2 # D^Teil 2: Einfuehrung in IEEE 802.11b
3 # A^Benedikt 'Hunz' Heinz, Frank Zirkelbach
4 # M^hunz@hunz.org, frank@luga.de
11 # Alle Pakete die von und zum Wireless Device gehen, nennt man Frames
14 + Frametyp (Type und Subtype)
18 + Frame Body (nur in Daten Frames)
19 1.2 Die wichtigsten Frametypen
21 + Beacon Frames (alle 100ms)
22 AP announced sich und seine Capabilities
23 STAs ermitteln aus Beacon Frames die Signalstaerke
24 # aus beacons weil regelmaessig und von ap
25 + Probe Request/Response
26 Req: STA sendet Request, dieser enthaelt SSID und unterstuetzte Datenraten
27 Res: SSID, Capabilities
29 Es gibt Open System und Shared Key
31 1: STA schickt Auth an AP
32 2: AP schickt Bestaetigung an STA
34 1: STA schickt Auth an AP
35 2: AP schickt Challenge Text an STA
36 3: STA schickt encrypted Challenge Text zurueck an AP
37 4: AP schickt Bestaetigung zurueck
38 + Association Request/Response
39 Req: STA sendet Capabilities, SSID, unterstuetzte Datenraten
40 Res: AP antwortet u.a. mit Status und Association ID
41 Nun ist die STA an dem AP angemeldet
42 (Ausserdem gibt es noch Re/Dis Association)
44 + Request/Clear To Send (RTS/CTS)
45 Anfrage/Bestaetugung zum Senden von Data/Management Frames
46 + Acknowledgement (ACK)
47 Empfangsbestaetigung von Daten und Management Frames
48 Es gibt noch weitere Control Frames, diese sind aber ziemlich langweilig
49 + Data Frames (alle wieder aufwachen ;)
51 Wireless -> Wireless ( )
52 Ethernet -> Wireless (F )
53 Wireless -> Ethernet ( T)
54 Ethernet -> Ethernet (FT) (WDS)
55 2 Betriebsmodi auf Paketebene
57 + Jede STA sendet Beacons
59 + keine Authentications oder Associations
60 + kein DS (und damit kein bridging) moeglich
62 1: Client erkennt AP via Probe Request / Response
63 2: Client authenticatet sich am AP
64 3: Client associated sich am AP
65 4: AP stellt Verbindung zum DS her
66 2.3 Wireless Distribution Systems (WDS)
67 + keine Management Frames noetig
69 + verbindet 2 Ethernetsegmente:
70 FromDS und ToDS im FC gesetzt (4 MAC Addressen)
71 + Beispiel: Koenigsplatz, IHK (CityWave)
73 3.1 Wardriven im Monitoring Mode
74 + Karte wird in passiven Modus geschaltet
75 + sie bucht sich nicht mehr ein, etc.
76 + gibt alle empfangenen Pakete ungefiltertert an den Host weiter
78 + APs antworten nicht auf Probes mit leerer SSID
79 + SSID wird in Beacon nichtt mitgesendet
80 + STAs muessen richtige SSID in Probe Requests setzen
82 + Probes oder (Re)Association sniffen
83 + STA durch gespoofte Disassociation zum associaten zwingen
84 3.3 Access Control Lists (ACLs)
85 + AP laesst nur STAs mit bekannter MAC einbuchen
87 + Freigeschaltete MAC uebernehmen
89 + RC4: Symmetrischer Streamcypher der auf einen PRNG beruht, mit dem der Stream per XOR verknuepft wird
90 Symmetrische Stromchiffrierung mit variabler Schluessellaenge
91 von Ron Rivest fuer RSA Data Security 1987 entwickelt und patentiert
92 7 Jahre lang geheim, dann wurde der Algo publik.
93 + 128 bzw. 64 Bit Keys - davon 24 Bit InitVektor, bei jedem Paket um eins erhoeht
94 + 40 Bit: in ~2 Tagen mit ~10 Computern gebruteforced
95 (1 GHz P3: ~450k Keys/sec)
97 + Bestimmte IVs lassen Rueckschluesse auf Key zu
98 (neuere Firmwares ueberspringen diese IVs)
99 + Manipulation der verschluesselten Payload moeglich
100 (wegen Linearitaet von RC4 und CRC32 siehe http://cryptolabs.org/wep/)
101 + Bei Kenntniss einer Klartext Payload, lassen sich alle weiteren Pakete des selben IVs berechnen
102 (da Key nur IV, nicht aber Payload abhaengig)