AirTight Networks表示,他们发现了Wi-Fi protectionaccess 2 (WPA2)的一个弱点,WPA2是企业Wi-Fi安全的支柱。但它吗?安全专家马修·加斯特表示,这种攻击似乎是一种常见的ARP欺骗利用,在有线和无线局域网中都有效。如果是这样,它很容易被控制。
这个在密闭网络公司工作的人说由于一个被忽视的漏洞,Wi-Fi受保护访问2有一个“外部坚硬的外壳,但内部柔软的弱点”,攻击者可以解密使用WPA2加密的流量。现在是恐慌时刻吗?
好吧,也许不会,根据一些人的尝试性结论,他们一直试图从AirTight Networks目前发布的非常有限的信息中弄清楚到底发生了什么。
(见“WPA2漏洞发现”.)
Wi-Fi联盟基于IEEE 802.11i规范制作了WPA2。他们对气密有什么反应吗?
还没有。一位发言人表示,他们正在等待拉斯维加斯黑帽会议的细节。AirTight将于7月29日(星期四)下午公布该漏洞的全部细节演讲事件。)
到底发生了什么?
显然——这一点很重要——没有什么新鲜的。
这是根据802.11安全专家Matthew Gast所写的《802.11无线网络:最终指南》来自O'Reilly Media,是IEEE 802.11工作组的投票成员,Wi-Fi联盟安全技术任务集团的主席,以及航空网络上的产品管理总监。
Gast说,他目前最可能的猜测是,AirTight漏洞是地址解析协议(ARP)欺骗,一种“中间人攻击”。根据维基百科.一般来说,目的是将攻击者的MAC地址与另一个节点(如默认网关)的IP地址相关联。任何指向该IP地址的流量都会被错误地发送给攻击者。”
根据Gast的说法,这似乎就是AirTight开发中所发生的事情。他说:“ARP欺骗是攻击者重写默认路由器的MAC地址。”“为了做到这一点,它伪装成AP。考虑到攻击有两个组成部分,因为你同时在第二层(Wi-Fi)和第三层(IP/ARP)上操作。Layer 3组件很容易理解;第二层组件只是在Wi-Fi上传输第三层攻击的方式,而不是以太网。”
ARP欺骗并不是WPA2独有的。加斯特说:“如果你用交换机替换无线接入点,所有的无线连接都用以太网电缆,[AirTight]攻击仍然有效。”
其次,根据Gast的说法,在这种攻击中,攻击者必须是无线网络上的授权用户,而不是某个路人,而且攻击者和受害者都必须连接到同一个无线局域网——同一个接入点上的相同SSID。
第三,据Gast说,攻击者实际上并没有恢复、破坏或破解任何WPA2加密密钥。
最后,检查确保您的访问点中开启了所谓的“客户隔离”。如果是的话,就会破坏攻击。
客户端隔离是什么?
它阻止连接到同一接入点的两个无线客户端彼此通信,因为接入点拒绝将受害者的流量转发给攻击者,这对攻击的成功至关重要。根据Gast的说法,几乎每个WLAN供应商都实现了这个特性。
我呼吸了。这种攻击是如何进行的?
在这一点上,这仍然是有根据的猜测。图一个连接到企业网络的WLAN接入点。一个授权的无线客户端,比如一台名为“受害者”的笔记本电脑,像往常一样连接到它。然后另一个客户端,即攻击者,连接到相同的访问点,也是作为一个有效的、完全授权的用户;换句话说,是一名员工。
加斯特说,和受害者一样,攻击者通过正常的授权过程,最终获得两套加密密钥。一种称为成对瞬态密钥(Pairwise Transient Key, PTK),它仅在一个客户端和接入点之间使用,以验证正在传输的哪个客户端。第二个是Group Temporal Key (GTK),它在访问点和与之关联的所有客户机之间共享,用于对广播消息进行身份验证。
接下来会发生什么?
Gast说:“最基本的攻击仍然是ARP欺骗使流量重定向成为可能。”“你能够重定向流量的唯一原因是,你真正利用了ARP本质上的信任。”
意思是,攻击者伪装成接入点,而受害者也接受了。
所以被害人认为攻击者是个合法的接入点。然后呢?
攻击者说:“我有一个新的默认路由器给你。”结果是:攻击者设备。
受害者接受改变。它发送的下一帧,照例,会送到原始的真实接入点,在那里加密,同样照例,用受害者和接入点共享的成对密钥。一切都是正常的。然后接入点说:“我有一个框架,它的目的地。我会把这张照片送到目的地。”但现在,目的地是攻击者,受害者的“新的默认路由器”。
WPA2仍然是安全的。到目前为止,攻击者还无法读取在受害者和访问点之间加密的内容。
那攻击者是怎么做的?
这实际上是很整洁的,但是似乎又不WPA2的弱点:访问点然后使用有效的成对密钥与攻击者有关,这是一个授权的设备在网络上加密框架从受害者并将其发送到接收大概授权的目的地。正如Gast所说,“访问点不会发现任何麻烦。”
攻击者接收帧并可以解密其中的内容,因为它已经有有效的、有效的密钥来做这件事:当攻击者最初被授权时,它从那个接入点获得的密钥。
这是…邪恶!所以,一切都像它应该的那样工作,除了它被破坏的事实,攻击者正在成功地模拟这个默认路由器?
正确的。如果攻击者是智能的,它真的会模拟路由器,以延迟检测。例如,受害者请求m.banksfrench.com;攻击者获取页面,然后将其返回给受害者。如果没有,从受害者的观点来看,无线局域网已经停止工作,一个电话被放置到it帮助台,和聪明的人开始寻找问题。
那么Gast在缓解方面有什么建议呢?
第一件事是他所谓的“缓解学徒”(The Apprentice Mitigation),使用了唐纳德·特朗普(Donald Trump)在《学徒》(The Apprentice)电视节目中的标志性台词:“你被解雇了。”
这种攻击的性质意味着一个MAC地址会有多个IP地址。他说:“我敢肯定,这对很多难民来说都是一种警报。入侵检测系统“Gast说。与MAC地址相关联是用户ID。
我喜欢那个。还有什么?
针对这种类型的攻击,最直接的技术对策是使用接入点的客户端隔离特性:接入点不允许受害者与攻击者对话。Gast说,从受害者的角度来看,网络连接会失败,而攻击者的“指纹”会保留下来。见上文第1号缓解措施。
这次攻击的范围似乎有限。加斯特说:“这种攻击需要共享(加密)密钥。“密钥不会在bssid(有时被称为‘虚拟接入点’)之间共享,因此这种攻击只对连接到同一AP上相同SSID的客户端有效。”
类似地,将不同的用户组划分到不同的虚拟wlan上,可以防止一个组中的任何人攻击另一个组的成员。假设一所大学将教职员工分组在一个BSSID上,学生分组在另一个BSSID上,访问者分组在第三个BSSID上。学生们将不能利用这个漏洞来对付他们的老师。
最后,同样重要的是,一旦这个漏洞的细节在周四公开,我们可以期待WLAN供应商快速响应来解决任何问题。
我现在可以喝杯啤酒吗?
我会加入你。
John Cox在《网络世界》中报道无线网络和移动计算。足球竞猜app软件
Twitter:http://twitter.com/johnwcoxnww
电子邮件:john_cox@nww.com
博客RSS提要://m.banksfrench.com/community/blog/2989/feed