Защищенные кадры управления что это
Содержание
Защищенные фреймы управления
Обзор
Классы
Незащищенные кадры
Невозможно / невозможно защитить кадр, отправленный до четырехстороннего рукопожатия, потому что он отправляется до установления ключа. Кадры управления, которые отправляются после установления ключа, могут быть защищены.
Защищенные кадры
Защищены только кадры TKIP / AES, а WEP / открытые кадры не защищены.
Следующие кадры управления могут быть защищены:
Кадры управления, которые требуются до того, как точка доступа и клиент обменяются ключами передачи через четырехстороннее рукопожатие, остаются незащищенными:
Широковещательные / многоадресные кадры надежного управления защищены с помощью протокола целостности широковещательной / многоадресной передачи (BIP)
Защита от воспроизведения
Защита от воспроизведения обеспечивается уже существующими механизмами. В частности, для каждого передаваемого кадра существует счетчик (для каждой станции, ключа, приоритета); это используется в качестве вектора одноразового номера / инициализации (IV) при криптографической инкапсуляции / декапсуляции, и принимающая станция гарантирует, что полученный счетчик увеличивается.
Применение
Поправка 802.11w реализована в Linux и BSD как часть кодовой базы драйвера 80211mac, которая используется несколькими интерфейсами беспроводных драйверов; т.е. ath9k. Эта функция легко активируется в самых последних ядрах и ОС Linux с использованием этих комбинаций. OpenWrt, в частности, обеспечивает легкое переключение как часть базового распределения. Эта функция впервые была реализована в операционных системах Microsoft в Windows 8. Это вызвало ряд проблем совместимости, особенно с точками беспроводного доступа, несовместимыми со стандартом. Откат драйвера беспроводного адаптера к другому из Windows 7 обычно решает проблему.
ИТ База знаний
Полезно
— Онлайн генератор устойчивых паролей
— Онлайн калькулятор подсетей
— Руководство администратора FreePBX на русском языке
— Руководство администратора Cisco UCM/CME на русском языке
— Руководство администратора по Linux/Unix
Навигация
Серверные решения
Телефония
FreePBX и Asterisk
Настройка программных телефонов
Корпоративные сети
Протоколы и стандарты
TKIP, CCMP и GCMP. Про безопасность Wi-Fi
Конфиденциальность по воздуху
Стандарт 802.11 поддерживал только один способ защиты данных, передаваемых по WI-FI, от перехвата- это WEP. В прошлых статьях мы узнали, что WEP является устаревшим средством защиты данных и его использование не рекомендовано. Какие же еще существуют способы шифрования и защиты данных при передаче по Wi-Fi?
Полный курс по Сетевым Технологиям
В курсе тебя ждет концентрат ТОП 15 навыков, которые обязан знать ведущий инженер или senior Network Operation Engineer
В свое время WEP применялся на беспроводном оборудовании клиента и точки доступа, но он был сильно уязвим. На смену WEP пришел протокол целостности временного ключа (Temporal Key Integrity Protocol (TKIP).
TKIP добавляет следующие функции безопасности на устаревшем оборудовании и при использовании базового шифрования WEP:
До 2012 года протокол шифрования TKIP был достаточно безопасным методом защиты данных. Он применялся до тех пор, пока не появился стандарт 802.11i. Злоумышленники не оставили в стороне протокол TKIP. Было создано много алгоритмов атак против TKIP, поэтому его тоже следует избегать, если есть более лучший метод защиты данных в беспроводных сетях.
Протокол Counter/CBC-MAC (CCMP) считается более безопасным, чем TKIP. CCMP состоит из двух алгоритмов:
Расширенный стандарт шифрования (AES)- это текущий алгоритм шифрования, принятый Национальным институтом стандартов и технологий США (NIST) и правительством США и широко используемый во всем мире. Другими словами, AES является открытым, общедоступным и представляет собой самый безопасный метод шифрования на данный момент времени.
Для использования протокола защиты CCMP, необходимо убедиться, что устройства и точки доступа поддерживают режим счетчика AES и CBC-MAC на аппаратном уровне. CCMP нельзя использовать на устаревших устройствах, поддерживающих только WEP или TKIP. Как определить, что устройство поддерживает CCMP? Ищите обозначение WPA2.
Протокол Galois/Counter Mode Protocol (GCMP)- это надежный набор шифрования, который является более безопасным и эффективным, чем CCMP. GCMP состоит из двух алгоритмов:
GCMP используется в WPA3.
WPA, WPA2 и WPA3
На сегодняшний день существует три метода шифрования WPA: WPA, WPA2 и WPA3. Беспроводные технологии тестируются в официальных испытательных лабораториях в соответствии со строгими критериями.
Альянс Wi-Fi представил первое поколение сертифицированную WPA (известную просто как WPA, а не WPA1), в то время как поправка IEEE 802.11i для совершенных методов обеспечения безопасности все еще разрабатывалась. WPA была основана на части стандарта 802.11i и включала аутентификацию 802.1x, TKIP и метод динамического управления ключами шифрования.
Как только 802.11i был ратифицирован и опубликован, WiFi Alliance включил его в полном объеме в свою сертификацию WPA Version 2 (WPA2). WPA2 основан на превосходных алгоритмах AES CCMP, а не на устаревшем TKIP от WPA. Очевидно, что WPA2 был разработан взамен WPA.
В 2018 году Альянс Wi-Fi представил версию WPA3 в качестве замены WPA2, добавив несколько важных и превосходных механизмов безопасности. WPA3 использует более сильное шифрование AES с помощью протокола Galois/Counter Mode Protocol (GCMP). Он также использует защищенные кадры управления (PMF) для защиты кадров управления 802.11 между точкой доступа и клиентами, чтобы предотвратить несанкционированный доступ и нарушение нормальной работы BSS.
Обратите внимание, что все три версии WPA поддерживают два режима проверки подлинности клиента: предварительный общий ключ (PSK) или 802.1x, в зависимости от масштаба развертывания. Они также известны как личный режим и режим предприятия, соответственно.
Полный курс по Сетевым Технологиям
В курсе тебя ждет концентрат ТОП 15 навыков, которые обязан знать ведущий инженер или senior Network Operation Engineer
Угрозы для беспроводной корпоративной сети WPA2-Enterprise и способы защиты
Не так давно совместно с Digital Security мы провели пентест своей корпоративной wi-fi-сети. Сегодня с коллегами расскажем, что может угрожать беспроводной сети, построенной на базе WPA2-Enterprise с аутентификацией по доменному аккаунту, и как от этого защититься.
Про WPA2-Enterprise
Прежде чем рассказывать про атаки и способы защиты от них, вспомним основные особенности стандарта WPA2-Enterprise.
Аутентификация. Для того чтобы подключиться к сети, клиент должен аутентифицироваться на ААА-сервере. Часто в качестве такового выступает RADIUS-сервер. Аутентификацию можно пройти с помощью доменного пароля, клиентского сертификата и пр. (EAP).
Шифрование. Организовано по алгоритму AES. Ключ шифрования динамический, индивидуальный для каждого клиента (802.1X), генерируется в момент аутентификации на RADIUS-сервере. Этот ключ может периодически обновляться по ходу работы без разрыва соединения.
Схема работы WPA2-Enterprise.
Процесс подключения клиента к беспроводной сети кратко можно описать так.
При подключении данные клиента передаются на точку доступа/контроллер при участии протокола 802.1x. Далее информация отправляется на RADIUS-сервер, где происходит аутентификация клиента: RADIUS-сервер проверяет, есть ли в его списках такой клиент с указанным логином и паролем и можно ли его подключать.
После успешной аутентификации точка доступа подключает клиента в сеть.
Рассмотрим подробнее процесс аутентификации на RADIUS-сервере:
От чего защищаемся
Врага надо знать в лицо, поэтому ниже кратко пройдемся по механике возможных атак против сети WPA2-Enterprise с аутентификацией по доменным аккаунтам.
Подключение клиентов к ложной точке доступа. Зная имя сети SSID (ESSID, если сеть построена на нескольких точках доступа) и MAC-адрес точки доступа (BSSID), злоумышленник может развернуть нелегитимную точку доступа.
Чтобы увеличить свои шансы на успех, злоумышленники используют следующие нехитрые приемы:
Чтобы было куда подключить эту точку доступа, злоумышленник разворачивает свой RADIUS-сервер, к которому будет подключаться нелегетимная точка доступа. У этого RADIUS-сервера нет задачи аутентифицировать клиента и проверить, указал ли он правильный пароль. Главное – получить от клиента авторизационные данные, логин и ответ на предоставленный ложным Radius-сервером challenge. Их злоумышленник будет использовать для оффлайн подбора пароля и последующего подключения к целевой корпоративной беспроводной сети.
Без мониторинга эфира обнаружить местонахождение нелегитимной точки доступа не всегда просто. Злоумышленник вряд ли будет выглядеть, как человек с огромным рюкзаком, кучей антенн и дизель-генератором на тележке.
Например, для своих пентестов коллеги из Digital Security используют портативный бытовой роутер со встроенной батарейкой (типа этого). Перепрошивают с помощью OpenWRT и устанавливают кастомный пакет. На выходе получается точка доступа со встроенным RADIUS-сервером, которая может при необходимости прослушивать эфир и собирать данные. При желании можно и вовсе воспользоваться обычным телефоном.
Места размещения таких точек доступа ограничиваются только изобретательностью взломщика. Если офис жертвы находится в бизнес-центре, то можно развернуть точку доступа в фойе до турникетов или лобби с диванчиками. Удобно разместить такую точку доступа в кабине лифта: она с большой скоростью удаляется от легитимных точек доступа, поэтому клиентское устройство оказывается в ловушке и с большой вероятностью подключится к ложной точке доступа. Злоумышленник может даже кататься с ложной точкой доступа на корпоративном транспорте, который развозит сотрудников до метро после работы.
Принудительная деаутентификация. Если клиент уже подключен к легитимной точке доступа, то его нужно как-то отключить от нее (принудительно деаутентифицировать), чтобы переподключить к ложной. Злоумышленник прослушивает эфир. Для этого он переводит свой wi-fi-адаптер в режим monitor-mode. Обычно для этого используют набор утилит aicrack-ng. С его же помощью злоумышленник начинает рассылать беспроводным клиентам сообщения о том, что легитимная точка доступа, к которой уже подключен клиент, отключается и уходит из эфира. Такой эффект достигается с помощью инъекции фреймов управления wi-fi (Management Frame), а именно: фреймов деассоциации и деаутентификации.
В результате клиент отключается от точки доступа и начинает искать новую точку доступа с таким же ESSID. В этой ситуации как раз пригождается точка доступа с более мощным сигналом. Клиентское устройство пытается к ней подключиться. Если клиент пройдет аутентификацию на ложном RADIUS-сервере, злоумышленник может захватить имя пользователя и аутентификационную MSCHAPv2-сессию.
Как защищаемся
Рассмотренные атаки можно предотвратить, если использовать следующие меры защиты:
| Атака | Мера |
|---|---|
| Подключение клиентов к ложной точке доступа | мониторинг эфира для выявления фейковых точек доступа; аутентификация пользователей с использованием клиентских сертификатов |
| Принудительная деаутентификация клиента | мониторинг эфира для выявления попыток принудительной деаутентификации клиентов беспроводных сетей; активация 802.11w (Protected Management Frames, PMF) на контроллере |
Далее расскажем, как реализован каждый из способов защиты в нашем случае.
Мониторинг эфира и выявление ложных точек доступа. Организовать мониторинг эфира можно с помощью штатных средств точек доступа и контроллера WLAN. Далее речь пойдет об устройствах Cisco.
Для этого на точках доступа активируется механизм Off Channel Scanning, в котором он периодически сканирует эфир по всем каналам. В результате такого мониторинга он выявляет наименее загруженный канал и сторонние точки доступа (в терминологии Cisco – Rogue AP). Данные с точек доступа отправляются на контроллер, к которому они подключены.
На самом контроллере настраивается правило классификации сторонних точек доступа, согласно которому все посторонние точки доступа с SSID, эквивалентным нашему, считаются нелегитимными (malicious в терминологии Cisco). Подробно о настройке контроллера Cisco можете почитать в этой серии статей.
Так выглядит сообщение о найденной нелегитимной точке доступа в веб-интерфейсе контроллера.
681 Mon Apr 10 12:10:55 2017 Rogue AP: 14:2d:27:ef:f8:2b with Contained mode added to the Classified AP List.
682 Mon Apr 10 12:10:55 2017 Rogue AP 14:2d:27:ef:f8:2b is advertising our SSID. Auto containing as per WPS policy
Сообщения в логах контроллера при обнаружении нелегитимной точки доступа.
В системе мониторинга (в нашем случае это Nagios) настроен SNMP-опрос контроллера. При обнаружении нелегитимной точки доступа на экран мониторинга выводится сообщение, содержащее:
С помощью таблицы соответствия MAC-адреса точки доступа и ее месторасположения можно определить примерное расположение нелегитимной точки доступа.
Сообщение в системе мониторинга о том, что была зафиксирована нелегитимная точка доступа.
Мониторинг эфира на предмет попыток принудительной деаутентификации беспроводных клиентов. В рамках системы обнаружения вторжений (intrusion detection system, IDS) у контроллера Cisco есть штатный набор стандартных сигнатур, с помощью которых он может распознавать потенциально опасное поведение клиентов и соседских точек доступа. Сюда как раз относятся множественные попытки деаутентификации, аутентификации, ассоциации и пр.
Wed Apr 12 10:17:53 2017 IDS Signature attack detected. Signature Type: Standard, Name: Auth flood, Description: Authentication Request flood, Track: per-signature, Detecting AP Name: OST_Reception, Radio Type: 802.11b/g, Preced: 5, Hits: 500, Channel: 11, srcMac: 14:2d:27:ef:f8:2b
Сообщения о множественной аутентификации в логах контроллера Cisco
Рассматриваемый контроллер также имеет механизмы предотвращения вторжений (IPS). Например, при выявлении нелегитимной точки доступа можно противодействовать вторжению теми же средствами, которые используются и при атаках, – деаутентификацией и деассоциацией. Контроллер можно настроить так, что при появлении точки доступа с SSID, совпадающим с анонсируемым контроллером, будет запускаться механизм auto contain: точки доступа, фиксирующие сигнал нелегитимной точки доступа, начинают отправлять клиентам кадры деаутентификации от имени этой точки доступа. В результате клиенту становится очень сложно работать и передавать данные нелегитимной точке доступа.
Настройка автоматической деаутентификации клиентов, подключившихся к нелегитимной точке доступа, на контроллере Cisco.
Получать информацию от контроллера о событиях IDS можно двумя способами: отправка SNMP-трапов в систему мониторинга или парсинг журнала контроллера.
В систему мониторинга также приходит сообщение с МАС-адресом нелегитимной точки доступа и МАС-адрес легитимной точки доступа, которая ее обнаружила.
Для защиты от принудительной деаутентификации на контроллере активируется 802.11w (Protected Management Frames, PMF). Этот режим предотвращает атаки, направленные на принудительное отключение клиента от легитимной точки доступа и переподключение к нелегитимной. При использовании 802.11w фреймы Disassociation, Reassociation, Deauthentication подписываются ключом, известным только авторизованным клиентам и легитимным точкам доступа. В результате клиент может определить, получен данный фрейм от легитимной точки или нет.
Активация 802.11w PMF в веб-интерфейсе контроллера Cisco.
Аутентификация по пользовательским сертификатам. Суть метода заключается в том, что клиент аутентифицируется по пользовательскому сертификату, выписанному доверенным удостоверяющим центром. Этот сертификат помещается в пользовательского хранилище сертификатов каждого беспроводного устройства. При подключении сервер аутентификации (AAA-сервер) сверяет сертификат, предъявленный устройством, с установленными политиками.
Проникнуть в сеть с аутентификацией под клиентским сертификатом злоумышленник сможет, только украв устройство с сертификатом и имея логин/пароль для входа на устройство. Но и здесь лазейка быстро закрывается: когда о краже станет известно, сертификат можно быстро отозвать в удостоверяющем центре. Сервер аутентификации оповещается о том, что сертификат отозван, соответственно злоумышленник не сможет с помощью сертификата подключиться к целевой сети.
Ниже схема того, как беспроводная сеть WPA2-Enterprise c аутентификацией по пользовательским сертификатам реализована у нас.
Рассмотрим подробнее следующие составляющие этой схемы.
RADIUS-сервер. Принимает запросы от устройств на подключение беспроводных устройств (radius-clients).
Network Policy Server, NPS. Выполняет аутентификацию и проверку подлинности. Здесь же настраиваются условия подключения к беспроводной сети. Например:
Доменный сервер Active Directory (AD DS). Содержит базу с учетными записями пользователей и групп пользователей. Чтобы NPS мог получать данные о пользователях, необходимо зарегистрировать NPS на AD DS.
Active Directory Certificate services. Инфраструктура открытых ключей (Public Key Infrastructure, PKI).
Root-сервер. Корневой удостоверяющий центр. Здесь на основе закрытого ключа генерируется сертификат удостоверяющего центра. С помощью этого сертификата подписывается сертификат для промежуточного удостоверяющего центра.
Обычно этот сертификат вместе с ключом экспортируют на флешку, прячут в подвал, в сейф, чтобы к нему не было никакого физического доступа для посторонних. Сам сервер отключают.
Схема с subordinate-сервером выгодна тем, что при компрометации промежуточного сертификата корневой сертификат никак не будет затронут. В этом случае скомпрометированный сертификат просто отзывается через root-сервер, а subordinate-сервер удаляется.
На сегодня все, задавайте свои вопросы в комментариях.
Защищенные кадры управления что это
Asus RT-AX88U (AX6000) [AsusWRT/AsusWRT-Merlin] – обсуждение
wifirouter: 2.4GHz•1148Mbit\s + 5GHz•4804Mbit\s | 1xWAN•1Gbit\s + 4xLAN•1Gbit\s + 4xLAN/1Gbit\s | 2xUSB•3.1 Gen1
Двухдиапазонный маршрутизатор стандарта Wi-Fi 802.11ax (AX6000) с технологиями MU-MIMO и OFDMA, информационной защитой AiProtection на базе технологий Trend Micro, системой геймерского ускорения WTFast и адаптивным управлением трафиком.
60Гц)
Выход : 19 В, до 2.37 A
Поддержка ОС
Windows 7
Windows 8
Windows® 10
Mac OS X 10.6
Mac OS X 10.7
Mac OS X 10.8
Размеры
11.8 x 7.4 x 2.4
» (Д x Ш x В) без рамки
Вес
1010 г
Режимы работы:
Беспроводной маршрутизатор
Беспроводная точка доступа
Сетевой мост
Настройка OpenVPN с картинками
Настройка Trim на SSD подключенного к роутеру
Автомонтирование шары NFS к роутеру с добавлением в SMB сервер.
Расширенные настройки беспроводного адаптера Intel® и свежие драйвера
Программа управления разделами инф.носителей
AOMEI Partition Assistant Pro 8.5.zip ( 22.99 МБ )
Поиск/тестирование быстрого DNS сервера DNS Jumper v2.2.zip ( 617.26 КБ )
Главный вопрос по этому роутеру, будут ли отваливаться wifi как у многих с последними роутерами асус. И так же интересно проживут ли lan5-8 как они живут у rt-ac88u или все же немного дольше.
Но все же рискнул и купил в ситилинке за 19.
P.s. не понял только, это тема просто для обсуждения ax88 или только его кастомных прошивок?
Я специально подключил к Lan5 от сервера KVM/iLO, так несколько раз этому устройству тупо не выдавалось ip хотя в морде показывало что у порта есть подключение на 1Gb.
Еще у меня отваливается бокс с SSD при перезагрузке приходится передергивать порт USB.
значит у вас тоже для Германии, проверьте коммандой
RAH-66,
Сегодня проверю какой регион. У меня пока что никаких проблем нет, кроме ужастного по мощности вифи. Он у меня при запуске обновился на последний сток, после этого я накатил мерлин и сбросил через wps. У меня щас вообще все порты 5-8 заняты, а к 1-2 подключен свитч по lapd.
Из коробки никаких проблем с Wi-Fi не было сразу, разве что площадь покрытия на регионе EU никакущая.
Сейчас стоит мерлин 384.13
Разница регионов EU/DE-963 против US-0
DE/963
2.4Ghz
/* Locale C-160 (C_160) */
CHANNEL_SET_2, 0, /* Locale channels (20M), locale flags */
RESTRICTED_SET_NONE, /* Restricted channels */
2, /* Locale Maxpwr: 2 elt(s) */
46, RANGE_2G_20M_1_13, RATE_SET_2G_20M_9, /* 11.50dBm, 1-13, (DSSS1-11) */
54, RANGE_2G_20M_1_13, RATE_SET_2G_20M_29, /* 13.50dBm, 1-13, (OFDM6-54) */
5Ghz
/* Locale 18-107 (18_107) */
CHANNEL_SET_19, CLM_DATA_FLAG_DFS_EU, /* Locale channels (20M), locale flags */
RESTRICTED_SET_NONE, /* Restricted channels */
2, /* Locale Maxpwr: 2 elt(s) */
64, RANGE_5G_20M_36_64, RATE_SET_5G_20M_29, /* 16.00dBm, 36-64, (OFDM6-54) */
92, RANGE_5G_20M_100_140, RATE_SET_5G_20M_29, /* 23.00dBm, 100-140, (OFDM6-54) */
US/0
2.4Ghz
/* Locale A6-58 (A6_58) */
CHANNEL_SET_1, 0, /* Locale channels (20M), locale flags */
RESTRICTED_SET_NONE, /* Restricted channels */
5, /* Locale Maxpwr: 5 elt(s) */
92, RANGE_2G_20M_1_1, RATE_SET_2G_20M_9, /* 23.00dBm, 1, (DSSS1-11) */
86, RANGE_2G_20M_1_1, RATE_SET_2G_20M_29, /* 21.50dBm, 1, (OFDM6-54) */
126, RANGE_2G_20M_2_10, RATE_SET_2G_20M_1, /* 31.50dBm, 2-10, (DSSS1-11, OFDM6-54) */
92, RANGE_2G_20M_11_11, RATE_SET_2G_20M_9, /* 23.00dBm, 11, (DSSS1-11) */
86, RANGE_2G_20M_11_11, RATE_SET_2G_20M_29, /* 21.50dBm, 11, (OFDM6-54) */
5Ghz
/* Locale 29e-39 (29e_39) */
CHANNEL_SET_27, CLM_DATA_FLAG_DFS_US, /* Locale channels (20M), locale flags */
RESTRICTED_SET_NONE, /* Restricted channels */
6, /* Locale Maxpwr: 6 elt(s) */
62, RANGE_5G_20M_36_48, RATE_SET_5G_20M_29, /* 15.50dBm, 36-48, (OFDM6-54) */
90, RANGE_5G_20M_52_60, RATE_SET_5G_20M_29, /* 22.50dBm, 52-60, (OFDM6-54) */
80, RANGE_5G_20M_64_100, RATE_SET_5G_20M_29, /* 20.00dBm, 64-100, (OFDM6-54) */
90, RANGE_5G_20M_104_128, RATE_SET_5G_20M_29, /* 22.50dBm, 104-128, (OFDM6-54) */
86, RANGE_5G_20M_132_144, RATE_SET_5G_20M_29, /* 21.50dBm, 132-144, (OFDM6-54) */
118, RANGE_5G_20M_149_165, RATE_SET_5G_20M_29, /* 29.50dBm, 149-165, (OFDM6-54) */
Использую вторую неделю в связке с intel 9260. В целом полет нормальный. Жду через пару недель ax200.
Пока возникло два вопроса.
1. Принтер подключенный к роутеру и настроенный через стандартную прогу от асус, печатает один документ и и перестает работать. В веб интерфейсе подключение остается. После перезагрузки роутера, принтер печатает один документ и снова перестает работать. В чем может быть проблема? Может какой то доступ надо открыть для принтера?
2. К роутеру через лан подключен телек samsung ru7470. При просмотре фильмов через pc share manager спустя 15-20 минут, картинка прерывается с ошибкой «проверьте подключение». При этом телек также видит интернет и share manager работает. До ax88u, использовал 87u и таких проблем не было. В чем может быть проблема?