Wi-Fi: a biztonság az architektúránál kezdődik

Júliusban, közvetlenül a Black Hat és a Defcon biztonsági konferencia előtt az AirTight Networks szakemberei arról számoltak be, hogy sérülékeny pontot találtak a vezeték nélküli hálózatok esetében, amit "WPA2 Hole 196" támadásnak neveztek el. 

A sérülékenység - mivel egy ismert hálózati támadási lehetőséggel, az ARP sebezhetőségével él - általánosságban minden vezeték nélküli hálózatot érinthet. Azonban az Aruba Networks bejelentette, hogy a teljesen vékony Access Point architektúrája és az integrált biztonsági megoldásai képesek gátat szabni az ilyen jellegű támadásoknak. Kocsis Tamás, az Aruba Networks-öt hazánkban képviselő biztributor műszaki igazgatója elmondta, hogy mindez újabb bizonyítéka annak, hogy a biztonság az architektúránál kezdődik. "Egy jól felépített rendszer sokkal kevésbé sérülékeny akár külön biztonsági funkciók nélkül is. Az Aruba eszközei viszont számtalan biztonsági megoldást tartalmaznak, ezért fordulhat elő, hogy a legszigorúbb előírásokat, például az Egyesült Államok Védelmi Minisztériumának (DoD) követelményeit is teljesítik" - tette hozzá Kocsis Tamás.

A sebezhetőség háttere

Ahogy az az AirTight leírásában szerepel, a Hole 196 olyan belső támadásokat eredményezhet, melynek során mind a támadó, mind az áldozat a hálózatba beléptetett és hitelesített, így mindkét fél birtokában van egyedi unicast kulcsoknak (PTK) és a broadcastoláshoz használt csoportos kulcsoknak (GTK) is.

Az Aruba Networks a közleményében a következők szerint foglalta össze a támadás lépéseit:

1. A támadó egy hamisított ARP üzenetet hoz létre, melyben az alapértelmezett, default gateway IP címe szerepel, és a támadó saját MAC címére mutat (ARP poisoning, MAC spoofing).  Ezután a támadó a csoportkulccsal (GTK) titkosítja az ARP keretet, és a wireless hálózaton elküldi az áldozatnak.

2. Az áldozat a hamisított ARP üzenetet a GTK használatával dekódolja, majd frissíti a saját ARP tábláját (ARP poisoning). Innentől kezdve az alapértelmezett gateway IP-je a támadó MAC címére mutat (IP és MAC spoofing). Az áldozat és az Access Point közötti kommunikáció az áldozat unicast kulcsával (PTK) kerül titkosításra.

3. Az Access Point feloldja a titkosítást, majd a támadó PTK-jával újra titkosított adatforgalmat továbbítja a támadó felé, aki természetesen saját PTK-jával ki tudja bontani a csomagokat, és a titkosítás vagy a kulcsok kompromittálása nélkül hozzájut a kliens "tiszta" adatforgalmához. Ha a támadó az adatforgalmat a tényleges default gateway felé továbbítja (man-in-the-middle), az áldozat észre sem veszi, hogy beékelődtek a kommunikációjába.

Az Aruba Networks szerint mindegy, hogy milyen titkosítási, azonosítási sémát használunk (WPA-t vagy WPA2-t). Ugyanis amint egy kliens sikeresen azonosítja, és hitelesíti magát a hálózaton, védtelennek bizonyul az ARP fertőzés ellen.

Így is lehet védekezni

Az Aruba Networks wireless megoldásai a teljesen vékony AP architektúrának és az integrált biztonsági megoldásoknak köszönhetően nem érintettek a Hole 196 sebezhetőség által. A teljesen vékony AP architektúra azt jelenti, hogy a hálózati funkciókat és a kulcsmenedzsmentet nem az Access Pointok végzik, hanem az Aruba wireless controllere. Az AP eszközök csak rádiós konverterként működnek, amelyek a 802.11-es frame-eket megszakítás és dekriptálás nélkül továbbítják a központi wireless controllernek. Az Aruba esetében a vezeték nélküli kommunikáció tehát nem a kliens és az Access Point között, hanem a kliens és a wireless controller között épül fel.

Az integrált tűzfal és a kliens izoláció (layer-2 - layer-3) blokkolja a Wi-Fi kliensek közötti kommunikációt, tehát ha a támadó megjelenik a hálózatban, mint hitelesített kliens, a wireless controller blokkolni fogja az összes adatforgalmat a támadó és az áldozat között. A kliens izoláció nem teszi lehetővé az ARP fertőzést, és megakadályozza, hogy az áldozat a támadónak címezzen csomagokat. Szofisztikáltabb incidens esetén, ahol a támadó egy másik, a kábeles hálózatra csatlakoztatott eszközt bevonva egy hamis default gateway-t épít ki - így kikerülve a kliens izolációt - a controllerbe integrált biztonsági megoldások (tűzfal, IDS/IPS) észlelik a MAC valamint az IP spoofingot, és megakadályozzák a forgalmazást.