2 # D^Teil 2: Einfuehrung in IEEE 802.11b
3 # A^Benedikt 'Hunz' Heinz, Frank Zirkelbach
4 # M^hunz@hunz.org, frank@luga.de
11 Alle Pakete die von und zum Wireless Device gehen, nennt man Frames
14 + Frametyp (Type und Subtype)
18 + Frame Body (nur in Daten Frames)
19 1.2 Die wichtigsten Frametypen
21 + Beacon Frames (alle 100ms)
22 AP announced sich und seine Capabilities
23 STAs ermitteln aus Beacon Frames die Signalstaerke
24 # aus beacons weil regelmaessig und von ap
25 + Probe Request/Response
26 Req: STA sendet Request, dieser enthaelt SSID und unterstuetzte Datenraten
27 Res: SSID, Capabilities
29 Es gibt Open System und Shared Key
31 1: STA schickt Auth an AP
32 2: AP schickt Bestaetigung an STA
34 1: STA schickt Auth an AP
35 2: AP schickt Challenge Text an STA
36 3: STA schickt encrypted Challenge Text zurueck an AP
37 4: AP schickt Bestaetigung zurueck
38 + Association Request/Response
39 Req: STA sendet Capabilities, SSID, unterstuetzte Datenraten
40 Res: AP antwortet u.a. mit Status und Association ID
41 Nun ist die STA an dem AP angemeldet
42 (Ausserdem gibt es noch Re/Dis Association)
44 + Request/Clear To Send (RTS/CTS)
45 Anfrage/Bestaetugung zum Senden von Data/Management Frames
46 + Acknowledgement (ACK)
47 Empfangsbestaetigung von Daten und Management Frames
48 Es gibt noch weitere Control Frames, diese sind aber ziemlich langweilig
49 + Data Frames (alle wieder aufwachen ;)
51 Wireless -> Wireless ( )
52 Ethernet -> Wireless (F )
53 Wireless -> Ethernet ( T)
54 Ethernet -> Ethernet (FT) (WDS)
55 2 Betriebsmodi auf Paketebene
57 + Jede STA sendet Beacons
59 + keine Authentications oder Associations
60 + kein DS (und damit kein bridging) moeglich
62 1: Client erkennt AP via Probe Request / Response
63 2: Client authenticatet sich am AP
64 3: Client associated sich am AP
65 4: AP stellt Verbindung zum DS her
66 2.3 Wireless Distribution Systems (WDS)
67 + keine Management Frames noetig
69 + verbindet 2 Ethernetsegmente:
70 FromDS und ToDS im FC gesetzt (4 MAC Addressen)
71 + Beispiel: Koenigsplatz, IHK (CityWave)
73 3.1 Wardriven im Monitoring Mode
74 + Karte wird in passiven Modus geschaltet
75 + Firmware "laesst alle Pakete durch"
77 + APs antworten nicht auf Probes mit leerer SSID
78 + SSID wird in Beacon nichtt mitgesendet
79 + STAs muessen richtige SSID in Probe Requests setzen
81 + Probes oder (Re)Association sniffen
82 + STA durch gespoofte Disassociation zum associaten zwingen
83 3.3 Access Control Lists (ACLs)
84 + AP laesst nur STAs mit bekannter MAC einbuchen
86 + Freigeschaltete MAC uebernehmen
88 + RC4: Symmetrischer Streamcypher der auf einen PRNG beruht, mit dem der Stream per XOR verknuepft wird
89 Symmetrische Stromchiffrierung mit variabler Schluessellaenge
90 von Ron Rivest fuer RSA Data Security 1987 entwickelt und patentiert
91 7 Jahre lang geheim, dann wurde der Algo publik.
92 + 128 bzw. 64 Bit Keys - davon 24 Bit InitVektor, bei jedem Paket um eins erhoeht
93 + 40 Bit: in ~2 Tagen mit ~10 Computern gebruteforced
94 (1 GHz P3: ~450k Keys/sec)
96 + Bestimmte IVs lassen Rueckschluesse auf Key zu
97 (neuere Firmwares ueberspringen diese IVs)
98 + Manipulation der verschluesselten Payload moeglich
99 (wegen Linearitaet von RC4 und CRC32, Quelle: http://cryptolabs.org/wep/)
100 + Bei Kenntniss einer Klartext Payload, lassen sich alle weiteren Pakete des selben IVs berechnen
101 (da Key nur IV, nicht aber Payload abhaengig)