|
|
|||||||||||||||||||||||||||||
|
Обнаружение беспроводных атакИсточник: securitylab
Системы обнаружения беспроводных атак (Wireless Intrusion Detection Systems, WIDS) сочетают в себе функции сигнатурных и поведенческих IDS. С их помощью также решается ряд задач, характерных для сканеров уязвимостей. В настоящее время существует достаточно много разнообразных реализаций подобных систем. В данном разделе делается попытка описания возможностей систем обнаружения беспроводных атак, принципов их работы и места в комплексе средств обеспечения безопасности беспроводной сети. Возможности WIDS
Все приведенные категории задач в той или иной мере пересекаются, например неверная конфигурация может приводить к отклонению от политики безопасности, или снижению производительности сети. Основным механизмом, используемым WIDS, является пассивный мониторинг трафика. В связи с этим большинство подобных систем может быть использовано в качестве беспроводного сетевого анализатора, и наоборот - многие системы обнаружения атак основаны на сетевых анализаторах. Инвентаризация беспроводных устройствФункция инвентаризации позволяет администратору составить списки беспроводных устройств, формирующих сеть. Списки могут составляться либо вручную, либо на основе анализа текущего сетевого трафика. Основным параметром при настройке списков устройств является MAC-адрес узла. Дополнительно могут быть задействованы другие параметры беспроводных устройств, такие как:
В качестве дополнительного динамического параметра может использоваться минимальный уровень сигнала. Как правило, в WIDS можно задавать несколько различных списков, например: корпоративных сетей, гостевых сетей, сетей соседей. Полученные списки являются основой для дальнейшей настройки системы, но и сами могут быть источниками событий. Например, обнаружение точки доступа с SSID корпоративной сети, но отсутствующей в списке легальных устройств, может быть признаком атаки "человек посередине". Диагностика пропускной способностиБольшинство систем обнаружения беспроводных атак имеют возможность контроля состояния физического и канального уровней сети 802.11. Ситуации, приводящие к срабатыванию системы, можно разбить на следующие категории:
Контроль политики безопасностиКонтроль политики безопасности осуществляется на основе заранее сформулированных списков корпоративных точек доступа и клиентов и заключается в обнаружении отклонения от некоторого базового состояния, заданного администратором. В большинстве систем предусмотрены следующие возможности контроля принятой в компании политики безопасности беспроводной сети:
Проверки каждой из групп могут применяться либо ко всем обнаруживаем сетевым пакетам, либо для определенных групп точек доступа на основе SSID и списков контроля доступа по MAC-адресам. Это позволяет задавать разные правила для различных сетей, например, контролировать клиентов, точки доступа и применение 802.1x и WPA в основной сети и не обращать внимания на незащищенные взаимодействия в рядом расположенной сети соседней компании. Кроме того, в разных частях корпоративной WLAN (основная сеть, гостевая сеть) могут действовать различные политики безопасности. Может контролироваться использование следующих технологий защиты беспроводных сетей:
Соответственно, если администратор указывает что в сети с SSID "Corporate" должно использоваться шифрование TKIP с аутентификацией PEAP, любые точки доступа с таким же идентификатором сети, пытающиеся использовать другие технологии защиты, будут вызывать срабатывание системы обнаружения атак. Определение уязвимостей сетиЗадача определения ошибок в конфигурации беспроводных сетей тесно переплетается с задачей контроля соблюдения политики безопасности. В проводных сетях подобные функции реализуются с помощью средств анализа защищенности (сканеров), представляющих собой активные утилиты. В беспроводных сетях используется комбинированный подход, сочетающий активные и пассивные методы с приоритетом последних. Ошибки в конфигурации можно разбить на следующие группы:
Можно выделить следующие типичные ошибки в настройке различных компонентов беспроводной сети:
Часть приведенных проверок требует дополнительного внимания со стороны администратора. Так, для определения точек доступа со стандартными настройками система обнаружения атак должно обладать списком, содержащим OUI производителя и стандартный идентификатор сети. Как правило, подобные списки предоставляются производителем, но практика показывает, что они немного отстают от действительности. В связи с этим рекомендуется следить за списками стандартных настроек точек доступа и добавлять их в конфигурацию WIDS. Собственно атакиКоличество обнаруживаемых беспроводной IDS атак сильно отстает по количеству от подобной характеристики проводных систем, где список правил обнаружения атак может исчисляться тысячами. Это связанно с тем, что WIDS сконцентрированы на канальном уровне модели OSI, обладающем гораздо меньшей энтропией, чем например прикладной, для которого создана большая часть сигнатур проводных систем обнаружения атак. Конечно, система обнаружения атак может расшифровать трафик WEP, WPA или 802.11i в случае использования для аутентификации статических ключей, но в корпоративной сети это скорее исключение, чем правило. Если в сети используется аутентификация 802.1X, система обнаружения атак просто не имеет доступа к ключам шифрования и не может анализировать данные и заголовки более высоких уровней, чем канальный. Ниже приведен список атак, обнаруживаемых системами AirMagnet. Таблица 5.1. Атаки, обнаруживаемые AirMagnet
В последнее время, в связи с большим количеством обнаруженных уязвимостей в драйверах беспроводных адаптеров, в системы WIDS стали включать сигнатуры для подобных атак. Механизмы реагированияОсновной задачей системы обнаружения атак является своевременное уведомление администратора о потенциальных проблемах. В беспроводных IDS используются традиционные для систем подобного класса механизмы оповещения, такие как:
Как и проводные системы обнаружения атак, беспроводные IDS могут использовать механизмы, направленные на снижение возможных последствий обнаруженной атаки. И точно так же, как и в проводных сетях, таких механизмов два:
Кроме того, беспроводные системы обнаружения атак, как правило, реализуют функции определения координат источника сигнала и блокирования попыток соединения из точек, находящихся за пределами периметра. В беспроводных сетях роль поддельных TCP-RST пакетов, применяемых проводными IDS, выполняют управляющие фреймы Disassociate или Deauthentication, по сути система обнаружения атак сама проводит атаку, описанную ранее в этой главе, причем эта атака может быть направлена как на точку доступа (Disassociate All), так и на конкретного клиента беспроводной сети. При настройке этого механизма необходимо соблюдать осторожность, поскольку Вы наверняка являетесь не единственным пользователем радиоэфира в округе. Если WIDS настроена на блокировку всех клиентов и точек доступа, отсутствующих в "белом списке" беспроводной сети компании, вашим соседям просто не дадут нормально работать. Некоторые из продуктов данного класса, особе те, которые интегрированы с точками доступа, могут включать MAC-адрес потенциального злоумышленника в черный список на точке доступа, предотвращая попытки повторного соединения. Эту возможность тоже желательно использовать аккуратно. Например, при тестировании защищенности одной из беспроводных сетей авторам удалось вывести ее из строя, потратив буквально несколько десятков пакетов на каждого клиента. Просто WIDS надолго блокировала на точке доступа MAC-адрес машины, осуществляющей атаку. Естественно многие атаки проводились от адреса клиента сети или точки доступа. Хотя в этой ситуации попытки провести атаки типа "человек посередине" обречены на провал, вывод сети из строя сам по себе может причинить довольно серьезный ущерб. При блокировке подключений несанкционированных точек доступа к корпоративной сети системы обнаружения беспроводных атак могут взаимодействовать с коммутаторами локальной сети. Как правило, на WIDS существует возможность задать список адресов коммутаторов или строить его динамически на основе опроса устройств по протоколу SNMP. При обнаружении несанкционированной точки доступа, нарушающей политику беспроводной безопасности, система по протоколу SNMP опрашивает известные устройства на предмет наличия ее MAC-адреса в таблице коммутации. Если поиск успешен, то система посылает коммутатору команду на блокировку порта, к которому подключена точка доступа. К сожалению, этот механизм не может быть применен для блокировки клиентов с ненастроенными беспроводными адаптерами, поскольку установить адрес проводного интерфейса по MAC-адресу беспроводного интерфейса достаточно трудно. Проверить тот факта, что точка доступа подключена к проводной сети компании, можно отправив контрольный ARP-запрос, который будет ретранслирован в беспроводную сеть. Поскольку MAC-адрес отправителя передается в открытом виде даже при использовании протоколов шифрования трафика, он может быть использован для контроля появления пакета в беспроводной сети. Справедливо и обратное - перехватив и повторно послав зашифрованный ARP-пакет в локальную сеть через несанкционированную точку доступа, можно по наличию его в проводном сегменте определить место подключения устройства. Одной из полезных функций систем обнаружения беспроводных атак является возможность определения координат устройства, нарушившего политику безопасности. В случае, если система использует один мобильный сенсор, то для позиционирования понадобятся направленная антенна, план здания и некоторая физкультурная подготовка. Сделав замеры уровня сигнала от искомого объекта с трех точек, определяются векторы, по которым наблюдается максимальный уровень. Точкой пересечения этих линий является место положения источника радиосигнала. В большинстве случаев, векторы не пересекутся в одной точке, а образуют так называемый "треугольник ошибок", размеры которого при небольших расстояниях, будут очень велики. Этот метод пеленгации, или триангуляции хорошо известен всем по военным фильмам и "охоте на лис".
Очень похожая технология используются в распределенных системах обнаружения беспроводных атак. При обнаружении сигнала искомого объекта несколькими сенсорами по уровню сигнала определяется примерное расстояние до его источника. Вокруг каждого сенсора строится окружность, радиус которой обратно пропорционален уровню принимаемого сигнала. Место расположения источника сигнала будет находиться в районе пересечения окружностей.
В реальных условиях для повышения точности работы этого метода требуется учет особенностей помещения, поскольку в большинстве случаев отражение и рассеяние сигнала уменьшает точность определения его мощности. Для этого проводят предварительные замеры уровня сигнала от источников, находящихся в различных точках помещения, и на основании этих данных рассчитывают соответствующие поправки. Естественно, в современных системах все расчеты проводятся автоматически. Некоторые системы автоматически вносят корректировки, связанные с затуханием и отражением сигнала, на основе текущей ситуации в эфире. Для корректного выполнения этой функции администратор указывает расположение сенсоров WIDS и точек доступа на плане здания, что позволяет системе определять расстояния от сенсоров до источников сигнала и вычислять дополнительно затухание, вносимое за счет особенностей помещения. С функцией определения местоположения источника сигнала связан еще один интересный механизм, в настоящее время широко внедряемый многими производителями WIDS. Суть его заключается в том, что система обнаружения атак блокирует попытки подключения с территорий, находящихся за пределами физического периметра, даже если подключается вполне легальный клиент. Это позволяет ограничить соединения к сети только пределами физического периметра. Однако не стоит считать этот механизм очередной панацеей. Грамотное использование антенн и физических особенностей здания, и некоторая толика удачи вполне позволяют квалифицированному злоумышленнику создать видимость, что соединение происходит с разрешенной территории. Ссылки по теме
|
|