¿Cuántas soluciones de las identificaciones que ponen las recomendaciones en ejecucio'n y siguen las pautas hemos discutido ya estamos presentes en el mercado sin hilos moderno? La respuesta no es ninguna.
Hay muchas soluciones sin hilos de las identificaciones que buscan direcciones ilícitas y ESSIDs del MAC en el WLAN supervisado. Algunas de estas soluciones incluso se ponen en ejecucio'n como dispositivos de hardware especializados. Aunque algo es mejor que nada, en nuestra opinión tales "soluciones" son una pérdida de dinero y tiempo. Puede ser que también le den un sentido falso de la seguridad. Miremos las soluciones disponibles de las identificaciones de la radio que pueden ser útiles o por lo menos hackable, de modo que usted pueda modificar las herramientas para tomar por lo menos la ventaja parcial de las observaciones contorneamos y los datos adicionales que fluían constantemente de los frontlines sin hilos.
En el lado comercial, las soluciones bien conocidas de las identificaciones de la radio incluyen a centinela del protector de AirDefense y de la radio de Isomair. Estas soluciones se basan en desplegar un arsenal de sensores alrededor del WLAN supervisado y centralizar su salida al servidor o a la consola de la gerencia. El servidor puede ser una aplicación especializada del hardware con un interfaz seguro del Web y la gerencia del SNMP o una máquina del servidor de Linux ligada a la consola windows-based de la gerencia. Algunas de estas soluciones pueden analizar el tráfico sin hilos non-802.11 o aún la interferencia del RF en la venda supervisada, que es útil.
Debe ser dicho que dependiendo de la zona sin hilos del tamaño y de la cobertura de la red, el despliegue de los sensores sin hilos de las identificaciones del hardware puede ser esencial. Cada punto del acceso sin hilos en la organización se debe cubrir por un sensor de las identificaciones para proporcionar la supervisión eficiente de la red. La sensibilidad de recepción cuanto más alta de los sensores es (en dBm negativo), el mejor. Por lo menos, la sensibilidad de recepción del sensor no debe ser peor de uno de sus transmisores-receptores del AP (pero incluso ése no garantizaría la detección confiable de los ataques que apuntan los anfitriones sin hilos en una suficiente distancia del AP). Una gran desventaja de todos los sensores comerciales que hemos visto es la inhabilidad de conectar una antena externa con el sensor. Así, la posibilidad grandemente de realzar la gama y la sensibilidad de los sensores se disminuye dramáticamente. Está claro que las compañías tendrían que comprar más sensores de la bajo-gama y de la bajo-sensibilidad para cubrir sus redes sin hilos. Sin embargo, uno puede cargar más para sensores más de gran alcance conectados con las antenas apropiadas. Desafortunadamente, la tendencia actual de la comercialización se parece seguir el primer principio. Por supuesto, usted puede cortar el sensor comercial al alambre encima de una antena (y perder su garantía). Una solución quizás mejor y más flexible es construir sus propios sensores de encargo usando las viejas PC, computadoras portátiles, o aún PDAs;
|
|
WiSentry es una solución comercial del software-solamente para WLAN que supervisa y la detección de la intrusión que no requiere los sensores especializados del hardware. WiSentry crea una entrada específica del perfil para cada anfitrión sin hilos desplegado. Este perfil es almacenado por el software de WiSentry y utilizado para distinguir entre confiado en y nontrusted los dispositivos. WiSentry tiene una base de datos configurable de las alarmas de las identificaciones y apoya redes de 802.11a, de b, y de g.
Otra herramienta comercial que combina la seguridad que revisa y las características de las identificaciones es AirMagnet de sistemas seguros globales. AirMagnet está disponible en handheld, computadora portátil (debe utilizar tarjetas del Cisco Aironet), y ediciones "combo". La característica distintiva de AirMagnet es una característica básica del analizador del RF de la venda de ISM, permitiendo que la herramienta descubra los canales 802.11b/g que se traslapan en el área de la recepción, y puede ser que detecte interferencia posible. AirMagnet puede señalar por medio de una bandera fuera de los paquetes WEP-cifrados de los datos con IVs débil y, en las versiones más últimas, detectar VPNs usado en el WLAN explorado.
El software propietario 802.11 analizadores del protocolo, tales como radio del succionador del NAI y AiroPeek de WildPacket, también posee funcionalidad sin hilos de las identificaciones. En hecho, AiroPeek incluso apoya los dispositivos sin hilos alejados del sensor de RFGrabber integrados con el software del succionador de AiroPeek. Esto da a AiroPeek una funcionalidad distribuida similar a los sistemas de las identificaciones de AirDefense/Isomair. El paquete completo de AiroPeek incluye el kit del desarrollo del software que permite que los clientes escriban sus propios filtros de AiroPeek en básico o C++ visual. Este analizador sin hilos del protocolo es por lo tanto parcialmente hackable, a pesar de ser un producto cercano comercial de la fuente.
El primer tal caja de herramientas que se repasará es WIDZ de bloke Loud Fat (marca Osborne). La versión de WIDZ a la hora de la escritura (1.5) apoya el siguiente:
Detección del AP del granuja
Detección del ataque de AirJack
La punta de prueba solicita la detección
Difusión ESSID ("CUALQUIERA")
Mala colocación del MAC en una lista del bloque del MAC
Mala colocación de ESSID en una lista del bloque de ESSID
La asociación enmarca las inundaciones
WIDZ 1.5 utiliza el conductor de HostAP y se resuelve de la caja. Consiste en dos programas: widz_apmon, que detecta el APs no en la lista del AP (widz-ap.config), y widz_probemon, que supervisa la red para el tráfico posiblemente hostil. Las alarmas que accionan el widz_probemon actual de la versión de WIDZ incluyen el siguiente:
alert1. Alarmas si el campo de ESSID es vacío. Después llama la escritura alerta y registra los 100 paquetes siguientes de la fuente sospechosa.
alert2. Alarmas si más que las asociaciones máximas ocurren en menos que un rato máximo definido de las asociaciones.
alert3. Alarmas si el MAC está en el archivo del badmac, que es una lista simple de mACs en tuerca hexagonal.
alert4. Alarmas si ESSID está en el archivo de listado de los badsids.
Por supuesto, ésta es una lista muy limitada de alarmas, pero usted puede agregar fácilmente alarmas en sus el propios. Para utilizar el widz_apmon, el primeros levantan para arriba su interfaz sin hilos con el ifconfig, después utilizan el widz_apmon |sleep_time| wlan0 generan comando de producir el archivo de lista de widz-ap.config AP. Después que usted puede lanzar la supervisión para el granuja APs con el widz_apmon |sleep_time| monitor wlan0. La variable del sleep_time refiere al tiempo entre las exploraciones en segundos. Usar el widz_probemon es justo como fácil. Primero corrija el probemon.conf, los badmacs, y los archivos de los badsids. Entonces traiga para arriba su interfaz sin hilos, póngalo en modo de RFMON, y funcione el widz_probemon:
arhontus:~ # el ifconfig wlan0 suben el widz_probemon del && del monitor 2 del iwpriv wlan0 del && wlan0 > logfile y
El shell script alerta incluido con las identificaciones se ejecuta automáticamente cuando se detecta un granuja AP o el tráfico hostil. Por defecto, la escritura envía un mensaje del syslog con el maderero - comando de p security.notice $1 y escribe el mensaje alerta a la consola actual. Usted puede hacer alternativomente que envía un E-mail amonestador, trampa del SNMP, agrega el MAC address que se ofende al ACL, y así sucesivamente—utiliza su imaginación.
Las identificaciones sin hilos de una fuente abierta con características más disponibles son wIDS de Mi Keli. Esta herramienta de las identificaciones no cuida sobre el chipset o los conductores de la tarjeta del cliente; todas las necesidades de los wIDS son un interfaz sin hilos en modo de RFMON. También incluye un decryptor automático de WEP (lugar justo su llave de WEP en el Keys.lst) y la ayuda sin hilos del honeypot (que desafortunadamente no permite WEP en un honeypot con todo). Más importante, los wIDS pueden hacer el siguiente:
Analice los intervalos del faro para cada AP descubierto.
Analice 802.11 números de serie del marco.
Descubra las peticiones de la punta de prueba de la exploración activa.
Detecte las inundaciones de la petición de la asociación.
Detecte las inundaciones de la petición de la autentificación.
Detecte las peticiones frecuentes de la reasociación.
Descargue el tráfico del honeypot en un archivo del formato del pcap.
Vuelva a dirigir el tráfico sin hilos sobre un interfaz atado con alambre.
La opción pasada es muy interesante, porque usándola usted puede instalar tubos el tráfico sin hilos en la capa 3 y herramientas más altas de las identificaciones tales como Snort para el análisis adicional de las identificaciones. Los wIDS corrientes son fáciles y directos:
arhontus:~ # wIDS
uso: /wIDS [ - s ] -- dispositivo del dispositivo de i [ - l logfile - honeypot ] de h [ - o ]
opciones:
- s :use syslog (LOG_ALERT)
- dispositivo:listen de i en el interfaz especificado por el dispositivo
(eth0, wlan0...)
(debe estar en modo promiscuo)
- l logfile:file donde los paquetes del honeypot serán descargados
- honeypot:alert de h sobre tráfico en el honeypot especificado
MAC DEL AP '
- dispositivo:device de o para donde el tráfico descifrado se envía
Análisis de las identificaciones
nota : "- la opción de s" debe ser utilizada.
exemple:./wIDS - s - i eth1 - o eth0
/wIDS - s - i wlan0 - l /wIDS.tcpdump - h 00:02:2d:4b:7e:0a
Finalmente, hay identificaciones sin hilos nuevas de un AirIDS que aparece ser muy prometedor. AirIDS tiene un frontend de GTK+ y apoya las tarjetas del chipset del prisma y del Cisco Aironet. Esta herramienta todavía está en la etapa beta del desarrollo, pero apoyará rulesets muy flexibles de las identificaciones del costumbre, la inyección del tráfico para frustrar WEP que se agrieta, y defensas activas de la versión 0.3.1 hacia adelante. Producir tales características, AirIDS 0.3.1 y versiones más últimas utilizarán los conductores pesadamente modificados o reescritos del prisma (AirJack-estilo, quizás) en vez de los módulos "generalmente" de prism_cs/airo_cs que ahora utiliza.
Una herramienta con frecuencia pasada por alto y muy de gran alcance de las identificaciones de la radio es Kismet. Kismet ha venido lejos de ser una herramienta de los wardriver a las identificaciones client/server por completo sopladas. Las versiones más recientes de Kismet ponen las recomendaciones de las identificaciones en ejecucio'n derivadas de los artículos de Joshua Wright que nos referimos anterior. Descubra que las identificaciones ofrecen su versión de las ayudas de Kismet comprobando el Changelog. No se olvide de que hay absolutamente una diferencia entre los árboles Kismet-estables y del Kismet-desarrollo: el Kismet-desarrollo pudo apenas haber puesto la característica más reciente de las identificaciones en ejecucio'n que usted necesita urgente. La versión más última del Kismet-desarrollo a la hora de la escritura incluyó las características siguientes:
Los marcos de Deauthentication/deassociation inundan la detección
análisis de la secuencia de 802.11 marcos
Usuarios de AirJack que señalan por medio de una bandera en el área supervisada
Detección de las puntas de prueba de NetStumbler y de la versión del funcionamiento de NetStumbler
Detección de ataques del diccionario de Wellenreiter ESSID
Código de Packetcracker a advertir sobre FMS WEP atacar-vulnerable
La detección de sonda -solamente a clientes que nunca ensamblan la red (Mini-Stumbler, Dstumbler, o perdido simplemente y solo misconfigured los anfitriones)
802.11 Distinción de DSSS/de FHSS
Escriba a marcos de los datos a una pipa nombrada primero en entrar, primero en salir para las identificaciones externas tales como Snort
El descifrar del tiempo de pasada WEP
Detección excesiva del ruido del RF
Detección sin hilos al aire libre de la red de Lucent Router/Turbocell/Karlnet non-802.11
Estas características, junto con una estructura client/server, el sistema de alerta fácil de utilizar (prensa justa W para abrir una ventana alerta separada y para hojear las advertencias), el gran mecanismo estructurado de la registración de datos, y la posibilidad de integración con los sensores alejados tales como el sensor distribuido neutrino 802.11b hacen Kismet las grandes identificaciones libres filetean para desplegar. Además, la capacidad para utilizar tarjetas múltiples del cliente y partir las frecuencias exploradas entre aumento posterior de estas tarjetas el valor de Kismet en la supervisión de la red y la detección sin hilos de la intrusión.
Usted puede ser que considere los sensores sin hilos alejados Kismet-basados edificio usted mismo. Aunque una vieja PC que funcionaba Linux o el DEB no pudo parecer tan atractiva como uno de los dispositivos delgados de la química de la red, et el al. (solamente usted puede utilizar siempre Zaurus o el iPAQ!), hay un montón de ventajas a cortar encima de un sensor de las identificaciones del costumbre. Primero de todos, es barato: Sus costes podían funcionar tan bajo como el coste de un adaptador de PCMCIA-to-PCI y de una tarjeta adicional del cliente. Además, éramos siempre sospechosos de bajo-ganamos los omnidirectionals usados por los sensores sin hilos confeccionados. ¿Cómo sobre un sensor a la medida se ligó a un omni 14.5 del dBi vendido en http://www.fab-corp.com para un precio muy razonable? ¿Tiene que siempre ser un omnidireccional, considerando la forma posible de su zona de la cobertura de la red? ¿Cómo sobre un sensor usando un direccional high-gain al lado del punto de largo alcance para señalar el puente sin hilos? ¿Usted no deseará detectar los atacantes a lo largo de su acoplamiento entero, no apenas alrededor del área sin hilos del puente? ¿Usted no desea alzar la sensibilidad de recepción de su sensor por un dBm adicional 10 a 20?
Otra cosa interesante y útil hacer está integrando la capa 2 sin hilos y las herramientas o los sistemas (Snort, IpLog, PortSentry) de las identificaciones de la alto-capa en un solo dispositivo. Usted puede utilizar wIDS - la bandera de o, Kismet primero en entrar, primero en salir nombrado pipa, o disparador justo sus escrituras Identificacio'n-que controlan de la alto-capa con Kismet de la misma manera Kismet funciona el juego y el festival para la indicación audio de la actividad de WLAN. Snort rechazará funcionar cuando lo está lanzado en un cheque sin hilos—del interfaz usted mismo. Sin embargo, este problema se puentea fácilmente usando Kismet. La primera cosa que usted tiene que hacer es cambiar una línea en el archivo de kismet.conf: La voluta # fifo=/tmp/kismet_dump, uncomment esta línea, excepto el archivo de la configuración, y comienza el kismet_server. Una vez que esté comenzado, Kismet trabe el archivo de /tmp/kismet_dump hasta que es tomado por Snort. Ahora, comencemos Snort. Configúrelo a su tener gusto, pero agregue un adicional - el interruptor de r /tmp/kismet_dump cuando usted lo funciona, así que él los datos leídos de la alimentación del primero en entrar, primero en salir de Kismet. Usted puede instalar y funcionar más lejos el ÁCIDO para la visión agradable y colorida del registro de las identificaciones. ¡Eso es él! Goce de sus identificaciones sin hilos y atadas con alambre altamente configurables, en superior de muchos aspectos extensamente a sus contrapartes comerciales costosas. ¿Después de todo, cuántas soluciones comerciales sin hilos y atadas con alambre integradas flexibles client/server de las identificaciones usted sabe?
Por supuesto, los medios adicionales se pueden utilizar para analizar los archivos de la descarga de Kismet del formato del pcap. La manera más obvia es el usar etéreo y aplicándose los filtros específicos a toman las firmas de ataques comunes que hemos descrito ya. Por ejemplo, los filtros etéreos para las herramientas activas comunes de la exploración atacan firmas conforme al papel de la detección de la intrusión de Joshua Wright "análisis de la capa 2 de los usos del descubrimiento de WLAN para" y verificado por nosotros incluya el siguiente:
Netstumbler:
(eq 32 de wlan.fc.type_subtype y eq 0x00601d de llc.oui y
eq 0x0001 de llc.pid) y (data[4:4 ] eq 41:6c:6c:20 o data[4:4 ] eq
6c:46:72:75 o data[4:4 ] eq 20:20:20:20)
(eq 11 de wlan.seq y eq 11 de wlan.fc.subtype) o (eq 12 de wlan.seq y eq 00 de wlan.fc.subtype)
eq 0x0040 de wlan.fc y eq 0 de wlan_mgt.tag.number y eq 32 de wlan_mgt.tag.length y eq 0c:15:0f:03 del tag.interpretation[0:4 del wlan_mgt ]
eq 0x0040 de wlan.fc y eq 0 de wlan_mgt.tag.number y eq 29 de wlan_mgt.tag.length y this_is_used_for_Wellenreiter del eq del tag.interpretation del wlan_mgt "
Por supuesto, ahora hay muchos más 802.11 marcos que envían las herramientas a la mirada en y crea los filtros de la novela. Tales herramientas incluyen las versiones más últimas de AirJack, wepwedgie, las utilidades del dinj de Wnet y del reinj, FakeAP y sus modificaciones, y Void11. Los filtros etéreos de la firma del ataque son útiles en la investigación de la seguridad y la detección de la intrusión. Pueden ser aún más provechosos en el procedimiento de la respuesta del incidente si ocurre un robo (sino tener presente que un almacenaje y una validación seguros apropiados de la integridad de los archivos del pcap se deben asegurar de antemano). Finalmente, si usted es adventurero, usted puede intentar utilizar los y/o la salida de Kismet para desplegar defensas activas y para atacarlas detrás o para confundir por lo menos los atacantes automáticamente. Por ejemplo, cuando detectan a un usuario de NetStumbler en el área, Kismet apropiado hizo salir o el paquete que empareja una firma del ataque definida por un filtro puede girar FakeAP con ESSIDs preestablecido o los mACs no hechos caso por Kismet (evitar el DOS posible del desbordamiento del registro).
Si por una cierta razón usted prefiere no utilizar la combinación de Kismet + de Snort, usted puede optar por el proyecto Snort-Sin hilos. Snort-Sin hilos es un Snort remendado capaz de la comprensión de 802.11 marcos y acoda 2–relacionó enviar alerta. En el momento que, Snort-Sin hilos permite la detección del tráfico de NetStumbler vía el preprocesador de AntiStumbler. Corrija su snort.conf agregando el antistumbler del preprocesador: probe_reqs [ numéricos ], probe_period [ numérico ], expire_timeout [ numérico ] donde:
los probe_reqs son el número de la punta de prueba solicitan que los disparadores una alarma.
el probe_period es el período (en los segundos) para los cuales se guarda la cuenta NULA de la petición de la punta de prueba de SSID.
el expire_timeout es el tiempo (en segundos) antes de que quiten al delincuente detectado de la lista del stumbler.
Además, el granuja APs y la detección hoc de la red del anuncio se apoyan vía las variables de los CANALES y de ACCESS_POINTS, también definidas en snort.conf. Aunque muchas características apoyadas por la combinación de Kismet + de Snort no se incluyen en Snort-Sin hilos todavía, debido a la flexibilidad del proyecto y a la posibilidad de escribir 802.11-related gobierna la misma manera que se escriben las reglas de Snort del estándar, el proyecto Snort-Sin hilos tiene gran potencial.
No se olvide de que muchos sensores sin hilos "industry-standard" de las identificaciones todavía utilizan el telnet y SNMPv1 como los medios de la administración alejada y transmiten datos sin hilos capturados sin cheques del cifrado y de la integridad. ¿Cualquier persona justo mencionó a comunidades del SNMP del defecto? ¡Hemos encontrado los sensores comerciales de las identificaciones de la radio controlados remotamente vía la comunidad de lectura/grabación de "public/private" por el defecto! Desafortunadamente, incluso los administradores de sistema no cambian a menudo los ajustes de defecto de los dispositivos de la red. Contamos con que un rato largo pase antes de que estos dispositivos comiencen a apoyar SSHv2, para no mencionar IPSec. Por otra parte, los sensores a la medida pueden emplear cualquier clase de protección del tráfico y de control de acceso que usted elige. Por ejemplo, usted puede construir una red de los sensores a la medida ligados al servidor centralizado de las identificaciones vía la topología de la anfitrio'n-a-red VPN.
La opción de una plataforma de hardware para sus sensores puede variar. Una posibilidad interesante está utilizando los tableros convenientes de Soekris (http://www.soekris.com). Porque estos tableros apoyan el cifrado hardware-basado opcional, pueden ser altamente convenientes para la solución apenas sugerida. ¡Varios Soekris-basaron los sensores sin hilos a la medida que manejaban las antenas high-gain apropiadas y capaz de transmitir volúmenes de datos grandes vía los túneles AES-cifrados de IPSec al servidor centralizado de las identificaciones que integra Kismet, Snort, y algún otras herramientas del análisis del tráfico y del registro hacen las identificaciones distribuidas y comprables de un sueño de la radio, de hecho! Diseñaron a los tableros de Soekris para funcionar Free/Net/OpenBSD o Linux. Compruebe la documentación en varias versiones del tablero y sus capacidades en el sitio de Soekris.
Otra plataforma interesante e imaginaria del sensor de las identificaciones de la radio es un viejo iPAQ PDA con una horquilla doble de la tarjeta del cliente de PCMCIA. Una ranura de la horquilla sostendría una tarjeta del cliente de Ethernet para la conectividad atada con alambre, y la otra llevaría una tarjeta sin hilos del cliente (recomendamos Cisco Aironet 350 con los conectadores del doble MMCX para evitar la necesidad de la lupulización del canal del software y para enchufar una antena apropiada). Usted puede instalar el familiar o un distro similar en el iPAQ, descargar e instalar el paquete de Kismet del ipkg, e instalar SSH- o conectividad VPN-basada a las identificaciones centrales que supervisan el servidor. Un sensor iPAQ-basado sería el único sensor de las identificaciones de la radio con una exhibición "local" para visión acontecimientos de WLAN. Prevea a compañía que tiene el servidor principal de las identificaciones en su sede y sucursales con las redes sin hilos supervisadas en las posiciones remotas. Con los sensores iPAQ-basados, los administradores de sistema en las posiciones remotas podrán supervisar la actividad sin hilos para su localización localmente, y el principal personal de la seguridad y de la administración de la red puede observar los acontecimientos en todos los sitios en el servidor central de las identificaciones y verificarlos con admininstrators del rama. Para hacer el uso de tales sensores más convenientes para los técnicos locales menos experimentados del rama, un GUI para Kismet (WireKismet) se puede instalar en el cliente o el sensor sí mismo. En este caso usted puede ser que desee realzar características de la seguridad de tal sensor.
Desafortunadamente, no hay horquilla doble de la tarjeta del cliente para el Zaurus agudo todavía. Uno podía intentar utilizar las ranuras de los CF y del SD de este PDA maravilloso para la conectividad sin hilos y atada con alambre. Hay tarjetas sin hilos del cliente del SD fabricadas por SanDisk y el zócalo que puedan ser utilizados en un sensor sin hilos Zaurus-basado de las identificaciones conectado con el servidor central de las identificaciones vía una tarjeta de Ethernet de los CF. No tenemos experiencia usando estas tarjetas del SD y no estamos enterados de su sensibilidad de recepción práctica y de la posibilidad de atar con alambre encima de una antena externa.
Finalmente, una entrada o un punto de acceso sin hilos a la medida puede contener un sensor incorporado o el servidor de las identificaciones. En hecho, usted puede agregar varios sensores a tal AP (e.g., uno para ISM y otro para las vendas de UNII). Todo que le limita en este caso es el número de las ranuras del PCI en el consejo principal y la disponibilidad del sensor de los dispositivos sin hilos del cliente a enchufar. Una vez más los tableros de Soekris pueden ser utilizados para desplegar las entradas sin hilos seguras VPN-permitidas eficientes y comprables que ponen funciones adicionales de la supervisión en ejecucio'n de la red y de detección de la intrusión.
Las posibilidades del edificio experimental del costumbre 802.11 o los sensores o sensor de Bluetooth, AP, y las combinaciones de la entrada que usan software abierto de la fuente son increíbles. La única cosa que usted tiene que tener presente es que todavía no hay identificaciones perfectas para las redes sin hilos. Así no importa cómo es bueno son las identificaciones desplegadas; nada puede substituir para el conocimiento y un analizador sin hilos confiado en del protocolo si ocurren los acontecimientos sospechosos.
Online: 634 users browsing the articles directory
|
|