Виявлення бездротових атак, Криптографія, Security & Hack, статті

Системи виявлення бездротових атак (Wireless Intrusion Detection Systems, WIDS) поєднують в собі функції сигнатурних і поведінкових IDS. З їх допомогою також вирішується ряд задач, характерних для сканерів вразливостей. В даний час існує досить багато різноманітних реалізацій подібних систем. В даному розділі робиться спроба опису можливостей систем виявлення бездротових атак, принципів їх роботи і місця в комплексі засобів забезпечення безпеки бездротової мережі.


Можливості WIDS



Всі наведені категорії завдань у тій чи іншій мірі перетинаються, наприклад невірна конфігурація може призводити до відхилення від політики безпеки, або зниження продуктивності мережі.


Основним механізмом, використовуваним WIDS, є пасивний моніторинг трафіку. У зв’язку з цим більшість подібних систем може бути використано в якості бездротового мережевого аналізатора, і навпаки – Багато систем виявлення атак засновані на мережевих аналізаторах.


Інвентаризація бездротових пристроїв


Функція інвентаризації дозволяє адміністратору скласти списки бездротових пристроїв, які формують мережу. Списки можуть складатися або вручну, або на основі аналізу поточного мережевого трафіку. Основним параметром при налаштуванні списків пристроїв є MAC-адресу сайту. Додатково можуть бути задіяні інші параметри бездротових пристроїв, такі як:



В якості додаткового динамічного параметра може використовуватися мінімальний рівень сигналу. Як правило, в WIDS можна задавати декілька різних списків, наприклад: корпоративних мереж, гостьових мереж, мереж сусідів. Отримані списки є основою для подальшої настройки системи, але і самі можуть бути джерелами подій. Наприклад, виявлення точки доступу з SSID корпоративної мережі, але відсутньою у списку легальних пристроїв, може бути ознакою атаки “людина посередині”.


Діагностика пропускної здатності


Більшість систем виявлення бездротових атак мають можливість контролю стану фізичного і канального рівнів мережі 802.11. Ситуації, що призводять до спрацьовування системи, можна розбити на наступні категорії:



Контроль політики безпеки


Контроль політики безпеки здійснюється на основі заздалегідь сформульованих списків корпоративних точок доступу і клієнтів і полягає у виявленні відхилення від деякого базового стану, заданого адміністратором. У більшості систем передбачені наступні можливості контролю прийнятої в компанії політики безпеки бездротової мережі:


Перевірки кожної з груп можуть застосовуватися або до всіх виявляємо мережевим пакетів, або для певних груп точок доступу на основі SSID і списків контролю доступу по MAC-адресами. Це дозволяє задавати різні правила для різних мереж, наприклад, контролювати клієнтів, точки доступу та застосування 802.1x та WPA в основній мережі і не звертати уваги на незахищені взаємодії в поруч розташованій мережі сусідньої компанії. Крім того, в різних частинах корпоративної WLAN (основна мережа, гостьова мережа) можуть діяти різні політики безпеки. Може контролюватися використання наступних технологій захисту бездротових мереж:



Відповідно, якщо адміністратор вказує що в мережі з SSID “Corporate” повинно використовуватися шифрування TKIP з аутентифікацією PEAP, будь-які точки доступу з таким же ідентифікатором мережі, які намагаються використовувати інші технології захисту, будуть викликати спрацьовування системи виявлення атак.


Визначення вразливостей мережі


Задача визначення помилок в конфігурації бездротових мереж тісно переплітається із завданням контролю дотримання політики безпеки. У провідних мережах подібні функції реалізуються за допомогою засобів аналізу захищеності (сканерів), що представляють собою активні утиліти. У бездротових мережах використовується комбінований підхід, що поєднує активні і пасивні методи з пріоритетом останніх.


Помилки в конфігурації можна розбити на наступні групи:



Можна виділити наступні типові помилки в налаштуванні різних компонентів бездротової мережі:



Частина наведених перевірок вимагає додаткової уваги з боку адміністратора. Так, для визначення точок доступу зі стандартними настройками система виявлення атак повинно володіти списком, що містить OUI виробника і стандартний ідентифікатор мережі. Як правило, подібні списки надаються виробником, але практика показує, що вони трохи відстають від дійсності. У зв’язку з цим рекомендується стежити за списками стандартних налаштувань точок доступу і додавати їх в конфігурацію WIDS.


Власне атаки


Кількість виявлених бездротової IDS атак сильно відстає за кількістю від подібної характеристики провідних систем, де список правил виявлення атак може обчислюватися тисячами. Це пов’язано з тим, що WIDS сконцентровані на канальному рівні моделі OSI, що володіє набагато меншою ентропією, ніж наприклад прикладної, для якого створена велика частина сигнатур провідних систем виявлення атак.


Звичайно, система виявлення атак може розшифрувати трафік WEP, WPA або 802.11i у разі використання для аутентифікації статичних ключів, але в корпоративній мережі це швидше виняток, ніж правило. Якщо в мережі використовується аутентифікація 802.1X, система виявлення атак просто не має доступу до ключів шифрування і не може аналізувати дані і заголовки більш високих рівнів, ніж канальний.


Нижче наведено список атак, які виявляються системами AirMagnet.


Таблиця 5.1. Атаки, які виявляються AirMagnet























































Назва атаки


Опис


Airsnarf attack detected


Виявлені спроби використання утиліти Airsnarf для організації помилкових точок доступу і fishing-атак


ARP Request Replay attack


Проводиться атака з повтором перехопленого зашифрованого пакета для прискорення розкриття WEP


Device probing for AP


Клієнт налаштований на встановлення з’єднання з будь-якою точкою доступу


Dictionary attack on EAP methods


Велика кількість невдалих спроб встановити сесію по протоколу EAP


Faked APs detected


Виявлено велику кількість точок доступу, з якими не встановлено не одного з’єднання. Це характерно для ситуацій, коли використовується утиліта FakeAP


Fake DHCP server detected


У бездротової мережі виявлений сервер DHCP


Hotspotter tool detected


Виявлені спроби використання утиліти Hotspotter для організації помилкових точок доступу і fishing-атак


Illegal 802.11 packets detected


Виявлено пакет, що порушує правила стандарту 802.11


Man-in-the middle attack detected


Виявлена ​​спроба організації атаки “людина посередині”


NetStumbler detected


Виявлено трафік, характерний для утиліти NetStumbler


Potential ASLEAP attack detected


Виявлено трафік, характерний для атак на протокол LEAP з використання утиліти ASLEAP


Potential Honey Pot AP detected


Виявлена ​​точка доступу, що маскуються під корпоративну


PSPF violation


Виявлена ​​пряма передача пакетів між клієнтами, що є порушенням політики Publicly Secure Packet Forwarding (PSPF)


Soft AP or Host AP detected


Виявлено використання програмної реалізації точки доступу (HostAP, SoftAP)


Spoofed MAC address detected


Виявлена ​​підміна MAC-адреси, з метою обходу фільтрів на основі MAC-адрес


Wellenreiter detected


Виявлено трафік, характерний для утиліти Wellenreiter


Останнім часом, у зв’язку з великою кількістю виявлених вразливостей в драйверах бездротових адаптерів, в системи WIDS стали включати сигнатури для подібних атак.
Природно сигнатури такого роду не вільні від помилок першого і другого роду. Наприклад, використання картки Orinoco 802.11b зі стандартними драйверами для Windows призводило до спрацьовування сигнатури виявляє заповнення Clear To Send (CTF) пакетами. Ініціалізація мережевий картки або перемикання її на іншу точку доступу може викликати виявлення підміна (spoofing) MAC-адреси. Проблеми можуть виникати при використанні зловмисником нестандартних засобів. Наприклад, при використанні програмних точок доступу на основі драйвера madwifi, а не HostAP і “зашумлення” з їх допомогою ефіру помилковими фреймами beacon атака може бути не виявлена.


Механізми реагування


Основним завданням системи виявлення атак є своєчасне повідомлення адміністратора про потенційні проблеми. У бездротових IDS використовуються традиційні для систем подібного класу механізми оповіщення, такі як:



Як і провідні системи виявлення атак, бездротові IDS можуть використовувати механізми, спрямовані на зниження можливих наслідків виявленої атаки. І точно так само, як і в провідних мережах, таких механізмів два:



Крім того, бездротові системи виявлення атак, як правило, реалізують функції визначення координат джерела сигналу і блокування спроб з’єднання з точок, що знаходяться за межами периметра.


У бездротових мережах роль підроблених TCP-RST пакетів, що застосовуються провідними IDS, виконують керуючі фрейми Disassociate або Deauthentication, по суті система виявлення атак сама проводить атаку, описану раніше в цій главі, причому ця атака може бути спрямована як на точку доступу (Disassociate All), так і на конкретного клієнта бездротової мережі.


При налаштуванні цього механізму необхідно дотримуватися обережності, оскільки Ви напевно є не єдиним користувачем радіоефіру в окрузі. Якщо WIDS налаштована на блокування всіх клієнтів і точок доступу, відсутніх в “білому списку” бездротової мережі компанії, вашим сусідам просто не дадуть нормально працювати.


Деякі з продуктів даного класу, особі ті, які інтегровані з точками доступу, можуть включати MAC-адресу потенційного зловмисника в чорний список на точці доступу, запобігаючи спроби повторного з’єднання. Цю можливість теж бажано використовувати акуратно. Наприклад, при тестуванні захищеності однією з бездротових мереж авторам вдалося вивести її з ладу, витративши буквально кілька десятків пакетів на кожного клієнта. Просто WIDS надовго блокувала на точці доступу MAC-адресу машини, що здійснює атаку. Природно багато атак проводилися від адреси клієнта мережі або точки доступу. Хоча в цій ситуації спроби провести атаки типу “людина посередині” приречені на провал, висновок мережі з ладу сам по собі може заподіяти досить серйозний збиток.


При блокуванні підключень несанкціонованих точок доступу до корпоративної мережі системи виявлення бездротових атак можуть взаємодіяти з комутаторами локальної мережі. Як правило, на WIDS існує можливість задати список адрес комутаторів або будувати його динамічно на основі опитування пристроїв по протоколу SNMP. При виявленні несанкціонованої точки доступу, що порушує політику бездротової безпеки, система по протоколу SNMP опитує відомі пристрої на предмет наявності її MAC-адреси в таблиці комутації. Якщо пошук успішний, то система посилає комутатора команду на блокування порту, до якого підключена точка доступу. На жаль, цей механізм не може бути застосований для блокування клієнтів з ненастроенном бездротовими адаптерами, оскільки встановити адресу проводового інтерфейсу по MAC-адресу бездротового інтерфейсу досить важко.


Перевірити той факту, що точка доступу підключена до провідної мережі компанії, можна відправивши контрольний ARP-запит, який буде ретранслювати в бездротову мережу. Оскільки MAC-адресу відправника передається у відкритому вигляді навіть при використанні протоколів шифрування трафіку, він може бути використаний для контролю появи пакету в бездротової мережі. Справедливо і зворотне – перехопивши і повторно пославши зашифрований ARP-пакет в локальну мережу через несанкціоновану точку доступу, можна по наявності його в дротовому сегменті визначити місце підключення пристрою.


Однією з корисних функцій систем виявлення бездротових атак є можливість визначення координат пристрою, який порушив політику безпеки. У випадку, якщо система використовує один мобільний сенсор, то для позиціонування знадобляться спрямована антена, план будівлі і деяка фізкультурна підготовка.


Зробивши виміри рівня сигналу від шуканого об’єкта з трьох точок, визначаються вектори, за якими спостерігається максимальний рівень. Точкою перетину цих ліній є місце положення джерела радіосигналу. У більшості випадків, вектори не перетнуться в одній крапці, а утворять так званий “трикутник помилок”, розміри якого при невеликих відстанях, будуть дуже великі. Цей метод пеленгації, або тріангуляції добре відомий всім по військовим фільмів і “полювання на лисиць”.



Тріангуляція з направленою антеною


Дуже схожа технологія використовуються в розподілених системах виявлення бездротових атак. При виявленні сигналу шуканого об’єкта кількома сенсорами за рівнем сигналу визначається приблизну відстань до його джерела. Навколо кожного сенсора будується коло, радіус якої обернено пропорційний рівню прийнятого сигналу. Місце розташування джерела сигналу буде перебувати в районі перетину кіл.



Позиціонування пристроїв


У реальних умовах для підвищення точності роботи цього методу потрібно врахування особливостей приміщення, оскільки в більшості випадків відображення і розсіювання сигналу зменшує точність визначення його потужності. Для цього проводять попередні виміри рівня сигналу від джерел, що знаходяться в різних точках приміщення, і на підставі цих даних розраховують відповідні поправки. Природно, в сучасних системах усі розрахунки проводяться автоматично.


Деякі системи автоматично вносять коректування, пов’язані з загасанням і відображенням сигналу, на основі поточної ситуації в ефірі. Для коректного виконання цієї функції адміністратор вказує розташування сенсорів WIDS і точок доступу на плані будівлі, що дозволяє системі визначати відстані від сенсорів до джерел сигналу і обчислювати додатково загасання, що вноситься за рахунок особливостей приміщення.


З функцією визначення місця розташування джерела сигналу пов’язаний ще один цікавий механізм, в даний час широко впроваджується багатьма виробниками WIDS. Суть його полягає в тому, що система виявлення атак блокує спроби підключення з територій, що знаходяться за межами фізичного периметра, навіть якщо підключається цілком легальний клієнт. Це дозволяє обмежити з’єднання до мережі тільки межами фізичного периметра. Однак не варто вважати цей механізм черговий панацеєю. Грамотне використання антен і фізичних особливостей будівлі, і деяка дещиця удачі цілком дозволяють кваліфікованому зловмисникові створити видимість, що з’єднання відбувається з дозволеною території.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*