Kablosuz Ağlarda Güvenlik

Kablosuz Ağlarda Güvenlik @2014 Örnek Eğitim Notu bilgi@bga.com.tr

Eğitim İçeriği Bölüm-I Kablosuz ağlara Giriş Bölüm-II Kablosuz ağlarda keşif Bölüm-III WLAN* güvenlik zaafiyetleri Bölüm-IV WEP/WPA/WPA2 güvenliği aşma Bölüm-V WLAN lerde DOS Saldırıları Bölüm-VI WLAN lerde istemciye yönelik tehdiler ve saldırılar Bölüm-VII WIDS- WLAN için Saldırı Tespit ve Engelleme Sistemleri WLAN=Kablosuz Ağ

Kablosuz Ağ Güvenliği Neden Önemlidir? TJX Wireless güvenliği için WEP kullanan bir firma WEP üzerinden sisteme sızan hackerlar 45 milyon müşteri bilgisine ulaştı

Wireless Güvenliği Hakkında Ne Biliyoruz? WEP şifreleme 1 dakikada kırıldı! WPA2 daha güvenlidir? Wireless güvensizdir o halde kritik işlem ve yerlerde kullanılmamalıdır. Monitor mod/injection

Bölüm-I:Kablosuz Ağlara Giriş Kablosuz ağ teknolojileri Genel terimler/tanımlar Kablosuz ağ çeşitleri Standartlar Kablosuz ağ arabirim modları Kablosuz ağlarda trafik izleme

Neden Kablosuz Ağ? Kablo derdine son! Toplam sahip olma maliyeti daha düşük. Gezgin ofis kullanıcıları için ideal Son kullanıcıda ağ ayarı gerektirmiyor El terminalleri ile iş imkanı Fiziksel Güvenlik yok (-) Düşük bant genişliği (-)

Kablosuz Ağ Kavramları Frame, Beacon, Station, Channel Access point IEEE 802.11 SSID, BSSID, ESSID WEP,WPA (Wi-Fi Protected Access), TKIP 802.1x EAP, PEAP, LEAP Authentication, Association, XOR vs

Terimler:WLAN Wireless LAN(Kablosuz Yerel Ağ)

Terimler: Frame 802.11 ağlarda tüm iletişim frame ler aracılığıyla gerçekleştirilir. Çeşitli frame tipleri vardır; Management frame(kablosuz bağlantı başlatma ve yönetim için kullanılır) Authentication frame Deauthentication frame Association request/response frame Disassociation frame Beacon frame Probe request/response frame Control Frame Data Frame(veri iletişimi için kullanılır)

Terimler:Beacon Frame AP tarafından yapılan broadcast duyurulardır. İstemcilerin aktif AP leri bulmasını sağlar. L2 management frameleridir. Belirli sürelerde tekrarlanır 10 saniye gibi SSID Broadcast özelliği devre dışı bırakılırsa beacon mesajları gönderilmez.

Terimler:Probe Probe request Ağa bağlanmak isteyen istemcilerin gönderdiği paket türüdür, Broadcast mesajlardır, Probe Replay AP in Probe Request e döndüğü cevaptır. Wireshark ile izlenebilir.

Terimler:Station/AP Kablosuz ağa bağlanacak cihazlar. Bağlananlar istemci, bağlanılan Erişim Noktası(AP) dır. STA olarak da adlandırılır.

Terimler:IEEE 802.11 IEEE tarafından tanımlanmış ve kablosuz ağ cihazların nasıl çalışacağını belirleyen standartlar dizisi. Wireless Supplicant =Wireless istemcisi tarafından bulunan ve ağa giriş çıkış işlemlerini halleden program Radius: Yetkilendirme sunucu

Terimler:SSID Wireless ağlara girişte kullanılan tanımlayıcı anahtar BSSID=Basic SSID Access Point in MAC adresi ESSID=Extended SSID Access Point in adı

Terimler: Channel Haberleşme kanalı Telsiz frekansları gibi Ancak aynı kanalda olan iki sistem sağlıklı haberleşebilir. Kanal numaraları 1-11 arasıdır 1 ve 13 Avrupa için ayrılmış

Terimler:Authentication Kablosuz ağa bağlanmada önce authentication sonra association gerçekleşir. Open ve Shared authentication olmak üzere ikiye ayrılır 802.1x gibi harici authentication mekanizmaları kullanılmıyorsa AP auth işlemini kendi yapar.

Terimler: Association İstemcinin kablosuz ağ kaynaklarına erişim yapabilmesi için authentication yetmez, erişim association aşamasından sonra gerçekleşir.

Terimler:WEP Wired Equivalent Privacy Kablosuz ağlara güvenli hale getirmek için düşünülmüş Protokol seti 64 ve 128 bit olmak üzere iki seviyede güvenlik sağlar. 64 bit= 24 bit IV+40 bit anahtar

Terimler: WPA WiFi Protected Access Kablosuz ağlara güvenli hale getirmek için WEP in bazı eksikliklerini gidermiş protokol seti WEP den en önemli farkı statik anahtar yerine dinamik anahtar kullanılmasıdır.

Terimler:TKIP Temporal Key Integrity Protocol IEEE 802.11i standartının parçasıdır. Statik bir anahtar yerine her paketin farklı bir anahtarla gönderilmesini sağlar.

Terimler:XOR

802.1x 802.1X, kablolu Ethernet ağlarına ve kablosuz 802.11 ağlarına kimliği doğrulanmış ağ erişimi sağlamak için kullanılan bir IEEE standardıdır. IEEE 802.1X, merkezi kullanıcı tanımlama, kimlik doğrulama, dinamik anahtar yönetimi ve hesap oluşturma desteği vererek güvenliği ve dağıtımı geliştirir.

EAP-Md5 EAP=Genişletilebilir Yetkilendirme Protokolü EAP MD5(Message Digest): EAP ın en temel halidir. Kablosuz ağlarda şifrenin açık gitmesinden dolayı önerilmez. Daha çok kablolu ağlarda kullanılır. Tek yönlü kimlik doğrulaması yapılır. (one way authentication)

Eap-TLS EAP-TLS( Aktarım Katmanı Güvenliği) sertifika tabanlı ortamlarda kullanılan bir authentication türüdür; en güçlü kimlik doğrulaması ve anahtar belirleme yöntemini sağlar.

EAP-TTLS EAP-TTLS (Tunneled Transport Layer Security): Funk Software and Certicom tarafından EAP- TLS in genişletilmişi olarak tasarlanmıştır. TLS ten farklı olarak sadece sunucu bazlı sertifika kullanır ve doğrulama işlemini şifrelenmiş, güvenli bir tünelin (encrypted tunnel) içinden geçirerek yapar.

LEAP LEAP (Lightweight Extensible Authentication Protocol): Özellikle Cisco Aironet WLANs da kullanılan bir metottur. Data transferini her şifrelemede değişen WEP (wired equivalent privacy) anahtarı ile şifreler ve karşılıklı kimlik doğrulamayı sağlar. Çeşitli güvenlik saldırılarına karşı korumasızdır! Asleap aracı

PEAP PEAP (Protected Extensible Authentication Protocol): Microsoft, Cisco ve RSA Security nin geliştirdiği bir protokoldür. Kablosuz ağlarda güvenli bir şekilde kimlik doğrulama bilgilerini taşımak için eski şifrelemeye dayalı protokolleri kullanan metottur. PEAP bu güvenli transferi istemci ile sunucu arasına kurduğu tünel ile sağlar. TTLS de olduğu gibi PEAP da kablosuz ağ istemcisinin sadece sunucu bazlı sertifika kullanarak kimliğini doğrular. Yönetimsel olarak büyük kolaylıklar sağlar.

Kablosuz Ağ Standartları IEE 802.11 ailesini kablosuz ağ standartları için ayırmıştır 802.11 Standards 802.11 The original WLAN Standard. Supports 1 Mbps to 2 Mbps. 802.11a High speed WLAN standard for 5 Ghz band. Supports 54 Mbps. 802.11b WLAN standard for 2.4 Ghz band. Supports 11 Mbps. 802.11e Address quality of service requirements for all IEEE WLAN radio interfaces. 802.11f Defines inter-access point communications to facilitate multiple vendor-distributed WLAN networks. 802.11g Establishes an additional modulation technique for 2.4 Ghz band. Intended to provide speeds up to 54 Mbps. Includes much greater security. 802.11h Defines the spectrum management of the 5 Ghz band for use in Europe and in Asia Pacific. 802.11i Address the current security weaknesses for both authentication and encryption protocols. The standard encompasses 802.1X, TKIP, and AES protocols.

Kablosuz Ağ Standartları-802.11a 5GHz ban aralığında yayın yapar Max band genişliği 54Mbps Gerçekte bunun yarısı kadar olabilir 25-50m civarında performans

Kablosuz Ağ Standartları-802.11b 2.4 Ghz bang aralığında çalışır Max bant genişliği 11Mbps TCP 6 Mbps, UDP 8Mbps 3*-75m arası performans Günümüzde yaygın kullanılır(dı)

Kablosuz Ağ Standartları-802.11g 802.11b uyumlu 2.4 GHz aralığında 54 Mbps e kadar çıkan hız Gerçekte yarısı kadar

Kablosuz Ağ Standartları-802.11i WLAN güvenliği için düşünülmüş(haziran 2004) 820.11a ve 802.11b/g WLAN'lari arasindaki iletişimin şifrelenmesini belirler AES TKIP(temporary key integrity protocol) gibi yeni şifreleme metodları kullanır Authentication için 802.1x kullanımı

Kablosuz Ağ Standartları-802.11n MIMO(multiple in/out) teknolojisine dayanır 100Mbps üzeri trafik imkanı Ek güvenlik önlemleri

Yaygın Kablosuz Ağ Yöntemleri Ad-hoc Independed Basic service set olarak da bilinir(ibss) AP'ye gerek duymadan wireless cihazların bir biri arasında haberleşmesi Infrastructure mode Basic Service Set olarak bilinir. (BSS) En azindan bir AP(Access Point) ve Wireles cihaz gerektir Haberleşme SSID ve her iki tarafa girilen bir key aracılığı ile olur İstemci direk karşı taraf ile konuştuğunu zanneder fakat bütün trafik AP üzerinden geçer.

Anten Radyo dalgalarını alıp vermeye yarar İki tip anten vardır Omni-directional Directional (Tek Yön)

Kablosuz Ağ Arabirimi Modları Master Mode Managed Mode Ad-hoc mode Monitor mode

Master mode-managed Mode AP ya da infrastructure mode olarak da adlandırılır. Basit Access Point görevi yapar Kanal numarası SSID ismi Managed mode: Client Access Point(Master Mode) Clients (Managed Mode)

Windows Managed Mode

Linux Managed Mode #iwconfig wlan0 essid Test34 #iwconfig wlan0

Linux Master Mode #iwconfig wlan0 mode master Kullanılan arabirimin sürücüsünün desteklemesi gerekir. Airbase-ng ile sahte AP ler üretilebilir.

Ad-hoc Modu Peer-to-peer Ağ mantığı Ortamda Access Point yok Nodlar Kanal numarası ve SSID üzerinde anlaşır Microsoft Wireless Zero config açığı

Windows Ad-Hoc mode

Linux Ad-Hoc mode #iwconfig wlan0 mode ad-hoc #iwconfig wlan0 channel 11 #iwconfig wlan0 essid Ad-Hoc34 #iwconfig wlan0 key 123456789012

Monitor Modu AP ile iletişim kurulmaz Dinleme modunda Kablolu ağlardaki promiscious moda denk düşer. Master Monitor Managed Mode

Linux üzerinde Wifi Kullanımı WLAN destekleyen arabirimleri listeleme Aktif Ağ Arama Ağa bağlanma WEP, WPA WLAN modları ayarlama Monitor mode Master-Managed mode Ad-hoc Mode

Linux:Wlan arabirimi tanıtımı Backtrack 4 çoğu arabirim için gerekli kodu içerir. #lspci v ile arabirim ismi öğrenilir. #iwconfig ile arabirim ismi gözükmezse internetten driver aranarak sistem yüklenir.

Wifi Arabirimini Aktif Hale Getirme Hangi modüllerin yüklü olduğunu görmek için #lsmod Wireless'i aktif etmek icin #modprobe rt2570 Sistemden ayırmak icin #modprobe -r rt2570

WLAN Destekleyen Arabirimler

Linux: WLAN Keşfi

Linux: Normal WLAN e bağlanma

Linux: WEP Destekli AP e bağlanma #iwconfig wlan0 essid TEST34 ket 1234567890

Linux: WPA destekli AP e bağlanma #wpa_passphrase SSID PSK > /etc/wpa_supplicant.conf #wpa_supplicant -Bw -Dwext iwlan0 -c/etc/wpa_supplicant.conf

Linux u AP olarak kullanmak Access Point,Repeater, Ad-hoc modları Ad-hoc mode için iwconfig rausb0 mode Ad-Hoc IBSS olarak iwconfig eth0 mode Master essid Sebil #man iwconfig HOSTAP yazılımı Sahte beacon paketleri WLAN dos saldirisi

Bölüm-II:Kablosuz Ağlarda Keşif Keşif = Bilgi toplama? Aktif Keşif Pasif Keşif Kablosuz ağın monitor mode desteklemesi WLAN bağlı istemcilerden edinilecek bilgiler

Monitor Mod Hatırlatma AP ile iletişim kurulmaz Dinleme modunda Kablolu ağlardaki promiscious moda denk düşer. Master Monitor Managed Mode

Linux monitor mode Airmon-ng start wlan0 Ya da İwconfig mode monitor

Keşif Yöntemleri Aktif Keşif Yöntemleri Açık yayın yapan AccessPoint leri ve özelliklerini bulma Pasif Keşif Yöntemleri Gizli AccessPoint leri yakalama Ağa bağlı istemcileri bulma Ağa bağlı istemcilerin MAC, IP bilgilerini bulma Ortamdaki wifi cihazların(ap, station) özelliklerini okuma

Aktif Keşif Probe Request gönderilir. Dönen Probe response lardan ESSID bilgileri alınır. Monitor mod desteklemesine gerek yoktur.

Aktif Keşif Araçları Netstumbler Cain Vistumbler

Netstumbler

Vistumbler

Cain

Pasif Keşif Ortama herhangi bir paket gönderilmez. Ortamdaki istasyonlara gelen-giden paketler pasif olarak yakalanarak incelenir. Hidden SSID, SSID Cloaking yöntemlerine karşı yapılır. Aktif keşif kadar bilgi edinilebilir. Ortama bağlı istasyon yoksa işe yaramayabilir.

Pasif Keşif Araçları Kismet, airodump-ng, airtraf, Wireshark

Pasif Keşif için Arabirim Hazırlama

Wireshark

Kismet- Pasif WLAN Keşfi Açık kaynak kodlu kablosuz ağ analiz programıdır. 802.11 a/b/g protokollerini destekler ve Linux, UNIX ve Windows ortamlarında çalışır. Kismet in çalışabilmesi için kablosuz ağ kartınızın monitor mode desteği olmalıdır. Monitor mode= Monitor mode: Kablosuz ağlarda özel bir moddur ve ilgili arabirimin ağa dahil olmadan tüm paketleri izleyebilmesini sağlar.

Kismet Çalışma Yapısı İstemci sunucu mimarisinde çalışır. kismet_server ve ksimet_client adlı iki farklı programdan oluşur. Kismet_server asıl işi yapan yani trafiği izleyip kaydeden parça, kismet_client, kismet_server tarafından yapılan işlemlerin kullanıcı tarafından izlenmesine olanak veren arabirimdir.

Kismet Temel Ayarlar Analiz programını çalıştırabilmek için bazı temel ayarlar gerekiyor. Bu ayarlardan ilki kismet.conf dosyasında kullandığınız kablosuz ağ adaptörüne ait tanımlamayı yapmak. source=rt2500,rausb0,rausb0 Gibi.

Kismet: Ana Ekran

AP Özellikleri

Gizli SSID lerin Bulunması Gizli SSID mavi renkle gösterilir ve SSID Cloaking olarak adlandırılır.

Trafik Analizi-Ağa bağlanma

IP aralığını Bulma Şifreli Trafikte sadece MAC gozukur.

IP Aralığı Bulma

Kablosuz Ağlarda Sniffing İki tür yapılabilir; WLAN herkese açık ve şifreleme yapmıyorsa Arabirim monitor moda geçirilerek belirli kanaldaki tüm trafik kaydedilir, Wireshark vs ile incelenebilir. WLAN şifreli ve belirli kullanıcılara açıksa WLAN şifresi bilinmeli ya da kırılmalı Daha önce kaydedilmiş şifreli trafik key bulunduktan sonra okunabilir.

WEP/WPA Şifreli trafik analizi Önce trafikwep/wpa anahtarı ile pcap formatına dönüştürülür. Airdecap-ng aracı ya da Wireshark kullanılabilir. airdecap-ng -b xx:xx:xx:xx:xx:xx workshop- 01.cap Sonuç dosyası pcap okuyabilen herhangi bir sniffer ile analiz edilebilir. WPA için mutlaka 4 way handshake paketleri içerilmelidir.

Bölüm-III:WLAN Güvenlik Zaafiyetleri WLAN güvenliği ve WLAN lere yönelik saldırılar Basit Güvenlik önlemleri Basit önlemlerin atlatılması Sahte AccessPoint ler

Kablosuz Ağlara Yönelik Saldırı Çeşitleri

Basit Güvenlik Önlemleri SSID ismini saklama MAC Adress filtrelemeyi aktif hale getirme AccessPoint yönetim arabirimini koruma Shared key authentication kullanımı WEP Şifreleme Kullanımı

WLAN Authentication Çeşitleri Bir sistem WLAN e bağlanmadan önce yetkilendirilmelidir. AP ler iki çeşit yetkilendirme destekler: Open Authentication Herkes AP E bağlanabilsin Shared Auhentication Sadece PSK i bilen bağlanabilsin

SSID Güvenliği AP nin adı denilebilir. SSID ne kadar karışık seçerseniz seçin görünecektir, Saklasanız bile. WEP kullanımı bunu engellemez.(ssid Anonsları şifrelenmez) Araç: Network Stumbler, Kismet

Gizli SSID Nasıl Bulunur SSID gizli olsa bile association mesajlarında mutlaka gönderilir. Ağa dahil olmaya çalışan birilerinin mesajları dinlenir. Ağa dahil olmuş bir istemci hattan düşürülerek tekrar bağlanma esnasında SSID ismi alınabilir. #aireplay-ng -0 1 -a xx:xx:xx:xx:xx:xx -c zz:zz:zz:zz:zz:zz wlan0

Hidden SSID Bulma

Mac Adres Filtreleme Authentication aşamasında istemcinin MAC adres kontrolü Nasıl anlaşılır? Authenciation aşamasında başarısız mesajları

Linux:Mac Adres Değiştirme Mac adres filtreleme kolaylıkla atlatılabilir!

Windows:Mac Adres değiştirme Mac adres filtreleme kolaylıkla atlatılabilir!

Mac Adres Filtreleme Bypass 1)Monitor modda ağ dinlenir 2)Kismet ile ağa bağlı istemcilerin mac adresi alınır 3)mac adresi değiştirilir 4)ağa bağlı istemci ağdan düşürülür Aynı ağda iki farklı makine aynı MAC adresine sahip olursa?

Hattan Düşürme

DeAuth Paketi Sniffer Çıktısı

ReAuth Paketi Sniffer Çıktısı Hattan düşen client otomatik olarak bağlanmaya çalışıyor

AccessPoint Yönetim Arabirimi Default bırakılan şifreler! Web arabirimlerinde çıkmış güvenlik açıklıkları

Kablosuz Ağlarda TCP/IP Güvenliği Kablolu ağlardaki tüm problemler kablosuz ağlar için de geçerlidir. ARP Spoofing/Poisoning IP Spoofing Oturum bilgisi çalma(mon mod) DOS Saldırıları

WifiZoo

Bölüm-IV:WEP/WPA/WPA2 Güvenliği Kablosuz ağlarda kullanılan güvenlik standartları: WEP WPA-PSK(WPA Personel) WPA2-PSK (WPA2-Personel) WPA-Enterprise WPA2-Enterprise

WEP(Wired Equivalent Privacy) Sadece veri transferini şifreler. Her iki tarafın bildiği paylaşımlı bir anahtarın kullanılır. (RC4) Kimlik doğrulama yok! Kompleksliğine bağlı olarak rahatlıkla kırılabilir.(40-64/104-128 bit) Belirli miktar trafik kaydedilmeli. 1 minute Wep crack!

WEP Anahtarı Hem istemci hem de AP 4 adet anahtar saklayabilir.

WEP Kullanımında IV Kavramı RC4 ile PSK kullanılarak şifrelenen verinin her seferinde farklı sonuç üretmesi için kullanılan ek değer WEP için 24 bit 16,777,216 değer Collision olma ihtimali yüksek 5000 pakette %50 civarı Her pakette ayrı bir IV değeri olmalı diye bir kural yok! IV değeri paket başlığında şifrelenmemiş olarak gider

WEP in Zaafiyetleri Replay Ataklarına karşı korumasız CRC değeri IV değeri düşük ve tekrar olasılığı var Tüm iletişimde statik anahtar kullanılıyor.

WEP e yönelik Ataklar FMS Schot F., Itsik M, Adi S. Korek s ChopChop Fragment attack

WEP Kırma işlemi nasıl? airmon-ng start wifi0 9 Interface Chipset Driver wifi0 Atheros madwifi-ng ath0 Atheros madwifi-ng VAP (parent: wifi0) (monitor mode enabled) #iwconfig ath0 IEEE 802.11g ESSID:"" Nickname:"" Mode:Monitor Frequency:2.452 GHz Access Point: 00:09:5B:EC:EE:F2 Bit Rate:0 kb/s Tx-Power:15 dbm Sensitivity=0/3 Retry:off RTS thr:off Fragment thr:off Encryption key:off Power Management:off Link Quality=0/94 Signal level=-98 dbm Noise level=-98 dbm Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0 Tx excessive retries:0 Invalid misc:0 Missed beacon:0

Paket Göndererek Trafik Oluşturma aireplay-ng -1 0 -e hackme_wep -a 00:14:6C:7E:40:80 -h 00:09:5B:EC:EE:F2 ath0-1 fake authentication 0 tekrar bağlantı isteği zamani -e hackme_wep SSID -a 00:14:6C:7E:40:80 access point MAC address -h 00:09:5B:EC:EE:F2 bizim MAC addresi ath0 kablosuz ag arabirim ismi

Dönen cevap Olumlu 18:18:20 Sending Authentication Request 18:18:20 Authentication successful 18:18:20 Sending Association Request 18:18:20 Association successful :-) Olumsuz 8:28:02 Sending Authentication Request 18:28:02 Authentication successful 18:28:02 Sending Association Request 18:28:02 Association successful :-) 18:28:02 Got a deauthentication packet!

IV Yakalama airodump-ng -c 9 --bssid 00:14:6C:7E:40:80 -w capture ath0 aircrack-ng -z -b 00:14:6C:7E:40:80 capture*.cap Wesside-ng http://video.aircrack-ng.org/

WEP-1

WEP-2

WEP-3

WPA October 2003 the Wi-Fi(Wireless Fidelity) Alliance introduced Wi-Fi Protected Access (WPA) PSK+TKIP PSK Yetkilendirmeyi, TKIP de şifrelemeyi adresler PSK WLAN e dahil tüm uçlarda aynı olmalıdır. Daha büyük boyutlarda IV kullanımı PSK şifreleme için değil, şifreleme için kullanılacak anahtarı oluşturmak için kullanılır.

TKIP Temporal Key Integrity Protocol (TKIP) WEP yerine kullanılır (?) WEP den farklı olarak 128 bit anahtar kullanır. Her paket için farklı bir anahtar kullanır.

WPA Anahtar PSK 64 bit Hexedecimal bir numaradır. Genellikle passphrase lerden oluşturulur. 8-63 karekter arası Seçilen PSK değeri sık kullanılan bir değer ise WPA kırılması oldukça kolaylaşacaktır. WPA PSK kırmak için rainbow table lar yeterli olmamaktadır. WPA PSK, SSID ile tuzlanmış bir şekilde iletilir.

WPA Anahtar Yönetimi Her uçta aynı anahtar girili olmalı Paylaşılabilir, başkaların tarafından ele geçirilebilir.(toran yüklü PC den alınan key ile hacklenen şirket) Ağa gelen misafir kullanıcıya PSK verilmesi zorunluluğu

WPA2 Wi-fi Alliance tarafından Eylül 2004 de tanımlandı. 802.11i olarak da bilinir Authentication için yine PSK kullanılır. Şifrelemede TKIP yerine daha güçlü olan AES- CCMP kullanılır. Tüm uçlar tarafından desteklenmiyor olabilir.(donanımsal destek gerekli)

WPA/WPA Enterprise/WPA2 Farklılık authentication yöntemlerindedir WPA WPA=PSK, Encryption=TKIP WPA Enterprise= 802.1x, EAP, Encryption=TKIP WPA2 WPA2 Personel=PSK, Encryption=AES-CCMP WPA2 Enterprise=802.1x, EAP, Encryption=AES- CCMP

WEP/WPA/WPA2 Karşılaştırma

Wireshark WPA Analizi:Beacons

Wireshark WPA Analizi:Probes Probe Request

Wireshark WPA Analizi:Probes

Wireshark WPA Analizi:Authentication Authentication Acceptance Paket(Access point gönderiyor)

Wireshark WPA Analizi:Authentication

Wireshark WPA Analizi:Association

Wireshark WPA Analizi:Handshake

Wireshark WPA Analizi:Handshake

Wireshark WPA Analizi:Deauth

Wireshark WPA Analizi:Data

WPA/WPA2 ye Yönelik Saldırılar PSK Cracking 802.1x e yönelik ataklar Bruteforcing(PEAP)

WPA Korumalı Ağlara Sızma WEP den farklı olarak WPA anahtarının kırılabilmesi için mutlaka ağda bir istemcinin bulunması şartı vardır 4 way authentication paketlerinin yakalanbilmesi için İstemcinin AP e bağlanması esnasında yakalanacak 4 way handshake paketleriyle WPA anahtarı bruteforce yapılarak kırılabilir Pratik olarak sadece PSK anahtarı kırılabilir WPA Enterprise için daha ileri seviye denemeler yapılmalı

Adım Adım WPA PSK Kırma Gereksinimler Saldırılacak WPA destekli ağın bulunması Monitor mod destekli wlan arabirimi Injection kabiliyeti de olmalı AccessPoint ve ağa bağlı istemcinin MAC Adresleri AccessPoint in SSID ismi AccessPoint Kanal numarası WLAN arabirimi ismi(mon0, wlan0 gibi)

Adım Adım WPA PSK Kırma-II WLAN arabirimini AP ile aynı kanalda olacak şekilde monitor moda geçirme, Airodump-ng programını AP ile aynı kanalı dinleyecek şekilde çalıştırma,(auth paketlerini yakalaması için) Ortamdan istemci MAC adresinin yakalanması, İstemciye aireplay-ng ile Deauth paketlerinin gönderilmesi, Aircrack-ng ile yakalanan handshake paketlerinden PSK nın elde edilmesi,

WPA Destekli AP nin Keşfi Aktif keşif İwlist Pasif keşif Kismet ile ağ dinlenerek ağa ait tüm özellikler elde edilebilir AP ESSID, BSSID, Kanal numarası, WPA tipi(1,2 Personel, Enterprise, ) Bağlı istemciler ve mac adresleri

WPA Destekli AP nin Keşfi

Monitor mode AccessPoint ile aynı kanalda monitor modun aktif hale getirilmesi Aktif hale gelen arabirim mon0 Mon0 arabirimi Wlan0 arabirimini hem monitor hem de managed modda kullanmayi sağlar.

Arabirim Kontrolü Başka amaçlar için de kullanılabilir(intern ete çıkma vs)

Injection testi

Authentication Paketlerini Toplama Ağa istemci bağlandığındaki durum Ağa istemci bağlandığındaki durum

Deauth ile hattan düşürme

Aircrack-ng ile PSK Kırma Eğer airodump-ng ile handshake paketleri kaydeilmişse kırma işlemi başlayacaktır Handshake paketleri kaydedilmemişse aşağıdaki gibi çıktı verecektir.

WPA PSK Kırma Hızı/Süresi

PSK kırmak için precomputed hash kullanımı WPA şifrelemeden anahtar değeri olarak yakalanan SSID ile hashlenmiş bir değerdir Doğrudan dcitionary attack, brute force ataklar çok yavaş olur Rainbow table kullanılamaz Salt değeri AP nin SSID si olduğu için

GPU kullanarak WPA PSK Kırma ATI ve NVIDIA grafik kartlarının CPU su kullanılarak kırma işlemi binlerce kat arttırılabilir.

WPA2 PSK Kırma WPA ve WPA2 authentication için PSK kullanıyorsa ikisi de aynı yöntemlerle kırılabilir

WPA/WPA2 Enterprise WPA ve WPA2 e 802.1x destekli kullanımı

Grafik Arabirimli WEP/WPA Kırma Programı

WLAN den iç ağa sızma WLAN e anahtarı kırıp dahil olan saldırgan ne yapabilir? Tüm ağı pasif olarak dinler Nmap ile tüm ağı tarar Ağdaki istemcilere yönelik MITM yapar Arp cache poisoning, ip spoofing vs Exploit çalıştırarak sistemlere sızmaya çalışır.

Bölüm:V DOS Kablosuz ağlardaki en ciddi tehlikelerden Risk seviyesi düşük Fiziksel mekan gereksinimi WEP/WPA/WPA2 şifreleme DOS engellemede işe yaramaz

DOS Saldırı Çeşitleri Beacon Flood Authentication DoS Deauthentication / Disassociation Amok AP e bağlı herkesi düşürme Michael shutdown exploitation (TKIP) Tüm DOS çeşitlerini test için mdk aracı

Beacon Flood Beacon hatırlatma: AP lerin kendilerini duyurdukları broadcast mesajlar Onlarca sahte isimte AP SSID yayını Eski tip sürücülerde WLAN arabirimini yöneten programların çakılmasına sebep olur.

Beacon Flood Örnek

Beacon Flood Sonuçları

Authentication DoS Authentication hatırlatma: İstemcilerin AP e auth sorgularını göndermesi AccessPoint e sahte yüzlerce auth sorgusu gönderilerek işlevsiz kalması sağlanabilir.

Authentication DOS Örnek

Disasso & DeAuth Saldırıları Kablosuz ağların temel çalışma mantığı Authentication ardından association Her iki adım da şifrelenmemiş şekilde yapılır. Void11 mdk3 mon0 d -c 11 aireplay-ng -0 1 -a 00:14:6C:7E:40:80 -c 00:0F:B5:34:30:30 ath0

WEP/WPA/WPA-II Korumalı Ağda DOS

DOS Test Araçları

Bölüm:-VI Kullanıcılara Yönelik Saldırıları Halka Açık alanlarda kullanılan kablosuz ağlardaki riskler, Sahte AccessPointler, Kullanıcıyı doğrudan etkileyen riskler, Kullanıcı üzerinden şirket kablosuz ağını ve iç ağını etkileyecek riskler,

Halka Açık Kablosuz Ağlar Ücretsiz Wi-Fi hizmeti Genelde şifreleme olmaz Bazıları Captive Portal olarak çalışır Giriş çıkıiları denetleme ve loglama amaçlı Ciddi tehlikeler barındırır

Açık Ağlarda Monitor Mod Arabirim monitor moda alınarak ortamdaki tüm bilgiler izlenebilir. Wireshark, Kismet vs. Çeşitli injection atakları gerçekleştirilebilir. Otomatik client side exploit çalıştırma Hesap bilgilerinin okunması SSL iletişiminin izlenmesi

Wireshark ile Ortam dinleme Wireshark ile mon0 arabirimi dinlenerek ortamdaki TCP/UDP bağlantıları izlenebilir Örnek:

MITM Tehlikesi Saldırgan şifresiz ağa bağlanır. İnternete gitme yetkisi olmasa da ARP Spoof ile istediği istemcinin trafiğini üzerinden geçirebilir. L2 seviyesinde trafik kaybedildikten sonra güvenliği sağlamak zordur. MITM ile kullanıcının tüm bilgileri çalınabilir, bilgisayarına sızılabilir.

Ettercap ile MITM Atağı

Hamster & Ferret User/pass bilgisi olmadan cookie bilgilerini kullanarak pasif bilgi toplama ve sistem hesaplarını ele geçirme Hamster & ferret adlı iki uygulama

Sahte AccessPointler Sahte AP kavramı Zararları Nasıl yakalanır? Önlemek için neler yapılır?

Sahte AP Kurulumu Fiziksel AP Airbase-ng kullanımı Fakeap aracı İwconfig wlan0 mode master channel 11 Dhcp ve internet erişimi (NAT)

Habersiz AP Kurulumu Şirket çalışanları tarafından kurulabilir. Bilinçsizce yapılır Saldırgan tarafından şirket içi ağını dışa açma için kurulabilir. Doğrudan şirket iç ağı dışarı açılmış olur.

Nessus Sahte AP Keşfi

Sahte AP ve Bilgi Çalma

Bölüm-VII: Aircrack-ng Ailesi Wireless güvenliğine adanmış araçlar serisi airbase-ng(1) airdecap-ng(1) airdecloak-ng(1) airdriver-ng(1) aireplay-ng(1) airmon-ng(1) airodump-ng(1) airolib-ng(1) airserv-ng(1) airtun-ng(1) buddy-ng(1) easside-ng(1) ivstools(1) kstats(1) makeivs-ng(1) packetforge-ng(1) tkiptun-ng(1) wesside-ng(1)

Airbase-ng Kablosuz ağ istemcilerine yönelik saldırılarda kullanılan araç Caffe Latte WEP client attack Hirte WEP client attack WPA/WPA2 handshake yakalama Tam takım AccessPoint olarka davranabilme Sahte AP ler üretip ağa bağlı istemcilerin trafiklerini yönlendirmeye yarar

Airbase-ng Örnek

Airdecap-ng WEP/WPA kullanılan ağda kaydedilmiş trafikten WEP/WPA anahtarı kullanılarak cleartext verilerin elde edilmesi için kullanılır. Özellikle 802.11 desteklemeyen snifferlara pcap formatında veri aktarmak için kullanılır.

Airdecap-ng Örnek #airdecap-ng -b 00:09:5B:10:BC:5A opennetwork.cap #airdecap-ng -w 11A3E229084349BC25D97E2939 wep.cap # airdecap-ng -e my_essid -p my_passphrase tkip.cap

airdriver-ng Linux sistemlerde bulunan WLAN arabirimlerine uygun kernel modüllerini otomatik bulan/yamalayan script

Aireplay-ng Kablosuz ağlara trafik enjekte etmek için kullanılır. WEP/WPA anahtarı kırmada yoğun kullanılır. Tek bir arabirimde hem monitor modu hem de injection özelliğini destekler.

Aireplay-ng Örnek

airmon-ng WLAN arabirimini monitor moda geçirmeye ve normal haline döndürmeye yarayan bash scripti

Airmon-ng Örnek

airodump-ng Wireless paket yakalama aracı Dinlediği kanalda(kanal belirtilmezse değişken kanal)ki tüm 802.11 aktivitelerini ekrana basar. Sonradan inceleme amaçlı dosyaya kaydetme özelliği GPS e bağlı olduğunda AP lerin koordinatlarını da loglayabilir.

airodump-ng Örnek

Airolib-ng WPA/WPA-2 PSK kırma için precomputed hash oluşturma aracı Precomputed hash kullanarak aircrack-ng saniyede 50.000 anahtar denemesi yapabilir Precomputed olmadığı durumlarda saniyede 20-100 arası deneme

Airolib-ng Örnek

Packetforge-ng Şifrelenmiş paket(arp, UDP, ICMP vs) üretmeye yarar Üretilen paketler arpreplay-ng ile ağa enjekte edilir. Şifrelenmiş paket üretimi için PRGA (pseudo random genration algorithm) dosyasının oluşması gerekir. PRGA aireplay-ng ile yapılan saldırılardan elde edilebilir

Aircrack-ng GUI

Bölüm:VIII-Wireless IPS IDS, IPS Tanımları Ethernet ağlarda IDS/IPS Kablosuz ağlarda IDS/IPS Sahte AP ler ve zararları WIPS ürünleri WIPS koruma yöntemleri WIPS atlatma yöntemleri

IDS/IPS Tanımları IDS= Saldırı Tespit Sistemi IPS= Saldırı Engelleme Sistemi Saldırı Tanımı? Normal trafik/saldırı trafiği farklılıkları False positive kavramı Firewall ile IDS/IPS farkı Snort Saldırı tespit sistemi

Ethernet Ağlarda IDS/IPS TCP/IP açıklıklarını yakalama ve engelleme için kullanılır. Çoğunluğu imza tabanlı çalışır. Antivirüs mantığı Trafik/Paket anormalliklerini tespit etmeye yarar. Örnek: Port taramayı normal trafikten ayırt etme

Snort IDS/IPS

Kablosuz Ağlarda IDS TCP/IP IDS lerden farklı olarak 802.11 paketlerine yönelik saldırıları keşfeder. Temeli bilinen saldırı yöntemleri ve sahte istemci/ap leri ağdan uzaklaştırmaya yöneliktir. Yanlış kullanım sonucu tüm fiziksel alanın Wifi erişimi kesilebilir. Uzaktan paket gönderme ve pasif çalışma özelliklerine sahiptir.

Kablosuz Ağlarda IPS Sahte AP keşfi Yanlış/eksik yapılandırılmış AP keşfi Politikalar gereği WPA+EAP kullanılması gerekiyorsa bunu test edebilir İstemcilerin sahte AP lere bağlanma isteğini engelleyebilir. MITM atakları engeller. Ad-hoc networkleri engelleyebilir. DOS saldırılarını engelleme

Aruba WIPS

Kismet i WIDS Olarak Kullanma Kismet ile aşağıdaki tipte anormal paketler yakalanabilir: Netstumbler probe requests Probe-no-join Channel change Deauth flood Broadcast disassociate or deauthenticate

AirSnare WIDS

WIDS/WIPS Atlatma Kismet ile sahte kurulacak AP özellikleri keşfedilir Kanal numarası BSSID ESSID Band genişiği Desteklenen şifreleme algoritmaları Desteklenen auth. Yöntemleri Aynı özellikler set edilerek IDS den korunulur

BGA İletişim www.bga.com.tr blog.bga.com.tr twitter.com/bgasecurity facebook.com/bgakademisi bilgi@bga.com.tr egitim@bga.com.tr