Deteccin de Intrusiones

en Redes 802.11

ELEP215 - SISTEMAS ELECTRONICOS INDUSTRIALES

Ral Fica
Rodrigo Pradines

Resumen e Introduccin

Resumen

WiFi se ha convertido en la tecnologa dominante

Primeros intentos de seguridad insuficientes, existes vulnerabilidades.
Se recoge, clasifica y evala ataques populares 802.11 y se analiza sus huellas
Ofrece un conjunto de datos de trafico con ataques contra redes 802.11.
Base slida deteccin actual de intrusiones y para redes de siguiente generacin.

Introduccin

La familia de redes 802.11 (WiFi) es la opcin ms popular para conectividad de rea local,
conectividad bajo costo sin esfuerzo.
Con la proliferacin de estas redes y la proliferacin de dispositivos porttiles, "siempre encendido,
siempre conectado, ya es una realidad.
La flexibilidad y la movilidad que ofrecen las redes WiFi , viene con el precio de la cuestionable
seguridad.
Desde la primera versin hay incorporado mecanismos de seguridad .
WEP fue rpidamente encontrada vulnerable, no solo disponibilidad sino que claves secretas.
WPA y WPA2 son ms robustos, pero con creciente potencia de clculo pronto ser inseguro.
En ataques de disponibilidad WPA / WPA2 comparten casi las mismas vulnerabilidades que WEP.
Herramientas de penetracin que automatizan ataques 802.11, fcil de usar.

A. Arquitectura 802.11
Modo Ad hoc
Esta metodologa se caracteriza porque no hay punto
de acceso (AP), las estaciones se comunican
directamente entre s (peer to peer), de esta manera
el rea de cobertura est limitada por el alcance de
cada estacin individual

Modo Infraestructura
En el modo infraestructura como mnimo se
dispone de un punto de acceso (AP) y las
estaciones inalmbricas no se pueden comunicar
directamente, todos los datos deben pasar a
travs del AP

B) Tipos de trama 802.11

Trama de gestin: permite a las STA establecer comunicacin con un AP y preservar la

conectividad con ella.
( a) de autenticacin , (b) Deautenticacin,(c) Solicitud de Asociacin , ( d ) Respuesta de asociacin ,
( e) Solicitud de reasociacin , ( f ) respuesta de reasociacin , ( g ) Disociacin , ( h ) Beacon (baliza) ,
( j ) solicitud de deteccin , ( k ) respuesta de deteccin .
Trama de control: Las tramas de control coordinan el acceso al medio inalmbrico y juegan un papel en
la entrega de tramas de datos desde una STA al AP y vice versa. Una trama de control puede tener uno
de los siguientes tipos : ( a) Solicitud de envo , ( b ) Listo para enviar , ( c ) Reconocimiento , ( d )
ahorro de energa ( PS ) Sondeo.

Trama de datos: Las tramas de datos se utilizan para transmitir la informacin real producido a partir de
otras capas. una trama del tipo datos es el tipo bsico que se utiliza para enviar y recibir datos. Por el
contrario , las tramas de tipo Null de datos no llevan carga til. Se transmiten exclusivamente de una
STA hacia la AP para edificar un cambio en su estado de suspensin

WEP, WPA, WPA2

WEP (Wired Equivalent Privacy): Es el sistema de cifrado incluido en el estndar IEEE 802.11 como
protocolo para redes Wireless que permite cifrar la informacin que se transmite. Proporciona un cifrado,
basado en el algoritmo de cifrado RC4 que utiliza claves de 64 bits o de 128 bits. Actualmente se
considera inseguro.
WPA (Wired Protected Access): Es un sistema para proteger las redes inalmbricas creado para corregir
las deficiencias del sistema previo WEP. Se han encontrado varias debilidades en el algoritmo WEP, como
la reutilizacin del vector de inicializacin, del cual se derivan ataques estadsticos que permiten
recuperar la clave WEP, entre otros. Naci para paliar las deficiencias de seguridad de WEP. Implementa
el estndar 802.11i.
WPA2 (Wired Protected Access 2): Sistema de cifrado creado a partir del WPA y que corrige
vulnerabilidades del anterior. WPA y WPA2 se diferencian poco conceptualmente y difieren principalmente
en el algoritmo de cifrado que emplean. Mientras WPA basa el cifrado de las comunicaciones en el uso
del algoritmo TKIP (Temporary Key Integrity Protocol), que est basado en RC4 al igual que WEP, WPA2
utiliza CCMP (Counter-mode/CBC-MAC Protocol) basado en AES (Advanced Encrytion System). La
segunda diferencia notable se encuentra en el algoritmo utilizado para controlar la integridad del mensaje.
Mientras WPA usa una versin menos elaborada para la generacin del cdigo MIC (Message Integrity
Code), o cdigo Michael, WPA2 implementa una versin mejorada de MIC.

El algoritmo de encriptacin de WEP

Se calcula un CRC de 32 bits de los datos. Este CRC-32 es el mtodo que propone WEP para garantizar
la integridad de los mensajes (ICV, Integrity Check Value).
Se concatena la clave secreta a continuacin del IV formando el seed.
El PRNG (Pseudo-Random Number Generator) de RC4 genera una secuencia de caracteres
pseudoaleatorios (keystream), a partir del seed, Se enva el IV (vector de inicializacin ,sin cifrar) y el
mensaje cifrado dentro del campo de datos (frame body) de la trama IEEE 802.11.

A. Ataques de recuperacin de claves

Ataque FMS:
Este ataque se basa en la teora de debilidad IVs . Cuando un IV ha sido utilizado para cifrar un
paquete, entonces el atacante puede hacer suposiciones seguras sobre el valor del byte n + 1 de la
clave de cifrado , simplemente por tener conocimiento del primer byte de la cadena de claves y los
primeros n bytes de esa clave . En este caso , las condiciones de entrada son fciles de obtener ya
que el primer byte del texto plano es predecible ( que puede tomar uno de los nmero muy limitado de
valores ) .
Familia de ataques KOREK
. Un criptoanalista con el seudnimo KoreK public implementaciones de diecisiete ataques que tienen
como objetivo recuperar la clave WEP . Cada uno de estos ataques se basa en principios matemticos
similares a los de la FMS , pero hace uso de diferentes correlaciones . Una vez ms , estos enfoques
utilizan mtodos estadsticos para elegir claves probables
Ataque PTW (Pyshkin , TWES y Weinmann)
El ataque PTW intenta romper la clave WEP en una manera mucho ms eficiente (es decir , con
mucho menos IVs / tramas de datos ) que los mtodos estadsticos . En la prctica, este ataque est
limitada a los paquetes ARP , con lo que las tcnicas tales como inyeccin de ARP son necesarias
para alguien que desea obtener la clave WEP rpido .

A. Ataques de recuperacin de claves

Inyeccin ARP (Address Resolution Protocol)

inyeccin de ARP no es en realidad un ataque en s mismo , pero puede ser utilizado como un ( con
frecuencia es necesario) paso para cualquiera de los ataques de craqueo de clave. El propsito es
manipular la red para que los nuevos IVs se produzcan de manera constante en gran nmero , incluso si
no hay un trfico real que se mueva en la red. Estos forzosamente generan IVs que sern capturadas por
el atacante y alimenta a los respectivos algoritmos de craqueo de clave en una etapa posterior offline.
Ataque diccionario
El ataque de diccionario es una forma de ataque de fuerza bruta, el atacante pasa por un proceso de
intercambio basado en claves potenciales contenidos en una base de datos grande, normalmente se
conoce como diccionario, mtodo til para WPA/WPA2.

B. Ataques de recuperacin de
keystream.
Ataque Chop Chop
El ataque intercepta la modificacin en el esquema WEP y permite al ataque manipularlo para
obtener la clave.
El primer paso del ataque chop chop es capturar el paquete en el aire y procede a "cortar" el ltimo
byte de la parte cifrada de un paquete y tratar de deducir el valor de texto cifrado real para este
byte.
Debido a la falta de byte, en esta forma truncada, la trama tendr VCI no vlido. El ataque
entonces reemplaza el bit por el valor que debera. Los valores posibles oscilan entre en 00 hasta el
FF en formato alfanumrico haciendo esto un mximo de 256 intentos. El paquete, con este bit ya
modificado es enviado al Access point, si la opcin es correcta se aceptara en l, si no es correcta
se rechazara, una vez encontrado este bit se pasa al siguiente bit y as hasta que se encuentra el
valor para cada bit.

B. Ataques de recuperacin de
keystream.
Ataque Caf Latte:
El ataque aprovecha el hecho de que los clientes suelen mantener una lista de ESSIDs conocidos
junto con sus claves correspondientes, la mayora de los clientes sondea activamente este tipo de
redes cuando estn en un estado no autentificado , revelando de esta manera una lista de redes
con las que han sido asociados en el pasado , el cliente intenta conectarse automticamente a una
red si esa red tiene el mismo ESSID como cualquiera de los sondeadas favoritas. el atacante se
hace pasar por un punto de acceso vlido, a continuacin, el cliente vctima se autentica y se asocia
con el falso AP del atacante, posteriormente el AP falso interacta hasta lograr tener el trafico
suficiente para poder obtener la clave.

C. Ataque de disponibilidad
Ataque desautenticacin: El atacante supervisa el trfico en la red para deducir las
direcciones MAC asociada con un cliente especfico y la del AP. A continuacin, ella forja un
marco de gestin de desautenticacin y lo enva al cliente en nombre de la AP.

Ataque disociacin
Ataque desautenticacin Broadcast
Ataque disociacin Broadcast

Ataque falso de ahorro de energa: Abusando del mecanismo de ahorro de energa, este ataque
bsicamente engaa al AP en pensar que un determinado STA ha cado en modo suspensin.

Ataque desbordamiento solicitud de autenticacin:

Un atacante tendr que emular a un gran nmero de clientes falsos y slo tiene que enviar un
frame de autenticacin en nombre de cada uno de ellos . Despus la tabla de asociacin de
clientes de la AP desborda con entradas falsas , la AP no ser capaz de asociar las STA
legtimas por ms tiempo.

C. Ataque de disponibilidad
Ataque desbordamiento Beacon (baliza)
El atacante podr transmitir un flujo constante de beacons falsos que anuncian ESSID no
existentes. Esto provocar un desbordamiento a la lista de redes disponibles, por lo que es
molesto para el usuario final para localizar su preferida.

Ataque desbordamiento solicitud de deteccin;

Estos mensajes contienen informacin acerca de la red y las capacidades de la AP . Un
atacante puede enviar un flujo constante de falsos paquetes de solicitudes de deteccin . Si
esto se realiza en gran volumen y por perodos prolongados de tiempo, la AP no ser capaz
de permitir servir a sus clientes legtimos tambin, ya que estar probablemente luchando
para responder a los sondeos de los no existentes.

D. Ataques de hombre en el medio

Honeyspot
Son redes creadas y controladas por administradores maliciosos para atraer a los usuarios ingenuos
y luego realizar diferentes ataques a ellos .Por lo general , este tipo de redes estn abiertas y se
anuncian con ESSIDs atractivos (Por ejemplo ,acceso a Internet gratuito , WiFi gratuito , hotspot
abierto, etc. ) con el fin de maximizar el nmero de clientes conectados a ellos . Cuando los usuarios
se conectan todo el trfico es visible para el atacante .

Evil Twin (Gemelo Malvado)

Un gemelo malvado es un caso especial de honeypots que anuncian un ESSID existente para
engaar a los usuarios ingenuos que se conecte a l en lugar de la red vlida. Los Evil Twin AP
son posibles debido al hecho de que los puntos de acceso mltiples con el mismo ESSID se
permite que existan en la misma zona , y en tales situaciones el cliente preferir para conectarse al
que
tiene
la
seal ms fuerte sin tener en cuenta el BSSID del AP legtimo.

EVALUACIONES DE ATAQUES
Dispositivos y Herramientas de Craqueo

Nokia Lumia 800

iPhone 2
Smartphone Samsung Nexus
Tablet Samsung Galaxy Tab

PC de escritorio con:
Linksys WUSB54GC
D-Link DWA-125
Linux Ubuntu 12.04
Windows 7
Aircrack
MDK3
File2air (Scripts personalizados)

Ataques de Craqueo WEP

Se basan en observaciones estadsticas de trfico de una red.

Requiere gran nmero de IVs para tener xito.
Atacantes inyectan paquetes ARP o IP a la red para desencadenar
forzando la obtencin de nuevos IVs

Varias horas

IVs x Minuto

Pocos minutos

Ataques

Promedio IVs

xito

Ao

FMS

5,000,000

50%

2001

Korek

700,000-2,000,000

50%

2004

PTW

40,000-500,000

50% - 95%

2007

VX

32,700

50% - 95%

2007

PTW Modificado

24,200

50% - 95%

2008

respuestas

Resumen
de los resultados
obtenidos de
varios
experimentos

Desbordamiento por Desautenticacin & Disociacin

Es el ms popular ataque DoS en
las redes 802.11

Disociacin

Se us Aircrack suite para el

ataque de Desautenticacin.
Interrupcin significativa en la rutina del
cliente puede ocurrir con 100 tramas
por minuto. (Ej. Navegacin web, etc)
Ningn impacto sustancial entre
WPA y WEP

Desautenticacin

Por qu Desautenticar al cliente?

Evaluacin de otros ataques

FTP files
Desbordamiento por Solicitud de Rastreo
Sobrecarga de sealizacin impuesta a la red
Inalmbrica.
Se enviaron 5000 paquetes de solicitudes de
rastreo mediante File2air (Protocolos TCP/UDP)
Conclusin: Bajo Throughput.

Skype Call

Desbordamiento de Beacon (Baliza)

Transmite beacon anunciando presencia de ESSIDs no existentes
Transmite beacon anunciando ESSIDs reales pero con MAC distintas.
Se utiliz MDK3 mediante inyeccin de tramas baliza.
Ataque exitoso para el PC con linux. Porttil con Windows 7 inmune.
Este ataque, para los dispositivos de mano, previene eficazmente la entrada de nuevos
usuarios a la red, excepto el Samsung Nexus.

Evaluacin de otros ataques

Desbordamiento de Autenticacin Agotan los recursos fsicos del AP.
MDK3 (900 tramas de autenticacin/seg). En los 2 primeros segundos, el cliente no fue capaz
de realizar la autenticacin para entrar a la red (todos los dispositivos), siendo la nica
excepcin el Samsung Nexus, el cual fue capaz de conectar, pero con un retraso notable.

ChopChop
Se us la herramienta Aireplay-ng (de suiteAircrack)
Conclusin: El tiempo de xito de este mtodo depende
del tamao de un paquete.
Tamao

Tramas
Inyectadas

Tiempo
Total

70

6550

131

80

9445

187

122

13255

264

HUELLAS DE ATAQUES
Ataque por Desbordamiento
Crean un aumento repentino de tramas de gestin por unidad de tiempo.
Tenemos, el Ataque Desbordamiento Desautenticacin es uno de los ms difciles de
identificar.

Contiene tramas
producidas por

1400-1600 (AP)
1050-1550 (Real Ataque)

El Ataque baliza provoca un gran aumento en la cantidad tramas baliza.

La herramienta MDK3 es la nica que ofrece una implementacin de este ataque.

Patrn de trfico

los atributos de la huella MDK3

Ataques de Inyeccin
El atacante transmite un gran nmero de pequeas tramas de datos en una cantidad
significativa de tiempo, con la esperanza de generar la respuesta apropiada de la red.

Patrn de trfico durante un ataque de Inyeccin ARP

Intento fallido

Intento exitoso
Aireplay

Ataques de Suplantacin
Introducen un AP adicional donde se est transmitiendo tramas baliza que
advierten una red pre-existente vlida
El nmero de tramas baliza de la red vctima es aproximada el doble
Patrn de trfico durante un ataque Gemelo Malvado

CONJUNTO DE DATOS
Esta seccin describe la familia de conjuntos de datos AWID:
Recopilacin de Datos

TSHARK

Tipos de Dataset, AWID-CLS & AWID-ATK,

archivos PCAP, CSV generados con cierta
estructura.
Composicin del Dataset
AWID-CLS-R-TRN, AWID-ATK-R-TRN.
Se se les pidi a los usuarios hacer
actividades cotidianas para generar trfico
Esquema de registro
Informacin de la capa MAC
Intensidad de la seal
Nmero de paquetes

La Red vlida consista en:

1 PC de escritorio
| 2 laptops
2 Smartphone | 1 Tablet
1 Smart TV

Acer Aspire 5750G corriendo Kali Linux 1.0.6 de 64 bits.

EVALUACION DEL CONJUNTO DE DATOS

Clasificacin mquina de aprendizaje

Data AWID

Coleccin

Framework Weka
AWIDCLS-R-TRN

Ubuntu 12.04 servidor 8 ncleos

VM con 56 GB RAM
(ubicado en el servicio en la nube Azure)

AWID-CLS-R-Tst

Seleccin Atributo Manual basada en criterios Tericos.

20 de 156 atributos juegan un papel crucial cuando se trata de identificar ataques

CONCLUSIONES
Despus de examinar cuidadosamente los patrones de trfico llegamos a la
conclusin que tericamente, de los 156 atributos seleccionados para ser incluidos
en el conjunto de datos, slo el 20 parecen desempear un papel ms significativo
en el legado de la deteccin de intrusin.

Para la construccin de un robusto Sistema de Detecciones de Intrusiones:

- Ser capaz de detectar nuevos ataques - como la tecnologa inalmbrica
madura se descubren nuevas vulnerabilidades perennemente, haciendo
que la
necesidad de deteccin por mal uso sea una constante necesidad.
Por supuesto, AWID se ha comprometido en enriquecer constantemente su base de
datos y ampliarla con cada nueva versin del protocolo 802.11