Siec radiowa zabezpieczona PPPoE (najprawdopodobniej) - co mozna a co nie mozna?

[pascalt]

Witam,
natknalem sie na siec niezabezpieczona WEPem WPA ani nic z tych rzeczy. Zabezpieczona jest poprzez filtracje MAC i prawdopodobnie przypisanie go do konkretnego IP (boniewaz po zamianie jedynie MACa na jakis zlapany np. Kismetem, czy Airodumpem - numer IP nie jest przydzielany - pozostaje z APIPA i jest ograniczenie lub brak lacznosci (Winda), z kolei po nadaniu statycznego numeru IP oraz maski - ograniczenia lub braku lacznosci nie ma, jednak nie moge pingowac nikogo z sieci, ale co dziwne sniffery zbieraja ruch).
Dodatkowym zabezpieczeniem tej sieci jest jak sadze PPPoE - wywnioskowalem wlasnie z tego, co "mowi" wirehark - otoz w szczegolach pakietu pojawia sie: "PPP-over-Ethernet Session" (rozwijalne). Czy to swiadczy o tym, ze w tej sesji na pewno stosowane jest PPPoE?
A skoro tak i przeciez moge sniffowac, to teoretycznie powinienem pozyskiwac rowniez ramki z zakodowanym haslem na serwer Radiusa. Nie wiem czy dobrze mysle, ale skoro tak, to kwestia rozejrzenia sie za czyms w rodzaju ssldump i po sprawie.

Prosze o potwierdzenie, ew poprawienie jesli cos nie tak.
Pozdrawiam.

[TQM]

Pierwszy raz przenosze post w druga strone, tzn z Newbie do innego dzialu
Sadze ze do Wardriving bardziej pasuje bo dotyczy konkretnych pytan z tej dzialki.

Co do PPPoE - skoro sa ramki PPPoE i dotycza tej sieci to prawodopodobnie masz racje. Co do wejscia do tej sieci - wszystko zalezy od implementacji PPPoE i Radiusa. Teoretycznie polaczenie pomiedzy NAS'em a Radiusem idzie w sposob szyfrowany (chyba ze admin jest zbyt leniwy) i tam za wiele nie podsluchasz bo na dobra sprawe nie wiesz czy idzie to po kablu czy jakis uplink radiowy. Co do komunikacji klienta radiowego a NASem to dopuki wczesniej nie zostanie ustanowione szyfrowanie to jest mozliwosc przeprowadzenia ataku i siec nie jest bezpieczna.

Proponuje na poczatek skupic sie na tym w jaki sposob klient kontaktuje sie z RASem aby rozpoczac autoryzacje do Radiusa. Owszem - PPPoE doklada 'obfuskacje' pakietow ale nie jest to nic specjalnie wyszukanego i przy odrobinie checi da sie to ugryzc, co nie znaczy ze jest to banalnie proste.

Uzywanie PPPoE jest wygodne - dajemy dostep do AP kazdemu a kto ma prawo ruchu dalej to inna bajka... jak sie zaloguje do PPPoE to ma wyjscie na swiat, nie to nie - zostaje na AP z null-routingiem Niestety sposob autoryzacji w PPPoE jest niezbyt silny - o ile pamietam MS-CHAP/MS-CHAP2 zaleznie od konfiguracji NAS'a... wiec po wifi laczy sie kazdy (ok - mac filter moze sie przydac), pozniej adres IP aby pogadac z NAS'em i podniesc PPPoE a tam czeka na nas autoryzacja ktora z NAS'a jest sprawdzana w Radiusie.

Brzmi zagmatwanie ale wcale takie straszne nie jest za to zdecydowanie wystarczy aby wiekszosc cwaniaczkow ktorym sie sporo zdaje trzymac na odleglosc.

[pascalt]

Tqm, dzieki za zainteresowanie tematem (nie spodziewalem sie tak szybkiej odpowiedzi), a orientujesz sie w rozszyfowaniu polaczen SSL? Bo jak sadze polaczenie klienta z RASem jest na pewno szyfrowane, poniewaz bez szyfrowania takie zabezpieczenie nie mialoby sensu... Wiec jak sadze rzecz lezy w przechwyceniu loginu i hasla, ktore klient wysyla w postaci zaszyfrowanego ciagu do RAS?
Zainteresowalem sie programem Ssldump (Linux) - miales moze kontakt z tym programem i mozesz cos na jego temat powiedziec? Chodzi o skutecznosc itp.

[TQM]

SSLdump'em sie nie bawilem a co do polaczenia klient-NAS masz racje, bez szyfrowania nie ma to wielkiego sensu, jednak tak niestety jest zrobiona wiekszosc implementacji - po prostu wielu takich ktorym sie wydaje ze cos wiedza odpusci gdy nie bedzie moglo zrozumiec pakietow bo bedzie tam PPPoE. Jesli siec nie ma kodowania na warstwie polaczenia to logowanie PPPoE nie bedzie zabezpieczone zbyt skutecznie - to jest chyba najslabsze ogniwo w tym momencie.

Przyjrzyj sie ramkom PPPoE co w nich leci a SSLdump nie wiem czy bedzie w ogole potrzebny - tak jak pisalem wszystko zalezy od implementacji a diabel tkwi w szczegolach.

[pascalt]

http://pascalt.fm.interia.pl/Wireshark.JPG

Teraz mam wrazenie, ze nie do konca sie zrozumielismy, bo jako takich odrebnych ramek PPPoE nie zarejestrowalem, widze jednak w kazdej z ramek cos takiego jak na zalaczonym zrzucie - i to wlasnie po tym twierdze, ze siec zabezpieczona jest PPPoE. To samo wystepuje w kazdej ramce (z kazdym protokolem), rozni sie jedynie Session ID oraz Payload Length.
Teraz pytanie - jak to ugryzc?

[TQM]

Ok - tozwinales naglowek PPPoE a co jest w naglowku PPP (Point-to-Point Protocol)? Poza tym widze ze sniffowales juz po podlaczeniu sie do tej sieci, wiec nie masz kompletnych naglowkow w pakietach tylko widzisz juz czesciowo zdekodowana papke.

Najlepiej by bylo gdybys mogl mi dostarczyc dump doslownie po kilkanascie pakietow zebrany w trybie monitor i po podlaczeniu do sieci tak jak to robiles. Nie widzac pelnych ramek kontrolnych nie jestem w stanie powiedziec nic wiecej czy da sie ugryzc to PPPoE czy nie.

[pascalt]

Oki, podaj jak mozesz namiar na poczte ew napisz cos na [email protected] jesli nie chcesz podawac publicznie, to podesle.

Pozdrawiam

[Nikow]

Ja śledzę z zaciekawieniem ten wątek, więc jeśli można przy okazji wysyłania tqm'owi proszę wyślij też je na {DELETED}. Bo inaczej wątek straci sens...

[TQM]

Hmmm - pakiety przejrzalem - w jednym ktos gral w CS'a a w drugim ciagal eMule'm ale nie widzialem tam jak PPPoE ustanawia sesje - jak user sie loguje.
Tzn co mozna a co nie - na pweno mozna sniffowac i dekodowac ruch bez problemu bo nie jest kodowany ani kompresowany - jesli delikwent nie idzie przez SSL to widac co przesyla, jednak eDonkey'a ciezko czyta sie golym okiem no i 50 pakietow jest fajna probka aby zobaczyc co mozna wyciagnac.

Gdyby udalo Ci sie zarejestrowac wiecej pakietow LCP (w nich bedzie tez negocjacja polaczenia PPPoE) to bedzie cos wiecej do poczytania.

[pascalt]

Zalaczylem plik z ramkami PPP LCP, sa one raczej szyfrowane, ale jesli mozesz, to rzuc na nie swoim okiem.

Pozdrawiam i dzieki za dotychczasowa pomoc.