Metoder för motverkande av bruteforce-attacker mot Wi-Fi Protected Setup

• Main Authors: Forsman, Erik, Skoglund, Andreas
• Format: Others
• Language: Swedish
• Published: Linnéuniversitetet, Institutionen för datavetenskap, fysik och matematik, DFM 2012
• Subjects: Wi-Fi protected setup; WPS; intrusion detection; IDS; wireless networks; intrångsdetektering; trådlösa nätverk; Computer Sciences; Datavetenskap (datalogi)
• Online Access: http://urn.kb.se/resolve?urn=urn:nbn:se:lnu:diva-20406

Konfigurationsprotokollet Wi-Fi protected setup (WPS) har vissa brister idess design gällande hur autentiseringen av den PIN-kod som används för attansluta en enhet till ett trådlöst nätverk är implementerad. Dessa brister kanutnyttjas av en attackerare för att utföra en bruteforce-attack som på enrelativt kort tid kan identifiera den korrekta koden. Detta arbete har tagit frammetoder för att motverka eller fördröja attacker mot WPS-protokollet sommed relativt enkla medel kan implementeras i befintliga nätverk. Genomutförda praktiska experiment där en fristående server upptäckt en attack ochgenomfört olika försvarsmetoder har de mekanismer som presenterats utvärderats. Slutsatsen är att den effektivaste metoden för att avbryta en bruteforce-attackmot protokollet är att automatiskt byta ut PIN-koden då en attack upptäcks. === Wi-Fi protected setup (WPS), a protocol used to configure wireless clients, isflawed in regard to the design of the authentication procedure for the PIN-code used to connect a new device. This flaw can be exploited by an attackerto perform a brute force attack to identify the code. This report presentsmethods to counteract brute force attacks performed against the WPS-protocol. The study has been performed by practical experiments where thecountermeasures have been evaluated and their performance has beenmeasured. With simple means, such as a third party acting on the routersbehalf in implementing countermeasures against the attacker, the attack canbe counteracted. The conclusion is that the most effective way of countering the WPS-bruteforce attack presented is to automatically replace the PIN-code with arandomly generated one when an attack is detected.