In questa inervista ci raccontano come hanno messo a punto una tecnica per effettuare Multiuser OFDMA packet capture, ricostruendo i dati trasmessi a ciascun client secondo le RU assegnate a ciascun client dall’AP. Quest’analisi non era possibile in precedenza, se non per la porzione di dati destinati a una singola STA, oppure attraverso funzionalità proprietarie dell’access point.
I ricercatori hanno sviluppato strumenti open source applicabili a hardware commerciale di largo consumo, usando i risultati dell’analisi per valutare l’efficienza dei diversi chipset nel programmare il traffico multiutente.
Tra le fonti citate nello studio, il lavoro pionieristico di Gjermund Raaen, attivo membro della comunità professionale WLAN globale.
Qualche domenica fa mi trovavo su un vagone della metropolitana di una città europea. Ero seduto in testa ed ho aperto il mio analizzatore Wi-Fi preferito per vedere se c’era qualcosa di interessante.
Oltre ai soliti hotspot personali dei passeggeri, ho notato 2 SSID che comparivano sempre sugli stessi canali 104,116,132 5GHz. Il treno si muoveva tra le stazioni, e le due reti comparivano con diversi BSSID a intensità ora crescente, ora decrescente, seguendo il movimento del treno: si trovavano probabilmente lungo la linea. Ero seduto proprio dietro alla cabina del conducente, e mi separavano dai binari in fronte al treno una parete di metallo e il parabrezza della cabina: questo spiega il basso RSSI (al più, -73dBm).
Molti AP a diverso RSSI, due soli SSID: Blue e Red
Da una prima analisi della traccia, si tratta di access point Westermo Netarec, installati in buon numero, a distanza regolare lungo il tunnel, con due reti (Blue e Red) che suggeriscono i due binari nei due sensi di marcia. Sono configurati con intenzione solo su quei 3 canali, larghezza 20 MHz, generazione 802.11a (1999) con minimum basic rate 6 Mbps e max rate 54 Mbps.
Il Country Code è D0, che viene decodificato come All, e tra i canali supportati (ma non utilizzati) vi sono alcuni cabali non consentiti in Europa come 68, 96, 144, 148, 169, tutti con max Tx Power 20dBm (per alcuni di essi ETSI prescrive max 23 dBm, per altri 14 dBm). In ogni caso questi AP usano solo i 3 canali citati sopra, entro i limiti di trasmissione europei, ed è tutto in regola. La rete è protetta con WPA2 Personal.
Deciso a saperne di più, ho configurato il mio dispositivo di packet capture preferito sui 3 canali 5GHz 104,116,132 lasciando correre la cattura per un po’ di fermate. La sera ho esaminato con calma i pcap con Wireshark.
Beacon e broadcast frames
Westermo Neratec è un’azienda svizzera di impianti per la comunicazione industriale e ferroviaria. Gli AP lungo il tunnel trasmettono beacon e quasi esclusivamente data frame in broadcast.
Un solo dispositivo Westermo Neratec si associa a multipli AP lungo il percorso.
Regolarmente, un certo mac address Westermo Neratec, sempre il medesimo, si associa alla rete ed è certamente un dispositivo installato a bordo treno. Qui sopra si notano le association request, sempre verso DCS-Red, il SSID nel senso di marcia del mio treno.
beacon, probe, association e 4-Way Handshake
Il dispositivo di bordo esegue la consueta discovery (il sistema è sicuramente ottimizzato per ascolare e inviare probe solo sui canali configurati), si associa e completa il 4-way handshake (EAPOL frames), e scambia dati con l’AP, talvolta unicast e più spesso broadcast.
Siamo davanti a un sistema di segnalazione ferroviario, che trasmette informazioni continue a tutti i treni (broadcast data frames), e scambia pochi byte di dati con il treno in movimento (unicast data frame).
Il sistema è configurato per l’efficienza: il roaming ottimizzato sui 3 canali è rapido nella discovery e nel rekeying, le modulazioni basse sono robuste (6Mpps MBR) anche in un ambiente con alto multipath. Forse un po’ datato, ma semplice e senza fronzoli.
Il nome della rete è sempre in chiaro nell’Association Request
Dal punto di vista della sicurezza, nascondere il nome della rete nei beacon sarebbe inutile (lo si ricava facilmente dall’Association Request) e controproducente (renderebbe complesso il troubleshooting e la manutenzione). WPA2 Personal con cifratura CCMP AES è resistente agli attacchi brute force se la PSK è complessa e lunga (e la precisione della configurazione lo fa pensare).
Il Wi-Fi è una tecnologia integrante delle nostre società complesse, capace di gestire comunicazioni critiche per la sicurezza e il funzionamento di infrastrutture urbane ad alta densità di informazioni. Adottare frequenze di libero uso consente risultati di qualità a costi contenuti, con un beneficio addizionale per la collettività.
Disclaimer
L’analisi qui presentata ha scopi di ricerca, insegnamento e divulgazione. E’ stata effettuata a partire da segnali, dati e informazioni di pubblico dominio, in aree accessibili al pubblico, utilizzando esclusivamente strumenti passivi di misurazione radio, conformi alla normativa europea ETSI e certificati CE, disponibili sul mercato di largo consumo. I dati presentati fanno parte del protocollo IEEE802.11 e sono componente intrinseca universalmente osservabile del funzionamento delle reti Wi-Fi. Le frequenze radio usate per il servizio RLAN sono definite a livello europeo e armonizzate in Italia sotto l’autorità del MIMIT all’interno del PNRF.
