Cisco AP Discovery mit Option 43

Damit Cisco Accesspoints beim Erststart ihren Kontroller finden gibt es mehre Möglichkeiten. Mein persönlicher Favorit ist die Discovery Methode über DNS. Sollte man jedoch nicht die Möglichkeit haben einen DNS Eintrag erstellen zu können oder ist gar kein DNS Server im Netz vorhanden, erweist sich die Discovery Methode via DHCP Option 43 als praktisch.

Option 43 Szenario:

 

 

Kurz nochmal die verschiedenen Methoden im Überblick:

(mehr …)

Printserver NAT Problem

Diese Woche ein Problem tshooten dürfen, wo es um einen Client ging, der einen Printer nicht mehr einmappen konnte, welcher über ein statisches NAT erreichbar ist.

Der Client befindet sich im Netz 192.168.100.0/24
Der Printserver, der den Printer zur Verfügung stellt, im Netz 10.1.1.0/24

Dazwischen ein Router, welcher ein statisches NAT von 192.168.100.251 <-> 10.1.1.180  macht.

(mehr …)

Die 6 dümmsten Wege ein WLAN zu sichern #Teil 1

Beim Sichern von WLAN Netzen gibt es viele Mythen, die sich leider nach all den Jahren immer noch hartnäckig festhalten. In diesem Teil 1, der „Die 6 dümmsten Wege ein WLAN zu sichern“, würde ich gerne auf die ersten drei, der schlimmsten Aberglauben eingehen:

  1. MAC “authentication”

  2. SSID “Verstecken”

  3. LEAP authentication

  4. DHCP Abschalten

  5. Antennen ausrichtung, signal eindämmen

  6. 802.11a (5ghz) oder bluetooth benutzen

 

1) MAC „authentication“

Praktisch jede WLAN Lösung bietet die Möglichkeit eine Accesslist zu definieren, damit nur bestimmte MAC Adressen von WLAN Adapter sich connecten können. Optional kann man dazu noch eine Authentifizierung/Verschlüsselung  zuschalten. Ganz schlimm ist der Aberglaube ein MAC Filter sei eine sichere Methode ein WLAN zu sichern, denn MAC  Adressen werden selbst bei verschlüsseltem Traffic immer clear Text übertragen!

Ein passender Quote hierzu:

In 802.11, management frames such as (de)authentication, (dis)association, beacons, and probes are always unauthenticated and unencrypted. In other words, 802.11 management frames are always sent in an unsecured manner, unlike the data traffic, which are encrypted with protocols such as WPA, WPA2, or, at least, WEP, and so forth.

This allows an attacker to spoof a management frame from the AP to attack a client that is associated to an AP. With the spoofed management frames, an attacker can perform these actions:

Quelle: http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a008080dc8c.shtml

Um diese die MAC Adressen in der Luft zu sniffen genügt ein gängiger WLAN Adapter welcher den sogenannten „promiscuous mode“ oder auch  „Monitor mode“ genannt unterstütz.

Passender Display Filter im Wireshark:

Anzeigen von 802.11 WLAN Traffic:
 wlan
Zeigt nur Beacon Frames an:
 wlan.fc.type_subtype == 0x08
Zeigt management Traffic für eine bestimmte SSID an:
 wlan_mgt.ssid == "MY_SECURE_WLAN"

Ein Capture könnte folgender Massen aussehen:

Quelle: http://dsimoneau.wordpress.com/2012/04/25/wireshark-6-ieee-802-11/

Um dieses Problem zu lösen gibt es heute Verfahren wie beispielsweise Cisco’s „MFP“ Management Frame Protection, welches ich ggF. in einem weiteren Blogeintrag erläutern werde.

2) SSID „Verstecken“

Praktisch jeder WLAN AP bietet dieses Feature, oft auch „dissable broadcast SSID“ genannt. Genauso wie das Filtern von MAC Adressen, ist dieses Feature relativ sinnfrei, da auch die SSID unter bestimmten Umständen in clear text übertragen wird und zwar wenn sich ein Client reauthentificated.
Der Trick hier ist einem Client der mit einem WLAN System verbunden ist ein „Disassociation Frame“ zu schicken, welchen ihn dazu bringt sich nochmals mit dem Accesspoint zu verbinden, dabei macht er eine Re-Authentification (Abgekürzte Variante einer Authentification). Als source MAC Adress spoofed man die MAC des Accesspoints, wodurch man den Client glauben lässt es sein ein seriöse Anfrage.

Dieses Quote hier bringt es auf den Punkt:

"The attacker sends a spoofed Disassociation frame where the source MAC address is set to that of the AP. The station is still authenticated but needs only to reassociate and sends Reassociation Requests to the AP.  The AP may send a Reassociation Response accepting the station and the station can then resume sending data. To prevent Reassociation, the attacker continues to send Disassociation frames for a desired period."

Quelle: http://cecs.wright.edu/~pmateti/InternetSecurity/Lectures/WirelessHacks/Mateti-WirelessHacks.htm

Empfehlen kann ich hierzu den Wireshark display filter auf eine bestimme MAC Adresse:

 wlan.addr==12.23.45.56.78.9A

Guides und tools zu diesem Thema findet man heutzutage tonnenweise. Einfach mal nach „uncovering hidden ssid“ suchen.

Als Fertiglösung bietet sich die LiveCD von Backtrack an:
http://www.backtrack-linux.org/

 

3) LEAP authentication

Lightweight Extensible Authentication Protocol ist eine veraltete properitäre Methode von Cisco, welche auf basis von WEP funktioniert und die Usercredentials im Sessionaufbau in Cleartext überträgt!

Die entsprechenden Wireshark Display Filter hierzu:

eap.type eq 17
eap.leap.peer_response	EAP-LEAP Peer-Response	Sequence of bytes
eap.leap.reserved	EAP-LEAP Reserved	Unsigned integer, 1 byte
eap.leap.version	EAP-LEAP Version	Unsigned integer, 1 byte

Ein Capture sähe folgender Massen aus:

Quelle: http://intellavis.com/blog/?p=138

Network Loop anhand eines Captures erkennen

Network Loops eine unangenehme Sache und können selbst hochperformante Switche in die Knie zwingen. 

Ich habe kürzlich ein Wireshark Capture von einem Loop auf einem 10Gig Link erhalten. Die kleinste Zeiteinheit die man auf der Snifferappliance des Kunden fürs Capturen einstellen Konnte, war 2 Minuten, das ergab ein Capturefile von 2.7Gig!

Anhand des Zeitstempels von Wireshark sieht man deutlich, wie massiv der Traffic auf dem Link war, die Abstände zwischen den einzelnen Frames bewegen sich im Sub- Nanosekunden Bereich!

Doch woran erkennt man das Frames bzw. Pakete im Netzwerk Loopen?

Schauen wir uns den Aufbau eines IPv4 Paketes an, hier gibt es ein interessantes Feld:

(mehr …)