Обнаружение беспроводных атак

Источник: securitylab
Сергей Гордейчик Владимир Дубровин

Системы обнаружения беспроводных атак (Wireless Intrusion Detection Systems, WIDS) сочетают в себе функции сигнатурных и поведенческих IDS. С их помощью также решается ряд задач, характерных для сканеров уязвимостей. В настоящее время существует достаточно много разнообразных реализаций подобных систем. В данном разделе делается попытка описания возможностей систем обнаружения беспроводных атак, принципов их работы и места в комплексе средств обеспечения безопасности беспроводной сети.

Возможности WIDS

  • Поскольку системы обнаружения беспроводных атак являются молодым классом средств защиты, набор функций и подходов к их реализации у различных производителей довольно серьезно различаются. Несмотря на это, можно выделить следующие основные задачи, решаемые с их помощью:
  • составление карты беспроводной сети, инвентаризация сетевых устройств;
  • диагностика проблем с пропускной способности беспроводной сети;
  • контроль политики безопасности;
  • определение уязвимостей конфигурации беспроводных сетей;
  • обнаружение и противодействие атакам в беспроводных сетях;
  • позиционирование сетевых устройств;

Все приведенные категории задач в той или иной мере пересекаются, например неверная конфигурация может приводить к отклонению от политики безопасности, или снижению производительности сети.

Основным механизмом, используемым WIDS, является пассивный мониторинг трафика. В связи с этим большинство подобных систем может быть использовано в качестве беспроводного сетевого анализатора, и наоборот - многие системы обнаружения атак основаны на сетевых анализаторах.

Инвентаризация беспроводных устройств

Функция инвентаризации позволяет администратору составить списки беспроводных устройств, формирующих сеть. Списки могут составляться либо вручную, либо на основе анализа текущего сетевого трафика. Основным параметром при настройке списков устройств является MAC-адрес узла. Дополнительно могут быть задействованы другие параметры беспроводных устройств, такие как:

  • используемый канал 802.11b/g/a;
  • идентификатор производителя в MAC-адресе (IEEE OUI);
  • используемый вариант протокола 802.11 (802.11a, 802.11b, 802.11g или различные сочетания);
  • идентификатор сети (SSID).

В качестве дополнительного динамического параметра может использоваться минимальный уровень сигнала. Как правило, в WIDS можно задавать несколько различных списков, например: корпоративных сетей, гостевых сетей, сетей соседей. Полученные списки являются основой для дальнейшей настройки системы, но и сами могут быть источниками событий. Например, обнаружение точки доступа с SSID корпоративной сети, но отсутствующей в списке легальных устройств, может быть признаком атаки "человек посередине".

Диагностика пропускной способности

Большинство систем обнаружения беспроводных атак имеют возможность контроля состояния физического и канального уровней сети 802.11. Ситуации, приводящие к срабатыванию системы, можно разбить на следующие категории:

  • Перегрузка канала или устройства
    • большое количество клиентов на точку доступа;
    • чрезмерная загрузка беспроводной сети или точки доступа;
    • падение качества сигнала;
    • большое количество широковещательных пакетов.
  • Ошибки в настройке
    • перекрытие каналов;
    • точка доступа не поддерживает максимально доступную для стандарта скорость передачи;
    • конфликтующие настройки точек доступа с одним идентификатором сети;
    • большое количество неассоциированных клиентов, рассылающих Probe Request на скорости 1 Мбит/cек.
  • Проблемы совместимости
    • передатчик не использует методы предотвращения конфликтов для смешанных (802.11 b/g) сетей;
    • клиентская станция постоянно переключается между 802.11g и 802.11b;
    • использование нестандартных скоростей передачи.
  • Аномальный трафик в сети
    • высокий процент фрагментированных фреймов;
    • большое количество повторных передач;
    • передача данных на низких скоростях;
    • большое количество ошибок при подсчете контрольной суммы;
    • большое количество переключений между точками доступа;
    • сеть перегружена управляющим трафиком.

Контроль политики безопасности

Контроль политики безопасности осуществляется на основе заранее сформулированных списков корпоративных точек доступа и клиентов и заключается в обнаружении отклонения от некоторого базового состояния, заданного администратором. В большинстве систем предусмотрены следующие возможности контроля принятой в компании политики безопасности беспроводной сети:

  • обнаружение несанкционированных клиентов;
  • обнаружение несанкционированных точек доступа;
  • обнаружение нарушений принятой политики защиты трафика.

Проверки каждой из групп могут применяться либо ко всем обнаруживаем сетевым пакетам, либо для определенных групп точек доступа на основе SSID и списков контроля доступа по MAC-адресам.  Это позволяет задавать разные правила для различных сетей, например, контролировать клиентов, точки доступа и применение 802.1x и WPA в основной сети и не обращать внимания на незащищенные взаимодействия в рядом расположенной сети соседней компании. Кроме того, в разных частях корпоративной WLAN (основная сеть, гостевая сеть) могут действовать различные политики безопасности. Может контролироваться использование следующих технологий защиты беспроводных сетей:

  • шифрование (любое);
  • использование WEP;
  • аутентификация Open System/Shared Key;
  • применение виртуальных частных сетей на основе L2TP, IPSec, PPTP, SSH и т.д.;
  • использование 802.1x с динамическим распределением ключей WEP;
  • шифрование TKIP (WPA);
  • аутентификация Protected EAP (PEAP);
  • аутентификация на общих ключах (WPA-PSK, 802.11i-PSK);
  • аутентификация EAP-FAST/LEAP;
  • шифрование AES (802.11i).

Соответственно, если администратор указывает что в сети с SSID "Corporate" должно использоваться шифрование TKIP с аутентификацией PEAP, любые точки доступа с таким же  идентификатором сети, пытающиеся использовать другие технологии защиты, будут вызывать срабатывание системы обнаружения атак.

Определение уязвимостей сети

Задача определения ошибок в конфигурации беспроводных сетей тесно переплетается с задачей контроля соблюдения политики безопасности. В проводных сетях подобные функции реализуются с помощью средств анализа защищенности (сканеров), представляющих собой активные утилиты. В беспроводных сетях используется комбинированный подход, сочетающий активные и пассивные методы с  приоритетом последних.

Ошибки в конфигурации можно разбить на следующие группы:

  • ошибки в настройке беспроводных клиентов;
  • ошибки в настройке точек доступа;
  • ошибки в настройке механизмов защиты.

Можно выделить следующие типичные ошибки в настройке различных компонентов беспроводной сети:

  • Рабочие места пользователей
    • наличие рабочих станций в режиме Ad-Hoc;
    • клиент с несколькими профилями соединений;
    • наличие неассоциированных клиентов;
    • использование аутентификации типа Open System/Shared Key;
    • использование клиентом в режиме Ad-Hoc идентификатора SSID точки доступа.
  • Точки беспроводного доступа
    • использование настроек "по умолчанию";
    • широковещательная рассылка SSID;
    • использование аутентификации типа Open System/Shared Key;
    • работа точки доступа в режиме сетевого моста.
  • Механизмы защиты
    • использование LEAP;
    • не использование шифрования на точке доступа или клиенте;
    • повторное использование вектора инициализации WEP;
    • слишком большой промежуток смены ключей WEP (при использовании стандарта 802.1x);
    • использование векторов инициализации WEP, уязвимых для FSM-атак (представляет чисто исторический интерес);
    • отсутствие шифрования широковещательного трафика при использовании стандарта  802.1x;
    • несоответствие используемых протоколов защиты заданному профилю (см. предыдущий раздел).

Часть приведенных проверок требует дополнительного внимания со стороны администратора. Так, для определения точек доступа со стандартными настройками система обнаружения атак должно обладать списком, содержащим OUI производителя и стандартный идентификатор сети. Как правило, подобные списки предоставляются производителем, но практика показывает, что они немного отстают от действительности. В связи с этим рекомендуется следить за списками стандартных настроек точек доступа и добавлять их в конфигурацию WIDS.

Собственно атаки

Количество обнаруживаемых беспроводной IDS атак сильно отстает по количеству от подобной характеристики проводных систем, где список правил обнаружения атак может исчисляться тысячами. Это связанно с тем, что WIDS сконцентрированы на канальном уровне модели OSI, обладающем гораздо меньшей энтропией, чем например прикладной, для которого создана большая часть сигнатур проводных систем обнаружения атак.

Конечно, система обнаружения атак может расшифровать трафик WEP, WPA или 802.11i в случае использования для аутентификации статических ключей, но в корпоративной сети это скорее исключение, чем правило. Если в сети используется аутентификация 802.1X, система обнаружения атак просто не имеет доступа к ключам шифрования и не может анализировать данные и заголовки более высоких уровней, чем канальный.

Ниже приведен список атак, обнаруживаемых системами AirMagnet.

Таблица 5.1. Атаки, обнаруживаемые AirMagnet

Название атаки

Описание

Airsnarf attack detected

Обнаружены попытки использования утилиты Airsnarf для организации ложных точек доступа и fishing-атак

ARP Request Replay attack

Проводится атака с повтором перехваченного зашифрованного пакета для ускорения вскрытия WEP

Device probing for AP

Клиент настроен на установление соединения с любой точкой доступа

Dictionary attack on EAP methods

Большое количество неудачных попыток установить сессию по протоколу EAP

Faked APs detected

Обнаружено большое количество точек доступа, с которыми не установлено не одного соединения. Это характерно для ситуаций, когда используется утилита FakeAP

Fake DHCP server detected

В беспроводной сети обнаружен сервер DHCP

Hotspotter tool detected

Обнаружены попытки использования утилиты Hotspotter для организации ложных точек доступа и fishing-атак

Illegal 802.11 packets detected

Обнаружен пакет, нарушающий правила стандарта 802.11

Man-in-the middle attack detected

Обнаружена попытка организации атаки "человек посередине"

NetStumbler detected

Обнаружен трафик, характерный для утилиты NetStumbler

Potential ASLEAP attack detected

Обнаружен трафик, характерный для атак на протокол LEAP с использование утилиты ASLEAP

Potential Honey Pot AP detected

Обнаружена точка доступа, маскирующаяся под корпоративную  

PSPF violation

Обнаружена прямая передача пакетов между клиентами, что является нарушением политики Publicly Secure Packet Forwarding (PSPF)

Soft AP or Host AP detected

Обнаружено использование программной реализации точки доступа (HostAP, SoftAP)

Spoofed MAC address detected

Обнаружена подмена MAC-адреса, с целью обхода фильтров на основе MAC-адресов

Wellenreiter detected

Обнаружен трафик, характерный для утилиты Wellenreiter

В последнее время, в связи с большим количеством обнаруженных уязвимостей в драйверах беспроводных адаптеров, в системы WIDS стали включать сигнатуры для подобных атак.
Естественно сигнатуры такого рода не свободны от ошибок первого и второго рода. Например, использование карточки Orinoco 802.11b со стандартными драйверами для Windows приводило к срабатыванию сигнатуры обнаруживающей заполнение Clear To Send (CTF) пакетами. Инициализация сетевой карточки или переключение ее на другую точку доступа может вызвать обнаружение подмена (spoofing) MAC-адреса. Проблемы могут возникать при использовании злоумышленником нестандартных средств. Например, при использовании программных точек доступа  на основе драйвера madwifi, а не HostAP и "зашумлении" с их помощью эфира ложными фреймами beacon  атака может быть не обнаружена.

Механизмы реагирования

Основной задачей системы обнаружения атак является своевременное уведомление администратора о потенциальных проблемах. В беспроводных IDS используются традиционные для систем подобного класса механизмы оповещения, такие как:

  • отправка сообщения по электронной почте;
  • уведомление через службу Messenger;
  • отправка SMS или сообщения на пейджер;
  • уведомление через систему мгновенного обмена сообщениями;
  • передача POST ли GET запроса Web-серверу;
  • передача управляющих сообщений SNMP;
  • запись сообщений в журнал событий Windows или на сервер Systlog;
  • печать сообщений на принтере.

Как и проводные системы обнаружения атак, беспроводные IDS могут использовать механизмы, направленные на снижение возможных последствий обнаруженной атаки. И точно так же, как и в проводных сетях, таких механизмов два:

  • реализация DoS-атаки на узел возможного злоумышленника;
  • блокирование атакующего средствами активного сетевого оборудования.

Кроме того, беспроводные системы обнаружения атак, как правило, реализуют функции определения координат источника сигнала и блокирования попыток соединения из точек, находящихся за пределами периметра.

В беспроводных сетях роль поддельных TCP-RST пакетов, применяемых проводными IDS, выполняют управляющие фреймы Disassociate или Deauthentication, по сути система обнаружения атак сама проводит атаку, описанную ранее в этой главе, причем эта атака может быть направлена как на точку доступа (Disassociate All), так и на конкретного клиента беспроводной сети.

При настройке этого механизма необходимо соблюдать осторожность, поскольку Вы наверняка являетесь не единственным пользователем радиоэфира в округе. Если WIDS настроена на блокировку всех клиентов и точек доступа, отсутствующих в "белом списке" беспроводной сети компании, вашим соседям просто не дадут нормально работать.

Некоторые из продуктов данного класса, особе те, которые интегрированы с точками доступа, могут включать MAC-адрес потенциального злоумышленника в черный список на точке доступа, предотвращая попытки повторного соединения. Эту возможность тоже желательно использовать аккуратно. Например, при тестировании защищенности одной из беспроводных сетей авторам удалось вывести ее из строя, потратив буквально несколько десятков пакетов на каждого клиента. Просто WIDS надолго блокировала на точке доступа MAC-адрес машины, осуществляющей атаку. Естественно многие атаки проводились от адреса клиента сети или точки доступа.  Хотя в этой ситуации попытки провести атаки типа "человек посередине" обречены на провал, вывод сети из строя сам по себе может причинить довольно серьезный ущерб.

При блокировке подключений несанкционированных точек доступа к корпоративной сети системы обнаружения беспроводных атак могут взаимодействовать с коммутаторами локальной сети. Как правило, на WIDS существует возможность задать список адресов коммутаторов или строить его динамически на основе опроса устройств по протоколу SNMP. При обнаружении несанкционированной точки доступа, нарушающей политику беспроводной безопасности, система по протоколу SNMP опрашивает известные устройства на предмет наличия ее MAC-адреса  в таблице коммутации. Если поиск успешен, то система посылает коммутатору команду на блокировку порта, к которому подключена точка доступа. К сожалению, этот механизм не может быть применен для блокировки  клиентов с ненастроенными беспроводными адаптерами, поскольку установить адрес проводного интерфейса по MAC-адресу беспроводного интерфейса достаточно трудно.

Проверить тот факта, что точка доступа подключена к проводной сети компании, можно отправив контрольный ARP-запрос, который будет ретранслирован в беспроводную сеть. Поскольку MAC-адрес отправителя передается в открытом виде даже при использовании протоколов шифрования трафика, он может быть использован для контроля появления пакета в беспроводной сети. Справедливо и обратное - перехватив и повторно послав зашифрованный ARP-пакет в локальную сеть через несанкционированную точку доступа, можно по наличию его в проводном сегменте определить место подключения устройства.

Одной из полезных функций систем обнаружения беспроводных атак является возможность определения координат устройства, нарушившего политику безопасности. В случае, если система использует один мобильный сенсор, то для позиционирования понадобятся направленная антенна, план здания и некоторая физкультурная подготовка.

Сделав замеры уровня сигнала от искомого объекта с трех точек, определяются векторы, по которым наблюдается максимальный уровень. Точкой пересечения этих линий является место положения источника радиосигнала. В большинстве случаев, векторы не пересекутся в одной точке, а образуют так называемый "треугольник ошибок", размеры которого при небольших расстояниях, будут очень велики. Этот метод пеленгации, или триангуляции хорошо известен всем по военным фильмам и "охоте на лис".

Триангуляция с направленной антенной

Очень похожая технология используются в распределенных системах обнаружения беспроводных атак. При обнаружении сигнала искомого объекта несколькими сенсорами по уровню сигнала определяется примерное расстояние до его источника. Вокруг каждого сенсора строится окружность, радиус которой обратно пропорционален уровню принимаемого сигнала. Место расположения источника сигнала будет находиться в районе пересечения окружностей.

Позиционирование устройств

В реальных условиях для повышения точности работы этого метода требуется учет особенностей помещения, поскольку в большинстве случаев отражение и рассеяние сигнала уменьшает точность определения его мощности. Для этого проводят предварительные замеры уровня сигнала от источников, находящихся в различных точках помещения, и на основании этих данных рассчитывают соответствующие поправки. Естественно, в современных системах все расчеты проводятся автоматически.

Некоторые системы автоматически вносят корректировки, связанные с затуханием и отражением сигнала, на основе текущей ситуации в эфире. Для корректного выполнения этой функции администратор указывает расположение сенсоров WIDS и точек доступа на плане здания, что позволяет системе определять расстояния от сенсоров до источников сигнала и вычислять дополнительно затухание, вносимое за счет особенностей помещения.

С функцией определения местоположения источника сигнала связан еще один интересный механизм, в настоящее время широко внедряемый многими производителями WIDS. Суть его заключается в том, что система обнаружения атак блокирует попытки подключения с территорий, находящихся за пределами физического периметра, даже если подключается вполне легальный клиент. Это позволяет ограничить соединения к сети только пределами физического периметра. Однако не стоит считать этот механизм очередной панацеей. Грамотное использование антенн и физических особенностей здания, и некоторая толика удачи вполне позволяют квалифицированному злоумышленнику создать видимость, что соединение происходит с разрешенной территории.


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=20760