.
Una vez que un suficiente número de la estadística del comportamiento de la red se recolecte, las identificaciones apropiadas de una radio pueden comenzar a buscar los acontecimientos sospechosos que indican la posibilidad de ataque malévolo. Estos acontecimientos se pudieron manifestar como la presencia de ciertos tipos del marco, frecuencia de la transmisión del marco, las anormalidades del número de la estructura del marco y de serie, las desviaciones de la circulación, y uso inesperado de la frecuencia. Categoricemos los acontecimientos una calidad que las identificaciones sin hilos deben poder detectar y publicar una advertencia para.
Transmisores adicionales en el área.
Canales no usados por el WLAN protegido en uso.
Canales traslapados.
Cambio de funcionamiento repentino del canal por unos o más dispositivos sin hilos supervisados.
Pérdida de calidad de la señal, alto nivel del ruido, o SNR bajo.
Estos acontecimientos pueden indicar los problemas de la conectividad o del establecimiento de una red, misconfiguration severo de la red, colocación del dispositivo del granuja, el atorar intencional, y acodan 1 y acodan 2 ataques hombre-en-$$$-MEDIOS.
Frecuencia creciente normalmente de los actuales bastidores de la red.
Capítulos del tamaño inusual.
Tipos desconocidos del marco.
Marcos incompletos, corrompidos, o malformados.
Inundaciones de los bastidores de deassociate/deauthenticate.
Marcos frecuentes de la reasociación en redes sin vagar permitido.
Capítulos fuera de la secuencia.
Peticiones frecuentes de la punta de prueba.
Capítulos con ESSIDs diferente del WLAN ESSID.
Capítulos con la difusión ESSID ("cualquiera").
Capítulos con ESSIDs con frecuencia o aleatoriamente que cambia.
Capítulos con ESSIDs u otros campos típicos para ciertas herramientas de la intrusión.
Capítulos con las direcciones del MAC no incluidas en el ACL.
Capítulos con direcciones duplicadas del MAC.
Capítulos con direcciones del MAC con frecuencia o aleatoriamente que cambian.
Estos acontecimientos pueden indicar misconfigurations de la red y los problemas de la conectividad, interferencia fuerte del RF, los wardrivers usando las herramientas activas de la exploración en el área, MAC address spoofing en el WLAN, los clientes no solicitados conectados con el WLAN, las tentativas de conjeturar o bruto-fuerza un ESSID cerrado, o atacantes más avanzados mangling control y la gerencia enmarcan para lanzar la capa 2 hombre-en-$$$-MEDIA o los ataques del DOS.
Marcos incompletos, corrompidos, o malformados 802.1x.
Capítulos con los tipos de EAP no puestos en ejecucio'n por el WLAN.
Marcos múltiples de la petición y de respuesta de la autentificación de EAP.
Marcos múltiples de la falta de EAP.
Comienzo de EAP e inundaciones del marco del término de sesión de EAP.
Marcos de EAP del tamaño anormal ("EAP-de-Muerte").
Marcos hechos fragmentos de EAP del tamaño pequeño.
Marcos de EAP con mala longitud de la autentificación.
Marcos de EAP con malas credenciales de la autentificación.
Marcos de EAP con peticiones múltiples del desafío MD5.
Marcos de EAP que originan de los authenticators ilícitos (puntos de acceso del granuja).
Procesos inacabados de la autentificación 802.1x/EAP.
Estos acontecimientos pueden indicar tentativas de puentear el esquema de la autentificación 802.1x, incluyendo bruto-forzar listo de la colocación y del acceso del dispositivo del granuja 802.1x o ataques avanzados del DOS para inhabilitar los mecanismos de la autentificación. Por supuesto, los marcos malformados 802.1x pueden resultar de interferencia fuerte y de otra del RF los problemas de la capa 1.
Presente sin hilos unencrypted del tráfico.
Tráfico cifrado con llaves desconocidas de WEP.
Tráfico cifrado con llaves de WEP de diversas longitudes.
Marcos débiles del intravenoso.
Capítulos con IVs repetido en una fila.
Cambio de no IV.
Retraso al WEP original de soluciones más seguras tales como TKIP.
Rotación dominante fallada de WEP.
Estos acontecimientos pueden indicar misconfigurations severos de la seguridad de la red, el equipo inseguro de la herencia en uso, los usuarios que violan la política de la seguridad, la colocación sin hilos del dispositivo del granuja, o el uso del tráfico que inyecta las herramientas (WEPwedgie, reinj) por las galletas avanzadas.
Pérdida de la conectividad.
Oleada repentina en la consumición de la anchura de banda.
Disminución repentina del rendimiento de procesamiento de la red.
Repentino retrasa aumento en un punto para señalar acoplamiento.
Nivel creciente de la fragmentación del paquete.
Frecuente retransmite.
Estos acontecimientos deben incitar una investigación futura encontrar las causas exactas del problema detectadas. Un motor de inferencia inteligente de las identificaciones debe poder ligar estos problemas a las diversas categorías de acontecimientos, así parcialmente automatizando los problemas de la investigación.
Ataques contra capas de red más altas que accionan las identificaciones "tradicionales".
Tráfico no solicitado de la gerencia del punto de acceso.
Paquetes constantemente duplicados o repetidos de los datos.
Paquetes de los datos con la capa de trasmisión de datos corrupta checksums/MIC.
Inundación de las tentativas concurrentes múltiples de la asociación de la red.
Estos acontecimientos pueden indicar acertado o los ataques fracasados de la galleta, un anfitrión con misconfigured ajustes de la seguridad, tentativas de tener acceso y de configurar de nuevo a los puntos de acceso desplegados, el uso del tráfico que inyectaba las herramientas, ataques avanzados del DOS contra los anfitriones 802.11i-enabled, o tentativas de abrumar los almacenadores intermediarios del AP con una gran cantidad de conexiones del lado atado con alambre o sin hilos. Una vez más cualquier caso del bastidor o la corrupción del paquete se puede atribuir a los problemas de la capa física, tales como interferencia y fuerza baja de la señal.
Ahora usted puede reconocer fácilmente muchas de las muestras indicadoras del ataque de la lista precedente del acontecimiento. Por ejemplo, los marcos con direcciones con frecuencia cambiantes del MAC y ESSIDs son una buena indicación alguien que usa un FakeAP. Alternativomente, hay una manera ESSIDs cerrado bruto-fuerza usando dos tarjetas y Wellenreiter del cliente PCMCIA. No lo describimos en la sección del ataque porque nunca la hemos intentado, y usar el essid_jack o el dinject es más eficiente lejano y ahorra recursos. Un ataque tanque fuerza genera marcos con cambiar ESSIDs y las direcciones del MAC (manera de Wellenreiter de obscurecer el vendedor y la identidad de la tarjeta del atacante). Las peticiones frecuentes de la punta de prueba pudieron indicar a alguien que usaba Netstumbler o Ministumbler, y los anfitriones que cambian repentinamente su canal de la operación pueden señalar por medio de una bandera fuera de un ataque hombre-en-$$$-MEDIO posible.
Muchos de los acontecimientos contorneados pueden ser un resultado del misbehavior del usuario más bien que un ataque malévolo previsto. Los usuarios pueden enchufar los dispositivos sin hilos no solicitados o utilizar interferencia-crear las aplicaciones (Bluetooth, cámaras fotográficas sin hilos, teléfonos sin cuerda). Pueden conectar con el AP sin permitir WEP/TKIP si el AP lo permiten (un error grande en el lado del administrador) o el soporte lógico inalterable de miss/avoid lo aumenta ("si lo trabaja, no fije"), así haciendo sus esfuerzos del despliegue de la seguridad 802.11i-based inútiles. Cualquier administrador del sistema o de la red sabe ingobernable y desagradable algunos usuarios pueden ser.
Online: 294 users browsing the articles directory
. |