תיעוד תנועה ב-WLAN

כשמבצעים לכידה של מנות Wi-Fi, אפשר לראות פרטים ואינטראקציות שמוסתרים בדרך כלל לפני שהם מגיעים לתוכנה שפועלת במכשיר. לכן, הלכידות האלה הן כלי חשוב לזיהוי באגים מסוגים מסוימים.

השלבים העיקריים הם:

1. מוצאים את הערוץ המתאים להאזנה.
2. משיכת תנועת גולשים.
3. שיתוף הצילום וגיבוב של הסיסמה לרשת ה-WLAN.

1. איך בוחרים את הערוץ והרוחב הנכונים

רשתות WLAN פועלות ב:

• ערוץ, שבדרך כלל מצוין באמצעות מספר. ‫1-13 הוא עבור ערוצי 2.4GHz,‏ 36-200 הוא עבור ערוצי 5GHz
• ברוחב ספציפי (20MHz, ‏ 40MHz, ‏ 80MHz, ‏ 160MHz)

לכל נקודת גישה (לדוגמה, נתב, צומת רשת) ברשת שלכם יש בדרך כלל ערוץ ייחודי בתדר ‎2.4 GHz וערוץ בתדר ‎5 GHz, ואתם צריכים לגלות לאיזה מהם המכשיר מחובר. קיימות מספר אפשרויות:

שימוש בלוח הבקרה של הנתב

אם אתם משתמשים ב-Nest WiFi, דלגו על האפשרות הזו – המידע לא נחשף.

לרוב הנתבים יש רשימה של מכשירים מחוברים, ורשימה של הערוץ ורוחב הפס שבהם הם משתמשים.

1. אפשר להיעזר במדריך הזה כדי למצוא את כתובת ה-IP של הנתב.
2. בדפדפן האינטרנט, עוברים לכתובת של הנתב, לדוגמה: http://192.168.1.1.
3. מתחברים לחשבון. לא יודעים מה הסיסמה? מחפשים תג על הנתב או משתמשים בסיסמאות לנתבים.

4. מחפשים דף עם שם כמו 'לקוחות' או 'מכשירים מצורפים'. לדוגמה, דף של נתב Netgear יכול להיראות כך, או במכשירי Eero.

   

5. יכול להיות שתצטרכו לחפש במקום אחר בהגדרות כדי למפות את המידע משלב 4 לערוץ ולרוחב פס מסוימים. לדוגמה, נתב Netgear:

   

אם המחשב שלכם כבר מחובר לאותו ערוץ, אתם יכולים להשתמש בו

מחזיקים את המקש Option במקלדת ולוחצים על סמל ה-WLAN בפינה השמאלית העליונה של שורת הסטטוס ב-Mac. אמור להופיע תפריט ה-WLAN הרגיל עם כמה אפשרויות ופרטים נוספים. כדאי לעיין באפשרויות בתפריט שלא זמינות ולחפש את האפשרות שבה מוזכר הערוץ:

`Channel 60 (DFS, 5GHz, 40MHz)`

לא ניתן למצוא את הערוץ והרוחב

אם השיטות האחרות לא עובדות, אפשר לנסות:

1. צריך לפרט את כל הערוצים שנקודות הגישה משתמשות בהם (בדרך כלל 2 לכל נקודת גישה או נקודת רשת).

   א. מומלץ בטלפון Android, אפשר להשתמש באפליקציה כמו Wifiman או Aruba Utilities.

   א. במחשב Mac, אפשר להשתמש ב-/System/Library/PrivateFrameworks/Apple80211.framework/Resources/airport-s כדי להציג רשימה של אפשרויות.

2. מבצעים צילום קצר (גם 15 שניות מספיקות) בכל אחד מהערוצים האלה, לפי ההוראות שבהמשך

3. מתקינים את Wireshark (עזרה זמינה במאמר התקנת Wireshark).

4. פותחים כל אחת מהתפיסות באמצעות Wireshark, מחילים מסנן תצוגה של wlan.addr == YOUR_DEVICE'S_MAC ובודקים אם מופיעים חבילות כלשהן.

2. התחלת הצילום

חשוב: תיעוד לחיצת היד ב-4 כיוונים

אם האבטחה מופעלת ב-Wi-Fi, צריך לדעת את מפתחות ההצפנה כדי לפענח את החבילות שנתפסו. מפתחות ההצפנה נגזרים משיטת אימות בת 4 שלבים שמתרחשת כשהמכשיר מתחבר לרשת, והם ייחודיים לכל חיבור בין מכשיר לנקודת הגישה.

לכן חובה לתעד את לחיצת היד בת 4 השלבים כדי לפענח את מטען ה-Wi-Fi. אם המכשיר כבר מחובר לרשת כשמתחילים את הלכידה, צריך לנתק את המכשיר ולחבר אותו מחדש (או להפעיל אותו מחדש) אחרי שהריח מתחיל.

צילום ב-Mac

בזמן שלוחצים לחיצה ארוכה על מקש Option במקלדת, לוחצים על סמל ה-WLAN ובוחרים באפשרות 'פתיחת אבחון של רשת אלחוטית…':

בסרגל התפריטים של Wireless Diagnostics, בוחרים באפשרות Window > Sniffer (חלון > כלי לניתוח תעבורת רשת):

מגדירים את הערוץ והרוחב לערכים שאוחזרו קודם (צילום המסך לדוגמה הוא עבור ערוץ 60 ורוחב 40 מגה-הרץ):

לוחצים על Start ומזינים את הסיסמה. עכשיו, מנסים לשחזר את הבעיה. חשוב לוודא שצילמתם את לחיצת היד בת 4 השלבים מחיבור, כמו שמתואר במאמר צילום לחיצת היד בת 4 השלבים.

בסיום, לוחצים על Stop. קובץ *.pcap חדש יופיע ב-/var/tmp, והוא יכלול את כל התנועה. דוגמה לשם קובץ: (null)_ch100_2018-11-06_10.52.01.pcap.

צילום מסך ב-Linux

1. מכבים את ה-Wi-Fi. אפשר לעשות זאת באחת מהדרכים הבאות:

   • שימוש בממשק המשתמש הגרפי (מומלץ)
   • שימוש ב-CLI של Network Manager כדי להפסיק את הניהול של ממשק ה-WLAN: sudo nmcli dev set <wlan-ifname> managed on
   • אם משתמשים במנהל רשת חלופי, צריך לבצע את ההתאמות הנדרשות.

2. שומרים את הסקריפט. מחליפים את <wlan-ifname> בשם של ממשק ה-Wi-Fi. ההנחה במסמך הזה היא ששם הסקריפט הוא setup-wifi-capture.

   #!/usr/bin/env bash
   sudo ifconfig <wlan-ifname>  down
   sudo rfkill unblock wifi
   sudo iwconfig <wlan-ifname>  mode monitor
   sudo ifconfig <wlan-ifname>  up
   sudo iw dev <wlan-ifname> set channel $@

3. מריצים את הסקריפט הקודם ומעבירים את הערוץ ואת רוחב הפס הגבוה ביותר לניטור. לדוגמה, ערוץ 153 עם רוחב פס של 80MHz:

   ./setup-wifi-capture chan 153 80 MHz

4. פותחים את Wireshark, ועכשיו אמורה להיות לכם אפשרות לתעד חבילות ב-wlan interface.

3. שיתוף הצילום

1. משתמשים במחולל WPA PSK (מפתח גולמי) כדי ליצור גיבוב של הסיסמה. כך אפשר לפענח את הלכידה בלי לדעת את הסיסמה בטקסט רגיל.

2. צריך גם לשתף את ה-PSK שנוצר כדי שאחרים יוכלו לפענח את הלכידה.

נספח

התקנת Wireshark

אפשר להתקין את Wireshark באמצעות הפקודה apt install wireshark ב-Linux או להוריד אותו באינטרנט מהאתר של Wireshark.

הגדרת Wireshark לפענוח תעבורת נתונים

אין צורך בכך כדי לשתף את קובצי הלכידה, אלא רק אם רוצים לבדוק בעצמכם את התנועה שפוענחה ב-Wireshark.

באבטחת WPA2 ב-Wi-Fi, לא נעשה שימוש ישיר ב-WPA2-PSK להצפנה ולפענוח של התנועה. הוא משמש בלחיצת יד בת 4 שלבים, שצריך לתעד כדי לפענח חבילות. עם זאת, אם אתם מנסים ללכוד רק בעיות בחיבור ל-Wi-Fi או נפילות בקישוריות, שאפשר להסיק אותן מפריימים של ניהול Wi-Fi, אתם לא צריכים ללכוד את לחיצת היד בת 4 השלבים. בכל מקרה, כדאי לצלם את המסך.

פותחים את Wireshark ואת דף ההעדפות (תפריט Wireshark > העדפות או **Cmd + , **).

1. בקטגוריה 'פרוטוקולים', מחפשים את הקטע 'IEEE 802.11' ומוודאים שהתיבה 'הפעלת פענוח' מסומנת:

   

2. לוחצים על הלחצן עריכה לצד התווית מפתחות פענוח.

3. לוחצים על הלחצן '+' בפינה הימנית התחתונה ובוחרים באפשרות wpa-pwd.

   

4. לוחצים על עמודת המפתח של השורה החדשה שנוצרה (מימין למחרוזת wpa-pwd), מקלידים את מפתח ה-PSK ואת ה-SSID של WPA2 בפורמט <password>:<ssid>. לדוגמה, אם שם הרשת הוא MyHomeNetwork וסיסמת ה-WPA2 PSK היא myp4ssword, מקלידים myp4ssword:MyHomeNetwork.

   

5. לוחצים על 'אישור' כדי לאשר.

מידע נוסף זמין במדריך הרשמי של Wireshark (עם צילומי מסך) במאמר How to Decrypt 802.11.

אם משתמשים ב-tshark, מעבירים את הארגומנטים הבאים:

tshark -o wlan.enable_decryption:TRUE -o 'uat:80211_keys:"wpa-pwd","<psk>:<ssid>"'

צביעה של נתוני Wireshark 802.11

בכתובת metageek.com יש פרופיל צבעים שימושי של 802.11: פרופיל הגדרה של Wireshark.