Виявлення бездротових атак - wi fi - Програмні продукти

Системи виявлення бездротових атак (Wireless Intrusion Detection Systems, WIDS) поєднують функції сигнатурних і поведінкових IDS. З їхньою допомогою також вирішується ряд завдань, притаманних сканерів уразливостей. Нині існує чимало різноманітних реалізацій подібних систем. У цьому розділі робиться спроба опису можливостей систем виявлення бездротових атак, принципів їх роботи та місця в комплексі засобів безпеки бездротової мережі.

  • Оскільки системи виявлення бездротових атак є молодим класом засобів захисту, набір функцій та підходів до їх реалізації у різних виробників досить серйозно різняться. Незважаючи на це, можна виділити такі основні завдання, які вирішуються за їх допомогою:
  • складання карти бездротової мережі, інвентаризація мережевих пристроїв;
  • діагностика проблем із пропускною спроможністю бездротової мережі;
  • контроль політики безпеки;
  • визначення вразливостей конфігурації бездротових мереж;
  • виявлення та протидія атакам у бездротових мережах;
  • позиціонування мережевих пристроїв;

Основним механізмом, який використовується WIDS, є пасивний моніторинг трафіку. У зв'язку з цим більшість подібних систем може бути використана як бездротовий мережевий аналізатор, і навпаки - багато систем виявлення атак засновані на мережевих аналізаторах.

Інвентаризація бездротових пристроїв

Як додатковий динамічний параметр може використовуватися мінімальний рівень сигналу. Як правило, у WIDS можна задавати кілька різних списків, наприклад: корпоративних мереж, гостьових мереж, мереж сусідів. Отримані списки є основою подальшоїНалаштування системи, але й самі можуть бути джерелами подій. Наприклад, виявлення точки доступу з SSID корпоративної мережі, але в списку легальних пристроїв, може бути ознакою атаки "людина посередині".

Діагностика пропускної спроможності

  • Перевантаження каналу чи пристрою
  • велика кількість клієнтів на точку доступу;
  • надмірне завантаження бездротової мережі або точки доступу;
  • падіння якості сигналу;
  • велика кількість широкомовних пакетів.
  • Помилки у налаштуванні
  • перекриття каналів;
  • точка доступу не підтримує максимально доступну стандарту швидкість передачі;
  • конфліктуючі установки точок доступу з одним ідентифікатором мережі;
  • велика кількість неасоційованих клієнтів, що розсилають Probe Request на швидкості 1 Мбіт/сек.
  • Проблеми сумісності
  • передавач не використовує методи запобігання конфліктам для змішаних (802.11 b/g) мереж;
  • клієнтська станція постійно перемикається між 802.11g та 802.11b;
  • використання нестандартних швидкостей передачі.
  • Аномальний трафік у мережі
  • високий відсоток фрагментованих кадрів;
  • велика кількість повторних передач;
  • передача даних на низьких швидкостях;
  • велика кількість помилок при підрахунку контрольної суми;
  • велика кількість перемикань між точками доступу;
  • мережа перевантажена керуючим трафіком.

    • Контроль безпекової політики

    Контроль політики безпеки здійснюється на основі заздалегідь сформульованих списків корпоративних точок доступу та клієнтів та полягає у виявленні відхилення від деякого базового стану, заданого адміністратором. У більшості системпередбачені такі можливості контролю прийнятої в компанії політики безпеки бездротової мережі:

    • виявлення несанкціонованих клієнтів;
    • виявлення несанкціонованих точок доступу;
    • виявлення порушень ухваленої політики захисту трафіку.

    • шифрування (будь-яке);
    • використання WEP;
    • автентифікація Open System/Shared Key;
    • застосування віртуальних приватних мереж на основі L2TP, IPSec, PPTP, SSH тощо;
    • використання 802.1x з динамічним розподілом ключів WEP;
    • шифрування TKIP (WPA);
    • автентифікація Protected EAP (PEAP);
    • автентифікація на загальних ключах (WPA-PSK, 802.11i-PSK);
    • автентифікація EAP-FAST/LEAP;
    • Шифрування AES (802.11i).

    Відповідно, якщо адміністратор вказує, що в мережі з SSID "Corporate" повинно використовуватися шифрування TKIP з автентифікацією PEAP, будь-які точки доступу з таким же ідентифікатором мережі, які намагаються використовувати інші технології захисту, будуть викликати спрацювання системи виявлення атак.

    Визначення вразливостей мережі

    Завдання визначення помилок у конфігурації бездротових мереж тісно переплітається із завданням контролю за дотриманням політики безпеки. У провідних мережах подібні функції реалізуються за допомогою засобів аналізу захищеності (сканерів), що є активними утилітами. У бездротових мережах використовується комбінований підхід, що поєднує активні та пасивні методи з пріоритетом останніх.

    Помилки конфігурації можна розбити на такі групи:

    • помилки у налаштуванні бездротових клієнтів;
    • помилки в налаштуванні точок доступу;
    • помилки у налаштуванні механізмів захисту.

    Можна виділити такі типові помилки в налаштуванні різнихкомпонентів бездротової мережі:

    Частина перевірок вимагає додаткової уваги з боку адміністратора. Так, для визначення точок доступу зі стандартними налаштуваннями система виявлення атак має володіти списком, що містить OUI виробника та стандартний ідентифікатор мережі. Як правило, такі списки надаються виробником, але практика показує, що вони трохи відстають від дійсності. У зв'язку з цим рекомендується стежити за списками стандартних налаштувань точок доступу та додавати їх до конфігурації WIDS.

    Власне атаки

    Кількість бездротової IDS атак, що виявляються, сильно відстає за кількістю від подібної характеристики провідних систем, де список правил виявлення атак може обчислюватися тисячами. Це пов'язано з тим, що WIDS сконцентровані на канальному рівні моделі OSI, що володіє набагато меншою ентропією, ніж прикладною, для якого створена більша частина сигнатур провідних систем виявлення атак.

    Звичайно, система виявлення атак може розшифрувати трафік WEP, WPA або 802.11i у разі використання для автентифікації статичних ключів, але в корпоративній мережі це виняток, ніж правило. Якщо в мережі використовується автентифікація 802.1X, система виявлення атак просто не має доступу до ключів шифрування і не може аналізувати дані та заголовки вищих рівнів, ніж канальний.

    Нижче наведено список атак, які виявляються системами AirMagnet.

    Таблиця 5.1. Атаки, що виявляються AirMagnet

    Airsnarf attack detected

    Виявлено спроби використання утиліти Airsnarf для організації помилкових точок доступу та fishing-атак

    ARP Request Replay attack

    Проводиться атака із повтором перехопленого зашифрованого пакету для прискореннярозтин WEP

    Device probing for AP

    Клієнт налаштований на встановлення з'єднання з будь-якою точкою доступу

    Dictionary attack на методи EAP

    Велика кількість невдалих спроб встановити сесію за протоколом EAP

    Faked APs виявлено

    Виявлено велику кількість точок доступу, з якими не встановлено жодного з'єднання. Це характерно для ситуацій, коли використовується утиліта FakeAP

    Fake DHCP server виявлено

    У бездротовій мережі виявлено сервер DHCP

    Hotspotter tool detected

    Виявлено спроби використання утиліти Hotspotter для організації помилкових точок доступу та fishing-атак

    Illegal 802.11 пакетів виявлено

    Виявлено пакет, який порушує правила стандарту 802.11.

    Man-in-the middle attack detected

    Виявлено спробу організації атаки "людина посередині"

    Виявлено трафік, характерний для утиліти NetStumbler

    Potential ASLEAP attack detected

    Виявлено трафік, характерний для атак на протокол LEAP з використання утиліти ASLEAP

    Potential Honey Pot AP виявлено

    Виявлено точку доступу, що маскується під корпоративну

    Виявлено пряму передачу пакетів між клієнтами, що є порушенням політики Publicly Secure Packet Forwarding (PSPF)

    Soft AP або Host AP виявлено

    Виявлено використання програмної реалізації точки доступу (HostAP, SoftAP)

    Spoofed MAC address detected

    Виявлено трафік, характерний для утиліти Wellenreiter

    Механізми реагування

    Основним завданням системи виявлення атак є своєчасне повідомлення адміністратора про потенційні проблеми. У бездротових IDS використовуються традиційні для систем такого класу механізми оповіщення, такі як:

    • надсилання повідомлення електронною поштою;
    • повідомлення через службу Messenger;
    • відправка SMS або повідомлення на пейджер;
    • повідомлення через систему миттєвого обміну повідомленнями;
    • передача POST чи GET запиту Web-серверу;
    • передача керуючих повідомлень SNMP;
    • запис повідомлень до журналу подій Windows або на сервер Systlog;
    • друк повідомлень на принтері.

    Як і провідні системи виявлення атак, бездротові IDS можуть використовувати механізми, спрямовані зниження можливих наслідків виявленої атаки. І так само, як і в провідних мережах, таких механізмів два:

    • реалізація DoS-атаки на вузол можливого зловмисника;
    • блокування атакуючого засобами активного мережного устаткування.

    Крім того, бездротові системи виявлення атак, як правило, реалізують функції визначення координат джерела сигналу та блокування спроб з'єднання з точок, що знаходяться за межами периметра.

    У бездротових мережах роль підроблених TCP-RST пакетів, що застосовуються дротовими IDS, виконують керуючі фрейми Disassociate або Deauthentication, по суті система виявлення атак сама проводить атаку, описану раніше в цьому розділі, причому ця атака може бути спрямована як на точку доступу (Disassociate All) , і на конкретного клієнта бездротової мережі.

    При налаштуванні цього механізму необхідно бути обережним, оскільки Ви напевно є не єдиним користувачем радіоефіру в окрузі. Якщо WIDS налаштована на блокування всіх клієнтів та точок доступу, відсутніх у "білому списку" бездротової мережі компанії, вашим сусідам просто не дадуть нормально працювати.

    Однією з корисних функцій систем виявлення бездротових атак єможливість визначення координат устрою, що порушив політику безпеки. Якщо система використовує один мобільний сенсор, то для позиціонування знадобляться спрямована антена, план будівлі та деяка фізкультурна підготовка.

    Зробивши виміри рівня сигналу від об'єкта з трьох точок, визначаються вектори, за якими спостерігається максимальний рівень. Точкою перетину цих ліній є місце розташування джерела радіосигналу. У більшості випадків вектори не перетнуться в одній точці, а утворюють так званий "трикутник помилок", розміри якого при невеликих відстанях будуть дуже великі. Цей метод пеленгації, або тріангуляції добре відомий всім з військових фільмів і "полювання на лисиць".

    атак
    Тріангуляція з спрямованою антеною

    Дуже схожа технологія використовується у розподілених системах виявлення бездротових атак. При виявленні сигналу об'єкта, що шукається, кількома сенсорами за рівнем сигналу визначається приблизна відстань до його джерела. Навколо кожного сенсора будується коло, радіус якого обернено пропорційний рівню сигналу, що приймається. Місце розташування джерела сигналу перебуватиме у районі перетину кіл.

    атак
    Позиціонування пристроїв

    В реальних умовах підвищення точності роботи цього методу потрібно облік особливостей приміщення, оскільки у більшості випадків відображення і розсіювання сигналу зменшує точність визначення його потужності. Для цього проводять попередні вимірювання рівня сигналу від джерел, що знаходяться в різних точках приміщення, і на підставі цих даних розраховують відповідні виправлення. Звичайно, в сучасних системах всі розрахунки проводяться автоматично.

    Деякі системи автоматично вносять коригування,пов'язані із загасанням та відображенням сигналу, на основі поточної ситуації в ефірі. Для коректного виконання цієї функції адміністратор вказує розташування сенсорів WIDS та точок доступу на плані будівлі, що дозволяє системі визначати відстані від сенсорів до джерел сигналу та обчислювати додатково згасання, що вноситься за рахунок особливостей приміщення.

    З функцією визначення розташування джерела сигналу пов'язаний ще один цікавий механізм, в даний час широко впроваджується багатьма виробниками WIDS. Суть його полягає в тому, що система виявлення атак блокує спроби підключення з територій, що знаходяться за межами фізичного периметра, навіть якщо підключається легальний клієнт. Це дозволяє обмежити з'єднання до мережі лише за межами фізичного периметра. Однак не варто вважати цей механізм черговою панацеєю. Грамотне використання антен та фізичних особливостей будівлі, і деяка частка удачі цілком дозволяють кваліфікованому зловмиснику створити видимість, що з'єднання відбувається з дозволеної території.