vulnerabilidades en la capa mac de ieee 802.11 - hackelarre
DESCRIPTION
Presentación para la charla sobre vulnerabilidades en la capa MAC en redes IEEE 802.11, dada en el Hacklarre, Hackmeeting 2007, celebrado en Astra, Gernika.TRANSCRIPT
Gernika, 12/13/14-10-2007
HackelarreHackmeeting 2007
[email protected]://blog.txipinet.com
Vulnerabilidades IEEE 802.11 en la capa MAC
2
Introducción
IEEE 802.11 (Wi-Fi)Ensalada de siglas y protocolos:
802.11, 802.11a, 802.11b, 802.11g, 802.11n.IR, FHSS, DSSS, HR/DSSS, OFDM.PCF, DCF, CSMA/CD.WEP, WEP+, DynamicWEP, WPA, WPA2, 802.11i, RSN.RC4, AES, TKIP, CCMP, EAP.
3
Introducción
Pila de protocolos OSI:Capa física. Capa de enlace de datos. Capa de red. Capa de transporte. Capa de sesión. Capa de presentación. Capa de aplicación.
4
La capa MAC en IEEE 802.11
En IEEE 802.11 se definen dos mecanismos de acceso al medio (MAC):
PCF: Point Coordination Function.DCF: Distributed Coordination Function.
5
La capa MAC en IEEE 802.11
PCF:Utiliza un nodo central (AP).Mecanismo de consulta (“polling”):
AP a STA: tienes algo que transmitir?Dos periodos diferentes:
CFP: periodo libre de contienda.CF-Poll: parecido a un token.
CP: periodo de contienda .Similar a DCF.
El estándar dice que es opcional: prácticamente ningún AP comercial implementa PCF.
A excepción del WarpLink AOI-706 de AOpen.
6
La capa MAC en IEEE 802.11
DCF:El acceso al medio es coordinado de forma distribuida.Se usa un mecanismo similar al CSMA/CD de 802.3: CSMA/CA.CSMA/CA:
Carrier Sense Multiple Access with Collision Avoidance.Evitar las colisiones:
ACK.RTS/CTS.
DFWMAC: Distributed Foundation Wireless Medium Access Control.
7
La capa MAC en IEEE 802.11
DFWMAC:
8
La capa MAC en IEEE 802.11
Tipos de tramas:Tramas de gestión:
Beacon Frames.Probe-request/response Frames.(Dis/Re)Association Frames.(De)Authentication Frames.
Tramas de control:Request to Send (RTS) Frames.Clear to Send (CTS) Frames.Acknowledgement (ACK) Frames.
Tramas de datos:Data Frames.
9
DCF a bajo nivel
Cómo funciona DCF:Una STA quiere transmitir:
Detecta si el medio está libre usando CCA de la capa física.Si el medio no está libre, inicializar el “backoff time” (random(CWmin, CWmax)).Comprobación del medio cada DIFS (Distributed InterFrame Space time) microsegundos. ¿Libre? > backoff--.backoff = 0 > transmitir.¿Colisión?
Espera EIFS (Extended InterFrame Space time ) microsegundos.CWmax = CWmax * 2.
10
DCF a bajo nivel
Cómo funciona DCF:Transmisión correcta:
STA receptora envía un ACK después de esperar SIFS (Short InterFrame Space time) microsegundos.
El resto de STAs:Durante la transmisión, escuchan el intercambio de tramas y ajustan su NAV (Net Allocation Vector):
Predicción del tiempo que estará ocupado el medio.
11
DCF a bajo nivel
DCF:DFC en modo básico (ACK) no es capaz de resolver el problema de “estaciones ocultas”:
A puede comunicarse con B y C.B no ve a C y C no ve a B.B ve el canal libre y envía algo a A.C ve el canal libre y envía algo a A.
¿Solución? Uso de RTS/CTS:Gestión de la contienda.Introduce una latencia mayor por el paso de mensajes añadido.
12
DCF a bajo nivel
RTS/CTS:Muy similar al DCF básico.Mecanismo de “backoff” > envío de RTS (Request To Send).El destino responde con un CTS (Clear To Send) después de esperar SIFS microsegundos.El emisor recibe el CTS, espera SIFS microsegundos y finalmente envía los datos.
13
DCF a bajo nivel
DCF básico:
14
DCF a bajo nivel
DCF con RTS/CTS:
15
Ataques a la capa MAC de IEEE 802.11
Vulnerabilidades y ataques:Comportamiento malicioso, codicioso, egoista (“malicious, greedy, selfish behaviour”):
Subvertir el protocolo para el propio beneficio.
16
Ataques a la capa MAC de IEEE 802.11
Misbehaviour MAC:Ventajas para quien lo hace:
Acaparamiento del medio físico, mejora de su throughput.Comportamiento transparente a capas superiores (los IDS normales “no lo ven”).No precisa de condiciones especiales, solamente una red IEEE 802.11.Funciona para todo tipo de tráfico (no como TCP Misbehaviour y UDP, por ejemplo).
17
Ataques a la capa MAC de IEEE 802.11
Tipos de ataque, tráfico uplink:STA > AP: aprox. 10% de tráfico.Echar a perder tramas de otras STAs con colisiones para aumentar su CW:
Ataques contra tramas CTS: escuchar RTS y ocupar el medio.Ataques contra tramas ACK y DATA: no evita la emisión.
Manipular protocolo:Emitir tras un SIFS en lugar de un DIFS.Enviar una trama RTS o DATA que anuncie un tamaño mayor para que el NAV del resto aumente.Reduciendo su cálculo del “backoff”.
18
Ataques a la capa MAC de IEEE 802.11
Tipos de ataque, tráfico downlink:AP > STA: aprox. 90% de tráfico.Poco que hacer a nivel MAC:
En tráfico UDP o ICMP, no hay mucha opción.En TCP puede hacerse TCP Misbehaviour.
19
802.11e y WME/WMN
802.11e:Mejoras en:
Calidad de servicio (QoS).Gestión de energía.
Dos nuevos mecanismos de control de acceso al medio
HCCA (HCF Controlled Channel Access).EDCA (Enhanced Distributed Channel Access).
20
802.11e y WME/WMN
EDCA:Mejora de DCF: contienda.Cada estación define 4 colas:
AC[BK]: tráfico background.AC[BE]: tráfico best-effort.AC[VI]: tráfico video streaming.AC[VO]: tráfico VoIP.
21
802.11e y WME/WMN
EDCA, contienda a dos niveles:A nivel de STA:
Las 4 colas compiten.Colisiones virtuales.
A nivel de red:Colisiones reales.Nuevas variables (TXOP, AIFS, CW).
22
802.11e y WME/WMN
EDCA, nuevas variables:TXOP:
Transmission Oportunity.Intervalo de tiempo máximo de transmision: bursting y fragmentación.
AIFS:Arbitration InterFrame Space time..Similar a DIFS en DCF.DIFS = SIFS * SlotTimeAIFS = SIFS * AIFS[AC] * SlotTime
CW:Contention Window.Igual que en DCF, pero 4 valores CWmin y CWmax.
23
802.11e y WME/WMN
EDCA:
24
802.11e y WME/WMN
EDCA, relación entre AIFS y CW:
25
802.11e y WME/WMN
EDCA, valores para 802.11b:
26
802.11e y WME/WMN
HCCA:Mejora de PCF. Tres periodos:
CP: contienda.CFP: libre de contienda.CAP: Controlled Access Phase, iniciado por al AP para enviar/recibir una trama.
Definición de TCs (Traffic Classes) y TSs (Traffic Streams): en lugar de colas por STAs, colas por tipo de servicio.
27
802.11e y WME/WMN
EDCA vs HCCA:
28
802.11e y WME/WMN
802.11e, otras mejoras:APSD: Automatic Power Save Delivery.
A través de CAP o similar, habilitar el envío/recepción.
BA: Block Acknowledge.Enviar solamente un ACK en tramas burst.
NoACK:Desactivar ACKs para todo.
DLS: Direct Link Setup.STA <> STA sin parar por el AP.Virtual Wi-Fi (M$).
29
802.11e y WME/WMN
WME/WMM:Wireless Multimedia Extensions o Wi-Fi Multimedia Network.Implementación de la Wi-Fi Alliance de 802.11e.Objetivos:
Mejora de QoS.Mejora de gestión de energía.
30
Práctica
Linksys WRT54g:wl wme 1wl cwmin 15wl cwmax 1023
Atheros:iwpriv ath0 wmm 1iwpriv ath0 aifs <#AC> <X> <Y>iwpriv ath0 cwmin <#AC> <X> <Y>iwpriv ath0 cwmax <#AC> <X> <Y>iwpriv ath0 txop <#AC> <X> <Y>iwpriv ath0 noack <#AC> 1
31
Referencias
Presentaciones y trabajos de Alberto López Toledo (U.Columbia), Xiadong Wang (U.Columbia), Jean Pierre Hubaux (EPFL), M. Acharya, S. Chung, A. Banchs, P. Serrano y otros investigadores.Todas las imágenes son propiedad de sus respectivos dueños.Esta obra está protegida por una licencia CC by-sa 2.5, siéntete libre de usarla bajo esos términos.