Wireless-security-quick-guide
ワイヤレスセキュリティ-概念
このチュートリアルでは、ワイヤレス通信のさまざまな方法を紹介します。 ほとんどの人が知っている Wireless Local Area Network (WLAN)について学習し、ワイヤレスセキュリティの背後にある実用的な側面をさらに深く学びます。 使い方を知っている人なら誰でも簡単に利用できる基本的なツールを使用して、ワイヤレスネットワークとその中を流れるデータに関する多くの機密情報を簡単に収集できることに驚くでしょう。
ワイヤレス通信の「ハッキング」の側面をさらに詳しく説明する前に、通常のワイヤレスシステムの動作に関する理論的な概念と図を大量に使用する必要があります。 それにもかかわらず、このチュートリアルを通して理論的な内容は絶対に最小限に抑えられます-それは最も励みになり、誰にとっても最も楽しい部分である事の実用的な側面です!
ワイヤレス通信について考えると、人間の目には見えない電波を使用して空中で一緒に話すアンテナに接続されたシステムを想像します。 正直に言って、これは完全に真の定義ですが、物事を壊すためには(または「ハック」という言葉を好むために)、これらすべての概念とアーキテクチャがどのように連携するかを学ぶ必要があります。
ワイヤレスの用語
最初に、無線通信に関連する基本的な用語を見ていきましょう。 徐々に、このパスに沿って進んでいく、より高度なものに入ります。
無線通信
ワイヤレス通信とは、ワイヤレスで(無線で)実行される、当事者間のあらゆるタイプのデータ交換を指します。 この定義は、次のような多くのタイプのワイヤレステクノロジーに対応する可能性があるため、非常に広いです-
- Wi-Fiネットワーク通信
- Bluetooth通信
- 衛星通信
- モバイル通信
上記のすべての技術は異なる通信アーキテクチャを使用しますが、それらはすべて同じ「無線メディア」機能を共有します。
Wi-Fi
*Wireless Fidelity* (Wi-Fi)は、誰もが知っているように、ワイヤレスローカルエリアネットワークを指します。 *IEEE 802.11* 標準に基づいています。 Wi-Fiは、自宅、職場、ホテル、レストラン、さらにはタクシー、電車、飛行機など、ほぼすべての場所で出会うワイヤレスネットワークの一種です。 これらの802.11通信規格は、* 2.4 GHzまたは5 GHz ISM無線帯域*で動作します。これらのデバイスは、Wi-Fi規格に対応しているショップで簡単に入手でき、デバイス自体に次の画像が表示されます。 さまざまな店や他の公共の場所で何百回も見たことがあると思います!
そのため、802.11ベースのワイヤレスネットワークは、あらゆる種類の環境で非常に頻繁に使用されています。これらは、他の802.11規格にわたるさまざまなセキュリティ研究の最大の主題でもあります。
無線クライアント
ワイヤレスクライアントは、ワイヤレスカードまたはワイヤレスアダプターがインストールされたエンドデバイスと見なされます。 さて、この21世紀には、これらのデバイスはほとんど何でも可能です-
- 現代のスマートフォン-これらは、市場で最も広く使用されているワイヤレスデバイスの1つです。 Bluetooth、Wi-Fi、GSMなど、1つのボックスで複数のワイヤレス標準をサポートしています。
- ラップトップ-これらは毎日使用するデバイスの一種です!
- Smartwatch -Sonyベースのスマートウォッチの例を以下に示します。 Bluetooth経由でスマートフォンと同期できます。
- スマートホーム機器-技術の現在の進歩により、スマートホーム機器は、たとえば、Wi-Fiまたは温度コントローラーを制御できる冷凍庫になる可能性があります。
可能なクライアントデバイスのリストは毎日増え続けています。 私たちが日常的に使用するすべてのデバイス/ユーティリティをワイヤレスネットワーク経由で非常に簡単に制御できるのは少し怖いですね。 しかし同時に、無線媒体を流れるすべての通信は、適切な場所に適切なタイミングで立っているだけの人によって傍受される可能性があることを忘れないでください。
ワイヤレスセキュリティ-アクセスポイント
アクセスポイント(AP)は、802.11ワイヤレス実装の中央ノードです。 これは、有線ネットワークと無線ネットワーク間のインターフェースであり、すべての無線クライアントがデータを関連付けて交換します。
家庭環境では、ほとんどの場合、ルーター、スイッチ、およびAPが1つのボックスに組み込まれており、この目的に実際に使用できます。
ベーストランシーバーステーション
ベーストランシーバーステーション(BTS)は802.11世界のアクセスポイントに相当しますが、モバイルオペレーターが使用して信号カバレッジを提供します。 3G、GSMなど…
注-このチュートリアルの内容は802.11ワイヤレスネットワーキングに焦点を当てているため、BTSおよびモバイル通信に関する追加情報は含まれません。
ワイヤレスコントローラー(WLC)
企業のワイヤレス実装では、アクセスポイントの数は多くの場合、数百または数千単位でカウントされます。 すべてのAPとその構成(チャネルの割り当て、最適な出力電力、ローミング構成、各APでのSSIDの作成など)を個別に管理することは管理上不可能です。
これが、ワイヤレスコントローラーの概念が作用する状況です。 これは、すべてのワイヤレスネットワーク操作の背後にある「首謀者」です。 ネットワーク上のすべてのAPへのIP接続を備えたこの中央集中型サーバーは、単一の管理プラットフォームからグローバルにすべてを簡単に管理し、構成テンプレートをプッシュし、すべてのAPからのユーザーをリアルタイムで監視するなどを容易にします。
サービスセット識別子(SSID)
SSIDは、ワイヤレスWLAN自体を直接識別します。 ワイヤレスLANに接続するために、ワイヤレスクライアントは、APで事前に構成されたSSID名と同じ正確なSSIDをアソシエーションフレームで送信する必要があります。 それで、あなたの環境にどのSSIDが存在するかをどのように見つけるかという疑問が生じますか? すべてのオペレーティングシステムには組み込みのワイヤレスクライアントが付属しているため、これは簡単です。ワイヤレススペクトルをスキャンして、参加するワイヤレスネットワークを検出します(以下を参照)。 私はあなたがあなたの毎日のルーチンでこのプロセスを数回行ったことを確信しています。
しかし、これらのデバイスは、特定の無線ネットワークが電波を聞くだけでその特定の方法で命名されていることをどのように知るのでしょうか? これは、ビーコンフレームのフィールドの1つ(APが非常に短い時間間隔で常に送信する)に、SSIDの名前が常にクリアテキストで含まれているためです。
SSIDは最大32文字の英数字で、APによってブロードキャストされる特定のWLANを一意に識別できます。 場合によっては、APに複数のSSIDが定義されている場合、SSIDごとに個別のビーコンフレームを送信します。
Cell
- セル*は基本的に、APまたはBTSのアンテナ(送信機)によってカバーされる地理的領域です。 次の画像では、セルは黄色の線でマークされています。
ほとんどの場合、APは、クライアントデバイスに組み込まれたアンテナの機能と比較すると、はるかに多くの出力を備えています。 クライアントがAPから送信されたフレームを受信できるという事実は、双方向通信を確立できるという意味ではありません。 上の写真はその状況を完全に示しています。 -どちらの状況でも、クライアントはAPのフレームを聞くことができますが、2番目の状況でのみ、双方向通信を確立できます。
この短い例の結果は、ワイヤレスセルサイズを設計するときに、クライアントが使用するアンテナの平均出力送信電力を考慮する必要があるということです。
チャネル
ワイヤレスネットワークは、複数の802.11標準をサポートするように構成できます。 それらの一部は2.4GHz帯域で動作し(例:802.11b/g/n)、5GHz帯域で動作するもの(例:802.11a/n/ac)です。
帯域に応じて、各チャネルに定義されたサブバンドの定義済みセットがあります。 複数のAPが同じ物理エリアに配置されている環境では、衝突(複数のソースから同時に同じ周波数で送信されるフレームの衝突)を回避するために、スマートチャネル割り当てが使用されます。
上記の図に示すように、3つのセルが互いに隣接する802.11bネットワークの理論設計を見てみましょう。 左側のデザインは、3つの非オーバーラップチャネルで構成されています。これは、特定のセルのAPとそのクライアントによって送信されるフレームが、他のセルの通信に干渉しないことを意味します。 右側には、まったく逆の状況があります。同じチャネル上を飛び回るすべてのフレームが衝突につながり、ワイヤレスパフォーマンスが大幅に低下します。
アンテナ
アンテナは、電気信号としてケーブル内および電磁場に流れる情報を「変換」するために使用されます。電磁場は、無線媒体を介してフレームを送信するために使用されます。
すべてのワイヤレスデバイス(APまたは任意のタイプのワイヤレスクライアントデバイス)には、トランスミッターとレシーバーモジュールを含むアンテナがあります。 最近のラップトップやスマートフォンのほとんどが持っているように、それは外部にあり、周囲やビルトインのすべての人が見ることができます。
ワイヤレスネットワークのワイヤレスセキュリティテストまたは侵入テストでは、外部アンテナが最も重要なツールの1つです。 あなたがこの分野に行きたいなら、あなたはそれらの1つを手に入れるべきです! 外部アンテナの最大の利点の1つ(機器に組み込まれているほとんどの内部アンテナと比較して)は、いわゆる「モニターモード」で構成できることです。これは間違いなく必要なものです。 wireshark または Kismet のような他の有名なツールを使用して、PCからのワイヤレストラフィックをスニッフィングできます。
インターネット上に非常に良い記事(https://www.raymond.cc/blog/best-compatible-usb-wireless-adapter-for-backtrack-5-and-aircrack-ng/)があり、選択に役立ちます。特にモニターモード機能を備えたKali Linuxの場合、外部ワイヤレスアンテナの この技術分野に真剣に取り組むことを真剣に考えているなら、私はあなたに推薦されたものの1つを購入することを本当にお勧めします(私はそれらの1つを持っています)。
ワイヤレスセキュリティ-ネットワーク
無線ネットワークは、提供する動作範囲に基づいてさまざまなカテゴリに分類される場合があります。 最も一般的な分類スキームでは、ワイヤレスネットワークを、下の表にリストされている4つのカテゴリと短い例に分けています。
| Category | Coverage | Examples | Applications |
|---|---|---|---|
| Wireless Personal Area Network (WPAN) | Very short - max 10 meters but usually much smaller | Bluetooth, 802.15, IrDA communication |
|
| Wireless Local Area Network (WLAN) | Moderate - inside the apartments or work places. | 802.11 Wi-Fi |
Wireless extension of the local network used in −
|
| Wireless Metropolitan Area Network (WMAN) | All around the city | Wimax, IEEE 802.16 or proprietary technologies | Between homes and businesses |
| Wireless Wide Area Network (WWAN) | Throughout the world | 3G, LTE | Wireless access to the internet from |
このチュートリアルでは、主にWLANテクノロジについて説明しますが、Bluetooth通信(WPAN)のさまざまな側面についても説明します。
ワイヤレス技術統計
いくつかの証拠を示すために、ワイヤレステクノロジーが毎年、ますます多くの方法で私たちの生活に影響を与えていることを確認してください。 発見されたサンプル統計を見てください! それらのいくつかは恐ろしいように見えますが、同時に、今日のワイヤレス通信にどれだけ依存しているかを単に示しています。
- 2020年までに、約240億のデバイスがインターネットに接続され、その半分以上がワイヤレスで接続されます。 これは、モノのインターネット(IoT)です。 現在、地球上に約74億人の人々が住んでいるという事実を考慮して、どのように聞こえますか?
- すべての種類のワイヤレス通信の約70%はWi-Fi(802.11標準)です。
- Wi-Fiネットワークの速度は802.11a-54Mbps(1999年)からac-wave 1-1.3 Gbps(2012年)に成長しました。 その上、水平線上には80GbpsのマルチGbps速度の801.11ac-wave2があります。
- 毎日、何百万人もの人々がWi-Fi経由でスマートフォンを使用して現金を送って銀行口座にアクセスしています!
ワイヤレスの実装におけるセキュリティの重要性についてまだheしていますか?
Wi-Fiネットワーク
ワイヤレス展開で使用されるデバイスの選択は、小さな家、店舗、大企業のネットワーク、またはホテルのネットワークなど、展開のタイプに影響されます。
| Scale | Example | Type of devices used |
|---|---|---|
| Small deployments | Home, Small shops | Most often home router/switch (integrated with wireless AP) |
| Big deployments | Hotels, Enterprises, Universities |
|
ワイヤレスセキュリティ-標準
IEEE 802.11標準の開始以来、ワイヤレスネットワークは大きなペースで進化していました。 人々はこのタイプのデータ伝送の可能性に気付いたため、802.11の後継者が数年後に現れました。 次の表は、私たちの時代に使用されている現在の802.11規格をまとめたものです-
| Standard | Frequency | Max speed |
|---|---|---|
| 802.11 | 2.4 GHz | 2 Mbps |
| 802.11a | 5 GHz | 54 Mbps |
| 802.11b | 2.4 GHz | 11 Mbps |
| 802.11g | 2.4 GHz | 54 Mbps |
| 802.11n | 2.4 or 5 GHz | 600 Mbps |
| 802.11ac | 5 GHz | 1 Gbps |
ご覧のとおり、Wi-Fiネットワークはますます高速化しています。 以下は、Wi-Fi経由でデータをダウンロードするときに高速が表示されない制限要因のいくつかです-
- 全体的に速度と実際の値には違いがあります。 ワイヤレス通信は半二重であるため(単一アンテナは一度に送信または受信できます)、実際のスループットは実際には速度の約50%です。 この条件は、1つの送信機と1つの受信機があり、他のクライアントが関与せず、干渉(衝突と再送信につながる)がない場合にのみ当てはまります。
- 最も最先端の規格(802.11ac)は、エンドデバイスで広くサポートされていません。 市場に出回っているほとんどのラップトップまたはスマートフォンは、802.11a/b/g/nをサポートしていますが、802.11ac標準はまだサポートしていません。 それに加えて、一部のデバイスにはアンテナのみが搭載されており、2.4 GHzの周波数帯域をサポートし、5 GHzはサポートしていません(デフォルトでは802.11acがサポートされていません)。
Wi-Fiネットワーク標準を確認してください
参加しているWi-Fiネットワークでサポートされている標準を確認する方法をご覧ください。 アプローチの数を使用してそれを確認できます。 私はそれらの2つをここに提示します-
ワイヤレスビーコンフレームのスニッフィングにより
- すべてのビーコンフレームには、送信APでサポートされている速度のリストが含まれています。 これらの速度は、標準に直接マッピングできます。
- 上記のビーコンフレームのダンプは、これがおそらくAPであり、2,4 GHz周波数帯域で802.11b/gサポートが有効になっていることを示しています。
- 802.11bがサポートするレート(1、2、5.5、11)。
- 802.11gがサポートするレート(1、2、5.5、6、9、11、12、18、24、36、48、54)
ワイヤレスネットワーク検出用の特定のツールを使用する。
次のスクリーンショットは、Macで実行されている「inSSIDer」というワイヤレスベースのツールからのダンプを示しています。 表示されているすべてのワイヤレスネットワークと、それらすべての詳細の一部が直接表示されます。
上記の写真から、WLANの一部は最大速度で130Mbps(802.11acである必要があります)、その他の54および36 Mbps(802.11 AまたはGである可能性がある)をサポートしていることがわかります。
一方、「airdump-ng」と呼ばれる一般的なLinuxベースのプログラムを使用することもできます(ハッキングのショーケース-Wi-Fiネットワークのキーを壊す)で、これについては後で詳しく説明します)。 Windows環境については、一般的な「Network Stumbler」を使用できます。 これらのツールはすべて、互いに非常によく似た方法で機能します。
ワイヤレスセキュリティWi-Fi認証モード
この章では、ワイヤレス展開で使用される可能性のある認証スキームについて簡単に説明します。 それらは、オープン認証と事前共有キー(PSK)ベースの認証です。 前者はEAPフレームに基づいて動的キーを導出します。
オープン認証
オープン認証という用語自体は非常に誤解を招くものです。 何らかの認証が行われていることを示唆していますが、実際には、このスキームの認証プロセスは、認証メカニズムではなく、正式なステップに似ています。 プロセスは、次の図に示されているように見えます-
平易な英語で言うと、このやり取りは、認証要求でワイヤレスクライアント(サプリカント)が「Hi AP、I want to authenticate」と言っており、APからの認証応答が「OK、here you go」と言っていることです。 このセットアップには何らかのセキュリティがありますか? 私もそうではないです…
そのため、Open Authenticationを使用しないでください。これは、適切なセキュリティチェックなしで、すべてのクライアントがネットワークを認証できるようにするためです。
EAPベースの4ウェイハンドシェイク(WPA/WPA2を使用)
ワイヤレスクライアントがAPに認証されると、両方とも 4-way handshake と呼ばれる4段階の認証プロセスを実行します。 これらのメッセージ交換中に、共有パスワードはAPとワイヤレスクライアント間で取得され、これらのEAPメッセージで送信されることはありません。
Pairwise Master Key(PMK)は、ネットワーク暗号化スキームを破るために、ハッカーが収集したいものです。 PMKはサプリカントとオーセンティケータにのみ知られていますが、転送中はどこでも共有されません。
ただし、セッションキーは、ANonce、SNonce、PMK、サプリカントおよび認証者のMACアドレスの組み合わせです。 私たちは数式としてその関係を書くことができます-
- Sessions_keys = f(ANonce、SNonce、PMK、A_MAC、S_MAC)*。
その方程式からPMKを導き出すためには、AES/RC4を破る必要があります(WPA2またはWPAのどちらが使用されているかに依存します)。 唯一の実用的なアプローチはブルートフォース攻撃または辞書攻撃を実行することであるため、それほど簡単ではありません(本当に優れた辞書があると仮定して)。
これは間違いなく推奨される認証アプローチであり、オープン認証を使用するよりも確実に安全です。
Wi-Fiチョーク
Wi-Fiチョークは、主に米国で使用されている無線LANの歴史の中で非常に面白い概念でした。 主なアイデアは、オープン認証または認証の弱いWLANが実装されている場所をマークすることでした。 そうすることで、壁や地面のどこかにチョークで書かれたこのサインを見つけた人は全員、認証なしでWi-Fiシステムにログインできます。 スマートですか?
あなたはただ自問するかもしれません-なんらかのマーカー、スプレー、または他のより恒久的なマーキング方法ではなく、チョークなのでしょうか? 答えは簡単であり、刑法から来ています-チョークで書くことは破壊行為とはみなされませんでした。
ワイヤレスセキュリティ-暗号化
一般に、暗号化とは、データを、情報を傍受するサードパーティにとって理解できない何らかの種類の*暗号文*に変換するプロセスです。 現在、私たちは気付かないうちに毎日暗号化を使用しています。 Webバンクまたはメールボックスにアクセスするたびに、ほとんどの場合、任意のタイプのWebページにログインするか、企業ネットワークに戻るVPNトンネルを作成します。
一部の情報は貴重であり、保護されていません。 また、情報を効率的に保護するには、攻撃者が情報を解読できないように暗号化する必要があります。 正直に言うと、完全に安全な暗号化スキームはありません。 私たちが毎日使用するすべてのアルゴリズムが壊れている可能性がありますが、現在の技術と時間でこれが起こる可能性はどのくらいですか?
たとえば、新しい超高速コンピューターを使用して暗号化「X」を破るには約8年かかります。 そのリスクは、暗号化にアルゴリズム「X」の使用を停止するのに十分な大きさですか? 私はそれを疑います、保護されるべき情報はその時点で時代遅れかもしれません。
ワイヤレス暗号化の種類
ワイヤレス暗号化について話し始めるには、暗号化アルゴリズムにはストリーム暗号とブロック暗号の2種類があると言っておく価値があります。
- ストリーム暗号-ビットごとにプレーンテキストを暗号文に変換します。
- ブロック暗号-データの固定サイズのブロックで動作します。
最も一般的な暗号化アルゴリズムは、次の表に集められています-
| Encryption Algorithm | Type of encryption algorithm | Size of data block |
|---|---|---|
| RC4 | Stream cipher | --- |
| RC5 | Block cypher | 32/64/128 bits |
| DES | Block cypher | 56 bits |
| 3DES | Block cypher | 56 bits |
| AES | Block cypher | 128 bits |
ワイヤレスネットワークで(おそらく何らかの形で)会う可能性が最も高いのは、 RC4およびAES です。
WEP対WPA対WPA2
ワイヤレスネットワーキングの世界には、広く知られている3つのセキュリティ標準があります。 これら3つの最大の違いは、提供できるセキュリティモデルです。
セキュリティ基準
暗号化アルゴリズムのユーザー
認証方法
暗号化を破る可能性
WEP
WEP(RC4に基づく)
事前共有キー(PSK)
- 初期化ベクトル(IV)衝突攻撃
- 弱いキー攻撃
- 再注入攻撃 *ビット反転攻撃
WPA
TKIP(RC4に基づく)
事前共有キー(PSK)または802.1x
- 最初の4ウェイハンドシェイク中にパスワードを解読する(10文字未満の比較的短いパスワードであると想定)
WPA2
CCMP(AESに基づく)
事前共有キー(PSK)または802.1x
WEPは、認証と暗号化を追加することになっていた最初のワイヤレス「セキュア」モデルでした。* RC4アルゴリズムと24ビットの初期化ベクトル(IV)*に基づいています。 これは、誰でもPCにインストールできるツールを使用して、数分以内にWEPがクラック可能になる実装の最大の欠点です。
セキュリティを強化するために、WPA2は強力な暗号化モデル(AES)と* 802.1x(またはPSK)に基づく非常に強力な認証モデルで発明されました。 WPAは、WPA2へのスムーズな移行のためのステージングメカニズムとして導入されました。 多くのワイヤレスカードは(当時)新しいAESをサポートしていませんでしたが、それらはすべて *RC4 + TKIP を使用していました。 したがって、WPAもそのメカニズムに基づいており、いくつかの進歩がありました。
弱い初期化ベクトル(IV)
初期化ベクトル(IV)は、WEP暗号化アルゴリズムへの入力の1つです。 メカニズム全体は、次の図に示されています-
気付くように、アルゴリズムには2つの入力があります。1つは24ビット長のIV(クリアテキストで最終暗号文に追加される)で、もう1つはWEPキーです。 このセキュリティモデル(WEP)を解読しようとすると、多数のワイヤレス*データフレーム*(IVベクトル値が重複するフレームが見つかるまで多数のフレーム)を収集する必要があります。
WEPの場合、IVには24ビットがあると仮定します。 これは、2つのフレーム(幸運な場合)から2 ^ 24 ^ + 1(可能なすべてのIV値を収集し、次のフレームが重複している必要がある)の任意の数になることを意味します。 経験から、かなり混雑した無線LAN(常に3つのクライアントが常にトラフィックを送信している)では、十分なフレームを取得し、暗号化を解読してPSK値を導出するのに5〜10分かかります。
この脆弱性はWEPにのみ存在します。 WPAセキュリティモデルは、サイズを24ビットから48ビットに増やし、図に他のセキュリティ強化を加えることにより、弱いIVを解決したTKIPを使用します。 これらの変更により、WPAアルゴリズムははるかに安全になり、この種のクラッキングが発生しやすくなりました。
ワイヤレスセキュリティ-暗号化を破る
この章では、WEPおよびWPA暗号化を解除する方法について説明します。 WEP暗号化から始めましょう。
WEP暗号化を解除する方法は?
WEPをクラックするために使用できるツールは多数ありますが、すべてのアプローチは同じアイデアとステップの順序に従います。
あなたがあなたのターゲットネットワークを見つけたと仮定すると、次のようにします-
- 空中を飛んでいるWEP暗号化パケットを収集(盗聴)します。 この手順は、「airodump-ng」というLinuxツールを使用して実行できます。
- 十分なパケットが収集されると(IVベクトルが重複するフレームのセットを収集した)、「aircrack-ng」というツールを使用してネットワークをクラックしようとします。
ネットワークが非常に混雑している場合、上記の2つのステップには5〜10分またはそれ以下の時間がかかります。 とても簡単です。 WEPをハッキングするための詳細な手順ガイドは、「WEP暗号化されたWLANをテストするペン」のトピックの下に表示されます。
WPA暗号化を解除する方法は?
WPA暗号化を解除する方法には、わずかに異なるアプローチがあります。 WPAを使用するワイヤレスフレームは、IVおよびRC4アルゴリズムの概念を引き続き使用するTKIP暗号化を使用していますが、より安全にするために変更されています。 TKIPは、次のポインタでWEPを変更します-
- WEPで使用される静的なキーの代わりに、一時的に動的に作成されたキーを使用します。
- シーケンスを使用して、リプレイおよびインジェクション攻撃から保護します。
- WEPでIVの衝突と弱いキーの攻撃を無効にするために、高度なキーミキシングアルゴリズムを使用します。
- 拡張データ整合性(EDI)を導入して、WEPで発生する可能性のあるビットフリッピング攻撃を阻止します。
これらすべての点を考慮すると、WPA標準は計算上クラックできないようになります(不可能とは言いませんが、アルゴリズムを破るための高度なリソースがあると仮定すると、かなり長い時間がかかる場合があります)。 WPA標準で使用される認証も、WEPで使用される認証に関して進歩しています。 WPAは、クライアントの認証に802.1x(EAPベースの認証)を使用します。 実際、これは*唯一の弱点*であり、WPA(および実際にはWPA2)を破るチャンスを試すことができます。
WPAおよびWPA2標準は、2種類の認証をサポートしています- Pre-Shared Key (PSK)および外部認証サーバーに基づく真の802.1x。 802.1x認証を使用する場合-パスワードを破ることは不可能です。 ローカルPSKモードが使用されている場合にのみ実行可能です。 補足として-すべてのエンタープライズワイヤレス展開では、外部RADIUSサーバーに基づく真の802.1x認証を使用するため、可能なターゲットは非常に小規模な企業またはホームネットワークのみです。
もう1つの注意点は、WPA/WPA2を保護するために使用されるPSKは、それを破る意図がある場合、合理的に短いサイズ(最大10文字-最大長として許可される64文字とは反対)でなければならないということです。 その要件の理由は、最初の4ウェイハンドシェイク中にPSKがワイヤレスクライアントとAPの間で(クリアテキストではなく)1回だけ送信され、それらのパケットから元のキーを引き出す唯一の方法はブルートフォーシングによることですまたは適切な辞書を使用します。
PSKをブルートフォースするのにかかる時間を推定できる非常に優れたオンライン計算機(http://lastbit.com/pswcalc.asp)があります。 1秒間に1000個のパスワード(小文字、大文字、数字、一般的な句読点で構成される)を試すことができる1台のPCがあると仮定すると、パスワードを破るには28910年かかります(もちろん、運がよければ、数時間かかります)。
WPA/WPA2暗号化を破る一般的なプロセス(PSKを使用する場合のみ)は次のとおりです-
- 空を飛んでいる無線パケットを収集(盗聴)します。 この手順は、「airodump-ng」というLinuxツールを使用して実行できます。
- パケットが収集されている間、現在のクライアントの認証を解除する必要があります。 これを行うことにより、クライアントがWi-Fiネットワークを使用するために再度認証する必要がある状況になります。 これはまさにあなたが望んだものです! これを行うことで、ネットワークに認証するワイヤレスユーザーを探知するための適切な環境を準備します。 Linuxベースのツール「aireplay-ng」を使用して、現在のワイヤレスクライアントの認証を解除できます。
- 4ウェイハンドシェイクがスニッフィングされている(ダンプファイルに保存されている)ので、もう一度「aircrack-ng」を使用してPSKをクラックできます。 この手順では、aircrack-ngツールが使用するパスワードのすべての組み合わせを含む辞書ファイルを参照する必要があります。 そのため、ここでは、優れた辞書ファイルが最も重要な要素です。
WPA/WPA2ネットワークの詳細なステップバイステップハッキングは、「ペンテストWPA/WPA2暗号化WLAN」のトピックの下に表示されます。
WPAクラッキングに対する防御方法
私は、このチュートリアルの最後のセクションを読んだ後、WPAクラッキングを不可能にするために何をすべきか(または妥当な期間内に不可能と言う)を既に理解していると感じています。 以下は、ホーム/スモールビジネスワイヤレスネットワークを保護するためのベストプラクティスの指針です。
- その可能性がある場合は、WPAの代わりにWPA2を使用してください。 スイートで使用される暗号化スキームに直接影響します。 AES(WPA2で使用)はTKIP(WPAで使用)よりもはるかに安全です。
- 前に見たように、WPA/WPA2を破る唯一の方法は、認証4ウェイハンドシェイクをスニッフィングしてPSKをブルートフォースすることです。 計算上不可能にするために、小文字、大文字、特殊文字、数字のランダムな組み合わせ(辞書で出会える普通の単語ではない)で構成される少なくとも10文字のパスワードを使用します。
- Wi-Fi Protected Setup(WPS)を無効にする-WPSは、APの特別な8桁のPIN番号を入力するだけで、新しいワイヤレスクライアントをネットワークに簡単に接続できるようにするために考案された「クールな機能」の1つです。 この8桁はブルートフォース攻撃のための非常に短い作業であり、この8桁はAPボックス自体の背面にある場合もあります。 試してみて、あなたのホームルーターを見てください-背面にWPS PINが表示されていますか? ホームルーターでWPS機能が有効になっていますか?
ワイヤレスセキュリティ-アクセス制御攻撃
ワイヤレスネットワークが有線の同等物よりもはるかに脆弱であることは秘密ではありません。 プロトコルの脆弱性自体に加えて、この種のネットワークをまったく新しい攻撃対象領域にさらす「ワイヤレス」共有メディアです。 連続したサブチャプターでは、悪意のある第三者によって悪用される可能性のあるワイヤレス通信の多くの側面(またはむしろ脅威)を紹介しようとします。
アクセス制御攻撃
アクセス制御の概念は、すべて制御すること、誰がネットワークにアクセスできるか、誰がアクセスできないかについてです。 これにより、悪意のある第三者(無許可)がワイヤレスネットワークに関連付けられるのを防ぎます。 アクセス制御の考え方は、認証プロセスに非常に似ています。ただし、これら2つの概念は補完的なものです。 ほとんどの場合、認証は一連の資格情報(ユーザー名とパスワード)に基づいており、アクセス制御はそれを超えて、クライアントユーザーまたはクライアントユーザーのデバイスの他の特性を検証します。
ワイヤレスネットワークで使用される非常によく知られたアクセス制御メカニズムは、MACアドレスのホワイトリストに基づいています。 APは、ワイヤレスネットワークへのアクセスに適格な認証済みMACアドレスのリストを保存します。 現在利用可能なツールでは、このセキュリティメカニズムはそれほど強力ではありません。MACアドレス(ワイヤレスクライアントのチップセットのハードウェアアドレス)は非常に簡単に偽装される可能性があるためです。
唯一の課題は、APがネットワークに対して認証することを許可されているMACアドレスを見つけることです。 しかし、ワイヤレスメディアは共有メディアであるため、誰もが空中を流れるトラフィックを傍受し、有効なデータトラフィックを持つフレーム内のMACアドレスを見ることができます(暗号化されていないヘッダーに表示されます)。
次の図に示すように、自宅のルーターで、MACアドレスを指定することにより、APと通信できるように2つのデバイスを設定しました。
これは、攻撃者が最初に持っていない情報です。 ただし、ワイヤレスメディアはスニッフィングで「オープン」であるため、特定の時間にWiresharkを使用して、APに接続されて通信しているデバイスをリッスンする場合があります。 Wiresharkを開始して無線でスニッフィングする場合、1秒あたり数百のパケットを取得する可能性が高いため、Wiresharkで効率的なフィルタリングルールを使用するのが賢明です。 私が実装したフィルターのタイプは-
*_(wlan.fc.type_subtype == 0x28)&&(wlan.addr == 58:6D:8F:18:DE:C8)_*このフィルターの最初の部分は、データパケットのみを見る必要があることをWiresharkに伝えます(ビーコンフレームや他の管理フレームではありません)。 これはサブタイプ 0x28 AND( "&&")であり、パーティの1つは私のAPである必要があります(無線インターフェースのMACアドレスは_58:6D:8F:18:DE:C8_です)。
APとデータパケットを交換している2つのデバイスは、管理者として以前にMACフィルタリングで特に許可したデバイスです。 これらの2つがあれば、攻撃者としてあなたがしなければならない唯一の設定は、ワイヤレスカードのMACアドレスをローカルで変更することです。 この例では、Linuxベースのツールを使用します(ただし、すべての可能なオペレーティングシステムには他にも多数のツールがあります)-
これは、MACフィルタリングベースのアクセス制御をバイパスする簡単なアプローチでした。 現在、アクセス制御を実行する方法ははるかに高度です。
専用の認証サーバーは、特定のクライアントがHPによって製造されたPC、AppleのIPhone(どの種類のIPhone)、または他のワイヤレスクライアントであるかを区別できます。特定のクライアントからのワイヤレスフレームがどのように見えるかを見て比較するだけです特定のベンダーで知られている「ベースライン」のセット。 ただし、これはホームネットワークで表示されるものではありません。 これらのソリューションは非常に高価であり、複数のタイプのサーバーを統合するより複雑なインフラストラクチャを必要とします-ほとんどの場合、企業環境の一部で満たされます。
ワイヤレスセキュリティ-完全性攻撃
情報の完全性は、ネットワーク(ワイヤレスまたは有線)を介してポイントAからポイントBに移動するときにデータが改ざんされないことを保証する特性です。 ワイヤレス通信について話すとき、802.11無線は、同じ周波数チャネルのサードパーティによって聞かれることがあります。 情報の整合性に対する攻撃の単純なタイプは、次の図に示されています-
被害者と呼ばれる正当なワイヤレスクライアント(ステップ1)が友人に電子メールを書いて(電子メールはインターネットに送られます)、1000ドルの返金を求め、その電子メールに銀行口座番号を入れていると想像してみましょう。
情報が十分に暗号化されていない(または攻撃者が暗号化を解除し、平文ですべてを読む可能性がある)と仮定すると、無線攻撃者(ステップ2)は空中をAPに流れるパケット全体を読み取ります。 攻撃者は銀行口座番号を自分自身に交換してメッセージを変更し、AP経由でインターネットにアクセスするためにメッセージを空中に再注入します。
その状況で、メッセージの内容の変更を検出する整合性チェックがない場合、受信者は修正された銀行口座番号のメッセージを取得します。 おそらく、説明されている状況を現実の環境で実装するのは非常に難しいでしょう。なぜなら、メール交換などのすべてのツールは、(適切な暗号化とメッセージの整合性チェックを介して)これらのタイプの攻撃に対して安全であり、攻撃の概念を完全に示しています。
このタイプの整合性攻撃に対する2つの主要な対策があります-暗号化(攻撃者がメッセージをまったく読み取れないようにする)と MD5 のようなハッシュ関数である Message Integrity Codes (MIC)メッセージ全体のフットプリントを取得し、128ビット(MD5)または160ビット(SHA1)のハッシュを作成する SHA1 。 パケットの内容が変更されると、ハッシュ値も変更され、メッセージが拒否されます(ワイヤレスルーターによって既に)。
ワイヤレスセキュリティ-機密性攻撃
情報の機密性を標的とする攻撃の役割は、ワイヤレス展開で使用されている暗号化モデルを単に破ることです。 分野のさまざまなセキュリティモデルを見ると、次の一般的な推奨事項があります-
- 暗号化なし/WEP暗号化-これらは非常に安全なアプローチではないため、どのような状況でも使用しないでください。
- * TKIP暗号化*-この暗号化モデルはWPA展開で使用されます。 まだクラックされていませんが、TKIPは、より弱いRC4アルゴリズムを使用しているため、暗号化の強力な手段とは見なされません。
- * CCMP暗号化*-これはWPA2で使用されます。 これまでのところ、(少なくとも今日は)壊れないAESアルゴリズムに基づいた最も安全な暗号化モデルと考えられています。
あらゆる種類の攻撃の主な目標は、暗号化を解除し、キーの値を取得することです。 これにより、攻撃者に2つのことを与えることになります。他のユーザーの機密性の破壊とワイヤレスネットワークへの直接アクセスです。
ワイヤレスセキュリティ-DoS攻撃
サービスの無効化(ターゲットを使用不可にする)またはパフォーマンスの低下(可用性の低下)に向けられた攻撃は、* Denial of Service(DoS)*攻撃の傘下にあります。 このような攻撃のコストは、被害者や企業がビジネスをeコマースに基づいている場合、非常に高価になる可能性があります。 利用できないWebサービスの長さに応じて、攻撃のコストを数百万ドルで数えることができます。
ワイヤレスネットワークは、従業員の生産性においても重要な役割を果たしています。 私たちは全員、職場でワイヤレスラップトップとスマートフォンを使用しています。 ワイヤレスネットワークが機能しないため、生産性が低下します。
可用性に対するDoS攻撃は3つのタイプに分けられます-
- レイヤー1 DoS
- レイヤー2 DoS
- レイヤー3 DoS
これらの各攻撃については、以降の章で詳しく説明します。
ワイヤレスセキュリティ-レイヤー1 DoS
これは、無線周波数干渉(意図的または意図的でない)の結果です。 2.4 GHz帯域は非常に混雑しているため、ほとんどの場合、意図しない干渉が見られます。 RFビデオカメラ、コードレス電話、電子レンジなどのデバイスは、この帯域を使用できます。 意図的な干渉に関しては、802.11 WLANに干渉する可能性のあるRF妨害装置があります。 RFジャマーは、ハードウェアユニットまたはソフトウェアツール(以下に示す「Websploit」フレームワークの例)である場合があります。
レイヤー1 DoSを使用する最も一般的なWiFi攻撃は、*クイーンズランド攻撃*です。
クイーンズランドアタック
これは、802.11 WLANの動作を中断するために使用されます。 無線カードは、一定のRF信号を送信するように構成されています(狭帯域信号発生器のように)。 一方、他の有効なワイヤレスクライアントはメディアにアクセスする機会を得ることはありません。明確なチャネル評価(ワイヤレス経由でトラフィックを送信する前に「空気」をチェックする短いプロセス)を実行するたびに、ワイヤレスメディアはこの一定の送信機によって占有されるためです。
ジャミング攻撃は、他のタイプの攻撃を開始するためにも使用される場合があります。 妨害ツールを使用することにより、ワイヤレスクライアントに強制的に再認証させることができます。 その後、プロトコルアナライザー(スニファー)を使用して、認証プロセス(LEAPまたはWPA/WPA2 Personalの場合は4ウェイハンドシェイク)を収集できます。 この時点で、攻撃者は*オフライン辞書攻撃*を実行するために必要なすべての情報を入手できます。 狭帯域ジャミングは、中間者攻撃の支援ツールとしても使用できます。
ソフトウェアを使用したレイヤー1ジャマーの作成(Websploitを使用)は非常に簡単です。 「home_e1000」と呼ばれる自分のホームワイヤレスネットワークを使用した攻撃について説明します。 最初に airodump-ng を使用して、WLAN自体に関する情報(BSSID、チャネル)を収集します。
ご覧のとおり、「home_e1000」ワイヤレスネットワークはBSSIDが58:6D:8F:18:DE:C8のAPを使用しており、チャネル6で動作しています。 これは、ジャミング攻撃を実行するためのwebsploitフレームワークへの入力として必要な情報のセットです。
このシナリオに関連するモジュールは「ワイヤレスモジュール」の下にあり、Wi-Fi/wifi_jammerを使用します。
「RQ」フィールドの列は「必須」を表しているため、ここにすべての値を入力する必要があります-
- interface -これは、 ifconfing に示されているWLANインターフェイスです。私の場合はwlan0です。
- bssid -これは、APの無線アダプターのMACアドレスです。 前の手順で説明したように、これはairodump-ngから派生できます。
- essid -これは、ジャムするWLANの名前です。
- mon -ifconfigまたはairmon-ngに表示される監視インターフェースの名前。 私の場合、それはmon0です。
- channel -airodumpからの情報を表示します。 airodump-ngの出力に示されているように、ターゲットネットワーク「home_e1000」はチャネル6で動作しています。
これで、すべての必要な情報がwebsploitフレームワークで設定されたら、「実行」コマンドを入力するだけです。 コマンドが実行されるとすぐに、攻撃が開始されます。
次のスクリーンショットでわかるように、websploitフレームワークは_aireplay-ng_ツールを自動的に起動し、ネットワークを妨害します。
この攻撃の結果(表示されません)、ワイヤレスPCとスマートフォンが切断され、「stop」コマンドを入力して攻撃を停止するまで実際に接続できません。
ワイヤレスセキュリティ-レイヤー2 DoS
これらの攻撃は、悪意のある攻撃者によって開始される可能性が最も高いものです。 この攻撃の背後にある主なアイデアは、802.11ワイヤレスフレームを調整し、それらを空中に注入(または再送信)することです。
最も一般的なタイプのレイヤ2 DoS攻撃には、*関連付け解除または認証解除*管理フレームのスプーフィングが含まれます。 その理由は、これらのフレームが要求フレームではなく、通知であるためです!
認証プロセスはアソシエーションの前提条件であるため(上記の図を参照)、 de-authentication frame は自動的にクライアントのアソシエーションを解除します。
この種の攻撃は(もう一度)、* aireplay-ngツール*の使用を開始した可能性があります。 このツールがどれほど強力であるかわかりますか?
「home_e1000」のESSIDを使用してホームネットワークを再度ターゲットに設定し、最初にairodump-ngで接続済みクライアントをチェックします。
私のスマートフォンは、MACアドレス98:0D:2E:3C:C3:74でhome_e1000ネットワークに接続されているデバイスです。 次に、次のスクリーンショットに示すように、スマートフォンに対して認証解除DoS攻撃を発行します-
その結果、自宅のターゲットデバイス(スマートフォン)がWi-Fiネットワークから切断されます。
これらのタイプの攻撃に対する緩和技術は、* 802.11w-2009標準管理フレーム保護(MFP)*を使用することです。 簡単に言えば、この規格では、管理フレーム(関連付けの解除や認証解除フレームなど)も信頼できるAPによって署名されている必要があります。
ワイヤレスセキュリティ-レイヤー3 DoS
このレイヤー3 DoSのアイデアは、処理する大量のトラフィックでホストを圧倒し、ホストをクラッシュさせることです。 ほとんどの場合、このタイプの攻撃は、ボットネットと呼ばれるハッカーが所有する一連のホストから発生し、インターネット上の被害者サーバーを標的としています。
レイヤ3 DoS攻撃の最も一般的な3つのタイプは次のとおりです-
Fraggle Attack
攻撃者は、大量のUDPエコー要求をIPブロードキャストアドレスに送信します。 送信元IPアドレスはスプーフィングされ、被害者のIPアドレスに設定されます。 これにより、ブロードキャストサブネット上のクライアントから発信されたすべての返信が被害者に返送されます。
Pingフラッド攻撃
攻撃者は、pingを使用して大量のICMPパケットを標的のコンピューターに送信します。 数千台のPCのボットネットを所有する悪意のあるパーティーを想像してください。 これらのすべてのPCから同時に実行されるpingフラッド攻撃を想像すると、かなり深刻になる可能性があります。
スマーフ攻撃
Fraggle Attackの場合とまったく同じステップごとの操作。 唯一の違いは、Smurf攻撃はICMPエコー要求パケットを使用することです。UDPパケットを使用するFraggle攻撃とは異なります。
これらのタイプのレイヤ3 DoS攻撃は、特にワイヤレステクノロジー攻撃ではありません。 これらは、イーサネット、フレームリレー、ATM、ワイヤレスのいずれかのレイヤー2テクノロジーで使用できます。 この攻撃が成功するための主な要件は、攻撃者が大量の追い越されたPC(ボットネット)を制御していることです。 その後、特定のパケットがボットネット内のすべての感染ホストからターゲットに送信されます-ボットネットに1000以上のデバイスがあると仮定すると、累積トラフィックが大量になる可能性があります。 1台のPCからレイヤー3 DoSを使用することはまったく効果的ではありません。
ワイヤレスセキュリティ-認証攻撃
おそらくご存知のとおり、認証は提示されたIDと資格情報を検証する方法です。 ワイヤレス設定で使用される認証スキームのほとんどは、適切な暗号化で保護されています。
PSK認証を使用して、WPA/WPA2で使用されるEAP認証に基づくシナリオを既に説明しました。 クライアントとオーセンティケータ(AP)間の4ウェイハンドシェイクをスニッフィングすることにより、ブルートフォース攻撃(例-オフライン辞書攻撃)を実行して暗号化を解除し、PSK値を導き出すことができます。
別の例としては、LEAP(Lightweight Extensible Authentication Protocol)があります。 昔は、動的なWEPキーを生成するメカニズムとして使用されていました。 この設定では、パスワードハッシュは、MS-CHAPまたはMS-CHAPv2アルゴリズムでハッシュされた無線で流れていました(どちらもオフライン辞書攻撃でクラック可能です)。 LEAPに適用される認証攻撃の簡単な説明は、次の手順で構成されます-
- ユーザー名はクリアテキストで送信されます。
- クリアテキストのチャレンジテキストがあります。
- 応答テキストはハッシュされます。
- ここで( aircrack-ng ツールを使用して)使用して、「* function(password、challenge) = response *」数式内のパスワードのすべての組み合わせを試し、正しいパスワードを見つけることができるOffice辞書攻撃。
このような攻撃の例は、次の章で段階的に説明されます。
不正アクセスポイント攻撃
企業ネットワークについて考えると、企業WLANはネットワークリソースへの承認された安全なワイヤレスポータルです。 不正アクセスデバイス(AP)は、承認なしで企業ネットワーク(ほとんどの場合、一部のネットワークスイッチ)に接続されているWLAN無線です。
従業員(悪意のあるユーザーまたは誤って)によってインストールされるほとんどの不正アクセスポイントは、実際には組織のIT部門が使用しているAPとは異なりますが、一部の小規模オフィスのホームオフィス(SOHO)ワイヤレスルーター-同じおそらくあなたが家に持っているもの。 セキュリティが設定されていない、またはセキュリティが設定されていない状況では、非常に安全なネットワークに簡単にアクセスできるため、次の攻撃対象となります。
IT業界の現在の進化により、不正なアクセスポイントは非常に隠されており、見つけるのが非常に困難になる可能性があります。 ネットワークスイッチに接続されたRaspberry Piを、数百本のネットワークケーブルの間に隠れてラックの背面に配置すると、簡単に見つけることができますか? 私は間違いなく言うことができます、あなたはそれをまったく見つけないでしょう!
ネットワークリソースが不正なアクセスポイントによって公開されている場合、次のリスクが特定される場合があります-
- データ盗難-企業データが危険にさらされる可能性があります。
- データ破壊-データベースが消去される場合があります。
- サービスの損失-ネットワークサービスを無効にできます。
- 悪意のあるデータの挿入-攻撃者はポータルを使用して、ウイルス、キーロガー、またはポルノをアップロードする可能性があります。
- * 3 ^ rd ^パーティ攻撃*-会社の有線ネットワークは、インターネット上の他のネットワークに対するサードパーティ攻撃の発射台として使用できます。
ワイヤレスセキュリティ-クライアントの関連付けの誤り
PCを持ち込んで自宅でワイヤレスを使用する場合、PCは自動的にWLANに接続し、ユーザーの操作は必要ありません。 これは、ラップトップが過去に接続したWLANのリストを記憶し、このリストをいわゆる Preferred Network List (Windowsの世界)に保存するためです。
悪意のあるハッカーはこのデフォルトの動作を使用して、Wi-Fiを通常使用している物理的なエリアに独自のワイヤレスAPを持ち込む可能性があります。 そのAPからの信号が元のAPからの信号よりも優れている場合、ラップトップソフトウェアは、ハッカーによって提供された偽の(不正な)アクセスポイントに誤ってアソシエートします(過去に使用した正当なAPと考えてください) )。 この種の攻撃は、空港、オフィス環境、公共エリアなどの大きなオープンスペースで非常に簡単に実行できます。 この種の攻撃は、*ハニーポットAP攻撃*と呼ばれることもあります。
偽のAPを作成するには、物理的なハードウェアは必要ありません。 このチュートリアルで使用されるLinuxディストリビューションは Kali Linux で、 airbase-ng という内部ツールがあり、1つのコマンドで特定のMACアドレスとWLAN名(SSID)を使用してAPを作成できます。
次のシナリオを作成しましょう。 過去に、私はヨーロッパの空港の1つで「Airport-Guest」のSSIDを使用しました。 そうすれば、スマートフォンがこのSSIDをPNL(優先ネットワークリスト)に保存したことがわかります。 そこで、 airbase-ng を使用してこのSSIDを作成します。
WLANを作成した後、前述のレイヤー2 DoS攻撃を使用して、Home_e1000ワイヤレスネットワークからスマートフォンを常に認証解除しました。 その時点で、スマートフォンは非常に良好なリンク品質で他のSSID(Airport-Guest)を検出し、自動的に接続します。
これは、21:48:19から始まる上記のダンプに表示されるものです。 その時点で、この初期接続を使用していくつかの追加攻撃を実行できる状況にあります。 攻撃者のPCを介してすべてのワイヤレストラフィックを転送する(トラフィック交換の整合性と機密性を攻撃する)ことは、中間者攻撃のいずれかです。 または、Metasploit Frameworkを使用していくつかの脆弱性を悪用して、攻撃者のPCからスマートフォンに直接接続することもできます… 可能性のある方法はたくさんあります。
誤って設定されたアクセスポイント攻撃
誤って構成されたAPは、セキュリティサーフェスの一種であり、検出された場合に最も簡単に侵害されます。 誤って設定されたAPに遭遇する可能性が最も高い場所は、ホームワイヤレスネットワークまたは非常に小規模な企業です。 大規模なワイヤレス環境では、数百または数千のAPを制御して同期を維持する集中管理プラットフォームを使用する可能性が最も高いため、そこで設定エラーが発生する可能性は低くなります。
ワイヤレスクラッキングの原因となる設定ミスの最も一般的な領域は次のとおりです-
- ユーザー名とパスワードまたはデフォルトのWLANのブロードキャスト(SSID)など、一部のAP構成は工場出荷時のデフォルトのままであり、デフォルト設定はインターネット上の特定のベンダーのマニュアルに記載されている場合があります。
- 人的エラー-高度なセキュリティポリシーが組織全体のAPのセットで設定され、他のポリシーは忘れられ、デフォルトの脆弱なセキュリティ設定のままになります。
誤って設定されたAPに対する対策として、組織は安全なワイヤレス環境を監視するツールとして、継続的なサイト調査に従う必要があります。
Linksysワイヤレスホームデバイスの一部のデフォルトのユーザー名/パスワードデータベースの例は次のとおりです-
| Model | Username | Password |
|---|---|---|
| BEFSR series | (none) or admin | admin |
| E series | admin or (none) | admin or (none) |
| EA series | admin | admin or (none) |
| WAG series | admin or (none) | admin or (none) |
| WRT series | (none) | admin |
アドホック接続攻撃
アドホック接続攻撃は非常に厄介なタイプの攻撃であり、攻撃者(悪意のあるユーザー)は、攻撃者のデバイスとAPの間の*追加のホップ*または*中間者*としてサードパーティの正当なユーザーを使用していますまたは他のタイプのゲートウェイ。
「device-in-the-middle」で動作する必要があるアドホックワイヤレスネットワーク機能は、WindowsまたはLinuxデバイスの両方で設定でき、クライアント間のアドホック(ピアツーピア)ワイヤレスリンクをセットアップできます。デバイス(APなどの追加のネットワークインフラストラクチャなし)。 舞台裏では、実際に行うことは、PCで仮想ソフトウェアAPを作成し、他のデバイスが作成したSSIDに関連付けられていることです(効果的にワイヤレスリンクを作成します)。
Linuxを使用する場合、この章で前述した「airbase-ng」というツールを使用できます。 一方、Windowsを使用する場合、「新しい接続または新しいネットワークの構成」を使用して、ワイヤレスネットワーク設定でWLANを作成できます。
次の状況は、アドホック攻撃を説明しています。 攻撃者がコンピューター番号2、3、または4のいずれかであると想像してみましょう。 被害者(中間者)はコンピューター1です。 このラップトップは、周囲との無線接続を実行および提供するものであり、インターネットにアクセスするために有線ネットワークに接続された他のインターフェースを備えています。
攻撃者は、コンピューター1によってブロードキャストされたWLANに接続し、それを使用してこの被害者のPCを介してすべてのトラフィックをインターネットにルーティングする可能性があります。 インターネットの観点からは、トラフィックを発信しているコンピューター1のように見えます。 コンピューター1からすべての攻撃者へのワイヤレスリンクは、Wi-Fi接続である必要はありません。相互に通信しようとするすべての関係者がサポートするBluetoothまたはその他の種類のワイヤレステクノロジーです。
ワイヤレスセキュリティ-ハッキング方法
この章では、特定の攻撃(またはより高度な攻撃の小さなステップ)の実行に使用できるさまざまな一般的なツールについてもう少し詳しく説明します。 後の最後のセクションでは、ツールに関するこのような知識をすべて組み合わせて、より高度で複雑なタイプのワイヤレス攻撃を実行する必要があります。 このチュートリアルの最後のセクションでは、ワイヤレスセキュリティハッキングのシナリオをステップごとに説明し、これまでに見たツールと、ここにあるツールを使用します。
Wi-Fiディスカバリー
Wi-Fiディスカバリーは、環境内のWLANの存在について学習するために使用されるプロセスです。 WiFi発見プロセスは法律に反しません。なぜなら、あなたはどの時点でも攻撃的ではないので、ワイヤレスクライアントを使用してWi-Fi周波数帯域を単純に受動的に聞いているだけです。
存在するWLANネットワークの種類を検出するには、ワイヤレスハードウェアを使用し、2.4 GHzまたは5 GHz帯域でリッスンする特定のツールを使用する必要があります。 オペレーティングシステムに組み込まれているものもあります(詳細なWLAN分析にはほとんどの場合非常に効果的ではありません)。また、インターネット上で見つけることができるシンプルなツールもあります。 市場には数百または数千のツールがあります。
そのシンプルさのおかげで本当に楽しかった2つを紹介します。 これらの章を読みながら(または、経験から既に知っている)発見することは、Windows OS用に提供されるツールは、Linuxベースのツールが提供するものとは反対に、より優れたグラフィックスといくつかの派手なグラフィック機能を備えています しかし、私はあなたに約束することができます、Linuxに基づくものはまったく同じ情報を提供します(よりテキストのような形式で)。 一方、1つのツールの出力を他のツールへの入力として使用するスクリプトを書く方が少し簡単です。
Windowsユーザーの場合は、 Xirrus Wi-Fi Inspector をご覧ください(無料で使用できます)。 これは、近くにあるWLANを識別する簡単なツールです。 Windows環境で同じ機能を実行する別のツールは、 NetStumbler です。
上記のスクリーンショットの下部にある表から抽出できる情報は、SSID名、受信信号強度、使用される802.11標準、 WLAN、BSSID (MACアドレスの設定AP、同じMACアドレスで偽のAPを作成したい場合)およびそれが動作するチャネル。 これはたくさんあります! また、特定のネットワークが現在の場所からどれだけ離れているかを示す非常に派手なグラフィカルな「レーダー」を見ることができます-同じ情報が* Signal(dBm)*フィールドから読み取られます。
一方、Linuxを使用する場合(侵入テストにはKaliディストリビューションを使用しています-試してみてください)、それと同等のツールはairodump-ngと呼ばれます。 airodump-ngがユーザーに出力する情報のセットを次のスクリーンショットに示します。 また、Kismetと呼ばれる別の有名なツールがあります。
ウォードライビング
ウォードライビングは、個人のラップトップ、スマートフォン、またはその他のワイヤレスクライアントツールを使用して、車内の人がワイヤレスネットワーク(ワイヤレスネットワーク検出)を見つけるプロセスです。 基本的に、意図は、悪意のあるユーザーが法的義務なしに使用できる、無料アクセスのワイヤレスネットワークを見つけることです。 例としては、無料のWi-Fiを提供し、登録せずに、または偽のデータで登録できるホテルなどがあります。
これらのWLANを見つける方法は、このワイヤレス検出セクションで説明したものとまったく同じです。
GPSマッピング
地球を周回する多くの衛星があり、それぞれがカバーする地球の部分に向けて低出力の無線信号を送信しています。 使用するGPSデバイスは、たとえば、Googleマップアプリケーションを起動したスマートフォンであり、同時に複数の衛星からその信号を受信します。 デバイス自体がこれらの信号を結合し、地球上の現在の地理的位置を計算します。
GPSマッピングのアイデアは、ユーザーが遭遇するワイヤレスネットワークを、その地理的位置を基準にしてワイヤレスネットワークのグローバルマップにマップすることです。 前述のKismetツールを使用して、ワイヤレスネットワークを地理的な場所にマッピングし、その座標をgoogle earthマップに配置できます。
インターネット上にWebサイトhttps://wigle.net/[http://wigle.net]があり、これを使用してGPSがマップされているWLANの数を確認できます。 このWebサイトを使用して、GSMセルラーネットワークもマッピングできます。
ワイヤレスセキュリティ-トラフィック分析
ワイヤレストラフィック分析のプロセスは、フォレンジック調査やトラブルシューティングに非常に役立ちます。もちろん、これは優れた自己学習方法です(アプリケーションとプロトコルが相互に通信する方法を学ぶためだけです)。 トラフィック分析を可能にするには、まず、このトラフィックを何らかの方法で収集する必要があり、このプロセスはトラフィックスニッフィングと呼ばれます。 トラフィックスニッフィングで最も一般的に使用されるツールは、KismetとWiresharkです。 これらのプログラムは両方とも、WindowsおよびLinux環境用のバージョンを提供します。
ワイヤレスネットワークの侵入テストとハッキングの目的で収集する価値のあるデータのタイプは、* BSSID、WEP IV、TKIP IV、CCMP IV、EAP 4ウェイハンドシェイク交換、ワイヤレスビーコンフレーム、通信のMACアドレスです。パーティーなど*。 ワイヤレストラフィックのダンプでは、さらに多くの機能を利用できます。 取得する情報のほとんどは、前の章で説明したすべての攻撃で使用されます。 WLAN展開で使用される暗号化および認証モデルを破るために、(たとえば)オフラインの総当たり攻撃への入力として使用できます。
WindowsとLinuxの両方でWiresharkを使用することは非常に直感的です。どちらの環境でも、両方のシステムで同じGUIが提供されます。 プログラムが起動したら、トラフィックスニッフィングに使用される物理インターフェイスのみを指定する必要があり(有線またはワイヤレスのいずれかのインターフェイスを選択できます)、トラフィックスニッフィングを続行します。 ワイヤレスカードによって収集されたワイヤレスパケットの例を次のスクリーンショットに示します。
出力のレイアウトは常に同じです-上から行くと、あなたが持っています-
- Filter Field -Wiresharkには、リアルタイムのトラフィック出力を制限できる非常に優れたフィルタリングツールが装備されています。 周囲のすべてのワイヤレスクライアントから毎秒送信される数百のパックから特定のフロー(特定のMACアドレス間または特定のIPアドレス間)を抽出する必要がある場合に非常に便利です。
- トラフィック出力-このセクションでは、ワイヤレスインターフェイスでスニッフィングされたすべてのパケットが1つずつ表示されます。 出力のこの部分では、* SRC/DST MACアドレス、プロトコル(この場合はWi-Fi 802.11)*、およびパケットに関する簡単な情報など、トラフィック特性の基本的な要約のみを見ることができます。
- データのデコードされたパラメータ-このセクションには、フレームに存在するすべてのフィールド(すべてのヘッダー+データ)がリストされます。 サンプルダンプを使用すると、一部の情報は読み取り不可能なデータ(おそらく暗号化された)の形式であり、802.11ヘッダーではCCMP情報(トラフィックがAES暗号化されていることを確認します)を見つけることができるため、WPA2であることがわかりますWi-Fiネットワーク。
- Hex Dump -Hex Dumpは、上記の「データのデコードされたパラメーター」とまったく同じ情報ですが、16進形式です。 その理由は、16進表現がパケットの最初の方法であるが、Wiresharkには特定のHEX値を既知のプロトコルフィールドにマッピングするために使用される何千もの「トラフィックテンプレート」があるためです。 たとえば、802.11ヘッダーでは、5から11までのバイトが常にワイヤレスフレームのMACアドレスのソースであり、同じパターンマッピングを使用して、Wireshark(およびその他のスニファー)は静的(および既知)を再構築およびデコードできますプロトコルフィールド。
たとえば、収集されたトラフィックに対して高度な操作を実行するPythonスクリプト(暗号化モデルのクラッキングなど)への入力として後で使用できる共通の .pcap 形式を使用して、すべてのトラフィックダンプを保存できます。
知っておくべきもう1つのツールは Kismet です。 Kismetツールを起動して mon0 インターフェイスを指定すると、環境で検出されたすべてのSSIDが一覧表示されます。
Kismetの実行中、すべてのワイヤレスパケットが収集され、*。pcap *ファイルに保存されます。 プログラムを終了すると、すべてのワイヤレスパケットダンプが保存され、後でアクセスできるというメッセージが表示されます。
上記の例では、すべてのパケットダンプはバイナリファイルに格納されています(「more」、「vi」、「nano」などでファイルを開くと、読み取り可能な形式ではありません)。
それらを正しく開くには、Wiresharkを使用する必要があります(もう一度!)。
ワイヤレスセキュリティ-ワイヤレス攻撃を開始する
あらゆる種類のワイヤレス攻撃は、*パッシブ攻撃とアクティブ攻撃*の2つのカテゴリに分類できます。 ほとんどの場合、パッシブ攻撃(または受動的な情報収集)は、ワイヤレス攻撃自体(攻撃のアクティブな部分)を開始する前の最初のステップです。
受動的攻撃はすべて、攻撃者が他のパーティと通信したり、トラフィックを注入したりする必要がないものです。 受動的な攻撃の間、被害者はあなたの活動を検出する方法がありません(あなたが演技していないため)。あなたは無線周波数を隠して聞いているだけです。
受動的攻撃は法律違反とは見なされませんが、受動的攻撃によって得られた情報の使用は違反として扱われる場合があります。 たとえば、暗号化されていないトラフィックを盗聴(リッスン)して収集し、実際にはこれが2人の会話であることがわかりますが、それを読んで、世界のいくつかの場所でこのプライベート会話に含まれる情報を使用することは法律違反。
受動的攻撃の例
ここで、受動的攻撃の例をいくつか見てみましょう-
WEP暗号化を破る
WEP暗号化を破る裏では、大量のデータパケットを盗聴する必要があります。 次のステップは、ワイヤレスフレーム内で同じIVベクトルを取得することです。最後のステップは、WEP暗号化モデルをオフラインにすることです。 攻撃には、攻撃者が何らかの方法で被害者と通信することを必要とする単一のステップはありません。
WPA/WPA2暗号化の解除
WPA/WPA2暗号化を解除するには、ワイヤレスクライアントとAP間のEAP 4ウェイハンドシェイクをスニッフィングする必要があります。 その後、収集された暗号化されたパケットに対してオフライン辞書(またはオフラインの総当たり攻撃)が実行されます。 運がよければ、被害者とはまったく通信できず、攻撃は純粋な受動的攻撃と見なされます。
ただし、プレイする前に被害者がAPに認証されていて、それ以上待つことは望ましくない場合があります。 次に、一般的なパッシブ攻撃で「アクティブな攻撃ステップ」を使用します。ワイヤレス認証解除フレームを挿入し、ワイヤレス攻撃者に認証解除と再認証を強制し、新しい認証4ウェイハンドシェイクをスニッフィングします。
通信する当事者間のトラフィックを盗聴する
暗号化キーを何らかの方法で知っていると仮定すると、(たとえばWiresharkとの)パーティ間の通信を盗聴し、(キーを知っているため)会話をデコードできます。 当事者が暗号化をネイティブに使用しているプロトコル(クリートテキストHTTPなど)を使用していないと仮定すると、ユーザーが何をしていたかを自由に確認し、インターネット上で彼の動きを追跡できます。
一方、アクティブな攻撃は、ワイヤレストラフィックの転送や、WLANの動作に影響するワイヤレスフレームの挿入に積極的に参加することを必要とするものです。 アクティブな攻撃を実行すると、悪意のあるアクティビティの痕跡が残るため、特定の状況では、被害者が収集したダンプ(Wiresharkを使用)またはあなたのアクティビティに関する法医学捜査官によるWLANカードからのダンプは、法廷であなたに対する有効な証拠になる可能性があります。 悪意のある方法で知識を使用することにした場合。
積極的な攻撃の例
ここに積極的な攻撃のいくつかの例があります-
- 無線トラフィックの注入-認証解除フレームのフラッディングで使用されるレイヤ2 DoSの典型的な例。 攻撃者は、ワイヤレスクライアントに影響するワイヤレスパケットを直接注入し(認証解除を指示する)、ワイヤレスユーザーの状態が認証済みから認証解除済みへと絶えずフラッピングし、全体的なワイヤレスエクスペリエンスを非常に悪くします。
- ジャミング攻撃-覚えているように、これはレイヤー1 DoS攻撃の一種です。 妨害デバイスは、Wi-Fiネットワークの有効なRFとの干渉を作成するために使用されるため、WLANサービスの低下につながります。 攻撃者はワイヤレスの動作に直接影響を与えるため、これは一種の積極的な攻撃です。
- * Man-in-the-Middle攻撃*-攻撃者は2つのワイヤレスネットワークカードを装備しており、そのうちの1つを使用してクライアントとして元のAPに接続できます。 2番目のワイヤレスカードを使用して、APをエミュレートするソフトウェア(airbase-ngソフトウェアツール)を使用して、いくつかの偽のSSIDをブロードキャストします。 そのようにして、クライアントは攻撃者が作成したばかりの「偽のAP」に関連付けられ、インターネットに向かうすべてのクライアントトラフィックは攻撃者の機器を介して直接転送されます(攻撃者はこのデータで何かを行う可能性があります)。
攻撃のほとんどは、受動的ステップと能動的ステップの組み合わせであることがわかります。 受動的なものは、環境を理解したり、宿題をしたり、潜在的な被害者に関する可能な限り多くの情報を取得したりするための良い出発点です。
同じアプローチは、Webアプリケーションハッキング、ソーシャルエンジニアリングハッキング、またはその他のハッキングアプローチのいずれであっても、目にする可能性のあるあらゆるタイプのハッキングに対応しています。 時間の少なくとも80%は、ターゲットに関する受動的な情報収集と、攻撃の次のステップであなたにとって価値のあるデータの収集に使用されます。 そして、アクティブな攻撃自体は、全体的な「攻撃」時間の最後の20%です。
ワイヤレスセキュリティ-ワイヤレス攻撃のクラック
ワイヤレスネットワークを「クラック」する必要がある場合はいつでも、タスクは暗号化、認証、またはハッシュアルゴリズムをクラックして、ある種のシークレットパスワードを導き出すことです。
あなたはそれを達成するかもしれない方法がたくさんあります-
- 弱いアルゴリズムで暗号化アルゴリズムを破ろうとすることができます。 それは実行可能かもしれませんが、非常に正直に言うと、今日では誰も破ることのできるアルゴリズムを使用しません。したがって、あなたが前進することのない高級暗号アナリストでない限り。
- ほとんどのアプローチは、ある種の辞書攻撃またはブルートフォース攻撃の使用に集中します。
この攻撃がどのように実行されるかについて簡単に説明するために、「わからない」-「MySecretPassword」というパスワードがあると想像してください。 何らかの方法で、次のスクリーンショットに示すように、MD5およびSHA1署名を取得しました-
攻撃者としての目標は、これらのハッシュアルゴリズムを破り、元のパスワードを取得することです。 この目的に使用できるツールは多数あります。独自のツールも作成できます。
以下は、辞書(タイプ-ブルートフォース)攻撃に使用できる単純なスクリプト(ルビーで記述)です-
次のスクリーンショットに示すように、簡略化された辞書ファイル(数秒で作成したもの)を使用します。 通常、実際には、数十万のエントリを持つ辞書ファイルを使用します(インターネットから準備済みの辞書ファイルをダウンロードするのが一般的です。検索してみてください)。
このスクリプトの背後にある考え方は、すべてのパスワードを調べることであり、計算されたハッシュ間の一致が署名と一致する場合、ネットワークから「スニッフィング」します。これは、パスワードが見つかったことを意味します。
私はそれが単純化された例であると述べなければなりません、しかしそれは概念自体を完全に示しました。
ワイヤレスネットワークのクラッキング中に、 aircrack-ng と呼ばれるツールを使用する可能性が高くなります。 WEP/WPA/WPA2 のクラッキング用に特別に設計されています。 WPA/WPA2クラッキングの場合、2つの可能な辞書タイプを使用した辞書攻撃(上記で示した単純化された攻撃に類似)を使用します。 最初のタイプは、自分で準備(またはインターネットからダウンロード)してスクリプト内で参照できるタイプです。 他のアプローチは、デフォルトでツールと共にインストールされる内部辞書データベースの一種である内部 airolib-ng 辞書に依存することです。
その時点で実際のクラッキングを行わずに、aircrack-ngの使用方法を示します。 上記の例で作成した非常に小さな辞書を使用します(実際の辞書ファイルにある数百万とは対照的に、内部に7つのフレーズしかありません)。 さらに、トラフィックをリアルタイムで監視しませんが、 Kismet ツールを使用する前にスニッフィングしたワイヤレストラフィックで .pcap ファイルを使用します。
ご覧のとおり、WLANがたくさんあり、その一部はWEP暗号化で、ほとんどはWPA/WPA2です。 私はすでに、このような状況ではあらゆる種類のクラッキングが失敗すると言うことができます-
- WEPで暗号化されたSSIDについては、トラフィックが収集されません(「データなし」)。
- WPA/WPA2で暗号化されたSSIDについては、スニッフィングされたハンドシェイクはありません。 覚えているように、最初の4ウェイハンドシェイクからのデータは、ネットワークのクラッキングにつながる唯一の情報です。 データパケット自体は十分に暗号化されており、攻撃に対して耐性があります。
しかし、試してみたいと思ったら、自分のホームワイヤレスネットワーク-インデックス6の "Home_e1000"をターゲットにします。
予測したとおり、失敗しました。 次回、私たちが失敗しないことを確認し、ワイヤレスネットワークを獲得し、クラックする方法を学ぶことができるようになります。
ワイヤレスセキュリティ-RF監視ツール
無線周波数(RF)空間を監視する目的は、環境(OSIレイヤーのレイヤー1)の周波数帯域の使用率を学習することです。 ほとんどの場合、RFモニタリングは、ワイヤレス接続の問題のトラブルシューティング中またはワイヤレスサイト調査中に実行されます。 どちらも同じ目標を念頭に置いています。つまり、WLANネットワークの動作に影響を与える可能性のあるRF放射デバイスを見つけることです。
ワイヤレスネットワークの動作に影響を与える可能性のあるRF放射デバイスの例は、電子レンジ、ワイヤレスカメラ、またはコードレス電話です。 法執行機関で一般的に使用されているRFテクノロジーの他のいくつかの実例は、被害者が自宅で逮捕された場合、ほとんどの場合、RFエミッターである足首のブレスレットに入れられます。 さらに、特定のRF周波数の電磁場を受信するRFモニタリング基地局があります。 この設定により、代理店は、被害者が家にいるのか、家を離れたのかを確認できます(電磁RF信号が検出されなくなった場合)。
Cisco Spectrum Expert
RFモニタリングに使用できるツールの1つに、 Cisco AP と組み合わせた Cisco Spectrum Expert があります。 Cisco APの一部のシリーズには、APをRFモニターとして使用できる「クリーンエア」と呼ばれる特別な機能があります。
このCisco Spectrum ExpertをAPに接続すると、次のスクリーンショットに示すように、周波数使用率チャートを作成できます。
このスクリーンショットは、チャネル6でワイヤレス802.11b標準を使用しているクライアントによる一般的な周波数使用率を明確に示しています。
一方、次のスクリーンショットは、レイヤー1周波数スイープの別の例を示しています。今回は、Bluetoothデバイスの使用を検出しています。
Bluetoothの動作は Frequency Hopping Spread Spectrum (FHSS)テクノロジーに基づいており、Bluetoothデバイスはある周波数から別の周波数にジャンプし(毎秒約1600ホップ)、2.4 GHzスペクトル全体に影響を及ぼします上記を見ると、1から11までのすべてのチャネルが悪影響を受けています)。 ワイヤレスサイト調査中に行われた適切なRF検査は、このアクティビティを検出する必要があり、ワイヤレスエンジニアは802.11ワイヤレス信号伝搬の潜在的な問題についてレッドフラグを立てる必要があります。
AirSleuth Spectrum Analyzer
あなたが見ることができる別のツールは、 AirSleuth Spectrum Analyzer です。 このソフトウェアの情報と価格は、http://nutsaboutnets.com/airsleuth-spectrum-analyzer/のWebサイトで確認できます。
このツール自体は、802.11ネットワーク検出ツールと2.4 GHzスペクトル分析の組み合わせです(Cisco clear-air APは2.4 GHzと5 GHzの両方の帯域をサポートしています)。 結果は、Cisco Spectrum Expertを使用して取得できる結果と非常に似ています。 X軸を介して拡張された2.4 GHz帯域と、チャートに直接表示される信号の強度があります。
次のスクリーンショットの周波数分析は、電子レンジによって送信される電磁信号の例です。 802.11 Wi-Fiネットワーク用に予約されているすべての2.4 GHz周波数で、(上記のBluetoothで見た「ジャンピング」信号と比較して)かなり安定した信号が表示されます。 これも干渉の完璧な例であり、2.4GHz帯域で動作する802.11ワイヤレスネットワークの動作を低下させます。
ワイヤレスセキュリティ-Bluetoothハッキング
Bluetoothは、無線通信技術(IEEE 802.15.1標準で説明)であり、限られた距離(通常は約10mですが、標準では最大30mまで可能)で動作します。 2.4 GHz WLAN展開と同じ周波数範囲(2.4 GHzから2.485 GHz)で動作するため、Bluetooth通信を使用すると、両方が同じエリアで使用される場合、WLANネットワークに干渉します。
Bluetoothテクノロジーを使用して別のデバイスと通信するには、特別なBluetoothカードが必要です。 ラップトップまたはスマートフォンで使用する通常のWi-Fiカードは802.11テクノロジー用であり、802.15標準に基づくBluetoothと互換性がありません。 あなたが市場で見つけることができるいくつかの非常に良いBluetoothドングルの例は次のとおりです-
- LM540 -http://lm-technologies.com/product/bluetooth-usb-adapter-class-1-long-range-lm540/[(http://lm-technologies.com/product/bluetooth-usb- adapter-class-1-long-range-lm540/)]
- CSR4.0 -http://www.seeedstudio.com/depot/Bluetooth-CSR40-USB-Dongle-p-1320l[(http://www.seeedstudio.com/depot/Bluetooth-CSR40-USB-Dongle -p-1320l)]
どちらもKali Linuxシステムと互換性があります。 この章では、個人的にCSR4.0モデルを使用しています。
Bluetoothデバイスは、3つの利用可能なセキュリティモデルのいずれかで動作することができます-
- セキュリティモード1-非保護-このモードでは、暗号化または認証は使用されません。 Bluetoothデバイス自体は、非差別モード(ブロードキャスト)で動作します。
- セキュリティモード2-アプリケーション/サービスベース-このモードでは、接続が確立されると、セキュリティマネージャーが認証を実行し、デバイスへのアクセスを制限します。
- セキュリティモード3-リンク層PIN認証/MACアドレス暗号化-接続が確立される前に認証が実行されます。 暗号化が使用されていても、デバイスが侵害される可能性があります。
ワイヤレスセキュリティ-Bluetoothスタック
Wi-Fi通信(802.11プロトコルに基づく)を使用する場合、OSIモデルのすべてのレイヤーが通信に関与します。 常に無線物理層(変調とコーディング)になるレイヤー1があります。 次に、レイヤー2に802.11ヘッダーがあります。 次に、レイヤー3-すべてのIP情報など。
Bluetoothプロトコルスタックでは、デバイスがスタック内のすべてのプロトコル(通信モデルのすべてのレイヤー)を使用する必要がないため、異なります。 これは、Bluetoothがさまざまな通信アプリケーションで使用するために開発されたためです。Bluetoothスタックのどの部分を通信で使用するかを指定するのはアプリケーションです。
Bluetoothプロトコル層は、関連するプロトコルとともに次のとおりです-
- * Bluetoothコアプロトコルベースバンド*-LMP、L2CAP、SDP
- ケーブル交換プロトコル-RFCOMM
- テレフォニー制御プロトコル-TCSバイナリ、ATコマンド。
- 採用プロトコル-PPP、UDP/TCP/IP、WAP。
スタックで確認できる追加要素の1つは、 Host Controller Interface (HCI)です。 このHCIは、ベースバンドコントローラ、リンクマネージャ、ハードウェアステータス、レジスタへのコマンドインターフェイスを提供します。 このため、Bluetooth通信に使用されるLinuxツールの名前はすべて「hci」から始まります。例-「hciconfig」、「hcidump」、「hcitool」。 これらのツールはすべて、次のセクションで実際に動作します。
ワイヤレスセキュリティ-Bluetoothの脅威
今日出会えるすべてのテクノロジーには、独自の脅威と脆弱性のセットがあり、Bluetoothも例外ではありません。 Bluetoothテクノロジーの脅威と脆弱性は、次の起源の束から生じる可能性があります-
RFCOMMスタック実装の開発中の不適切なコーディング
- セキュアスタックの実装に失敗すると、バッファオーバーフローが発生する可能性があります。
- 一部のメーカーは、エンドデバイスに展開するコードの元のバージョンのパッチをリリースしていない場合があります。
さまざまなプロトコルの古いサービスの再利用
- いくつかの非常に特権的なサービスは開いたままです。
IrMCのアクセス許可
- IrMCは、一般的なBluetoothオブジェクトのアクセス許可のセットを定義します。
- アクセス許可が守られていないか、単に開かれていない場合があり、開いているIrMCサービスの悪用につながります。
前述のすべての脆弱性は直接言っていません-実際にBluetoothデバイスを使用することの脅威は何ですか(これらの脆弱性が存在することを知っています)。 ほんの数例を挙げると、攻撃者は次のことができる場合があります-
- 情報を盗みます。
- Bluetoothを使用して、エンドデバイスでDoS攻撃を実行します。
- コードをリモートで実行します。
- ウイルスまたはワームを注入します。
- 細工された接続を注入して、Bluetoothデバイスを経由します(プロキシとして機能)。
ワイヤレスセキュリティ-Bluetoothハッキングツール
インターネットには、すでに作成された数百ものツールがあり、Bluetoothハッキングを容易にします。 確かに、それらすべてを認識して知ることは不可能であり、私の意見では-必要な基本的な知識は偵察段階で使用されるツールを知ることです。
この段階を通過するとき、いくつかのファイルを挿入するためのハッキングアプローチの目標を決定する必要がありますか? またはデータを盗むために? または悪意のあるマルウェアを実行しますか? 方向に応じて、使用する必要のあるツールのセットが異なります。
したがって、この章の目標は、偵察(発見段階)と内部のBluetooth Bluetoothハッキングツールに集中することです。
hciconfig
このhciconfigは、Bluetoothデバイス(Bluetoothドングル)との対話に使用されるメインのLinuxコマンドラインユーティリティです。 Linuxを知っている場合は、 ifconfig や iwconfig などの他のツールへの参照が既に表示されている場合があります。
あなたがhciconfigの出力から読み取られる情報は次のとおりです-
- インターフェイスの名前-「 hci0 」。
- それがPCに(USBまたは組み込みで)接続される方法は、ここではUSBドングルです。
- BluetoothドングルのMACアドレス-10:AE:60:58:F1:37。
- 現在実行中(UPフラグ)で、受信(RX)および送信(TX)パケットを確認できます。
hcitool
このhcitoolは、Kali Linuxに実装されている非常に強力なCLIツールであり、ユーザーがBluetoothスタックとインターフェイスできるようにします。 また、独自のスクリプトで使用できる優れたツールでもあります。
このhcitoolの最も一般的なオプションは、 scan および inq です。
hcitoolスキャンにより、検出ビーコン(APから送信される802.11ビーコンフレームなど)を送信しているBluetoothデバイスを見つけることができます。
近所では、2つのBluetooth対応デバイスがビーコンフレームを送信して、Bluetooth接続を受け入れる準備ができていることを通知していることがわかります。 hcitool inq を使用して、これら2つのBluetoothに関する詳細情報を検索できます。
この出力の内容は、次のデバイスがクラス 0x5a020c に属していることです(クラスの説明とマッピングはこちらで確認できます-(https://www.bluetooth.com/specifications/assigned-numbers/service-discovery)
sdptool
Kali Linuxには、 Service Discovery (SDP)を実行するための組み込みツールもあります。 Bluetoothデバイスで実行されているすべてのサービスを列挙できます。
l2ping
私たちは皆、* ICMPプロトコル*を使用してIPノード間の接続を確認するために使用されるIPの世界からのpingユーティリティを知っています。 Bluetoothの世界には、l2pingと呼ばれる独自の同等物があります。 この検出ツールにより、ユーザーは特定のデバイスが範囲内にあり、Bluetooth通信で到達可能かどうかを確認できます。
これらは、Bluetoothテクノロジーを操作し、その操作を非常によく調べることができる基本的なツールでした。 前述の hcitool ツールは、Bluetooth侵入テストのこの分野で実際に開発したい場合に、ある程度の時間を費やす必要があるツールです。
ワイヤレスセキュリティ-被害者をブルージャック
image:/wireless security/bluetooth.jpg [Bluetooth]
最初に、ブルージャックの意味を定義しましょう。 これは、いわゆる「eビジネス」カードをBluetooth経由で他のデバイスに送信するプロセスです。 私たちが知っている電子名刺の種類は、他のユーザーに送信する連絡先情報(名前、電子メール、電話番号)を持っているものです。 ブルージャックは同じように機能しますが、連絡先情報は送信しません。その代わりに、悪意のあるコンテンツを送信します。 ブルージャックの例を次の図に示します。
ブルージャックのこの定義は、ほとんどのインターネットリソースで見られるものであり、これはケーキの上のパイと見なされます。 Bluetoothハッキングの基本的な基礎は、選択肢が多すぎることです。 まず、最初に他のデバイスとペアリングします。 このステップが実行されるとすぐに、特定の悪意のある機能を作成するツールのインターネットを発見できます。 それらは-
- 上記では、悪意のある添付ファイル付きの電子名刺を送信するように言及されています。
- 犠牲者のデバイスから機密データを引き出す。
- もちろん、ユーザーの知らないうちに被害者のデバイスを乗っ取り、電話をかけたり、メッセージを送信したりします。
ここで、被害者のデバイスとペアリングされたときにポイントに到達する方法を説明します。 次に何をしたいかは、インターネットにあるツールとアプローチに依存しますが、それはほとんどすべての可能性があります。
最初のステップは、PCでBluetoothサービスをローカルで有効にすることです。
次に、Bluetoothインターフェイスを有効にして、その構成を確認する必要があります(物理イーサネットインターフェイスおよびワイヤレスインターフェイスと同じように、BluetoothインターフェイスにもBDアドレスと呼ばれるMACアドレスがあります)。
インターフェイスが稼働していることがわかったら、Bluetoothネットワークをスキャンして、近い環境で見えるデバイスを探します(これは802.11ワイヤレスのairodump-ngと同等です)。 これは、 btscanner というツールを使用して行われます。
上記のスクリーンショットから読み取れるのは、それです-
- ローカルBluetoothデバイスのMACアドレスはA0:02:DC:11:4F:85です。
- ターゲットBluetoothデバイスのMACアドレスは10:AE:60:58:F1:37です。
- ターゲットBluetoothデバイスの名前は「Tyler」です。
ここでの主なアイデアは、タイラーのデバイスが認証され、別のBluetoothデバイスとペアリングされるということです。 攻撃者が自身を「タイラー」として偽装し、他のノードと直接ペアリングするには、MACアドレスを偽装し、Bluetooth名を「タイラー」に設定する必要があります。
お知らせするために、Windows OS用の BTScanner バージョンもあります。 以下は、ツールのWindowsバージョンのスクリーンショットのサンプルです。
Bluetooth情報を偽装するために、ここで使用する必要がある spooftooth というツールがあります( macchanger と同等、MACフィルタリングを使用したWEPシナリオでMAC認証をバイパスするために使用する必要があります)。 以下で行ったことは、Bluetoothドングル(hci0デバイス)のMACアドレスをbtscannerを使用して見つけたものに変更したことです。 また、Bluetoothデバイスの名前を「LAB」に変更しました。 これは、2台のスマートフォン間のBluetoothペアリング設定でローカルに使用しているものです。
成功! 現時点では、Bluetoothスマートフォンからスマートフォンへの通信に関与するクライアントの1つのBluetoothセットアップのクローンを作成しました。 これにより、Bluetoothペアから他のデバイスと直接通信できます。 もちろん、資格情報を偽装した正当なデバイスがネットワークから消えることを確認する必要があります。 実際には時間がかかる場合があり、ユーザーがBluetoothの範囲から離れるか、デバイスのBluetoothサービスを無効にするまで待つ必要があります。
ワイヤレスセキュリティ-ツール
ワイヤレスネットワークのセキュリティ制御を正しく実装することは、一部の企業の収益性と情報の機密性に直接影響するため、今日では重要です。 ワイヤレスセキュリティツールは、ワイヤレス実装を定期的にテスト(監査)するために使用する必要があります。 優れたワイヤレスセキュリティ監査は、実際のテストだけでなく、WLANをより安全にする方法の推奨事項を含む適切な文書です。
可能な監査の束があり、実行しようとすることができます-
- レイヤー1監査
- レイヤー2監査
- WLANセキュリティ監査
- 有線インフラストラクチャ監査
- ソーシャルエンジニアリング監査
- ワイヤレス侵入防止システム(WIPS)監査
Wi-Fiセキュリティ監査ツール
前のパートでは、ワイヤレス実装のセキュリティを評価するために実行できる一連の監査をリストしました。 ポイントを1つずつ調べて、最初に特定の監査が関連する理由、次に監査を実行する方法を確認します。
レイヤー1およびレイヤー2の監査
レイヤー1監査の目的は、RFカバレッジ(パフォーマンスベースのサイト調査の一部)を決定し、RF干渉の潜在的なソース(レイヤー1 DoSのソースを特定するためのセキュリティ監査の一部)を見つけることです。 ワイヤレスセキュリティ監査では、スペクトル解析を行って、連続送信機を検出するか、意図的にRF妨害電波を送信します(これにより、レイヤー1 DoSが発生します)。
レイヤー2ワイヤレス監査に関しては、目標は不正なデバイスまたは不正な802.11デバイスを検出することです。 レイヤー2監査の実行は、ワイヤレスIPS(WIPS)監視が展開されていない環境では重要です(そうでない場合、WIPSが自動的に機能します。これがその仕事ですから)。
レイヤ2サイト調査の実行中に監査人が集中すべきポイントのリストは次のとおりです。MACアドレス、SSID、使用されているデバイスのタイプ、トラフィックのタイプ、使用中のチャネル、デフォルト設定の可能性、レイヤ2攻撃の可能性、アドホッククライアントなど
レイヤー1またはレイヤー2の監査を実行している間、監査人は次のツールを使用する場合があります-
- プロトコルスニファー/アナライザー(例: Wireshark)
- 2.4/5 GHzシグナルインジェクター。
- 攻撃的なツール(mdk3、Void11、Bugtraq、IKEcrack、FakeAPなど)
例として、 mdk3 というスイス軍のナイフツールを紹介します。 これは、無線ネットワークの悪用を可能にする概念実証ツールです。 いくつかのオプションに名前を付けるだけで、それを行うことができます-
- 偽のビーコンツールをFlood濫させる(偽のAPを模倣する方法として)。
- 認証フレームのDoS(脆弱な場合、APがフリーズまたは再起動する可能性があります)。
- 関連付け解除/認証解除フレームのフラッド(有効なユーザーをネットワークから追い出すため)。
- 802.1Xワイヤレスセキュリティテスト。 *ワイヤレス侵入防止/検出システム(WIPS/WIDS)およびその他の有害なものの乱用。
kali Linux(mdk3ツール)を使用した認証解除フレームのレイヤー2 DoSの作成は非常に簡単で、次のスクリーンショットに示すように、1つのコマンドで実現できます。
もちろん、常に同じ結果を得る方法がたくさんあります。* aireplay-ng *ツールを使用して同じ効果を得ることができます。 「-a」の後のMACアドレスは、特定のWLANネットワークをブロードキャストするAPのBSSID値です。
WLANセキュリティ監査
WLANセキュリティ監査の目的は、特定のWLANが侵害される可能性があるかどうか、およびその方法を調査することです。 潜在的な攻撃者が探す脆弱性の種類(およびワイヤレスセキュリティ監査員が集中すべき脆弱性)は、主に認証、暗号化、展開されたWLANの種類、使用中の脆弱なキーなどに関連しています。
その用途に適したツールは次のとおりです-
- プロトコルスニファー/アナライザー(例: Wireshark)。
- ワイヤレス検出ツール(例 NetStumbler、Kismet、Win Sniffer、WiFiFoFumなど)。
- 暗号化/認証破壊(テスト)ツール(aircrack-ng、カスタムスクリプト、あらゆる種類の暗号分析ツール)。
ご覧のとおり、基本的なWLANセキュリティ監査は、特別なソフトウェアが必要なものではありません。 スマートフォンでアプリを使用すると、作業を行うことができます!
有線インフラストラクチャ監査
ワイヤレスネットワーク通信に関しては、システム全体を安全と見なすために、有線部分も保護する必要があります。 有線インフラストラクチャの監査は、次のポインタをカバーする必要があります-
- 特定のネットワークリソースへのWLANユーザーアクセスを制限するために使用されるファイアウォールの検査。
- 未使用のスイッチポートインターフェイスは無効にする必要があります。
- 強力なパスワードを使用する必要があり、可能であれば、組み込みの暗号化プロトコル(HTTPS、SSH)を使用する必要があります。
ソーシャルエンジニアリング監査
ソーシャルエンジニアリングは、非技術的なアプローチを使用して情報を取得する「攻撃」の一種です。 ワイヤレスパスワードを解読しようとする代わりに、それを求める方が簡単かもしれませんか? おそらく、WPS PINを取得する方が簡単だと思います。これにより、保護されたWLANに接続できますか?
これらのシナリオは素晴らしいように聞こえますが、実生活でも起こることは保証できます。 それから保護するための最も重要なことは、どのデータを非公開にしておくべきか、何を共有すべきかを認識することです。 あなたがネットワークの「管理者」である家庭環境では、何をプライベートにすべきかを決定できるのはあなただけです。 一方、企業環境では、セキュリティ意識向上キャンペーンを実施して、従業員、ワイヤレスネットワークの正しい使用方法、誤用を教育することがセキュリティ部門の役割になります。
ワイヤレス侵入防止システム
有線ネットワークでは、侵入防止システム(IPS)を使用して通過パケットの詳細なパケット検査を実行し、異常、トロイの木馬、またはその他の悪意のあるコードを探します。
ワイヤレスの世界でも似ていますが、セキュリティイベントではなく、不正なワイヤレスデバイスへの対応に重点を置いています。 ワイヤレス侵入防止システム(WIPS)は、不正なワイヤレスデバイスの使用の検出と防止に重点を置いています。 WIPSの背後にある全体的なアイデアは、WIPSモードで専用に構成されたインフラストラクチャ内の一部のAPを使用することです(WLANネットワークをブロードキャストしたり、ユーザーが関連付けを許可したりしない)。 これらのAPは特定の周波数チャネル用に事前に構成されており、異常を探すために常に周波数スペクトルをリッスンしています。
もう1つのアプローチは、このジョブを実行するために(APの代わりに)専用のパッシブセンサーのセットを使用することです。 予想されるさまざまな種類の異常は、認証解除フレームのフラッド、または関連付け解除フレームのフラッド、不明なBSSIDを持つAPによってブロードキャストされたWLANの検出などです。 ディープパケットインスペクションまたは悪意のあるコードの検出を考えている場合は、専用のIPS/IDSデバイスを使用して、有線ネットワークでそれらを検出する必要があります。
攻撃者としての防御手段はWIPSソリューションを実行する手段がないためです。 その価格と管理のオーバーヘッドのために、より大きな企業だけがそれを走らせることができます(それはまだ非常にまれです)。 WIPSソリューションの可能な展開の1つは、Cisco Wireless Infrastructureモデルに基づくことができます。 Ciscoワイヤレスソリューション(最も単純な形式)は、Wireless LAN Controller(WLC)およびAPセットに基づいています。 WIPSソリューションでは、一部のAPが通常のWLANサービスから除外され、IPSモードに設定され、純粋に周波数スペクトルの検査専用になっていると想定します。
Cisco Wireless LAN Controller(WLC)のメインページを以下に示します(機密フィールドは黒で塗りつぶされた円で覆われています)。
この特定のWLCは現在、それに参加している38個のAPを管理しています。 すべてのAPの詳細なリストは、そのMACアドレス、IPアドレス、およびAPモードとともに、「ワイヤレス」タブの下に表示されます。
現在参加しているすべてのAPは、「ローカルモード」に設定されています。 つまり、通常のワイヤレスカバレッジを提供し、設定されたすべてのWLANをアナウンスするために専用に使用されます。 特定のAPを既知の「IPSモード」に変換するには、いずれかのAPをクリックして、その「APモード」を特別な「モニターモード」に変更する必要があります。
APが「モニター」モードに設定され、変更が適用された後、APが再起動します。 その時点から、唯一の仕事は周波数スペクトルを聞き、無線側の攻撃を検出することです。 デフォルトでは、WLCにはAPが検索する定義済みのシグネチャセットがあります。 それらは、次のスクリーンショットにリストされています-
ご覧のように、アイテム番号9は「認証解除フラッド」であり、フレームタイプ-管理および対応するアクション-レポート(ログメッセージを使用して攻撃についてのみ通知しますが、アクションは実行しません)。
ここにあるセットアップでは、潜在的な攻撃者がmdk3またはaireplay-ngツールを使用して、Ciscoワイヤレスインフラストラクチャに基づいて既存のWLANネットワークに干渉する場合、攻撃が検出され、ネットワーク管理者に通知されます。 ワイヤレスセキュリティを次のレベルに引き上げる可能性のある他の製品があります。 ワイヤレストラッキングサービスでは、このツールは非常に安全な場所で正確な地理的位置を検出する場合があります。また、攻撃のソースを検査するために警備員が来たり、警察が呼び出される場合があります。
前述したように、エンタープライズ環境でのみこのような設定を満たすことができます。 小規模な展開または家庭環境では、このようなセキュリティ対策を満たしていません。
ワイヤレスセキュリティ-Wi-Fiペンテスト
このセクションでは、技術のすべての理論的側面をスキップし、純粋で実用的な活動に直接進みます。 このセクションからのすべての攻撃は、自宅のワイヤレス環境をシミュレートして実行されることに注意してください。 ここで説明されている手順を使用して、実際の生活の中でワイヤレスネットワークを破壊することは法律違反です。
ワイヤレス侵入テスト
ワイヤレスシステムのペンテストは、有線ネットワーク上で行うよりも簡単な作業です。 ワイヤレスメディアに対して適切な物理的セキュリティ対策を実際に適用することはできません。十分近くにいる場合、空中を流れるすべてを「聞く」ことができます(少なくともワイヤレスアダプターは聞くことができます)。 これまで見てきたように、すぐに使用できるツールが数多く用意されています。
*Wireless Network Pentesting* を実行するために必要な追加のソフトウェアとハードウェアは次のとおりです。 これは私が個人的に使用しているセットであり、非常にうまく機能します。Kali Linux(旧バックトラック)
KaliをPCの唯一のOSとしてインストールするか、.isoファイルを実行できます。 2番目のオプションは、私が使用しているもので、 Oracle VM VirtualBox (フリーウェア)です。KaliLinuxの.isoを開きます。
ワイヤレスカード
VM VirtualBoxでKali Linuxを仮想マシンとして実行している場合、VMでPCのワイヤレスカードを直接使用できます。 その使用には、外部ワイヤレスアダプターが必要です(このワイヤレスカードの説明は、このチュートリアルの最初の章で行われました)。 個人的には、私は ALFA AWUS036NH を使用していますが、その「力」を確実に感じることができます。 高出力(1W)と5dBiの内蔵アンテナを備えています。 ほとんどのラップトップに同梱されている一部の「Intel」よりもはるかに高速であるため、Wi-Fi接続に使用してみてください。
すべてを持って、あなたは行ってもいいです。
ワイヤレス侵入テストフレームワーク
ワイヤレスネットワークの侵入テストは、常に2つのフェーズに分けられます-パッシブフェーズとアクティブフェーズ。 考えられるあらゆる攻撃(ワイヤレス攻撃またはその他の攻撃)は、常に何らかの種類のパッシブフェーズから始まります。
パッシブフェーズでは、ペネトレーションテスター(または攻撃者)がターゲットに関する情報を収集します。 攻撃の受動的な部分のさまざまな種類があります-
- 環境の偵察を行う。
- ニュースから、インターネット上の標的セキュリティ対策について読む。
- セキュリティコントロールについて正当なユーザーと話す。
- トラフィックのスニッフィング。
一部のテストは、その時点ですでに停止している場合があります。 攻撃者が知らない正当なユーザーから必要なすべてのデータを直接入手したか、盗聴されたトラフィックがオフライン攻撃を実行するのに十分だった可能性があります-スニッフィングされたパケット内のテキスト)。
一方、十分ではなかった場合は、アクティブフェーズである第2フェーズがあります。 これは、攻撃者が被害者と直接対話する場所です。 それらは-
- ユーザーの資格情報を直接要求するフィッシングメールを送信します。
- 特定のアクションを刺激するためにワイヤレスフレームを挿入します(例-認証解除フレーム)。
- 正規のユーザーがワイヤレスネットワークへの接続に使用する偽のAPを作成します。
この章で説明する攻撃はすべて、受動的攻撃、または受動的攻撃と能動的攻撃の組み合わせに属します。 読者がそれらを通り抜けるので、受動段階が終了するときと能動段階が始まるときを見つけることは非常に簡単です。
暗号化されていないWLANのテスト
暗号化されていないWLAN(オープン認証)を使用する場合、ワイヤレスネットワークは保護されません。 APの周囲にいて、信号を聞くことができる全員が、ネットワークに参加して使用できます。 認証プロセス全体は非常に単純化され、以下に示すように認証/関連付けの交換で構成されています-
ラボのセットアップでは、オープン認証を使用した「LAB-test」のSSIDを持つWLANを準備しました。 攻撃者としては、まずそのようなネットワークを検出するためにいくつかのパッシブスキャンを行う必要があります。 最初のステップでは、airmon-ngユーティリティを使用して、ワイヤレスカードを有効にし、WLANモニタリングインターフェイスを作成します。
次のステップでは、「airmon-ng mon0」を使用して、ワイヤレスカードが聞くWLANを確認します。
ワイヤレスカードは、00:18:0A:6D:01:30のMACアドレス(BSSID)を持つAPによってブロードキャストされたチャネル1の「LABテスト」SSIDを見ることができました。 暗号化列の下に、「OPN」という文字が表示されます。これは、オープン認証があることを意味します(実際、認証がまったくないことを意味します)。
Windows PCでは、以下に示すように、Open Authenticationを備えたWLANに、安全でないWLAN環境の警告として感嘆符が付いています(保護されたWLANの横に追加のサインがないため)-
ワイヤレスクライアントがこのSSIDに接続できるかどうかをシミュレートできます。 aireplay-ng ユーティリティを使用して作成できます。
ご覧のとおり、認証と関連付けのプロセスはスムーズに進み、どのワイヤレスクライアントもネットワークに参加できます。
この安全でない環境のセキュリティを改善するために使用できる唯一のメカニズムは、MACフィルタリングを実装することです。 この機能は既に説明したので、すぐに練習にジャンプします。
AP自体にMACフィルターを実装し、MACアドレスが98:0d:2E:3C:C3:74のクライアントのみがワイヤレスネットワーク(これは私のスマートフォン)に参加できるようにします。
次に、aireplay-ngを使用して認証プロセスを繰り返すと、今回は失敗します。
*mon0* インターフェイスのMACアドレスをスマートフォンのMACアドレスに変更した後、再び認証に成功しました。最近では、オープン認証WLANを満たすことはほとんどありません。 ただし、これらの古い展開タイプをすべて認識することは非常に良いことです。
ワイヤレスセキュリティ-WEP暗号化WLAN
前述のように、WEPは認証と暗号化が追加された最初のワイヤレス「セキュア」モデルでした。 これは、RC4アルゴリズムと24ビットの初期化ベクトル(IV)に基づいています。これは、次のページで示すように、WEPが数分以内にクラック可能になる実装の最大の欠点です。
「LABテスト」WLANを再度使用します。このタイプは、「F8Be4A2c39」というキーを使用してWEPで保護されています。 これは数字と文字の組み合わせであり、パスワードの強度の観点から見ると、キーは比較的強い10文字です。
前の例と同じように、airodump-ngから始めて、WLANに関する情報を受動的に収集します。
ご覧のとおり、BSSIDが00:18:0A:6D:01:30のAPによってチャネル1でブロードキャストされる「LABテスト」があります。 暗号化モデルは、WEPとWEP暗号(弱いRC4アルゴリズムに基づく)です。 下部には、STATIONに関する情報が表示されます。実際、これは特定のWLANに接続されているワイヤレスクライアントのリストです。 BSSID 00:18:0A:6D:01:30(これはLABテストです)には、98:0D:2E:3C:C3:74があります(それは何だと思いますか? はい、それは私のスマートフォンです)。
実行する必要がある次のステップは、このクライアントによって無線で交換されるデータパケットを収集することです。 覚えているように、データパケットにはIVベクトルが含まれています。 IVを使用して十分なデータパケットを収集する場合、最終的に弱いIVベクトルのセットがあるポイントに到達します。これにより、WEPパスワードを取得できます。 じゃ、行こう! 最初に、既知のユーティリティairodump-ngを使用して、特定のBSSID(LABテストのBSSID)のワイヤレス通信を探ります。
ご覧のとおり、トラフィックが流れるにつれて、収集されるデータパケットの数が増えています。 その時点で、61個のデータパケットがあり、少なくとも25000個はあるのが賢明です!
数分後、カウンターが少なくとも25000に達すると、_aircrack-ng_ツールを使用してキーの導出を試みることができます。
ご覧のとおり、ネットワークを受動的にリッスンする(および十分なデータパケットを収集する)だけで、WEP暗号化を解読してキーを導出することができました。 これで、無線ネットワークにアクセスしてインターネットを使用する無料の方法があります。
WPA/WPA2暗号化WLANのペンテスト
WPA/WPA2は、WEPが安全でないことが判明した後に登場した安全なワイヤレスネットワークの次の進化です。 これらのプロトコルで使用されるアルゴリズムははるかに安全であり(WPA:TKIPおよびWPA2:CCMP/AES)、WEPで行ったのと同じアプローチを使用して、ネットワークをクラックすることができません。
WPA/WPA2の解読も同じ考えに基づいています。最初の4ウェイハンドシェイクをスニッフィングし、ブルートフォース攻撃を適用して暗号化されたパスワードを解読します。
この例を説明するために、もう一度「LABテスト」WLANを使用します。今回は、WPA2で次のキー「F8BE4A2C」を使用して保護します。 前の章で思い出したように、パスワードのブルートフォースから成功と所要時間はパスワードの複雑さに依存します。 私がここで使用したパスワードは、比較的妥当な時間内にクラックできるほど十分に弱い可能性があります。 実際の環境では、10文字以上のすべての種類の英数字記号が含まれるパスワードのみが表示されます。そのため、ブルートフォースを実行するには何年もかかります。
前の例と同じように、airodump-ngから始めて、WLANに関する情報を受動的に収集します。
ご覧のとおり、実際にはCCLAB暗号化を使用してWPA2で保護された「LABテスト」SSIDを持っています。 LAB-testに接続されているクライアントは現在、84:A6:C8:9B:84:76のMACアドレスを持つ他のPCです。
最初のステップは、トラフィックのスニッフィングを有効にすることです(今回はデータパケットについてはあまり気にしません)LABテストは、APとワイヤレスクライアント(私のPC)間の最初の4ウェイハンドシェイクを収集するためのものです。
以下に示すように、新しいユーザーがネットワークに参加するたびに、airodumpは4ウェイハンドシェイクをスニッフィングしています。
これらのハンドシェイクはファイルに収集されているため、パスワードを解読する準備ができています。 不足している唯一の要素は、可能なパスワードを持つ辞書ファイルです。 john、crunchなどのツールを使用したり、インターネットから辞書ファイルをダウンロードしたりすることもできます。 この例では、クランチを示しますが、見つけられるすべてのソリューションを自由に試してみてください。 空は限界です。
ご覧のとおり、 crunch は辞書を作成できます。 最大8文字の数字と文字のすべてのパスワードが必要だと仮定しましょう。 そして、数字が0から9で、文字がAからFであると仮定しましょう。 なぜこの制限(パスワードに関する仮定)を行うのですか? –これは、0〜9の数字、a〜z、A〜Zの文字で構成されるパスワードのすべての組み合わせを含むファイルを作成する場合、18566719 GBのスペースが必要だからです(!!!)。
そのため、最初にすべての組み合わせを作成し、辞書ファイルに入れます。
次に、次のように、 aircrack ユーティリティを使用してこの辞書ファイルを参照し、正しいキーを導出しようとします-
aircrack-ngはファイル内で8つのBSSIDを検出したため、クラッキングするWLANであるかどうかを尋ねます。私は2番目の「LABテスト」ネットワークを参照しました。
各パスワードを1つずつ確認するのは非常に長いプロセスです。 正しいパスワードを見つけるまでの時間は、辞書ファイルのどこにパスワードを置くかによって異なります(運がよければ、パスワードが辞書ファイルの1行目にある場合、最初の推測でパスワードを見つけることができます)。 この例では、ご覧のとおり、パスワードを見つけましたが、8時間47分かかりました(!!!)。 8文字ではなく10文字のパスワードを使用すると、時間はおそらく数日または1週間に増えます。
辞書が長くなればなるほど、パスワードを破るのに時間がかかることに注意してください。 そして、数回前に下線を引いたように、パスワードが非常に複雑で長い場合、クラッキングを実行することは計算上実行不可能です(限られた時間で、たとえば10年未満)。
LEAP暗号化WLANのテスト
Lightweight Extensible Authentication Protocol(LEAP)は、外部RADIUSサーバーを使用してユーザーを認証するシスコベースのレガシー認証プロトコルです。 ハッシュ関数-MS-CHAPおよびMS-CHAPv2を使用して、ワイヤレスクライアントと認証サーバーの両方の擬似相互認証を実行します。
LEAPの脆弱性は、という事実にあります-
- ユーザーのユーザー名はクリアテキストで送信されます。したがって、ハッカーはソーシャルエンジニアリングなどを使用して、ユーザーのパスワードを取得するだけで済みます。
- ユーザーのパスワードはMS-CHAPv2でハッキングされます-アルゴリズムはオフライン辞書攻撃に対して脆弱です。
前のケースと同じように、airodump-ngから始めて、環境内でブロードキャストされているWLANを見つけましょう。
ご覧のとおり、WLANの「LABテスト」はWPA2ネットワークとして表示されます。 このタイプの認証モードは「MGT」に変更されます。つまり、静的な事前共有キー(PSK)はありませんが、認証サービスは外部認証サーバー(例: 半径)。 その時点では、特定のWLANネットワークがLEAP、PEAP、EAP-TLS、EAP-TTLS、または他の種類のEAPテクノロジーに基づいているかどうかはわかりません。
次のステップでは、パケットの詳細を確認するために Wireshark を有効にします。これにより、侵入テスト担当者は多くの貴重な情報を得ることができます。
ご覧のとおり、認証サーバーは最初にEAP-TTLSをネゴシエートしようとしましたが、クライアントは拒否しました。 次の2つのメッセージでは、LEAPの使用に同意しています。
最初の2つのメッセージでは、認証サーバーがユーザー名(ID)を要求し、クライアントが応答します。ご覧のように、クライアントの応答はクリアテキストで送信されます。
その時点で、ワイヤレスクライアントの有効なユーザー名が「LAB_user」であることは既にわかっています。 パスワードを確認するために、*リクエスト/レスポンス*交換を見てみましょう。
802.1x認証ヘッダーの下部で、認証サーバーがチャレンジテキスト「197ad3e4c81227a4」でワイヤレスクライアントにチャレンジしたことを確認できます。 次に、バックグラウンドで、ワイヤレスクライアントはMS-CHAPv2アルゴリズムをLAB_userのパスワードと組み合わせて使用し、値のハッシュを取得しました-「ef326a4844adb8288712a67e2dc659c4f9597dc4a7addc89」、認証サーバーに送り返されました。 前の章からご存知のように、幸いなことに、MS-CHAPv2はオフライン辞書攻撃に対して脆弱です。 そのために、 asleap と呼ばれる、LEAPパスワードを解読するための非常に一般的なツールを使用します。
ご覧のように、パケットキャプチャに基づいて、 asleap は802.1Xパケット交換のすべての情報を導き出し、MS-CHAPv2ハッシュをクラックすることができました。 ユーザーのパスワード:「LAB_user」は「f8be4a2c」です。
繰り返しになりますが、実稼働環境ではLEAP認証が表示されない可能性が非常に高くなります-少なくとも今では、その理由を十分に証明しています。
