.
Uma vez que um número suficiente de statistics do comportamento da rede é recolhido, um wireless apropriado IDS pode começar procurar os eventos suspicious que indicam a possibilidade de ataque malicioso. Estes eventos puderam ser manifestados como a presença de determinados tipos do frame, freqüência da transmissão do frame, abnormalities do número da estrutura do frame e de seqüência, desvios do fluxo de tráfego, e uso inesperado da freqüência. Deixe-nos categorizar os eventos uma qualidade que os IDS wireless devem poder detectar e emitir um aviso para.
Transmissores adicionais na área.
Canaletas não usadas pelo WLAN protegido no uso.
Canaletas sobrepondo.
A mudança operando-se repentina da canaleta por uma ou por mais monitorou dispositivos wireless.
Perda da qualidade do sinal, nível elevado do ruído, ou SNR baixo.
Estes eventos podem indicar problemas do connectivity ou do networking, misconfiguration severo da rede, colocação do dispositivo do rogue, atolar intencional, e mergulham 1 e mergulham 2 ataques homem-em-$$$-MÉDIOS.
Freqüência aumentada dos frames normalmente atuais da rede.
Quadros do tamanho incomun.
Tipos desconhecidos do frame.
Frames incompletos, corrupted, ou malformed.
Inundações de frames de deassociate/deauthenticate.
Frames freqüentes da reassociação em redes sem vaguear permitido.
Quadros fora da seqüência.
Pedidos freqüentes da ponta de prova.
Quadros com o ESSIDs diferente do WLAN ESSID.
Quadros com a transmissão ESSID ("algum").
Quadros com ESSIDs freqüentemente ou aleatòria em mudança.
Quadros com ESSIDs ou outros campos típicos para determinadas ferramentas do intrusion.
Quadros com os endereços do MAC não incluídos no ACL.
Quadros com endereços duplicados do MAC.
Quadros com endereços freqüentemente ou aleatòria em mudança do MAC.
Estes eventos podem indicar misconfigurations da rede e problemas do connectivity, interferência forte do RF, wardrivers usando ferramentas ativas da exploração na área, MAC address que spoofing no WLAN, os clientes unsolicited conectados ao WLAN, as tentativas supo ou a bruto-força um ESSID closed, ou uns atacantes mais avançados que mangling o controle e a gerência moldam para lançar a camada 2 homem-em-$$$-MÉDIA ou ataques do DoS.
Frames 802.1x incompletos, corrupted, ou malformed.
Quadros com os tipos de EAP não executados pelo WLAN.
Frames múltiplos do pedido e de resposta do authentication de EAP.
Frames múltiplos da falha de EAP.
Começo de EAP e de término de uma sessão de EAP inundações do frame.
Frames de EAP do tamanho anormal ("EAP-$$$-Morte").
Frames fragmentados de EAP do tamanho pequeno.
Frames de EAP com comprimento mau do authentication.
Frames de EAP com credentials maus do authentication.
Frames de EAP com pedidos múltiplos do desafio MD5.
Frames de EAP que originam dos authenticators illicit (pontos de acesso do rogue).
Processos unfinished do authentication 802.1x/EAP.
Estes eventos podem indicar tentativas de contornear o esquema do authentication 802.1x, including bruto-forçar inteligente da colocação e do acesso do dispositivo do rogue 802.1x ou ataques avançados do DoS para incapacitar os mecanismos do authentication. Naturalmente, os frames 802.1x malformed podem resultar da interferência forte e de outra do RF problemas da camada 1.
Presente wireless unencrypted do tráfego.
Tráfego cifrado com chaves desconhecidas de WEP.
Tráfego cifrado com chaves de WEP de comprimentos diferentes.
Frames fracos do IV.
Quadros com IVs repetido em uma fileira.
Mudança do No. IV.
Recuo ao WEP original das soluções mais seguras tais como TKIP.
Rotação chave falhada de WEP.
Estes eventos podem indicar misconfigurations severos da segurança da rede, o equipamento insecure do legacy no uso, os usuários que violating a política da segurança, a colocação wireless do dispositivo do rogue, ou o uso do tráfego que injeta ferramentas (WEPwedgie, reinj) por biscoitos avançados.
Perda do connectivity.
Surge repentino no consumo da largura de faixa.
Diminuição repentina no throughput da rede.
Repentino atrasa o aumento em um ponto para apontar a ligação.
Nível aumentado da fragmentação do pacote.
Freqüente retransmits.
Estes eventos devem alertar uma investigação futura encontrar as causas exatas do problema detectadas. Um motor de inference inteligente dos IDS deve poder ligar estes problemas às categorias diferentes de eventos, assim parcialmente automatizando os problemas da investigação.
Ataques nas camadas de rede mais elevadas que provocam os IDS "tradicionais".
Tráfego unsolicited da gerência do ponto de acesso.
Pacotes constantemente duplicados ou repetidos dos dados.
Pacotes dos dados com camada de ligação de dados corrupt checksums/MIC.
Inundação de tentativas simultâneas múltiplas da associação da rede.
Estes eventos podem indicar bem sucedido ou os ataques mal sucedidos do biscoito, um anfitrião com misconfigured ajustes da segurança, tentativas de alcançar e reconfigurar os pontos de acesso desdobrados, o uso do tráfego que injetam ferramentas, ataques avançados do DoS de encontro aos anfitriões 802.11i-enabled, ou tentativas oprimir os amortecedores do AP com um grande número conexões do lado wired ou wireless. Outra vez, todos os casos do frame ou o corruption do pacote podem ser atribuídos aos problemas da camada física, tais como a interferência e a força baixa do sinal.
Agora você pode fàcilmente reconhecer muitos dos sinais indicadores do ataque da lista precedente do evento. Para o exemplo, os frames com endereços freqüentemente mudados do MAC e ESSIDs são uma indicação boa de alguém que usa um FakeAP. Alternativamente, há uma maneira ESSIDs fechado bruto-força usando dois cartões e Wellenreiter do cliente PCMCIA. Nós não o descrevemos na seção do ataque porque nós nunca a tentamos, e usar o essid_jack ou o dinject é mais eficiente distante e conserva recursos. Um ataque tãoforçando gera frames com mudança de ESSIDs e de endereços do MAC (maneira de Wellenreiter obscurecer o vendedor e a identidade do cartão do atacante). Os pedidos freqüentes da ponta de prova puderam indicar alguém que usa Netstumbler ou Ministumbler, e os anfitriões que mudam de repente sua canaleta da operação podem embandeirar para fora de um ataque homem-em-$$$-MÉDIO possível.
Muitos dos eventos esboçados podem ser um resultado do misbehavior do usuário melhor que um ataque malicioso de planeamento. Os usuários podem plug dentro dispositivos wireless unsolicited ou usar interferência-criar dispositivos (Bluetooth, câmeras wireless, telefones cordless). Podem conectar ao AP sem permitir WEP/TKIP se o AP o permitem (um erro grande no lado do administrador) ou o firmware de miss/avoid promove-o ("se o trabalhar, não reparar"), assim fazendo seus esforços da distribuição da segurança 802.11i-based inúteis. Todo o administrador do sistema ou da rede sabe unruly e obnoxious alguns usuários podem ser.
Online: 488 users browsing the articles directory
. |