Tytuł oryginału: BackTrack 5 Wireless Penetration Testing Beginner's Guide

Transkrypt

1

2 Tytuł oryginału: BackTrack 5 Wireless Penetration Testing Beginner's Guide Tłumaczenie: Grzegorz Kowalczyk ISBN: Copyright 2011 Packt Publishing. First published in the English language under the title BackTrack 5 Wireless Penetration Testing Beginner s Guide. Polish edition copyright 2013 by Helion S.A. All rights reserved. All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from the Publisher. Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną, fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje naruszenie praw autorskich niniejszej publikacji. Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich właścicieli. Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte w tej książce informacje były kompletne i rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich. Autor oraz Wydawnictwo HELION nie ponoszą również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych w książce. Wydawnictwo HELION ul. Kościuszki 1c, GLIWICE tel , helion@helion.pl WWW: (księgarnia internetowa, katalog książek) Drogi Czytelniku! Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję. Printed in Poland. Kup książkę Poleć książkę Oceń książkę Księgarnia internetowa Lubię to!» Nasza społeczność

3 Spis tre ci O autorze 7 O recenzencie 8 Wprowadzenie 9 Rozdzia 1. Tworzymy laboratorium sieci bezprzewodowych 15 Wymagania sprz towe 16 Wymagania oprogramowania 17 Instalowanie systemu BackTrack 17 Czas na dzia anie instalujemy system BackTrack 17 Instalacja i konfiguracja bezprzewodowego punktu dost powego 20 Czas na dzia anie konfiguracja bezprzewodowego punktu dost powego 21 Konfiguracja bezprzewodowej karty sieciowej 24 Czas na dzia anie konfigurowanie bezprzewodowej karty sieciowej 24 Pod czanie si do bezprzewodowego punktu dost powego 26 Czas na dzia anie konfigurowanie bezprzewodowej karty sieciowej 26 Podsumowanie 30 Rozdzia 2. Sieci WLAN i zwi zane z nimi zagro enia 31 Budowa ramek w sieciach WLAN 32 Czas na dzia anie tworzenie interfejsu pracuj cego w trybie monitora 33 Czas na dzia anie przechwytywanie pakietów przesy anych w sieci bezprzewodowej 36 Czas na dzia anie przegl danie ramek zarz dzaj cych, ramek steruj cych i ramek danych 38 Czas na dzia anie nas uchiwanie i przechwytywanie pakietów w sieci bezprzewodowej 42 Czas na dzia anie wstrzykiwanie pakietów 45

4 Spis tre ci Wa ne uwagi dotycz ce przechwytywania i wstrzykiwania pakietów w sieciach WLAN 47 Czas na dzia anie eksperymentujemy z kart Alfa 48 Rola organów regulacyjnych w sieciach bezprzewodowych 50 Czas na dzia anie eksperymentujemy z kart Alfa 50 Podsumowanie 54 Rozdzia 3. Omijanie uwierzytelniania sieci WLAN 55 Ukryte identyfikatory SSID sieci bezprzewodowych 56 Czas na dzia anie ujawnianie ukrytych identyfikatorów SSID sieci 56 Filtrowanie adresów MAC 61 Czas na dzia anie omijanie filtrowania adresów MAC 61 Uwierzytelnianie z otwartym dost pem 64 Czas na dzia anie pod czanie si do punktu dost powego z otwartym dost pem 64 Uwierzytelnianie ze wspó dzielonym kluczem 65 Czas na dzia anie omijanie uwierzytelniania ze wspó dzielonym kluczem 66 Podsumowanie 74 Rozdzia 4. S abe strony protoko ów szyfrowania w sieciach WLAN 75 Szyfrowanie w sieciach WLAN 76 Szyfrowanie WEP 76 Czas na dzia anie prze amywanie zabezpiecze protoko u WEP 76 Szyfrowanie WPA/WPA2 84 Czas na dzia anie amanie s abych hase w sieciach z szyfrowaniem WPA PSK 86 Przyspieszanie procesu amania szyfrowania WPA/WPA2 PSK 91 Czas na dzia anie przyspieszanie procesu amania kluczy 91 Odszyfrowywanie pakietów WEP i WPA 95 Czas na dzia anie deszyfrowanie pakietów WEP i WPA 95 Pod czanie si do sieci WEP i WPA 97 Czas na dzia anie pod czanie si do sieci wykorzystuj cej szyfrowanie WEP 97 Czas na dzia anie pod czanie si do sieci wykorzystuj cej szyfrowanie WPA 98 Podsumowanie 100 Rozdzia 5. Ataki na infrastruktur sieci WLAN 101 Domy lne konta i has a punktów dost powych 102 Czas na dzia anie amanie domy lnych, fabrycznych hase punktów dost powych 102 Ataki typu odmowa us ugi (DoS) 104 Czas na dzia anie atak DoS typu anulowanie uwierzytelnienia 104 Z o liwy bli niak i fa szowanie adresów MAC 107 Czas na dzia anie z o liwy bli niak ze sfa szowanym adresem MAC 108 Nieautoryzowany punkt dost powy 111 Czas na dzia anie nieautoryzowany punkt dost powy 112 Podsumowanie 116 4

5 Spis tre ci Rozdzia 6. Ataki na klienta sieci WLAN 117 Ataki typu Honeypot i Misassociation 118 Czas na dzia anie przeprowadzanie ataków typu Misassociation 118 Atak typu Caffe Latte 123 Czas na dzia anie przeprowadzanie ataku typu Caffe Latte 124 Ataki typu Deauthentication i Disassociation 128 Czas na dzia anie anulowanie uwierzytelnienia klienta 128 Atak typu Hirte 132 Czas na dzia anie amanie klucza WEP poprzez atak typu Hirte 132 amanie klucza WPA PSK bez obecno ci punktu dost powego 134 Czas na dzia anie amanie klucza WPA bez obecno ci punktu dost powego 136 Podsumowanie 138 Rozdzia 7. Zaawansowane ataki na sieci WLAN 139 Ataki typu Man-in-the-Middle 140 Czas na dzia anie atak typu Man-in-the-Middle 140 Pods uchiwanie ruchu sieciowego na bazie ataków Man-in-the-Middle 145 Czas na dzia anie pods uchiwanie ruchu w sieci bezprzewodowej 145 Przechwytywanie sesji w sieciach bezprzewodowych 150 Czas na dzia anie przechwytywanie sesji w sieciach bezprzewodowych 150 Odkrywanie konfiguracji zabezpiecze klienta 154 Czas na dzia anie odkrywanie profili zabezpiecze klientów bezprzewodowych 154 Podsumowanie 159 Rozdzia 8. Ataki na sieci WLAN z szyfrowaniem WPA-Enterprise i serwerami Radius 161 Konfiguracja serwera FreeRadius WPE 162 Czas na dzia anie konfiguracja punktu dost powego wykorzystuj cego serwer FreeRadius WPE 162 Ataki na protokó PEAP 166 Czas na dzia anie amanie zabezpiecze protoko u PEAP 166 Ataki na protokó EAP-TTLS 170 Czas na dzia anie amanie zabezpiecze protoko u EAP-TTLS 170 Dobre praktyki zabezpieczania korporacyjnych sieci bezprzewodowych 172 Podsumowanie 173 Rozdzia 9. Metodologia testów penetracyjnych sieci bezprzewodowych 175 Testy penetracyjne sieci bezprzewodowych 175 Czas na dzia anie odszukiwanie oraz identyfikacja urz dze bezprzewodowych 177 Czas na dzia anie wykrywanie fa szywych punktów dost powych 180 Czas na dzia anie wykrywanie nieautoryzowanych klientów bezprzewodowych 182 Czas na dzia anie amanie szyfrowania WPA 183 Czas na dzia anie prze amywanie zabezpiecze klientów 185 Podsumowanie 188 5

6 Spis tre ci Dodatek A. Wnioski i plany na przysz o 189 Kilka s ów na zako czenie 189 Tworzenie zaawansowanego laboratorium sieci Wi-Fi 190 Jak trzyma r k na pulsie 192 Podsumowanie 193 Dodatek B. Szybki quiz odpowiedzi na pytania 195 Rozdzia 1. Tworzymy laboratorium sieci bezprzewodowych 195 Rozdzia 2. Sieci WLAN i zwi zane z nimi zagro enia 196 Rozdzia 3. Omijanie uwierzytelniania sieci WLAN 196 Rozdzia 4. S abe strony protoko ów szyfrowania w sieciach WLAN 196 Rozdzia 5. Ataki na infrastruktur sieci WLAN 197 Rozdzia 6. Ataki na klienta sieci WLAN 197 Rozdzia 7. Zaawansowane ataki na sieci WLAN 197 Rozdzia 8. Ataki na sieci WLAN z szyfrowaniem WPA-Enterprise i serwerami RADIUS 198 Rozdzia 9. Metodologia testów penetracyjnych sieci bezprzewodowych 198 Skorowidz 199 6

7 7 Zaawansowane ataki na sieci WLAN Zatem zosta o powiedziane, e kto zna wroga i zna siebie, nie b dzie zagro ony cho by i w stu starciach. Sun Tzu, Sztuka wojny Bardzo istotnym elementem podczas przeprowadzania testów penetracyjnych jest dog bna znajomo zaawansowanych technik ataków wykorzystywanych przez hakerów, nawet je eli nie masz zamiaru pos u y si takimi atakami w czasie testów. Ten rozdzia jest po wi cony w a nie temu, jak potencjalny napastnik mo e przeprowadzi zaawansowane ataki na sieci bezprzewodowe. Z tego rozdzia u dowiesz si, w jaki sposób przeprowadza zaawansowane ataki na sieci WLAN przy u yciu narz dzi i technik omawianych w poprzednich rozdzia ach. Najbardziej skupimy si tutaj na atakach typu MITM (ang. Man-in-the-Middle; cz owiek w rodku), których przeprowadzenie wymaga posiadania sporej wiedzy i do wiadczenia praktycznego. Po prze wiczeniu takiego ataku u yjemy go jako bazy do przeprowadzania jeszcze bardziej wyrafinowanych i z o onych ataków, takich jak nieautoryzowane pods uchiwanie ruchu sieciowego (ang. Eavesdropping) czy przechwytywanie sesji (ang. Session Hijacking). W kolejnych wiczeniach b dziemy si zajmowa nast puj cymi rodzajami ataków: Ataki typu MITM. Ataki typu pods uchiwanie ruchu sieciowego, bazuj ce na ataku MITM. Ataki typu przechwytywanie sesji, bazuj ce na ataku MITM.

8 BackTrack 5. Testy penetracyjne sieci WiFi Ataki typu Man-in-the-Middle Ataki typu MITM s prawdopodobnie najbardziej skutecznymi atakami na sieci bezprzewodowe. Istnieje wiele odmian i konfiguracji takich ataków. My skoncentrujemy si na najcz - ciej spotykanym typie, kiedy napastnik jest pod czony do sieci Internet za pomoc kablowej sieci LAN i tworzy fa szywy punkt dost powy przy u yciu bezprzewodowej karty sieciowej zamontowanej w komputerze. Taki punkt dost powy rozg asza sie bezprzewodow, której identyfikator SSID jest taki sam, jak identyfikator atakowanej sieci znajduj cej si w pobli u. Autoryzowany u ytkownik atakowanej sieci mo e przypadkowo pod czy si do takiego fa szywego punktu dost powego (lub takie po czenie mo e zosta wymuszone dzi ki zastosowaniu teorii silniejszego sygna u, o której mówili my w poprzednich rozdzia ach) i kontynuowa dzia anie, gdy b dzie przekonany, e jest pod czony do prawdziwego punktu dost powego swojej sieci. Od tej chwili napastnik mo e w zupe nie przezroczysty dla klienta sposób przekazywa ca y jego ruch do sieci Internet, wykorzystuj c do tego most sieciowy utworzony pomi dzy interfejsem sieci kablowej oraz interfejsem sieci bezprzewodowej. Oczywi cie po drodze ca y ruch klienta jest przechwytywany i uwa nie obserwowany. W kolejnym do wiadczeniu spróbujemy zasymulowa taki atak. Czas na dzia anie atak typu Man-in-the-Middle Aby to zrobi, powiniene uwa nie wykona polecenia opisane poni ej: 1. Aby przygotowa rodowisko do przeprowadzenia ataku typu Man-in-the-Middle, musisz na komputerze, którego u ywasz do przeprowadzania ataków, utworzy programowy punkt dost powy sieci o nazwie mitm. W tym celu powiniene otworzy okno terminala i wykona polecenie airbase-ng --essid mitm c 11 mon0: 140

9 Rozdzia 7. Zaawansowane ataki na sieci WLAN 2. Nale y zauwa y, e polecenie airbase-ng po uruchomieniu tworzy interfejs at0 (interfejs TAP), który powiniene traktowa jako kablow stron interfejsu programowego punktu dost powego mitm. 3. Teraz na komputerze, którego u ywasz do przeprowadzenia ataku, musisz utworzy most sieciowy, sk adaj cy si z interfejsu kablowego (eth0) oraz interfejsu bezprzewodowego (at0). Aby to zrobi, powiniene kolejno wykona nast puj ce polecenia: brctl addbr mitm-bridge brctl addif mitm-bridge eth0 brctl addif mitm-bridge at0 ifconfig eth up ifconfig at up 4. Do mostu sieciowego mo na przypisa adres IP i sprawdzi, czy po czenie z domy ln bram sieciow dzia a prawid owo. Warto zauwa y, e dok adnie to samo mo na zrobi przy u yciu DHCP. Aby przypisa adres IP do mostu sieciowego, w oknie terminala wpisz nast puj ce polecenie: ifconfig mitm-bridge up, a nast pnie sprawd po czenie z bram domy ln (i co za tym idzie z reszt sieci), wpisuj c polecenie ping : 141

10 BackTrack 5. Testy penetracyjne sieci WiFi 5. Kolejnym krokiem jest w czenie w j drze systemu opcji przekazywania pakietów IP (ang. IP Forwarding), dzi ki której mo liwe b dzie routowanie i przekazywanie pakietów IP mi dzy sieciami. Aby to zrobi, wykonaj polecenie echo > 1 /proc/ sys/net/ipv4/ip_forward, tak jak to zosta o przedstawione na rysunku poni ej: 6. Teraz mo esz pod czy klienta bezprzewodowego do punktu dost powego o nazwie mitm. Po uzyskaniu po czenia klient za po rednictwem DHCP automatycznie otrzyma adres IP (serwer dzia a po kablowej stronie bramy sieciowej). W naszym przypadku klient otrzyma adres Aby sprawdzi funkcjonowanie po czenia z bram sieciow, mo esz teraz u y polecenia ping , tak jak pokazano na kolejnym rysunku: 7. Jak wida na rysunku poni ej, host odpowiada na ping, zatem po czenie z bram sieciow dzia a poprawnie: 142

11 Rozdzia 7. Zaawansowane ataki na sieci WLAN 8. Po sprawdzeniu po czenia z bram sieciow nale y sprawdzi, czy klient jest pod czony do punktu dost powego. Aby to zrobi, powiniene zajrze do okna terminala, w którym dzia a polecenie airbase-ng: 9. Warto zwróci uwag na fakt, e poniewa ca y ruch sieciowy jest przekazywany z interfejsu bezprzewodowego do sieci kablowej, masz pe n kontrol nad tym ruchem. Mo na si o tym przekona, uruchamiaj c program Wireshark i rozpoczynaj c nas uch pakietów na interfejsie at0: 10. Teraz z poziomu klienta wykonaj polecenie ping i zwró uwag, e w oknie programu Wireshark s widoczne wszystkie pakiety przesy ane mi dzy klientem a bram sieciow (w cz filtr pozwalaj cy na wy wietlanie tylko pakietów ICMP), pomimo i pakiety te nie s przeznaczone dla Ciebie. To jest w a nie prawdziwa si a ataku typu Man-in-the-Middle! 143

12 BackTrack 5. Testy penetracyjne sieci WiFi Co si sta o? W tym wiczeniu zako czy e przygotowanie konfiguracji rodowiska do przeprowadzenia ataku typu Man-in-the-Middle. Dokona e tego poprzez utworzenie fa szywego punktu dost powego i po czenie go z interfejsem Ethernet za pomoc mostu sieciowego. Taka konfiguracja powoduje, e dowolny klient bezprzewodowy pod czony do fa szywego punktu dost powego b dzie przekonany, i jest po czony z sieci Internet za pomoc kablowego po czenia LAN. Zrób to sam atak typu Man-in-the-Middle w rodowisku wy cznie bezprzewodowym W poprzednim wiczeniu za pomoc mostu sieciowego po czy e interfejs bezprzewodowy z interfejsem kablowym. Jak ju wspominali my wcze niej, jest to tylko jedna z kilku mo liwych struktur po cze przy atakach typu Man-in-the-Middle. Bardzo interesuj ca konfiguracja sk ada si z dwóch interfejsów bezprzewodowych, z których jeden jest wykorzystany do utworzenia fa szywego punktu dost powego, a drugi jest pod czony do autoryzowanego punktu dost powego atakowanej sieci. Oczywi cie oba interfejsy s ze sob po czone za pomoc mostu sieciowego. W takiej sytuacji, kiedy klient bezprzewodowy czy si z fa szywym punktem dost powym, za pomoc mostu sieciowego utworzonego na komputerze napastnika zostaje po czony z autoryzowanym punktem dost powym atakowanej sieci. Nale y tutaj zauwa y, e taka konfiguracja wymaga zastosowania na komputerze napastnika dwóch fizycznych, bezprzewodowych kart sieciowych. W ramach wicze powiniene spróbowa przeprowadzi taki atak przy u yciu dwóch kart sieciowych, z których jedna jest wbudowana w Twoim laptopie, a druga jest kart zewn trzn, pod czon na przyk ad przez port USB. Potraktuj to jako wyzwanie! 144

13 Rozdzia 7. Zaawansowane ataki na sieci WLAN Pods uchiwanie ruchu sieciowego na bazie ataków Man-in-the-Middle W poprzednim wiczeniu zobaczy e, jak przygotowa konfiguracj sieci do przeprowadzenia ataku typu Man-in-the-Middle, a teraz poka emy, jak dzi ki takiej konfiguracji przeprowadzi atak polegaj cy na pods uchiwaniu bezprzewodowego ruchu sieciowego (ang. Wireless Eavesdropping). Idea tego wiczenia opiera si na za o eniu, e ca y ruch sieciowy z komputera ofiary jest teraz routowany przez komputer napastnika, dzi ki czemu napastnik ma mo liwo przechwytywania i pods uchiwania wszystkich pakietów wysy anych z i do komputera ofiary. Czas na dzia anie pods uchiwanie ruchu w sieci bezprzewodowej Aby to zrobi, uwa nie wykonaj polecenia opisane poni ej: 1. Odtwórz ca konfiguracj wykorzystywan w poprzednim wiczeniu. Uruchom program Wireshark obserwowanie ruchu sieciowego jeszcze przed uruchomieniem mostu mitm-bridge mo e by ca kiem interesuj cym wiczeniem. Wireshark pos u y nam pó niej do obserwowania ca ego ruchu przechodz cego przez most sieciowy: 145

14 BackTrack 5. Testy penetracyjne sieci WiFi 2. Rozpocznij nas uchiwanie ruchu na interfejsie at0, dzi ki czemu b dziesz móg monitorowa wszystkie pakiety wysy ane i odbierane przez klienta bezprzewodowego: 3. Przejd na klienta, uruchom przegl dark sieciow i wejd na dowoln stron internetow. W naszym przypadku punkt dost powy jest pod czony do sieci LAN, zatem nale y otworzy jego terminal konfiguracyjny, wpisuj c w pasku adresu przegl darki adres 4. Aby zalogowa si do punktu dost powego, podaj nazw u ytkownika i has o dost pu: 146

15 Rozdzia 7. Zaawansowane ataki na sieci WLAN 5. W oknie programu Wireshark powiniene ju zaobserwowa du liczb pakietów przesy anych w sieci bezprzewodowej: 147

16 BackTrack 5. Testy penetracyjne sieci WiFi 6. Ustaw filtr tak, aby Wireshark wy wietla wy cznie pakiety HTTP: 7. Jak wida, z atwo ci mo esz zlokalizowa dania HTPP POST, które zosta y u yte do przes ania has a do terminala konfiguracyjnego punktu dost powego: 148

17 Rozdzia 7. Zaawansowane ataki na sieci WLAN 8. Poni ej przedstawiono zawarto pakietu wyró nionego na poprzednim rysunku: 9. Rozwini cie zawarto ci nag ówka HTTP pozwala zauwa y, e has o, które zosta o wprowadzone podczas logowania si do punktu dost powego, nie jest przesy ane zamiast niego przesy ana jest warto funkcji skrótu tego has a (ang. hash). Je eli przyjrzysz si zawarto ci pakietu oznaczonego na poprzednim rysunku numerem 64, zauwa ysz, e danie zosta o przes ane za pomoc skryptu /md5.js, co pozwala podejrzewa, e funkcja skrótu has a wykorzystuje algorytm md5. Warto tutaj zauwa y, e je eli algorytm tworzenia funkcji skrótu nie u ywa soli kryptograficznej (ang. cryptographic salt), zwanej inaczej ci giem zaburzaj cym poszczególne sesje, to taka technika mo e by podatna na atak oparty na powtarzaniu pakietów. Odnalezienie niezb dnych szczegó ów pozostawimy Ci jako zadanie do samodzielnego wykonania, poniewa nie jest to bezpo rednio zwi zane z bezpiecze stwem sieci bezprzewodowych i szczegó owe omawianie tego zagadnienia wykracza daleko poza ramy tej ksi ki. To wiczenie doskonale pokazuje, jak atwo mo na monitorowa i pods uchiwa ruch generowany przez klienta po przeprowadzeniu ataku typu Man-in-the-Middle. Co si sta o? Dzi ki odpowiedniemu przygotowaniu ataku Man-in-the-Middle mo esz teraz bez najmniejszych problemów monitorowa i pods uchiwa ruch generowany przez niczego niepodejrzewaj ce klienty sieci bezprzewodowej. Jest to mo liwe, poniewa w ataku typu Man-in-the-Middle ca y ruch sieciowy jest przekazywany przez komputer napastnika, wi c nieszyfrowany ruch sieciowy mo e by atwo pods uchany i przechwycony. 149

18 BackTrack 5. Testy penetracyjne sieci WiFi Zrób to sam odszukiwanie zapyta przesy anych do wyszukiwarki Google W obecnych czasach raczej ka demu z nas powinno zale e na zachowaniu poufno ci zapyta wpisywanych w przegl darce Google. Niestety, domy lnie dane s przesy ane do przegl darki za pomoc protoko u HTTP czystym, nieszyfrowanym tekstem. Sprawd, czy potrafisz w programie Wireshark utworzy sprytny filtr, który b dzie wy wietla na ekranie wszystkie zapytania wpisywane przez ofiar ataku w wyszukiwarce Google. Przechwytywanie sesji w sieciach bezprzewodowych Jednym z bardzo interesuj cych ataków, jakie mo emy przeprowadzi na podstawie ataku Man-in-the-Middle, jest przechwytywanie sesji aplikacji. Podczas ataku Man-in-the-Middle wszystkie pakiety wysy ane przez komputer ofiary przechodz przez komputer napastnika. Zadaniem komputera napastnika jest odpowiednie przekazywanie ich do hostów docelowych oraz przekazywanie odpowiedzi hostów do komputera ofiary. Ciekawym elementem takiego procesu jest mo liwo modyfikacji danych w przekazywanych pakietach (je eli nie s szyfrowane lub nie korzystaj z innych zabezpiecze integralno ci danych). W praktyce oznacza to, e napastnik mo e modyfikowa, uszkadza lub nawet selektywnie usuwa wybrane pakiety. W kolejnym wiczeniu poka emy, w jaki sposób mo na przechwyci sesj DNS, korzystaj c z ataku Man-in-the-Middle, a nast pnie na podstawie przechwyconej sesji DNS poka emy, jak przechwyci sesj przegl darki próbuj cej po czy si z wyszukiwark google.com. Czas na dzia anie przechwytywanie sesji w sieciach bezprzewodowych 1. Przygotuj laboratorium w takiej konfiguracji, jakiej u ywali my w poprzednich wiczeniach do ataków typu Man-in-the-Middle. Na komputerze ofiary uruchom przegl dark sieciow i przejd na stron google.com, monitoruj c jednocze nie ca y generowany w ten sposób ruch przy u yciu programu Wireshark. Okno tego programu powinno wygl da mniej wi cej tak, jak na rysunku poni ej: 150

19 Rozdzia 7. Zaawansowane ataki na sieci WLAN 2. W programie Wireshark ustaw filtr tak, aby wy wietlane by y wy cznie ramki protoko u DNS. Jak wida na kolejnym rysunku, komputer ofiary wysy a dania DNS dla adresu google.com: 3. Aby przechwyci sesje przegl darki, musisz przes a do ofiary fa szywe odpowiedzi DNS, które b d pokazywa, e adresowi google.com odpowiada adres IP , b d cy w rzeczywisto ci adresem IP napastnika. Do tych niecnych celów nale y u y narz dzia Dnsspoof. Aby to zrobi, w oknie terminala musisz wpisa nast puj ce polecenie: dnsspoof i mitm-bridge: 4. Od wie okno przegl darki sieciowej. Od tej chwili, jak doskonale wida w oknie programu Wireshark, za ka dym razem, kiedy ofiara wysy a danie DNS dla dowolnego hosta (w cznie z google.com), odpowied jest przesy ana przez program Dnsspoof: 151

20 BackTrack 5. Testy penetracyjne sieci WiFi 5. W oknie przegl darki na komputerze ofiary wida teraz komunikat o wyst pieniu b du, informuj cy o odmowie realizacji po czenia. Dzieje si tak dlatego, e przez atak komputer ofiary, próbuj c po czy si z serwisem google.com, w rzeczywisto ci czy si z komputerem napastnika o adresie , z tym e na razie na porcie 80 tego komputera nie zosta a uruchomiona adna us uga. 152

21 Rozdzia 7. Zaawansowane ataki na sieci WLAN 6. Aby to zmieni, uruchom teraz serwer Apache (dostarczany wraz z dystrybucj BackTrack). Otwórz okno terminala i wykonaj polecenie apache2ctl start. 7. Je eli teraz ponownie od wie ysz okno przegl darki sieciowej na komputerze ofiary, na ekranie pojawi si domy lna strona serwera Apache: Wykonane wiczenie dobrze pokazuje, w jaki sposób mo na przechwyci bezprzewodow sesj klienta b d cego celem ataku, przeanalizowa dane wysy ane przez komputer ofiary i odes a fa szywe odpowiedzi na jego dania. Co si sta o? Wykorzystuj c przygotowany wcze niej atak Man-in-the-Middle, uda o Ci si pomy lnie przechwyci bezprzewodow sesj aplikacji klienta. A co dzia o si za kulisami? Dzi ki konfiguracji do ataku Man-in-the-Middle mia e mo liwo monitorowania wszystkich pakietów wysy anych przez ofiar. Po przechwyceniu dania DNS wys anego przez ofiar program Dnsspoof dzia aj cy na komputerze napastnika odes a do komputera ofiary fa szyw odpowied DNS, wskazuj c, e nazwie hosta google.com odpowiada adres IP , b d cy w rzeczywisto ci adresem IP komputera napastnika. Komputer ofiary przyjmuje t odpowied za prawdziw (bo nie ma powodu, eby j odrzuci ) i przegl darka ofiary wysy a danie HTTP na port 80 komputera napastnika. W pierwszej cz ci tego eksperymentu na porcie 80 komputera napastnika nie dzia a a adna us uga, która mog aby obs u y danie klienta, st d w oknie przegl darki sieciowej ofiary pojawi si komunikat o wyst pieniu b du. Nast pnie na komputerze napastnika uruchomi e serwer Apache, dzia aj cy domy lnie na porcie 80, który od tej chwili rozpocz obs ugiwanie da HTTP wysy anych przez komputer ofiary (w oknie przegl darki ofiary zosta a wy wietlona domy lna strona WWW serwera Apache). To wiczenie pokazuje, e po przej ciu pe nej kontroli nad ni szymi warstwami protoko u sieciowego (w naszym przypadku warstw drug ) przej cie sesji aplikacji dzia aj cych na wy szych warstwach, takich jak klienty DNS czy przegl darki sieciowe, jest zadaniem dosy prostym. 153

22 BackTrack 5. Testy penetracyjne sieci WiFi Zrób to sam przechwytywanie sesji aplikacji Kolejnym etapem w przechwytywaniu bezprzewodowych sesji aplikacji na podstawie ataku Man-in-the-Middle jest modyfikacja danych wysy anych przez klienta. Zapoznaj si z pakietem Ettercap, b d cym cz ci dystrybucji BackTrack, który pomo e Ci tworzy filtry pozwalaj ce na wyszukiwanie i zamian danych w pakietach ruchu sieciowego. W tym zadaniu powiniene napisa prosty filtr, który b dzie automatycznie zamienia wszystkie wyst pienia s owa bezpiecze stwo na niebezpiecze stwo. Nast pnie spróbuj wpisa w Google s owo bezpiecze stwo i sprawd, czy w odpowiedzi otrzymujesz trafienia zwi zane ze s owem niebezpiecze stwo. Odkrywanie konfiguracji zabezpiecze klienta W poprzednich rozdzia ach pokazali my, jak mo na tworzy podstawione punkty dost powe (Honeypot) z otwartym dost pem, a tak e wykorzystuj ce szyfrowanie WEP i WPA, ale jak w praktyce, kiedy pracujesz w terenie i przechwytujesz pakiety sondowania (ang. Probe Requests) wysy ane przez atakowanego klienta, mo esz si dowiedzie, jakiego protoko u zabezpiecze u ywa sie, do której usi uje pod czy si klient? Cho na pierwszy rzut oka zadanie mo e si wydawa nieco karko omne, w praktyce rozwi zanie jest bardzo proste. Aby si o tym przekona, nale y utworzy kilka punktów dost powych rozg aszaj cych sie o takim samym identyfikatorze SSID, ale ró nych konfiguracjach zabezpiecze. Kiedy klient poszukuj cy sieci odnajdzie takie punkty dost powe, automatycznie pod czy si do skonfigurowanego tak, jak sie, której poszukuje (a której konfiguracja jest przechowywana przez klienta w profilu sieci). A zatem zaczynamy! Czas na dzia anie odkrywanie profili zabezpiecze klientów bezprzewodowych 1. wiczenie rozpocznij od przyj cia za o enia, e klient b d cy celem ataku by skonfigurowany pod k tem sieci o nazwie Wireless Lab i kiedy nie jest pod czony do adnego punktu dost powego, aktywnie rozsy a pakiety sonduj ce w poszukiwaniu tej sieci. Aby odkry konfiguracj zabezpiecze tej sieci, musisz utworzy kilka punktów dost powych o ró nych konfiguracjach. Na potrzeby tego wiczenia przyjmij, e klient jest przygotowany do pracy w jednej z nast puj cych konfiguracji: uwierzytelnianie z otwartym dost pem, szyfrowanie WEP, szyfrowanie WPA PSK lub szyfrowanie WPA2 PSK. Oznacza to, e trzeba utworzy cztery punkty dost powe. 154

23 Rozdzia 7. Zaawansowane ataki na sieci WLAN Aby to zrobi, musisz najpierw utworzy cztery wirtualne interfejsy sieciowe, o nazwach odpowiednio mon0, mon1, mon2 i mon3. Dokonasz tego poprzez kilkukrotne wykonanie polecenia airmon-ng start wlan0, tak jak przedstawiono na rysunku poni ej: 2. Aby wy wietli na ekranie wszystkie nowo utworzone interfejsy, powiniene wykona polecenie ifconfig -a, jak wida na kolejnym rysunku: 155

24 BackTrack 5. Testy penetracyjne sieci WiFi 3. Teraz mo esz przyst pi do utworzenia pierwszego punktu dost powego, wykorzystuj cego interfejs mon0 i uwierzytelnianie z otwartym dost pem: 4. Na interfejsie mon1 utwórz punkt dost powy z szyfrowaniem WEP: 5. Interfejsu mon2 u yj do utworzenia punktu dost powego z szyfrowaniem WPA PSK: 6. Wreszcie ostatni interfejs, mon3, zostanie u yty do utworzenia punktu dost powego z szyfrowaniem WPA2 PSK: 156

25 Rozdzia 7. Zaawansowane ataki na sieci WLAN 7. Aby sprawdzi, czy wszystkie cztery punkty dost powe dzia aj poprawnie, u yj polecenia airodump-ng do nas uchiwania na tym samym kanale: 8. Po utworzeniu wszystkich punktów dost powych mo esz w czy bezprzewodow kart sieciow w kliencie. W zale no ci od tego, z jakiej sieci Wireless Lab klient ostatnio korzysta, automatycznie pod czy si do punktu dost powego o takiej konfiguracji zabezpiecze. W naszym przypadku klient pod czy si do punktu dost powego sieci z szyfrowaniem WPA PSK. Co si sta o? W tym wiczeniu utworzy e kilka podstawionych punktów dost powych, które rozg asza y sie Wi-Fi o takim samym identyfikatorze SSID, ale o ró nych konfiguracjach zabezpiecze. Klient poszukuj cy sieci o takim identyfikatorze SSID automatycznie pod cza si do punktu dost powego o konfiguracji, jaka wyst powa a podczas ostatniego po czenia klienta z oryginaln sieci Wireless Lab. Opisana technika mo e by bardzo przydatna w praktyce, poniewa kiedy przeprowadzasz test penetracyjny, nie zawsze z góry b dziesz wiedzia, jakiej konfiguracji zabezpiecze sieci u ywa dany klient. Nasze rozwi zanie pozwala na szybkie okre lenie w a ciwej konfiguracji przez podsuni cie klientowi przyn ty w postaci fa szywego punktu dost powego. W literaturze przedmiotu taka technika jest cz sto okre lana nazw WiFishing (z ang. WiFi sieci bezprzewodowe, fishing w dkowanie, owienie ryb). 157

26 BackTrack 5. Testy penetracyjne sieci WiFi Zrób to sam podsuwanie przyn ty klientowi Zmieniaj konfiguracj zabezpiecze sieci bezprzewodowej klienta i sprawd, czy Twój zestaw punktów dost powych (Honeypot) jest w stanie je wykry. Warto zauwa y, e wiele klientów Wi-Fi jest skonfigurowanych tak, aby w razie braku po czenia z punktem dost powym nie wysy a pakietów sondowania sieci domy lnej. W takiej sytuacji wykrycie konfiguracji sieci domy lnej przy u yciu technik opisanych powy ej nie b dzie mo liwe. Szybki quiz zaawansowane ataki na sieci WLAN 1. Kto znajduje si w rodku podczas ataku typu Man-in-the-Middle: a) Punkt dost powy. b) Komputer napastnika. c) Komputer ofiary. d) aden z powy szych. 2. Pakiet Dnsspoof: a) Pozwala na fa szowanie da DNS. b) Pozwala na fa szowanie odpowiedzi serwera DNS. c) Musi by uruchomiony na serwerze DNS. d) Musi by uruchomiony na punkcie dost powym. 3. Atak typu Man-in-the-Middle na sie bezprzewodow mo e zosta przeprowadzony: a) Na wszystkich klientach bezprzewodowych w tym samym czasie. b) Tylko na jednym kanale w tym samym czasie. c) Tylko na sieci o danym identyfikatorze SSID w tym samym czasie. d) Zarówno (b), jak i (c). 4. Interfejs, który podczas ataku Man-in-the-Middle znajdowa si najbli ej ofiary, nosi nazw : a) At0. b) Eth0. c) Br0. d) En0. 158