Req
SSID MatchesProbe Resp
SSID Matches Association Req
Association Resp Access Point Accepts Node
Node is Associated
34
開放式驗證(即無驗證)
35
共享金鑰驗證機制(Shared key Authentication)
36
加密驗證
WEP (Wired Equivalent Privacy)
WPA
WPAv2
37
SSID的安全問題
基地台預設會廣播自己的SSID
基地台預設會回應或接受任何送出空SSID
的無線網卡
SSID是由明文傳送
沒有認證功能
38
什麼是WarDriving?
利用無線網卡送出訊號,並利用移動裝置(例:車)找出基地台位置。惡意使用者的第一步可用於稽核單位內未經授權的基地台工具
電腦、無線網卡、天線無線網路探勘工具全球衛星定位系統(GPS)
車!
39
其他蛋頭名詞
WarDriving
(WarBiking)
WarWalking
(WarJogging)
WarFlying
WarChalking
攻擊者會以粉筆在建築物、街道上或人行道上做記號,標示出哪些地方有可用的無線網路。其他人可利用這些記號來找出基地台。
40
War Driving in香港
堅城中心 創業商場 西區警局 上環 MTR 世界書局
中銀保險 環球大廈 警察總站 大有商場 英皇中心
41
WEP Enable :
23%
WEP Disable :
77%
War Driving in香港
使用WEP加密的比例:
WEP Enable : 43
WEP Disable : 144
42
10 %
3 %
46 %
41 %
Default SSID
Well-knownNon Default SSID
Unknown
War Driving in香港
SSID 使用比例:
預設SSID : 77
非預設SSID: 87
未知: 5
其他*: 18
43
default
27%
PCCW
23%
Times_Square
14%
WaveLAN Network
9%
linksys
6%
My Network
6%
tsunami
6%
HV24Ap1
5%
IEEE 802.11 LAN
4%
War Driving in香港
SSID排名
44
探戡工具
主動式掃瞄:
Netstumbler
MiniStumbler
AiroPeek
被動式探勘(竊聽):
Kismet
KisMAC
46
偵測無線網路 AiroPeek
Windows環境: WildPackets AiroPeek (http://www.wildpackets.com)
Linux環境: Kismet (http://www.kismetwireless.net)
只支援部分晶片組(chipset),如Atheros AR5212 /AR5100X , RalinkTek RT2500
47
內部網路漏洞/私接AP基地台
同仁將內部網路接上非法AP造成內網漏洞暴露
48
駭客偽冒基地台
稱為Evil Twin或Rogue AP
真AP
假AP
無線網路竊聽
50
竊聽
無需實體連線即可偷取封包
駭客
51
監聽程式可監聽到的資訊
項目 說明
SSID,Channel 取得連線AP的SSID及channel,可供駭客非法連線、非法使用資源、躲避追查用途
MAC Address 取得連線機器的Mac,可供駭客偽裝成合法使用者
IP Address取得連線機器的IP ,可供駭客偽裝成合法使用者
FTP帳號密碼
取得帳號密碼,可供駭客進一步滲透使用Telnet帳號密碼
網路芳鄰帳號密碼
52
WEP(Wired Equivalent Privacy)
使用對稱式演算法 RC4
加密金鑰40/104位元長,需事先約定
沒有金鑰管理與配布機制
所有使用者共用一組密碼,無法作身份識別
全部人具有相同權限
當有人遺失電腦,則需重換密碼
53
WEP加密方式
RC4
加密
明文
WEP密碼(共享金鑰)
CRC32
雜湊函數ICV
驗證碼
明文
ICV
驗證碼
IV值24位元亂數
XOR
運算 密文
IV值24位元亂數
54
WEP解密方式
RC4
加密
WEP密碼(共享金鑰)
CRC32
雜湊函數
ICV
驗證碼
明文
ICV
驗證碼
IV值24位元亂數
XOR
運算 密文
IV值24位元亂數
ICV
驗證碼
比對
55
WEP安全問題
CRC32實作問題可插入偽造資料但驗證值不變
訊息重播相同的明文+IV值具有密文,雖無法解出,但可重播
可暴力猜測金鑰長度短(64/128 bits)
Weak IV問題密碼學破解,IV值並非真正亂數產生,而是利用WEP金鑰密碼作亂數種子
收集大量的IV值可解出WEP金鑰密碼,帄均竊聽5百萬至一千萬個封包後,即可破解
56
FMS 攻擊工具
Adam Stubblefield, AT&T Labs
http://www.cs.rice.edu/~astubble/wep
WEPCrack
http://sourceforge.net/projects/wepcrack
Airsnort
http://airsnort.shmoo.com/
無線網路攻擊或冒用
58
常見的無線網路攻擊
1. 偽裝
2. 連線攔截
3. MITM綁架攻擊、中間人攻擊
4. 訊息竄改
5. 阻斷服務
6. AP遭入侵
使用預設SNMP Community (RO & RW)
預設開啟管理介面(Web, Telnet, Serial)
使用預設安裝密碼或從不更新
59
未經授權的使用者MAC Spoofing
In rangeMalicious client
Out of range !!
Client
60
阻絕攻擊
駭客
壅塞
對使用者發送入侵訊號
無線網路容易被阻絕
利用大量訊號癱瘓基地台,藉此直接對使用者進行偽冒或其他入侵
61
Man-in-the-Middle綁架攻擊
Man-in-the-Middle:
Juniper Netscreen VPN 在2005年出現過Man-in-
the-Middle (MITM)漏洞(http://www.securityfocus.com/archive/1/408478)
搭配取消連結(Disassociation)攻擊
接管用戶通訊
強迫用戶使用假AP
無線網路安全閘道器管理系統
AP
X
62
WPA(Wi-Fi Protected Access)
針對安全需求所設計的無線網路認證與加密標準
為802.11i標準的一部分
認證機制:802.1X 與 EAP
資料加密:TKIP
資料完整性:MIC,取代CRC32
使用128位元長的加密金鑰
具金鑰管理機制
63
802.1X與802.11結合
範例:Wifly行動上網機場無線網路
64
WEP與 TKIP加密比較
WEP Encryption TKIP
IVBase
Key
Plaintext
Data
Stream
Cipher
CipherText
DataRC4 XOR
IVBase
Key
Plaintext
Data
Stream
Cipher
CipherText
DataHash XOR
RC4
IVPacket
Key
65
WEP vs. WPA
加密演算法脆弱
金鑰長度40位元
使用共享之固定金鑰加密
需手動傳遞金鑰
只負責加密,無法驗證使用者
尚未發現加密演算法問題
金鑰長度128位元
使用金鑰動態變換後進行加密
可於網路上自動傳遞金鑰
可同時提供加密與驗證
66
WPA 2(802.11i)
WPA 2 包含
802.1x EAP = 身份驗證
MIC = 完整性檢查
TKIP = 加密機制
漫遊
CCMP 加密演算法,用AES取代 RC4
67
無線傳輸
IP-10.0.0.1
No WEP
IP-10.0.0.15
竊聽者
IP-10.0.0.20
FTP Client
IP-10.0.0.25
FTP Server
A
B
“A” FTP to “B”
68
無線傳輸VPN加密
Wireless
IP-10.0.0.10
VPN Gateway
Ethernet
IP-192.168.1.230
VPN
Server
(PPTP)
IP-10.0.0.1
No WEP
FTP Server
IP-192.168.1.254
IP-10.0.0.20
VPN Client
FTP Client
A
D
C
“A” FTP to “D”
VPN加密
IP-10.0.0.15
竊聽者
明文
無線網路防護
70
強化安全設定
更改預設的基地台名稱、密碼與SSID
關壁SSID廣播功能
不允許空SSID的連線
限制管理介面的存取模式(例:Telnet/Web)
限制管理介面的存取來源(例:有線內部網路、本機)
關閉SNMP存取權限
使用較複雜的管理者密碼
設定無線網卡機器位址的存取權限
71
強化安全結構
自成封閉網路
將無線網路網段視為外部網路
隔離所連接到的有線網路
關閉DHCP功能,使用固定IP並設定存取控制清單
落實WEP/WPA認證,使用128位元長的金鑰
不允許未加密的連線
72
鑑別 (Authentication) 使用者與裝置
防止不知使用者偽裝置得到網路之存取權
授權使用者 (Authorization of users)
防止偽冒
資料之加密 (Confidentiality of data)
資料即使被攔截也無法知悉內容
基礎防護概念
73
無線網路安全應變與稽核
無線安全應變機制:
明定無線網路安全通報及應變機制,例如無線設備失竊或遺失時之處理準則、遭受入侵時之通報及處理方式等。
無線安全稽核:
定期對內部無線網路安全狀況進行安全稽核,包括弱點
74
Blackberry
802.11n
Bluetooth藍芽
3G/3.5G
WiMAX
UMA
新興無線應用技術
75
新興無線應用技術
76
無線網路安全研究
美國國家標準與技術局(NIST)
National Institute of Standards & technology
NIST所頒佈編號為「NIST SP 800-48」的文件,講述有關IEEE802.11、藍牙、其他行動手持裝置的特性、安全需求與威脅、以及如何降低風險等等。
77
無線網路安全研究
美國SANS科技安全協會(SANS Institute)
SANS協會從事資安教育及認證,為目前全球最大從事資安教育的非營利組織。SANS協會發佈的文件如下:
1.802.11b的滲透測詴方法(Penetration Testing on 802.11b )2.WEP 及 WPA以外的無線網路安全(Networks Wireless security
beyond WEP and WPA)3.瞭解無線網路風險及如何降低風險(Know the Wireless Risks
and Mitigate them)4.打造一個安全的無線網路環境(Implementing a Secure Wireless)5.常見的無線網路安全漏洞(Common Wireless LAN
Vulnerabilities)6.Wardriving指南及如何偵測Wardriving駭客(A Guide to
Wardriving and Detecting Wardrivers)
78
無線網路安全研究
安全與開放原始碼方法論協會(ISECOM)
Institute for Security and Open Methodologies
ISECOM 在2001年1月成立,為開放性、協同合作的安全研究組織,專注於在所有安全範疇提供縝密的安全思維以及科學方法論。
針對無線網路安全探討之文件「OSSTMM Wireless
2.9.1」Section E-2 的802.11 無線網路測詴(802.11
Wireless Networks Testing)章節所延伸描述的各項安全性測詴項目。
79
無線網路安全研究
AirDefense公司
AirDefense是一家以創新概念發展無線網路安全的廠商,是發展7X24監控無線網路電波的先驅,目前擁有獨家十二項專利,其中包括無線入侵偵測、無線監控與事件集中分析等多項專利,可以解決私接非法無線網路設備、執行無線網路政策、入侵行為偵測與無線網路效能監控。AirDefense公司所發佈的文件如下:
1.駭客眼中的無線網路安全(Wireless LAN Security:What
Hackers Know That You Don’t)2.惡意無線網路偵測最佳參考規範(Best Practices for Rogue
Wireless LAN Detection)3.無線網路安全與管理防彈三步驟(Three Steps for Bullet-proof
WLAN Security and Mgmt)
80
無線網路安全研究
remote-exploit.org組織
remote-exploit是由世界各電腦領域的人們所組成的非營利團體。該組織的文件如下所列:
無線網路的加密方式(WLAN Encryption)
攻擊方式參考(Attacks)
– 使用脆弱的起始向量值破解WEP
– 啟始向量值切割攻擊法
– 破解WEP的通則
– LEAP認證機制的攻擊
81
問題與討論
