СЦЕНАРІЙ АТАКИ З ВИКОРИСТАННЯМ НЕСАНКЦІОНОВАНОЇ ТОЧКИ ДОСТУПУ У МЕРЕЖАХ IEEE 802.11

One of the most serious security threats to wireless local area networks (WLANs) in recent years is rogue access points that intruders use to spy on and attack. Due to the open nature of the wireless transmission medium, an attacker can easily detect the MAC addresses of other devices, commonly used as unique identifiers for all nodes in the network, and implement a spoofing attack, creating a rogue access point, the so-called "Evil Twin". The attacker goal is to connect legitimate users to a rogue access point and gain access to confidential information. This article discusses the concept, demonstrates the practical implementation and analysis of the “Evil Twin” attack. The algorithm of the intruder's actions, the scenario of attack on the client, and also procedure for setting up the program-implemented rogue access point is shown. It has been proven that the implementation of the attack is possible due to the existence of several access points with the same service set identifier and MAC address in the same area, allowed by 802.11 standard. The reasons for failure operation of the network and possible interception of information as a result of the attack are identified, methods of detecting rogue access points are analyzed. During the experiment, observations of the 802.11 frames showed that there were deviations in the behavior of beacon frames at the time of the "Evil Twin" attack. First, the number of beacon frames coming from the access point which succumbed to the attack is increasing. Secondly, the traffic analyzer detected significant fluctuations in the values of the received signal level, which simultaneously come from a legitimate and rogue access point, which allows to distinguish two groups of beacon frames. The "Evil Twin" attack was implemented and researched using Aircrack-ng – a package of software for auditing wireless networks, and Wireshark – network traffic analyzer. In the future, the results obtained can be used to improve methods of protection against intrusion into wireless networks, in order to develop effective systems for detecting and preventing intrusions into WLAN.Однією з найсерйозніших загроз безпеці безпроводових локальних мереж (WLAN) в останні роки є шахрайські несанкціоновані точки доступу, які зловмисники використовують для шпигунства і атак. Через відкритий характер середовища передачі безпроводових мереж, зловмисник може легко виявляти МАС-адреси інших пристроїв, що зазвичай використовуються як унікальні ідентифікатори для всіх вузлів в мережі та реалізовуючи спуфінг-атаку, створювати несанкціоновану безпроводову точку доступу, так званий, "Злий двійник" (“Evil Twin”). Зловмисник має на меті перепідключити законних користувачів до шахрайської точки доступу та отримати доступ до конфіденційної інформації. У даній статті розглянуто концепцію, продемонстровано практичну реалізацію та досліджено атаку “Evil Twin”. Показано алгоритм дій зловмисника, сценарій атаки на клієнта, а також процедуру налаштування програмно-реалізованої несанкціонованої точки доступу. Доведено, що реалізація атаки можлива завдяки, дозволеному стандартом 802.11, існуванню кількох точок доступу з однаковими ідентифікатором набору послуг та MAC-адресою в одній і тій же області. Виявлено причини порушення функціонування мережі та можливого перехоплення інформації в результаті атаки, проаналізовано сучасні методи виявлення несанкціонованих точок доступу. В ході експерименту, проведено спостереження за кадрами 802.11 та показано, що існують відхилення в поведінці кадрів-маяків під час атаки "Evil Twin". По-перше кількість кадрів-маяків, які надходять від точки доступу, що піддалась атаці, зростає. По-друге, аналізатором трафіку зафіксовано суттєві флуктуації значень рівня прийнятого сигналу, які одночасно надходять від легітимної та шахрайської точки доступу, що дозволяє виділити дві групи кадрів-маяків.  Реалізація та дослідження даного виду атаки проведено з використанням пакету програм для аудиту безпроводових мереж Aircrack-ng та Wireshark для захоплення і аналізу мережного трафіку. В подальшому отримані результати можуть бути використані для вдосконалення методів захисту від стороннього втручання в безпроводові мережі, з метою розробки ефективних систем виявлення і запобігання вторгнень в WLAN

A Method to Detect Rogue Access Points in a Campus without Decrypting WLAN Frames

大学に無線LAN アクセスポイント（以下，AP と呼ぶ）を導入するに当り，許可を得ず接続されたAP や正規のAP を装ったAP 等の不正AP に関するセキュリティ上の課題が存在する．大学では，全学としてのネットワーク管理者（以下，全学ネットワーク管理者と呼ぶ）だけでなく，各サブネットワークごとに管理者を指定していることが多く，ネットワーク全体を把握している管理者が存在しない可能性がある．本論文では，全学ネットワーク管理者の視点で，サブネットワーク管理者との連携を追加で要することなく，検査対象AP のキャンパスネットワークへの接続の有無を判断することにより不正AP を検出する手法について提案する．提案手法では，Windows やAndroid 等のOS に導入されている，Captive Portal Detection（以下，CPD と呼ぶ）を利用する．キャンパスネットワークの上流と無線LAN 通信区間の二箇所におけるCPD 用HTTP 通信の時間差から，検査対象AP のキャンパスネットワークへの接続を確認する．なお，本手法では無線LAN での通信において，WPA2 等の復号を行わず推定している．評価実験では，提案手法によりネットワーク上流から見た各サブネットワークのIP アドレスと無線LAN クライアントが接続したAP の紐付けが可能であることを確認した

Implementasi Sistem Pendeteksi Rogue Access Point dengan Metode Perhitungan Nilai Round Trip Time

Teknologi jaringan nirkabel atau wireless yang semakin berkembang membuat semakin banyak pula kemungkinan akan serangan pada jaringan nirkabel. Hal ini membahayakan bagi keamanan data user. Salah satu serangan yang memanfaatkan jaringan wireless yakni Rogue access point. Rogue access point merupakan sebuah serangan dengan membuat sebuah access point palsu dengan melakukan imitasi SSID dari access point yang sebenarnya atau legitimate access point. Untuk mendeteksi RAP pada sisi client dibuat sistem pendeteksian RAP dengan metode perhitungan nilai round trip time. Sistem pendeteksian ini melakukan pengiriman paket DNS lookup untuk mendapatkan nilai round trip time. RAP akan menghasilkan nilai round trip time yang lebih besar daripada legitimate access point akibat dari pertambahan jumlah hop yang dilaluinya. Untuk meminimalisir dampak dari dari kondisi jaringan yang tidak stabil yang dapat mempengaruhi akurasi pendeteksian, dibuat mekanisme filtering untuk menyaring data round trip time yang anomali. Pengujian dilakukan dengan mengirim DNS lookup pada 50 domain yang berbeda. Pengujian dilakukan pada kedua access point identik yang salah satunya merupakan rogue access point. Perbandingan nilai round trip time yang didapatkan dari kedua access point akan digunakan sebagai parameter dalam menentukan rogue access point. Proses filtering mampu menghapus nilai anomali saat dilakukan pengujian simulasi jaringan lambat dengan menambah delay dengan menggunakan NETEM. Pengujian pertama yang telah dilakukan pada suatu jaringan A dari 100 kali pengujian didapatkan hasil akurasi 90%. Terdapat 10 kali program salah dalam melakukan pendeteksian. Pengujian kedua pada jaringan B dari 100 kali pengujian didapatkan akurasi 95% atau hanya ada 5 kali kesalahan pendeteksian. Pengujian ketiga dilakukan dengan mencatat nilai rata-rata round trip time sebelum dilakukan filtering dan sesudah melakukan filtering. Akurasi yang didapatkan meningkat dari 95% menjadi 97% dampak dari proses filtering yang dilakukan. Akurasi pendeteksian tidak pernah kurang dari 90%

Analysis of cyber risk and associated concentration of research (ACR)² in the security of vehicular edge clouds

Intelligent Transportation Systems (ITS) is a rapidly growing research space with many issues and challenges. One of the major concerns is to successfully integrate connected technologies, such as cloud infrastructure and edge cloud, into ITS. Security has been identified as one of the greatest challenges for the ITS, and security measures require consideration from design to implementation. This work focuses on providing an analysis of cyber risk and associated concentration of research (ACR2). The introduction of ACR2 approach can be used to consider research challenges in VEC and open up further investigation into those threats that are important but under-researched. That is, the approach can identify very high or high risk areas that have a low research concentration. In this way, this research can lay the foundations for the development of further work in securing the future of ITS

Traffic characteristics mechanism for detecting rogue access point in local area network

Rogue Access Point (RAP) is a network vulnerability involving illicit usage of wireless access point in a network environment. The existence of RAP can be identified using network traffic inspection. The purpose of this thesis is to present a study on the use of local area network (LAN) traffic characterisation for typifying wired and wireless network traffic through examination of packet exchange between sender and receiver by using inbound packet capturing with time stamping to indicate the existence of a RAP. The research is based on the analysis of synchronisation response (SYN/ACK), close connection respond (FIN/ACK), push respond (PSH/ACK), and data send (PAYLOAD) of the provider’s flags which are paired with their respective receiver acknowledgment (ACK). The timestamp of each pair is grouped using the Equal Group technique, which produced group means. These means were then categorised into three zones to form zone means. Subsequently, the zone means were used to generate a global mean that served as a threshold value for identifying RAP. A network testbed was developed from which real network traffic was captured and analysed. A mechanism to typify wired and wireless LAN traffic using the analysis of the global mean used in the RAP detection process has been proposed. The research calculated RAP detection threshold value of 0.002 ms for the wired IEEE 802.3 LAN, while wireless IEEE 802.11g is 0.014 ms and IEEE 802.11n is 0.033 ms respectively. This study has contributed a new mechanism for detecting a RAP through traffic characterisation by examining packet communication in the LAN environment. The detection of RAP is crucial in the effort to reduce vulnerability and to ensure integrity of data exchange in LA

Seeing the Unseen: The REVEAL protocol to expose the wireless Man-in-the-Middle

A Man-in-the-Middle (MiM) can collect over-the-air packets whether from a mobile or a base station, process them, possibly modify them, and forward them to the intended receiver. This paper exhibits the REVEAL protocol that can detect a MiM, whether it has half duplex capability, full duplex capability, or double full duplex capability. Protocol is based on synchronizing clocks between the mobile and the base station, with the MiM being detected if it interferes in the synchronization process. Once synchronized, the REVEAL protocol creates a sequence of challenge packets where the transmission times of the packets, their durations, and their frequencies, are chosen to create conflicts at the MiM, and make it impossible for the MiM to function. We implement the REVEAL protocol for detecting a MiM in 4G technology. We instantiate a MiM between the 4G/5G base station and a mobile, and exhibit the successful detection mechanisms. With the shared source code, our work can be reproduced using open software defined cellular networks with off-the-shelf device

Análisis experimental del estado de seguridad en la red inalámbrica de la ESPOL mediante ataques controlados detallando vulnerabilidades y presentando técnicas de prevención y mitigación

Este proyecto se enfocó en la seguridad de la red inalámbrica implementada en la ESPOL, a la cual todos los usuarios con cuentas del dominio espol.edu.ec tienen acceso. Para realizar este análisis se llevaron a cabo técnicas de ataques a la red de forma controlada de manera que no fue perjudicial para la institución y los usuarios. Como primera parte se realizaron ataques para obtener acceso a la red inalámbrica de la ESPOL utilizando credenciales válidas capturadas mediante técnicas de ingeniería social basada en computadora produciendo el robo de identidad. Como segunda parte una vez dentro de la red se comprobaron las vulnerabilidades que existen en algunos servidores web administrados por el Centro de Tecnologías de Información (CTI) mediante ataques de denegación de servicio. Los ataques realizados fueron analizados de acuerdo a su forma de operar y a los resultados que produjeron para luego presentar soluciones favorables a estos escenarios que prevengan y mitiguen las falencias de seguridad en la red inalámbrica.This project focused on the security of the ESPOL University’s Wireless LAN which is used by all the users with accounts in the domain espol.edu.ec such as students and teachers. The analysis was done by performing techniques of attack in a controlled way so that it was not harmful to the institution and the users. In the first part it was possible to obtain access to the wireless network with valid credentials by applying social engineering tools based on computer producing an identity theft. In the second part, once inside the network it was possible to attack the internal servers that are managed by Centro de Tecnologías de Información (CTI) through denial of service attacks. All these attacks were analyzed according to their way of operation and the results they yielded and then presented favorable solutions to these scenarios for preventing and mitigating the lack of security in the wireless LAN

Detection of fake access points

Riziko kybernetických útokov v lokálnych sieťach sa stále zvyšuje v dôsledku podceňovania ich bezpečnosti. V bezdrôtových lokálnych sieťach útočník nevyžaduje fyzický prístup do siete a postrehnutie útoku je takmer nemožné. Typickým znakom falošného prístupového bodu je jeho rovnaká konfigurácia s legitímnym prístupovým bodom, čo zvyšuje efektivitu útoku. Na detekciu kybernetických útokov v lokálnych sieťach sa využívajú detekčné systémy, ktoré obsahujú pokročilé metódy na analýzu zachytenej sieťovej komunikácie. V tejto bakalárskej práci sú analyzované detekčné systémy Suricata a Kismet na základe ktorých je vytvorená vlastná implementácia detekčného systému v jazyku Python na cenovo dostupnom zariadení Raspberry Pi 4. Úspešnosť detekcie kybernetických útokov s využitím falošného prístupového bodu bola overená vytvorením 4 scenárov kybernetických útokov na experimentálnom pracovisku.The risk of cyber-attacks in the local networks is constantly increasing due to the underestimation of their security. In wireless LANs, an attacker does not require physical access to the network. These types of attacks are almost impossible to spot. The typical signature of fake access point is the same configuration as the legitimate access point, which increases the effectivness of the attack. Detection systems are used to detect these cyber-attacks in local networks. Detection systems offer advanced methods for real-time analysis of captured network communication. In this bachelor thesis two open detection systems – Suricata and Kismet are analysed and compared. Custom implementation of detection system is based on functionality analysis of these two detection systems. Custom implemetation is programmed in Python at an affordable Raspberry Pi 4. The success of detecting cyber-attacks using fake access point was tested in 4 different scenarios at the experimental testbed.