web-dev-qa-db-ja.com

認証解除攻撃の防止

私は自分のWifi作業ネットワーク上の正当なユーザーの認証を解除するためにaireplay-ngを繰り返し使用するバックトラックのある子供に対して無力です。

Wifi作業ネットワークのネットワークトラフィックをキャプチャして分析したところ、802.11の認証解除パケットが大量にあることに気付きました。私は彼を捕まえることができないかもしれない、または攻撃がどこから来たのかさえわからないかもしれないことに気づきます。知りたいのですが、そのような攻撃を防ぐ方法はありますか?

53
Tawfik Khalifeh

現実的には、悪意のある人物が認証解除パケットを送信するのを阻止することはできません。

代わりに、認証解除攻撃への耐性を確保することに焦点を当てる必要があります。 deauth攻撃によって攻撃者がネットワークを侵害できないようにネットワークが構成されていることを確認してください。

そのためには、WPA2を使用していることを確認する必要があります。事前共有キー(パスフレーズ)を使用している場合は、パスフレーズが非常に長く強力であることを確認してください。まだの場合は、すぐに変更してください! WPA2を使用していない場合は、すぐに修正してください!

悪意のある人が認証解除パケットを送信する主な理由は、これがパスフレーズに対して辞書攻撃を実行するのに役立つためです。悪者が最初のハンドシェイクのコピーを取得した場合、パスフレーズでさまざまな推測を試し、それらが正しいかどうかをテストできます。認証解除パケットを送信すると、ターゲットデバイスが強制的に切断および再接続され、盗聴者が最初のハンドシェイクのコピーをキャプチャできるようになります。したがって、ワイヤレスネットワークを攻撃しようとする多くの攻撃者の標準的な方法は、認証解除パケットを送信することです。多くの認証解除パケットが表示される場合は、誰かがワイヤレスネットワークを攻撃してパスフレーズを推測しようとしている可能性があります。

攻撃者が認証解除パケットを送信し、最初のハンドシェイクを傍受すると、多くの可能性を推測して、パスフレーズの回復を試みるタスクを自動化するツールとオンラインサービスがあります。 (たとえば、代表的な例については CloudCracker を参照してください。)

この種の攻撃に対する防御策は、パスフレーズが長すぎて推測できないほど強力であることを確認することです。まだ長く長くない場合は、すぐに変更する必要があります。私たちが話すときに、誰かがおそらくそれを推測しようとしているからです。

(悪意のある人がdeauthパケットを送信する可能性があるもう1つの理由は、煩わしいことです。しかし、ほとんどのユーザーはおそらく気付かないでしょうが、それほど効果的な煩わしさではありません。)

詳細については、次のリソースを参照してください。

34
D.W.

シスコは、これらの攻撃を検出し、このタイプの攻撃が有効で、クライアントデバイスがそれをサポートしている場合(CCXv5の最低限のサポート)、保護する方法を主導しました。シスコの機能は「管理フレーム保護」と呼ばれ、完全な詳細は シスコのWebサイトにあります です。

本質的に、プロセスは送信されるすべての管理フレームにハッシュ値を追加します。

このプロセスは2009年にリリースされた IEEE802.11w修正 で標準化され、最新のLinux/BSDディストリビューションでサポートされていますカーネル。 Windows 8は、デフォルトで802.11wをサポートするように導入されました(これにより、一部の環境では初期の問題が発生しました)。私の知る限り、OS Xはまだ802.11wサポートを欠いています。

参考までに、802.11wは802.11標準の802.11-2012メンテナンスリリースに統合されました。


誰かが私に賛成票を与えて、私の心の中でこの答えを更新し、これが更新によるものであると考えました。

Wi-Fi Alliance(WFA)は、802.11acまたはPasspoint(別名HotSpot2.0)認定に合格するために、保護された管理フレーム(PMF)のサポートを必須にしました。これにより、802.11wのサポートが大幅に強化され、現在ではほとんどのコンシューマデバイスでもサポートされています。

残念ながら、Appleはまだホールドアウトのようです。私がそれを見つけて驚いたと言いましょう Appleは2014年の初めからWFAで単一のデバイスを認定していません 。私はこれがベンダーの自発的なプロセスであることを知っていますが、認定プロセスに参加しないことは、無線デバイスのそのような大規模なメーカーにとって私にとって悪い考えのように思えます。

Appleは802.11wサポートを追加しましたが、まだ問題があります。つまり、私は偶然出会った この投稿 今年の初めにApple = 802.11X認証と802.11wが必要なネットワークへの接続PSKを使用するネットワーク(802.11wがオプションまたは必須)は、802.11wオプションが付いた802.1Xネットワークと同じように機能します。

ですから、そこにたどり着きましたが、まだいくらか道があります。

29
YLearn

このような攻撃を防ぐ唯一の方法は、正当なユーザーに到達するワイヤレス送信を送信する攻撃者の機能をブロックすることです。これは、いくつかの理由で実用的な解決策ではありません(ただし、労働者に Faraday Cage に座るように説得できる場合は、余分なポイントがあります)。

これ ブログページはこちら は、関連するWiFi標準の一部を引用しています。

認証解除は要求ではありません。通知です。いずれの当事者も認証解除を拒否することはできません。

したがって、そのような攻撃を防ぐ実際の方法はありません。

20
gowenfawr

現在の802.11標準は、ワイヤレスリンクの管理と制御に使用する「フレーム」タイプを定義しています。 IEEE 802.11wは、IEEE 802.11規格ファミリの保護管理フレーム規格です。 TGwは、IEEE 802.11中規模アクセス制御層の改善に取り組んでいます。これの目的は、管理フレームのデータの機密性、データの整合性、データの起点の信頼性、および再生保護を可能にするメカニズムを提供することにより、セキュリティを高めることです。

==> http://en.wikipedia.org/wiki/IEEE_802.11w-2009

認証解除と再生に対する保護はすでにbsd/linuxカーネルにあるようです:

802.11w標準は、いくつかのワイヤレスドライバーインターフェイス、つまりath9kで使用される80211macドライバーコードベースの一部としてLinuxおよびBSDに実装されています。この機能は、これらの組み合わせを使用する最新のカーネルとLinux OSで簡単に有効にできます。特にOpenwrtは、基本ディストリビューションの一部として簡単な切り替えを提供します。

4
nandoP