Empêcher les attaques de désauthentification
Je suis impuissant contre certains kiddy avec backtrack qui utilise à plusieurs reprises aireplay-ng pour désauthentifier les utilisateurs légitimes sur mon réseau de travail Wifi.
J'ai capturé et analysé le trafic réseau sur mon réseau de travail Wifi, et j'ai remarqué une quantité remarquable de paquets de deauth 802.11. Je me rends compte qu'il ne sera peut-être pas possible de l'attraper, ni même de savoir d'où vient l'attaque. Je veux juste savoir: existe-t-il un moyen d'empêcher une telle attaque?
De façon réaliste, vous ne pouvez pas empêcher un méchant d'envoyer des paquets de désauthentification.
Au lieu de cela, vous devez vous concentrer sur votre capacité à résister à une attaque de contre-attaque. Assurez-vous que votre réseau est configuré de manière à ce que l'attaque Deauth ne permette pas à un attaquant de compromettre votre réseau.
Pour ce faire, vous devez vous assurer que vous utilisez WPA2. Si vous utilisez une clé pré-partagée (une phrase secrète), assurez-vous que la phrase secrète est très longue et solide. Si ce n'est pas déjà fait, changez-le immédiatement! Si vous n'utilisez pas WPA2, corrigez cela immédiatement!
La principale raison pour laquelle les méchants envoient des paquets Deauth est que cela les aide à exécuter une attaque par dictionnaire contre votre phrase secrète. Si un méchant capture une copie de la poignée de main initiale, il peut essayer différentes hypothèses sur votre phrase secrète et tester si elles sont correctes. L'envoi d'un paquet Deauth force le périphérique ciblé à se déconnecter et à se reconnecter, permettant à un espion de capturer une copie de la poignée de main initiale. Par conséquent, la pratique courante de nombreux attaquants qui pourraient tenter d'attaquer votre réseau sans fil consiste à envoyer des paquets d'authentification. Si vous voyez de nombreux paquets Deauth, cela signifie que quelqu'un essaie peut-être d'attaquer votre réseau sans fil et de deviner votre phrase secrète.
Une fois que l'attaquant a envoyé un paquet deauth et intercepté la prise de contact initiale, il existe des outils et des services en ligne qui automatisent la tâche d'essayer de récupérer la phrase secrète, en devinant de nombreuses possibilités. (Voir, par exemple, CloudCracker pour un exemple représentatif.)
La défense contre ce type d'attaque est de s'assurer que votre phrase secrète est si longue et solide qu'elle ne peut pas être devinée. Si ce n'est pas déjà long et fort, vous devez le changer tout de suite, car quelqu'un essaie probablement de le deviner au moment où nous parlons.
(L'autre raison pour laquelle un méchant peut envoyer des paquets Deauth est comme une gêne. Cependant, comme la plupart des utilisateurs ne le remarqueront probablement pas, ce n'est pas une gêne très efficace.)
Pour en savoir plus, consultez ces ressources:
Cisco a dirigé une méthode de détection de ces attaques et même de protection de ce type d'attaque si elle est activée et que le périphérique client la prend en charge (prise en charge minimale de CCXv5). La fonctionnalité Cisco est appelée "Management Frame Protection" et tous les détails peuvent être trouvés sur le site Web de Cisco .
En substance, le processus ajoute une valeur de hachage à toutes les trames de gestion envoyées.
Ce processus a été standardisé avec l'amendement IEEE 802.11w publié en 2009 et est pris en charge par la plupart des distributions Linux/BSD modernes dans le noyau. Windows 8 a été introduit avec la prise en charge 802.11w par défaut (ce qui a causé certains problèmes initiaux dans certains environnements). AFAIK, OS X ne prend toujours pas en charge 802.11w.
Pour référence, le 802.11w a été déployé dans la version de maintenance 802.11-2012 de la norme 802.11.
Quelqu'un m'a donné un vote positif qui a rafraîchi cette réponse dans mon esprit et a pensé que c'était dû à une mise à jour.
La Wi-Fi Alliance (WFA) a rendu la prise en charge des cadres de gestion protégés (PMF) obligatoire pour passer les certifications 802.11ac ou Passpoint (aka HotSpot2.0). Cela a considérablement amélioré la prise en charge du 802.11w et vous pouvez même le trouver dans la plupart des appareils grand public aujourd'hui.
Malheureusement, Apple semble toujours être la résistance. Permettez-moi de commencer en disant que j'ai été surpris de constater que Apple n'a pas certifié un seul appareil avec le WFA depuis début 2014 . Je sais que c'est un processus volontaire pour les fournisseurs, mais ne pas participer au processus de certification me semble une mauvaise idée pour un si grand fabricant d'appareils sans fil.
Bien que Apple a ajouté la prise en charge 802.11w, il y a encore des problèmes. À savoir, je suis tombé sur ce message plus tôt cette année détaillant les problèmes avec Apple = connexion à un réseau avec authentification 802.11X et 802.11w requis Les réseaux qui utilisent un PSK (avec 802.11w en option ou requis) semblent fonctionner comme le font les réseaux 802.1X avec 802.11w en option.
Nous y arrivons donc, mais nous avons encore du chemin à parcourir.
La seule façon de prévenir une telle attaque est de bloquer la capacité de l'attaquant à envoyer des transmissions sans fil qui atteindront vos utilisateurs légitimes. Ce n'est pas une solution pratique pour plusieurs raisons (mais des points supplémentaires si vous pouvez convaincre vos employés de s'asseoir dans une Faraday Cage ).
Cette page de blog ici cite certains des standards WiFi pertinents, plus précisément:
La désauthentification n'est pas une demande; c'est une notification. La désauthentification ne sera refusée par aucune des parties.
Donc, non, il n'y a aucun moyen réel d'empêcher une telle attaque.
La norme 802.11 actuelle définit les types de "trames" à utiliser dans la gestion et le contrôle des liaisons sans fil. IEEE 802.11w est la norme des cadres de gestion protégés pour la famille de normes IEEE 802.11. TGw travaille à l'amélioration de la couche de contrôle d'accès moyen IEEE 802.11. L'objectif est d'augmenter la sécurité en assurant la confidentialité des données des trames de gestion, des mécanismes qui permettent l'intégrité des données, l'authenticité de l'origine des données et la protection de la relecture.
==> http://en.wikipedia.org/wiki/IEEE_802.11w-2009
ressemble à une protection contre la deauth et la relecture est déjà dans le noyau bsd/linux:
La norme 802.11w est implémentée sous Linux et BSD dans le cadre de la base de code du pilote 80211mac qui est utilisée par plusieurs interfaces de pilote sans fil, à savoir ath9k. La fonctionnalité est facilement activée dans les noyaux les plus récents et les systèmes d'exploitation Linux utilisant ces combinaisons. Openwrt en particulier fournit une bascule facile dans le cadre de la distribution de base.