]> www.hackdaworld.org Git - lectures/dfb-slides.git/blob - wlan2/wlan2-content
-
[lectures/dfb-slides.git] / wlan2 / wlan2-content
1 # T^WaveLAN
2 # D^Teil 2: Einfuehrung in IEEE 802.11b
3 # A^Benedikt 'Hunz' Heinz, Frank Zirkelbach
4 # M^hunz@hunz.org, frank@luga.de
5 # E^Linuxinfotag 2003
6 # L^FH-Augsburg
7 # X^1024
8 # Y^768
9
10 1 802.11b Aufbau
11   # Alle Pakete die von und zum Wireless Device gehen, nennt man Frames
12  1.1 Frame Aufbau
13   + Frame Control (FC)
14    + Frametyp (Type und Subtype)
15    + From oder To DS
16    + WEP ja/nein
17   + MAC Adresse(n)
18   + Frame Body (nur in Daten Frames)
19  1.2 Die wichtigsten Frametypen
20   + Management Frames
21    + Beacon Frames (alle 100ms)
22      AP announced sich und seine Capabilities
23      STAs ermitteln aus Beacon Frames die Signalstaerke 
24      # aus beacons weil regelmaessig und von ap
25    + Probe Request/Response
26      Req: STA sendet Request, dieser enthaelt SSID und unterstuetzte Datenraten
27      Res: SSID, Capabilities
28    + Authentication
29      Es gibt Open System und Shared Key
30      OS:
31      1: STA schickt Auth an AP
32      2: AP schickt Bestaetigung an STA
33      SK:
34      1: STA schickt Auth an AP
35      2: AP schickt Challenge Text an STA
36      3: STA schickt encrypted Challenge Text zurueck an AP
37      4: AP schickt Bestaetigung zurueck
38    + Association Request/Response
39      Req: STA sendet Capabilities, SSID, unterstuetzte Datenraten
40      Res: AP antwortet u.a. mit Status und Association ID
41      Nun ist die STA an dem AP angemeldet
42      (Ausserdem gibt es noch Re/Dis Association)
43   + Control Frames
44    + Request/Clear To Send (RTS/CTS)
45      Anfrage/Bestaetugung zum Senden von Data/Management Frames
46    + Acknowledgement (ACK)
47      Empfangsbestaetigung von Daten und Management Frames
48     Es gibt noch weitere Control Frames, diese sind aber ziemlich langweilig
49   + Data Frames (alle wieder aufwachen ;)
50     4 Typen:
51     Wireless -> Wireless (  )
52     Ethernet -> Wireless (F )
53     Wireless -> Ethernet ( T)
54     Ethernet -> Ethernet (FT) (WDS)
55 2 Betriebsmodi auf Paketebene
56  2.1 Ad-Hoc
57   + Jede STA sendet Beacons
58   # Probes?
59   + keine Authentications oder Associations
60   + kein DS (und damit kein bridging) moeglich
61  2.2 Managed
62   1: Client erkennt AP via Probe Request / Response
63   2: Client authenticatet sich am AP
64   3: Client associated sich am AP
65   4: AP stellt Verbindung zum DS her
66  2.3 Wireless Distribution Systems (WDS)
67   + keine Management Frames noetig
68   + nur Datenframes
69   + verbindet 2 Ethernetsegmente:
70     FromDS und ToDS im FC gesetzt (4 MAC Addressen)
71   + Beispiel: Koenigsplatz, IHK (CityWave)
72 3 "Sicherheit"
73  3.1 Wardriven im Monitoring Mode
74   + Karte wird in passiven Modus geschaltet
75   + sie bucht sich nicht mehr ein, etc. 
76   + gibt alle empfangenen Pakete ungefiltertert an den Host weiter
77  3.2 Hidden SSIDs
78   + APs antworten nicht auf Probes mit leerer SSID
79   + SSID wird in Beacon nichtt mitgesendet
80   + STAs muessen richtige SSID in Probe Requests setzen
81    Gegenmassnahmen:
82   + Probes oder (Re)Association sniffen
83   + STA durch gespoofte Disassociation zum associaten zwingen 
84  3.3 Access Control Lists (ACLs)
85   + AP laesst nur STAs mit bekannter MAC einbuchen
86    Gegenmassnahme:
87   + Freigeschaltete MAC uebernehmen
88  3.4 WEP (RC4)
89   + RC4: Symmetrischer Streamcypher der auf einen PRNG beruht, mit dem der Stream per XOR verknuepft wird
90     Symmetrische Stromchiffrierung mit variabler Schluessellaenge
91     von Ron Rivest fuer RSA Data Security 1987 entwickelt und patentiert
92     7 Jahre lang geheim, dann wurde der Algo publik.
93   + 128 bzw. 64 Bit Keys - davon 24 Bit InitVektor, bei jedem Paket um eins erhoeht
94   + 40 Bit: in ~2 Tagen mit ~10 Computern gebruteforced
95     (1 GHz P3: ~450k Keys/sec)
96   + 104 Bit
97    + Bestimmte IVs lassen Rueckschluesse auf Key zu
98      (neuere Firmwares ueberspringen diese IVs)
99    + Manipulation der verschluesselten Payload moeglich
100      (wegen Linearitaet von RC4 und CRC32 siehe http://cryptolabs.org/wep/)
101    + Bei Kenntniss einer Klartext Payload, lassen sich alle weiteren Pakete des selben IVs berechnen
102      (da Key nur IV, nicht aber Payload abhaengig)