Izolace klientů na Wi-Fi
Co se dozvíte v článku
Aby se zabránilo útokům mezi jednotlivými klienty bezdrátových sítí, nabízejí prakticky všichni dodavatelé takzvanou izolaci klientů. Jde o kombinaci mechanismů, které blokují přímou komunikaci mezi klienty. Izolace klientů však není standardizovanou funkcí, takže její vlastnosti a bezpečnostní záruky nejsou pevně dané.
Tato izolace klientů vznikla za účelem zmírnění útoků zevnitř v sítích Wi-Fi, jako jsou otrávení ARP a přesměrování pomocí ICMP. Protože je klientům zakázána přímá komunikace, omezuje se prostor pro tyto útoky a riziko kompromitace citlivých síťových dat. Bez této přídavné ochrany by si klienti v síti mohli posílat neomezené podvržené rámce a pakety a mohli by se tak vydávat za někoho jiného nebo stáhnout provoz na sebe a poté jej ovlivňovat.
Oddělení klientů v jedné síti má nabízet výrazné bezpečnostní výhody. Potíž je, že se nejedná o řádně standardizovanou funkci, která by byla součástí norem IEEE 802.11 jako jsou jiné části komunikace v počítačových sítích. Konkrétní mechanismy izolace v reálných Wi-Fi sítích jsou proto z velké části neprozkoumané.
Obcházení šifrování
Odborníci z Kalifornské univerzity a Katolické univerzity v Lovani provedli podrobnou analýzu této izolace [PDF] klientů připojených pomocí Wi-Fi a odhalili nové typy útoků, které tuto ochranu obcházejí. Identifikovali několik základních příčin těchto slabých míst souhrnně je nazvaly AirSnitch. To bychom mohli přeložit jako bonzování ve vzduchu.
Předchozí útoky na Wi-Fi prolamovaly ochrany jako WEP a WPA. Využívaly zranitelnosti v základním šifrování, které bylo při komunikaci nasazeno. AirSnitch se naopak zaměřuje na dosud přehlíženou vrstvu – nejnižší úrovně síťového stacku, hierarchii samotné architektury a na funkce a chování síťových protokolů.
Autoři mluví o obcházení šifrování v bezdrátových sítích. Nejde přitom o prolamování samotných šifer nebo překonávání autentizace, ale komunikace mezi klienty v různých sítích dovoluje přenášet data mezi různými BSSID, aniž by byl útočník do vedlejších sítí připojený. Stačí mu stát se členem sítě pro hosty nebo jiné dostupné sítě a je schopen ovlivnit chování i ve vedlejších segmentech, které by mu měly zůstat nepřístupné.
Souhrn hlavních problémů
Při zkoumání různých implementací od několika výrobců byla objevena řada různých chyb, které se vyskytují v řešeních pro izolaci klientů. V každém ze zkoumaných zařízení je přítomen alespoň jedna ze zde vyjmenovaných problémů, obvykle je možné zneužít také jejich kombinaci.
Bezdrátové sítě například špatně pracují s klíči, které chrání přenášené rámce. Izolace je také často vynucována pouze na úrovni MAC nebo IP, ale ne na obou síťových vrstvách. Slabá synchronizace identity klienta v síťovém stacku umožňuje obejít izolaci Wi-Fi klientů na síťové vrstvě, což umožňuje zachycení uplinkového a downlinkového provozu jiných klientů i infrastrukturních zařízení.
Sdílený skupinový klíč
Na úrovni Wi-Fi odborníci zjistili, že většina implementací bezdrátové sítě používá sdílený skupinový dočasný klíč (GTK) k ochraně vysílání nebo multicastové komunikace. Často mají k tomuto klíči přístup všichni klienti, i když je izolace klientů povolena.
To znamená, že tento klíč může být zneužít členem sítě k přímému vkládání paketů do komunikace obětí, čímž se obejde izolace klientů na přístupovém bodu. Dokonce i standard Passpoint, který obsahuje funkce podobné izolaci klientů s cílem zmírnit útoky zevnitř v chráněných hotspotech, je v tomto ohledu nedokonalý, protože také nedokáže bezpečně spravovat skupinové klíče. Je důležité zdůraznit, že Passpoint se zabývá pouze šifrovací vrstvou Wi-Fi a nerozšiřuje ochranu na přepínání nebo směrování, které jsou interní součástí přístupových bodů.
Přesné podrobnosti útoku závisejí na implementacích dodavatelů a složitosti cílové sítě a souhrnně jsou označeny jako útok zneužitím GTK.
Izolace pouze na druhé vrstvě
Výzkumníci zjistili, že mnoho implementací vynucuje izolaci klientů pouze na druhé síťové vrstvě (MAC a link), ale nepřenáší ji na třetí vrstvu (IP vrstva). Útočník v takovém případě může vytvořit rámce s cílovou MAC adresou brány ve druhé vrstvě, ale uvnitř přenášet na třetí vrstvě pakety s IP adresou oběti.
Tyto pakety jsou obvykle přijaty AP a předány bráně. Pokud brána nevynucuje izolaci klientů na IP vrstvě, předá datagram do jeho cíle, tedy cílového klienta v bezdrátové síti. To útočníkovi umožní dosáhnout na izolované klienty druhé vrstvy. Tento typ útoku byl nazván „gateway bouncing“.
Problém je v tom, že zatímco AP může blokovat přímé předávání Wi-Fi rámců mezi dvěma klienty připojenými ke stejnému AP, stále předává pakety, které jsou odeslány směrem do brány (směrovače). Útočník tedy vytvoří rámec s cílovou adresou směrovače, ale dovnitř vloží paket pro zamýšlený cíl, od kterého je izolován. Takový provoz normálně sítí projde a dorazí na směrovač, kde se zjistí, že je paket uvnitř určen pro jiného klienta v síti a tomu je běžnou cestou doručen.
Dojde tedy k jakémusi odražení provozu od brány. Což je v obou směrech vnímáno jako legitimní komunikace dvou různých klientů se směrovačem. Síť ovšem už nevyhodnotí, že ve skutečnosti spolu pomocí tohoto prostředníka komunikují dva rádoby oddělení klienti.
Podvržení MAC adresy
Bylo také odhaleno, že podvržení MAC adresy oběti při připojení ke stejné síti (ale případně k jinému přístupovému bodu) umožňuje útočníkovi zachytit rámce určené původně pro oběť. Je všeobecně známo, že klienti Wi-Fi mohou k připojení použít libovolnou MAC adresu. Nyní ale bylo zjištěno, že toho lze zneužít k zachycení provozu jiného klienta, i při aktivní izolaci klientů.
Obvykle se tento útok provádí na vedlejšího klienta na stejném přepínači, ale výzkumníci předvedli, že útočník může unést mapování MAC a portu dále v infrastruktuře, tedy na úrovni páteřního přepínače. Tím je pak možné zachytit provoz směrovaný k obětem spojeným přes různé přístupové body. To zvyšuje dopad útoku a rozbíjí dříve uznávaný předpoklad, že oddělené přístupové body poskytují účinnou izolaci.
Odhaluje to slepé místo v izolaci klientů: i fyzicky oddělené přístupové body, vysílající různá SSID, poskytují neúčinnou izolaci, pokud jsou připojeny ke společnému distribučnímu systému. Přesměrováním provozu na předřazeném přepínači mohou útočníci zachytit a manipulovat s provozem obětí přes hranice přístupových bodů, čímž rozšiřují model útoku pro moderní Wi-Fi sítě.
Klient vydávající se za bránu
Aby bylo možné dosáhnout obousměrného útoku MitM, je třeba nasadit techniky, které zachycují také provoz klienty odesílaný. Toho lze dosáhnout napodobením interních síťových prvků (např. brány) ve Wi-Fi síti pomocí podvržení jejich MAC adres z pozice běžného klienta.
Pomocí tohoto přístupu může útočník zachytit uplinkový provoz odeslaný všemi ostatními Wi-Fi klienty. Z našeho hlediska jde sice o provoz mezi klienty, ale v mnoha sítích je takový postup povolen. V kombinaci s dalšími technikami to vede k úplnému obousměrnému útoku MitM.
Jednou z hlavních příčin většiny objevených útoků je skutečnost, že stávající šifrovací protokoly Wi-Fi nejsou schopny bezpečně synchronizovat identitu klienta napříč síťovými vrstvami, zařízeními a názvy sítí, tedy jejich SSID.
Například útočník může navázat platné připojení k přístupovému bodu (AP) tím, že zfalšuje MAC adresu oběti na jednom SSID, zatímco oběť je připojena k jinému AP nebo SSID. Druhým důvodem je to, že Wi-Fi klíče zařízení, MAC adresa a IP adresa nejsou silně vzájemně propojeny.
Byla otestována řada nejnovějších bezdrátových směrovačů (AP) od populárních výrobců: Netgear, Tenda, D-Link, TP-Link, Asus, Ubiquity, Lancom a Cisco. Kromě toho byly vyzkoušeny také dvě široce používané linuxové distribuce pro směrovače: OpenWrt a DD-WRT. Všechny testované varianty byly náchylné alespoň k některé formě útoků. Byla vytvořena skutečná realistická firemní síť, aby bylo vyzkoušeno, že je kompletní MitM útok proveditelný v reálném prostředí.
Možnosti obrany
Každý testovaný směrovač a síť byly zranitelné alespoň jedním z těchto útoků. Ukazuje se, že nedostatek standardizace vede k nekonzistentní, ad hoc a často neúplné implementaci izolace u různých dodavatelů.
Oddělení do VLAN
Pro lepší oddělení klientů na jednotlivých přístupových bodech je možné nedůvěryhodné BSSID (např. sítě pro hosty) zařadit do nezávislých sítí pomocí VLAN. Tím je možné oddělit segmenty sítě, kdy útočník v jedné VLAN nemůže odesílat provoz do jiné VLAN ani ji sledovat. Tím by bylo možné bránit klientovi v nedůvěryhodném BSSID, aby spustil útok typu „port stealing“ za účelem přesměrování provozu určeného oběti v důvěryhodném BSSID.
Bylo by možné také umístit každého jednotlivého klienta do jeho jedinečné VLAN, což by bezpečně synchronizovalo ověřenou identitu klienta v rámci síťového stacku. To by ale znamenalo aktualizaci firmwaru v zařízeních, protože běžné přístupové body takovou možností nedisponují. Například TP-Link EAP613 ale dokáže oddělit síť pro hosty do separátní VLAN.
Předcházení podvržení
V drátových sítích se běžně používají obrany proti spoofingu na druhé vrstvě, jako je port security (zabezpečení portů). Ve Wi-Fi sítích se ale nasazují jen zřídka kvůli virtuálním portům vázaným na BSSID. Chybějící ochranou je odmítání podvržených MAC adres brány na bezdrátové straně.
Další účinnou politikou by bylo odpojení klientů, jejichž MAC adresa se objevuje na více BSSID. Tím by se zabránilo podvržení adres mezi BSSID. Podobně může být účinnou obranou prevence podvržení IP adres. Například může zabránit tomu, aby brána přeposílala zachycený paket, jehož zdrojová IP adresa může patřit externímu serveru – používanému pro přeposílání zachyceného downlinkového provozu oběti.
Bezpečnost skupinového klíče
Přístupové body mohou také zabránit zneužití sdíleného skupinového klíče použitím náhodného GTK pro každého klienta zvlášť. Toho se snaží dosáhnout Passpoint, který obsahuje funkci nazvanou Downstream Group-Addressed Forwarding (DGAF) Disable.
Při této volbě je každému klientovi přidělen náhodný skupinový klíč, čímž je vlastně komunikace uvnitř skupiny znemožněna. Nezbytný provoz je místo toho přeložen do unicastových rámců odesílaných jednotlivě každému klientovi.
Nulová důvěra
Nejúčinnějším řešením by mohlo být přijetí bezpečnostního přístupu známého jako zero trust, který považuje každý uzel v síti za potenciálního protivníka, dokud neprokáže, že je důvěryhodný. Přijetí tohoto modelu je ovšem velmi náročné i pro dobře financované firmy. Není jasné, zda bude někdy dostupné a proveditelné pro běžné uživatele Wi-Fi v domácnostech a menších podnicích.
Dopady a chybějící standardizace
Výše popsané útoky ovlivňují jak domácí, tak firemní sítě, umožňují ovlivňování datového provozu směrem ke klientům, zachycování datového provozu odesílaného obětí do internetu a kombinaci obojího za účelem provedení útoků typu MitM. Ty pak umožňují útoky na protokoly vyšších vrstev.
Jakmile je útok MitM úspěšně proveden, útočník může zachytit veškerý datový provoz na úrovni spojové vrstvy, což usnadňuje útoky na vyšší úrovni. Například nedávné zranitelnosti v implementacích TLS mohou být poté zneužity k dešifrování HTTPS připojení a ohrožení citlivých informací uživatelů.
Objevitelé výše uvedených zranitelností proto doporučují standardizovat bezpečnostní záruky, které by měla izolace klientů poskytovat. Klíčovou budoucí prací by podle mich mělo být formální modelování izolace klientů a vyvinutí techniky pro efektivní vynucování a ověřování těchto bezpečnostních záruk.
Někteří výrobci už začali uvolňovat aktualizovaný firmware pro své přístupové body, které by alespoň část problémů mohly odstranit. Některé systémové slabiny lze vyřešit pouze změnami v použitých čipech, které výrobci přístupových bodů nakupují od svých dodavatelů. V takovém případě nebude stačit aktualizovat software, ale bude potřeba vyměnit přístupové body za nové, které budou obsahovat opravené čipy. Protože ale chybí standardizační rámec, bude to složitá, zdlouhavá a bolestivá cesta.
ČLÁNKY DO MAILU