Une fois qu'un nombre suffisant de statistiques de comportement de réseau sont recueillis, les identifications appropriées d'une radio peuvent commencer à rechercher les événements soupçonneux indiquant la possibilité d'attaque malveillante. Ces événements pourraient être manifestés comme présence de certains types d'armature, fréquence de transmission d'armature, anomalies de nombre de structure d'armature et d'ordre, déviations de la circulation, et utilisation inattendue de fréquence. Classons les événements une qualité les identifications que sans fil devraient pouvoir détecter et publier un avertissement pour.
Émetteurs additionnels dans le secteur.
Canaux non employés par le WLAN protégé en service.
Canaux de recouvrement.
|
|
Changement fonctionnant soudain de canal par un ou plusieurs dispositifs sans fil surveillés.
Perte de qualité de signal, niveau élevé de bruit, ou bas SNR.
Ces événements peuvent indiquer des problèmes de connectivité ou de gestion de réseau, misconfiguration grave de réseau, placement escroc de dispositif, bloquer intentionnel, et posent 1 et posent 2 attaques homme-dans-le-moyennes.
Plus grande fréquence des armatures normalement actuelles de réseau.
Vues de taille peu commune.
Types inconnus d'armature.
Armatures inachevées, corrompues, ou mal formées.
Pléthores d'armatures de deassociate/deauthenticate.
Armatures fréquentes de rassociation sur des réseaux sans errer permis.
Vues hors de l'ordre.
Demandes fréquentes de sonde.
Vues avec ESSIDs différent du WLAN ESSID.
Vues avec l'émission ESSID ("quels").
Vues avec ESSIDs changeant fréquemment ou aléatoirement.
Vues avec ESSIDs ou d'autres champs typiques pour certains outils d'intrusion.
Vues avec des adresses d'IMPER non incluses dans le ACL.
Vues avec des adresses reproduites d'IMPER.
Vues avec adresses changeantes fréquemment ou aléatoirement d'IMPER.
Ces événements peuvent indiquer des misconfigurations de réseau et des problèmes de connectivité, interférence forte de rf, des wardrivers à l'aide des outils actifs de balayage dans le secteur, MAC address charriant sur le WLAN, des clients non sollicités reliés au WLAN, des tentatives de deviner ou brute-force un ESSID fermé, ou des attaquants plus avançés mutilant la commande et la gestion encadre pour lancer la couche 2 homme-dans-le-moyenne ou des attaques de DOS.
Armatures inachevées 802.1x, corrompues, ou mal formées.
Vues avec des types d'EAP non mis en application par le WLAN.
Armatures multiples de demande et de réponse d'authentification d'EAP.
Armatures multiples d'échec d'EAP.
Début d'EAP et inondations d'armature de fermeture de session d'EAP.
Armatures d'EAP de taille anormale (l'"EAP-de-Mort").
Armatures réduites en fragments d'EAP de petite taille.
Armatures d'EAP avec la mauvaise longueur d'authentification.
Armatures d'EAP avec de mauvaises qualifications d'authentification.
Armatures d'EAP avec des demandes multiples du défi MD5.
Armatures d'EAP provenant des authenticators illicites (points d'accès escroc).
Procédés non finis de l'authentification 802.1x/EAP.
Ces événements peuvent indiquer des tentatives de dévier l'arrangement de l'authentification 802.1x, y compris brute-forcer intelligent de placement et d'accès de dispositif de l'escroc 802.1x ou des attaques avançées de DOS à neutraliser les mécanismes d'authentification. Naturellement, les armatures 802.1x mal formées peuvent résulter de l'interférence forte et d'autre de rf des problèmes de la couche 1.
Présent sans fil non codé du trafic.
Le trafic chiffré avec des clefs inconnues de WEP.
Le trafic chiffré avec des clefs de WEP de différentes longueurs.
Armatures faibles d'IV.
Vues avec IVs répété dans une rangée.
Changement du non IV.
Chute au WEP original des solutions plus bloquées telles que TKIP.
Rotation principale échouée de WEP.
Ces événements peuvent indiquer les misconfigurations graves de sécurité de réseau, l'équipement peu sûr de legs en service, les utilisateurs violant la politique de sécurité, le placement sans fil escroc de dispositif, ou l'utilisation du trafic injectant des outils (WEPwedgie, reinj) par les biscuits avançés.
Perte de connectivité.
Montée subite soudaine dans la consommation de largeur de bande.
Diminution soudaine de sortie de réseau.
Soudain retardez l'augmentation sur un point pour diriger le lien.
Niveau accru de fragmentation de paquet.
Fréquent retransmet.
Ces événements devraient inciter une future recherche à trouver les causes exactes du problème détectées. Un moteur d'inférence intelligent d'identifications devrait pouvoir lier ces problèmes aux différentes catégories des événements, de ce fait partiellement automatisant les problèmes de recherche.
Attaques sur des couches réseau plus élevées déclenchant les identifications "traditionnelles".
Le trafic non sollicité de gestion de point d'accès.
Paquets constamment reproduits ou répétés de données.
Paquets de données avec la couche liaison de données corrompue checksums/MIC.
Pléthore de tentatives concourantes multiples d'association de réseau.
Ces événements peuvent indiquer réussi ou les attaques non réussies de biscuit, un centre serveur avec misconfigured des arrangements de sécurité, des tentatives d'accéder et modifier aux points d'accès déployés, l'utilisation du trafic injectant des outils, des attaques avançées de DOS contre les centres serveurs 802.11i-enabled, ou des tentatives d'accabler les amortisseurs de AP avec un grand nombre de raccordements du côté de câble ou sans fil. Encore, tous les cas d'armature ou corruption de paquet peuvent être attribués aux problèmes de couche physique, tels que l'interférence et la basse force de signal.
Maintenant vous pouvez facilement identifier plusieurs des signes indicateurs d'attaque de la liste précédente d'événement. Par exemple, les armatures avec des adresses fréquemment changées d'IMPER et l'ESSIDs sont une bonne indication de quelqu'un qui emploie un FakeAP. Alternativement, il y a une manière ESSIDs clôturé parforce en utilisant deux cartes et Wellenreiter du client PCMCIA. Nous ne l'avons pas décrit dans la section d'attaque parce que nous ne l'avons jamais essayée, et employer l'essid_jack ou le dinject est plus efficace bien et sauve des ressources. Une attaque siforçante produit des armatures avec changer ESSIDs et adresses d'IMPER (la manière de Wellenreiter d'obscurcir le fournisseur et l'identité de la carte de l'attaquant). Les demandes fréquentes de sonde pourraient indiquer quelqu'un employant Netstumbler ou Ministumbler, et les centres serveurs changeant soudainement leur canal d'opération peuvent diminuer hors d'une attaque homme-dans-le-moyenne possible.
Plusieurs des événements décrits peuvent être un résultat de misbehavior d'utilisateur plutôt qu'une attaque malveillante prévue. Les utilisateurs peuvent brancher les dispositifs sans fil non sollicités ou employer interférence-créer des appareils (Bluetooth, appareils-photo sans fil, téléphones sans fil). Ils peuvent se relier à AP sans permettre WEP/TKIP si AP le permet (une grande erreur du côté de l'administrateur) ou le progiciel de miss/avoid l'améliore ("si cela le fonctionne, ne fixe pas"), de ce fait rendant vos efforts d'déploiement de la sécurité 802.11i-based inutiles. N'importe quel administrateur de système ou de réseau sait indiscipliné et désagréable quelques utilisateurs peuvent être.
Online: 739 users browsing the articles directory
|
|