Sugestão Para Mitigar os Ataques Através do Uso do 802.11W

Apêndice A
Sugestão para mitigar os ataques através do uso do 802.11w

Para mitigar os ataques apresentados neste trabalho, pode-se recorrer ao protocolo 802.11w ou a alguma solução proprietária de proteção ao quadros de gerenciamento, como por exemplo o MFP (Management Frame Protection) da Cisco ou da MikroTik.

Com o uso do 802.11w, o AP envia um quadro legítimo de Desautenticação contendo um hash (HMAC-SHA1) chamado Message Integrity Code (MIC) que é utilizado para verificar tanto a integridade como a autenticidade de uma mensagem. Este quadro também contém um elemento de informação RSN (Robust Security Network Information Element). O MIC é gerado a partir de uma chave conhecida tanto pelo AP quanto pela estação. Esta recebe o quadro de Desautenticção e a partir dele e da chave pré-compartilhada calcula o MIC e verifica se é igual ao MIC contido no quadro recebido. Caso seja igual, a estação aceita o quadro de Desautenticação, caso contrário, o quadro é descartado.

O atacante não conhece a chave pré-compartilhada e assim, não é capaz de gerar o valor correto do MIC. A estação então, descartará todos os quadros de Desautenticação forjados pelo atacante. Esse cenário é ilustrado na Figura A.1.

[pic 1]

Figura A.1. Com o uso do 802.11w, apenas os quadros de Desautenticação que contenham o valor correto do MIC são aceitos, os demais são descartados.                                                                          Fonte: http://pt.slideshare.net/AirTightWIPS/80211w-is-ratified-so-what-does-it-mean-for-your-wlan

O protocolo 802.11w também oferece um mecanismo para mitigar ataques de inundação de requisições de Associação. Para isso, dois novos quadros de gerenciamento foram criados: o SA (Security  Association) Query Request e o SA Response.

Quando uma estação envia um quadro de Association Request para o AP configurado com o 802.11w, ele por padrão rejeita esta requisição, enviando para a estação um quadro Association Response com um valor no status code igual a 0x001e que significa: “requisição de Associação temporariamente rejeitada, tente novamente mais tarde”. Neste mesmo quadro, há um elemento de informação chamado Timeout Interval que contém o intervalo de tempo máximo, em milissegundos, que a estação deve responder ao AP com uma mensagem SA Response, devidamente criptografada pela chave pré-compartilhada entre o AP e a estação. O AP então envia para a estação uma SA Query Request e espera por uma SA Response até o limite de tempo estabelecido no Timeout Interval. Este processo de associação é ilustrado na Figua A.2.

[pic 2]

Figura A.2. Processo de Associação de uma estação em uma BSS configurada com 802.11w.            Fonte: http://h10032.www1.hp.com/ctg/Manual/c04498304

Caso a estação envie esta mensagem SA Response devidamente criptografada, respeitando o Timeout Interval  e o AP considere esta mensagem válida, os próximo quadros de requisição de Associação enviados pela estação não serão mais rejeitados pelo AP. Caso contrário, as requisições de Associação da estação continuarão a ser rejeitadas.

A.1 Habilitando 802.11w no Ubuntu 14.04

Configurou-se o 802.11w em um notebook Acer com placa de rede Qualcomm Atheros AR9485 com driver ath9k, versão 3.13.0-83-generic e sistema operacional Ubuntu 14.04, de acordo com a descrição exposta na Figura A.3.

[pic 3]

Figura A.3: placa de rede Atheros AR9485 com driver ath9k, na versão 3.13.0-83-generic.

Através das linhas de comando como superusuário, entre no diretório /etc e execute o seguinte comando:

# wpa_passphrase nome_da_SSID senha_PSK > wpa_supplicant.conf

A saída do comando redirecionada para o arquivo wpa_supplicant.conf contém a PSK com 64 caracteres em hexadecimal (256 bits). Abra o arquivo, mantenha esta PSK, o nome da sua SSID e acrescente o seguinte conteúdo:

###################################################################

ctrl_interface=/var/run/wpa_supplicant

ctrl_interface_group=0

update_config=1

network={

        ssid="cafe"

        proto=RSN

        key_mgmt=WPA-PSK WPA-PSK-SHA256

        #psk="s3j4b3mv1nd0"

        psk=e297e80d80cac31945643ae5fd2ea3b349f63572148b12cb40af25354da2e28d

        ieee80211w=2

}

###################################################################

Entre no diretório /etc/network e edite o arquivo interfaces, configurando a interface wlan1 para receber IP via DHCP:

...