Desdobrando uma solução wireless dos IDS para seu WLAN

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

Quantas soluções dos IDS que executam as recomendações e seguem os guidelines nós temos discutido já estamos atuais no mercado wireless moderno? A resposta não é nenhuma.

Há muitas soluções wireless dos IDS que procuram endereços illicit e ESSIDs do MAC no WLAN monitorado. Algumas destas soluções são executadas mesmo como dispositivos de ferragem especializados. Embora algo seja melhor do que nada, em nossa opinião tais "soluções" são um desperdício do dinheiro e tempo. Puderam também dar-lhe um sentido falso da segurança. Deixe-nos olhar as soluções disponíveis dos IDS do wireless que podem ser úteis ou ao menos hackable, de modo que você possa modificar as ferramentas para fazer exame ao menos da vantagem parcial das observações nós esboçamos e os dados adicionais que fluem constantemente dos frontlines wireless.

Sistemas Comerciais dos Ids Do Wireless

No lado comercial, as soluções well-known dos IDS do wireless incluem o sentry do protetor de AirDefense e do wireless de Isomair. Estas soluções são baseadas em desdobrar uma disposição dos sensores em torno do WLAN monitorado e em centralizar sua saída ao usuário ou ao console da gerência. O usuário pode ser um dispositivo especializado da ferragem com uma relação segura da correia fotorreceptora e gerência do SNMP ou uma máquina do usuário de Linux ligada ao console windows-based da gerência. Algumas destas soluções podem analisar o tráfego non-802.11 wireless ou mesmo a interferência do RF na faixa monitorada, que é útil.

Deve-se dizer que dependendo da zona wireless do tamanho e da cobertura da rede, a distribuição de sensores wireless dos IDS da ferragem pode ser essencial. Cada ponto do acesso wireless na organização deve ser coberto por um sensor dos IDS para fornecer a monitoração eficiente da rede. A sensibilidade de recepção mais elevada dos sensores é (no dBm negativo), o melhor. Muito no menos, a sensibilidade de recepção do sensor não deve ser mais má de um de seus transceptores do AP (mas mesmo aquele não garantiria a deteção de confiança dos ataques que alvejam anfitriões wireless em uma distância suficiente do AP). Uma desvantagem grande de todos os sensores que comerciais nós vimos é a inabilidade conectar uma antena externa ao sensor. Assim, a possibilidade extremamente de realçar a escala e a sensibilidade dos sensores é diminuída dramàtica. Está desobstruído que as companhias teriam que comprar mais sensores da baixo-escala e da baixo-sensibilidade para cobrir suas redes wireless. Entretanto, um pode carregar mais para uns sensores mais poderosos conectados às antenas apropriadas. Infelizmente, a tendência atual do marketing parece seguir o primeiro princípio. Naturalmente, você pode cortar o sensor comercial ao fio acima de uma antena (e para perder sua garantia). Uma solução talvez melhor e mais flexível deve construir seus próprios sensores feitos sob encomenda usando PCES velhos, laptops, ou PDAs uniforme;

WiSentry é uma solução comercial do software-somente para WLAN que monitoram e deteção do intrusion que não requer sensores especializados da ferragem. WiSentry cría uma entrada específica do perfil para cada anfitrião wireless desdobrado. Este perfil é armazenado pelo software de WiSentry e usado diferenciar-se entre confiado e nontrusted dispositivos. WiSentry tem uma base de dados configurable dos alertas dos IDS e suporta redes de 802.11a, de b, e de g.

Uma outra ferramenta comercial que combine a segurança que examina e as características dos IDS são AirMagnet dos sistemas seguros globais. AirMagnet está disponível em handheld, no laptop (deve usar cartões do Cisco Aironet), e em edições "combo". A característica distintiva de AirMagnet é uma propriedade básica do analisador do RF da faixa de ISM, permitindo que a ferramenta descubra as canaletas 802.11b/g que sobrepõem na área da recepção, e pôde detectar a interferência possível. AirMagnet pode embandeirar para fora dos pacotes WEP-cifrados dos dados com IVs fraco e, nas versões as mais atrasadas, detectar VPNs usado no WLAN feito a varredura.

O software proprietário 802.11 analisadores do protocolo, tais como o wireless do tubo aspirador do NAI e o AiroPeek de WildPacket, possui também a funcionalidade wireless dos IDS. No fato, AiroPeek suporta mesmo os dispositivos wireless remotos do sensor de RFGrabber integrados com o software do tubo aspirador de AiroPeek. Isto dá a AiroPeek uma funcionalidade distribuída similar aos sistemas de AirDefense/Isomair IDS. O pacote cheio de AiroPeek inclui o jogo do desenvolvimento do software que permite que os clientes escrevam seus próprios filtros de AiroPeek em básico ou em C++ visual. Este analisador wireless do protocolo é conseqüentemente parcialmente hackable, apesar de ser um produto próximo comercial da fonte.

Abra ajustes wireless e configuração dos IDS da fonte

O primeiro tal toolkit a ser revisto é WIDZ pelo bloke de Alto Gordo (marca Osborne). A versão de WIDZ na altura da escrita (1.5) suporta o seguinte:

  • Deteção de Rogue AP

  • Deteção do ataque de AirJack

  • A ponta de prova pede a deteção

  • Transmissão ESSID ("ALGUM")

  • Colocação má do MAC em uma lista do bloco do MAC

  • Colocação má de ESSID em uma lista do bloco de ESSID

  • A associação molda inundações

WIDZ 1.5 usa o excitador de HostAP e trabalha fora da caixa. Consiste em dois programas: widz_apmon, que detecta o APs não na lista do AP (widz-ap.config), e widz_probemon, que monitora a rede para o tráfego possivelmente hostil. Os alertas que provocam o widz_probemon atual da versão de WIDZ incluem o seguinte:

  • alert1. Alertas se o campo de ESSID estiver vazio. Então chama o certificado alerta e registra os 100 pacotes seguintes da fonte suspicious.

  • alert2. Alertas se mais do que as associações máximas ocorrerem em menos do que uma estadia máxima definida das associações.

  • alert3. Alertas se o MAC estiver na lima do badmac, que é uma lista simples dos mACs no hex.

  • alert4. Alertas se ESSID estiver na lima de lista dos badsids.

Naturalmente, esta é uma lista muito limitada dos alertas, mas você pode fàcilmente adicionar alertas no seus próprios. Para usar o widz_apmon, o primeiros levantam acima sua relação wireless com ifconfig, a seguir usam o widz_apmon |sleep_time| wlan0 geram o comando produzir a lima de lista de widz-ap.config AP. Em seguida que você pode lançar a monitoração para o rogue APs com widz_apmon |sleep_time| monitor wlan0. A variável do sleep_time consulta ao tempo entre varreduras nos segundos. Usar o widz_probemon é justo como fácil. Edite primeiramente o probemon.conf, os badmacs, e as limas dos badsids. Traga então acima sua relação wireless, ponha-a na modalidade de RFMON, e funcione-o o widz_probemon: 

arhontus:~ # o ifconfig wlan0 levantam o widz_probemon do 
&& do monitor 2 do iwpriv wlan0 do && wlan0 > logfile &

O certificado de escudo alerta incluído com os IDS está executado automaticamente quando um rogue AP ou o tráfego hostil são detectados. Pelo defeito, o certificado emite uma mensagem do syslog com o logger - comando de p security.notice $1 e escreve a mensagem alerta ao console atual. Alternativamente você pode fazê-lo emitir um E-mail de advertência, armadilha do SNMP, adiciona o MAC address offending ao ACL, usa—e assim por diante sua imaginação.

Uma fonte aberta IDS wireless com características mais disponíveis é wIDS por Milha Keli. Esta ferramenta dos IDS não se importa com o chipset ou os excitadores do cartão do cliente; todas as necessidades dos wIDS são uma relação wireless na modalidade de RFMON. Inclui também um decryptor automático de WEP (lugar justo sua chave de WEP no Keys.lst) e a sustentação wireless do honeypot (que infelizmente não permite WEP em um honeypot contudo). Mais importante, os wIDS podem fazer o seguinte:

  • Analise intervalos da baliza para cada AP descoberto.

  • Analise 802.11 números de seqüência do frame.

  • Descubra pedidos da ponta de prova da exploração ativa.

  • Detecte inundações do pedido da associação.

  • Detecte inundações do pedido do authentication.

  • Detecte pedidos freqüentes da reassociação.

  • Despeje o tráfego do honeypot em uma lima do formato do pcap.

  • Dirija de novo o tráfego wireless em uma relação wired.

A última opção é muito interessante, porque usando a você pode conduzir o tráfego wireless na camada 3 e umas ferramentas mais elevadas dos IDS tais como Snort para uma análise mais adicional dos IDS. Os wIDS running são fáceis e diretos:

arhontus:~ # wIDS
uso: /wIDS [ - s ] -- dispositivo do 
dispositivo de i [ - l logfile - honeypot ] de h [ - o ]
opções:
     - s          :use syslog (LOG_ALERT)
     - dispositivo:listen   de i na 
relação especificada pelo dispositivo
                       (eth0, wlan0...)
                       (deve estar na modalidade promiscuous)
     - l logfile:file onde os pacotes do honeypot 
serão despejados
     - honeypot:alert de h sobre o tráfego no honeypot
especificado
                 MAC DO AP '
     - dispositivo:device    de o onde o 
tráfego descifrado é emitido para
                 Análise dos IDS
nota    : "- a opção de s" deve 
ser usada.
 
exemple:./wIDS - s - i eth1 - o eth0
        /wIDS - s - i wlan0 - l /wIDS.tcpdump - h 
00:02:2d:4b:7e:0a

Finalmente, há um AirIDS novo IDS wireless que pareça ser muito prometedor. AirIDS tem um frontend de GTK+ e suporta cartões do chipset de prisma e de Cisco Aironet. Esta ferramenta está ainda no estágio beta do desenvolvimento, mas suportará rulesets muito flexíveis dos IDS do costume, injeção do tráfego para thwart WEP que racha, e defesas ativas da versão 0.3.1 avante. Para ter recursos para tais características, AirIDS 0.3.1 e umas versões mais atrasadas usar-se-ão excitadores pesadamente modificados ou reescritos de prisma (AirJack-estilo, talvez) em vez dos módulos que "usuais" de prism_cs/airo_cs se usa agora.

Uma ferramenta freqüentemente negligenciada e muito poderosa dos IDS do wireless é Kismet. Kismet veio longe de ser uma ferramenta dos wardriver ao IDS client/server completamente fundidos. As versões as mais recentes de Kismet executam as recomendações dos IDS derivadas dos artigos que de Joshua Wright nós consultamos a mais cedo. Encontre para fora que os IDS caracterizam sua versão de sustentações de Kismet verificando o Changelog. Não se esqueça de que há completamente uma diferença entre as árvores Kismet-estáveis e do Kismet-desenvolvimento: o Kismet-desenvolvimento pôde apenas ter executado a característica que a mais recente dos IDS você necessita urgente. A versão a mais atrasada do Kismet-desenvolvimento na altura da escrita incluiu as seguintes características:

  • Os frames de Deauthentication/deassociation inundam a deteção

  • análise da seqüência de 802.11 frames

  • Usuários embandeirando de AirJack na área monitorada

  • Detectando pontas de prova de NetStumbler e a versão do corredor de NetStumbler

  • Detectando ataques do dicionário de Wellenreiter ESSID

  • Código de Packetcracker a advertir sobre FMS WEP atac-vulnerável

  • A deteção de sonda-somente os clientes que nunca juntam a rede (mini-Stumbler-Stumbler, Dstumbler, ou perdido simplesmente e só misconfigured anfitriões)

  • 802.11 Distinção de DSSS/FHSS

  • Escreva a frames dos dados a uma tubulação nomeada FIFO para IDS externos tais como Snort

  • Descodificação do runtime WEP

  • Deteção excessiva do ruído do RF

  • Deteção wireless ao ar livre da rede de Lucent Router/Turbocell/Karlnet non-802.11

Estas características, junto com uma estrutura client/server, o sistema alerta easy-to-use (imprensa justa w para abrir uma janela alerta separada e para browse os avisos), o mecanismo estruturado grande registrar de dados, e a possibilidade de integração com os sensores remotos tais como o sensor 802.11b distribuído neutrino fazem Kismet IDS livres grandes dirigem para desdobrar-se. Adicionalmente, a potencialidade para usar cartões múltiplos do cliente e rachar as freqüências feitas a varredura entre o aumento mais adicional destes cartões o valor de Kismet na monitoração da rede e na deteção wireless do intrusion.

Algumas recomendações para a construção wireless do sensor de DIY IDS

Você pôde considerar sensores wireless remotos Kismet-baseados edifício você mesmo. Embora um PC velho que funciona Linux ou DEB não possa olhar tão sexy quanto um dos dispositivos slim do chemistry da rede, et o al. (mas você pode sempre usar Zaurus ou iPAQ!), há uma abundância das vantagens a cortar acima de um sensor dos IDS do costume. Primeiramente de tudo, é barato: Seus custos podiam funcionar tão baixo quanto o custo de um adaptador de PCMCIA-to-PCI e de um cartão adicional do cliente. Além, nós éramos sempre suspicious de baixo-ganhamos os omnidirectionals usados por sensores wireless ready-made. Como sobre um sensor custom-built ligou a um omni 14.5 do dBi vendido em http://www.fab-corp.com para um preço muito razoável? Tem que sempre ser um omnidirectional, considerando a forma possível de sua zona da cobertura da rede? Como sobre um sensor usando um direcional high-gain ao lado do ponto de longo alcance apontar a ponte wireless? Você não quererá detectar os atacantes ao longo de sua ligação inteira, não apenas em torno da área wireless da ponte? Você não quer impulsionar a sensibilidade de recepção de seu sensor por um dBm 10 a 20 extra?

Uma outra coisa interessante e útil fazer está integrando a camada 2 wireless e ferramentas dos IDS da elevado-camada ou sistemas (Snort, IpLog, PortSentry) em um único dispositivo. Você pode usar wIDS - a bandeira de o, Kismet FIFO nomeado tubulação, ou disparador justo seus certificados IDS-controlando da elevado-camada com o Kismet na mesma maneira Kismet funciona o jogo e o festival para a indicação audio da atividade de WLAN. Snort recusará funcionar quando lançado em uma verificação wireless—da relação a você mesmo. Entretanto, este problema é contorneado fàcilmente usando Kismet. A primeira coisa que você tem que fazer é mudar uma linha na lima de kismet.conf: O scroll # fifo=/tmp/kismet_dump, uncomment esta linha, excepto a lima da configuração, e começa o kismet_server. Uma vez que começado, Kismet travará a lima de /tmp/kismet_dump até que esteja escolhido acima por Snort. Agora, deixe-nos começar Snort. Configurare-o a seu gostar, mas adicione-o um adicional - o interruptor de r /tmp/kismet_dump quando você o funciona, assim que dados lidos da alimentação do FIFO de Kismet. Você pode mais mais instalar e funcionar o ÁCIDO para a visão agradável e colorida do registro dos IDS. Aquele é ele! Aprecíe seus IDS wireless e wired altamente configurable, no superior de muitos aspectos extensamente a suas contrapartes comerciais caras. Apesar de tudo, quantas soluções comerciais wireless e wired integradas flexíveis client/server dos IDS você sabe?

Naturalmente, os meios adicionais podem ser usados analisar as limas do dump de Kismet do formato do pcap. A maneira a mais óbvia é usar-se ethereal e aplicando-se os filtros específicos a escolhem acima assinaturas de ataques que comuns nós temos descrito já. Para o exemplo, os filtros ethereal para ferramentas ativas comuns da exploração atacam assinaturas como esboçado no papel da deteção do intrusion de Joshua Wright da "a análise camada 2 de aplicações da descoberta de WLAN para" e verificado por nós inclui o seguinte:

  • Netstumbler:

        (eq 32 de wlan.fc.type_subtype e eq 0x00601d de llc.oui e 
eq 0x0001 de llc.pid) e (data[4:4 ] eq 41:6c:6c:20 ou data[4:4 ] eq 
6c:46:72:75 ou data[4:4 ] eq 20:20:20:20)
  • Dstumbler (exploração ativa): 
      (eq 11 de wlan.seq e eq 11 de wlan.fc.subtype) ou (eq 12 
de wlan.seq e eq 00 de wlan.fc.subtype)
  • Sondar de Windows.xp:
        eq 0x0040 de wlan.fc e eq 0 de wlan_mgt.tag.number e eq 32
de wlan_mgt.tag.length e eq 0c:15:0f:03 do tag.interpretation[0:4 do 
wlan_mgt ]
  • Pedidos da ponta de prova de Wellenreiter (em ESSID queforça): 
        eq 0x0040 de wlan.fc e eq 0 de wlan_mgt.tag.number e eq 29
de wlan_mgt.tag.length e this_is_used_for_Wellenreiter do eq do 
tag.interpretation do wlan_mgt "

Naturalmente, agora há muitos mais 802.11 frames que emitem ferramentas ao olhar em e cría filtros da novela. Tais ferramentas incluem as versões as mais atrasadas de AirJack, wepwedgie, de dinj de Wnet utilidades e de reinj, FakeAP e suas modificações, e Void11. Os filtros ethereal da assinatura do ataque são úteis na pesquisa da segurança e na deteção do intrusion. Podem ser mesmo mais úteis no procedimento da resposta do incident se um arrombamento ocorrer (mas para se manter na mente que um armazenamento e um validation seguros apropriados da integridade das limas do pcap devem ser assegurados de antemão). Finalmente, se você for aventuroso, você pode tentar usar os e/ou a saída de Kismet desdobrar defesas ativas e atacá-las para trás ou confundir ao menos automaticamente os atacantes. Para o exemplo, quando um usuário de NetStumbler é detectado na área, Kismet apropriado output ou o pacote que combina uma assinatura do ataque definida por um filtro pode girar sobre FakeAP com o ESSIDs pré-ajustado ou mACs ignorados por Kismet (para evitar o DoS possível do excesso do registro).

Se para alguma razão você preferir não usar a combinação de Kismet + de Snort, você pode opt para o projeto Snort-snort-Wireless. Snort-snort-Wireless é um Snort remendado capaz de uma compreensão de 802.11 frames e mergulha 2–relacionou a emissão alerta. No momento em que, Snort-snort-Wireless permite a deteção do tráfego de NetStumbler através do preprocessor de AntiStumbler. Edite seu snort.conf adicionando o antistumbler do preprocessor: probe_reqs [ numéricos ], probe_period [ numérico ], expire_timeout [ numérico ] onde:

  • os probe_reqs são o número da ponta de prova pedem que disparadores um alerta.

  • o probe_period é o período de tempo (nos segundos) para que a contagem NULA do pedido da ponta de prova de SSID é mantida.

  • o expire_timeout é o tempo (nos segundos) antes que o offender detectado esteja removido da lista do stumbler.

Adicionalmente, o rogue APs e a deteção hoc da rede do anúncio são suportados através das variáveis das CANALETAS e do ACCESS_POINTS, definidas também em snort.conf. Embora muitas características suportadas pela combinação de Kismet + de Snort não sejam incluídas em Snort-snort-Wireless ainda, devido à flexibilidade do projeto e à possibilidade de escrever 802.11-related governa a mesma maneira que as réguas de Snort do padrão são escritas, o projeto Snort-snort-Wireless tem o potencial grande.

Não se esqueça de que muitos sensores wireless "industry-standard" dos IDS ainda usam o telnet e o SNMPv1 como os meios da administração remota e transmitem dados wireless capturados sem verificações do encryption e da integridade. Qualquer um justo mencionou as comunidades do SNMP do defeito? Nós encontramos os sensores comerciais dos IDS do wireless controlados remotamente através da comunidade de leitura/gravação de "public/private" pelo defeito! Infelizmente, mesmo os administradores de sistema frequentemente não mudam os ajustes de defeito de dispositivos da rede. Nós esperamos que uma estadia longa passará antes que estes dispositivos começarem suportar SSHv2, para não mencionar IPSec. Na outra mão, os sensores custom-built podem empregar qualquer tipo da proteção do tráfego e do controle que de acesso você escolhe. Para o exemplo, você pode construir uma rede dos sensores custom-built ligados ao usuário centralizado dos IDS através da topologia da anfitrião-à-rede VPN.

A escolha de uma plataforma de ferragem para seus sensores pode variar. Uma possibilidade interessante está usando as placas apropriadas de Soekris (http://www.soekris.com). Porque estas placas suportam o encryption ferragem-baseado opcional, podem ser altamente apropriadas para a solução sugerida apenas. Diversos Soekris-basearam os sensores wireless custom-built que wielding antenas high-gain apropriadas e capaz de transmitir volumes de dados grandes através dos túneis AES-cifrados de IPSec ao usuário centralizado dos IDS que integra Kismet, Snort, e algum outras ferramentas da análise do tráfego e do registro fazem um wireless distribuído e affordable IDS do sonho, certamente! As placas de Soekris foram projetadas funcionar Free/Net/OpenBSD ou Linux. Verifique a documentação em várias versões da placa e em suas potencialidades no local de Soekris.

Uma outra plataforma interessante e fanciful do sensor dos IDS do wireless é um iPAQ velho PDA com um berço dobro do cartão do cliente de PCMCIA. Um entalhe do berço prenderia um cartão do cliente do Ethernet para o connectivity wired, e outro carregaria um cartão wireless do cliente (nós recomendamos Cisco Aironet 350 com os conectores do dobro MMCX evitar a necessidade para o hopping da canaleta do software e plug dentro uma antena apropriada). Você pode instalar o familiar ou um distro similar no iPAQ, download e instalar o pacote de Kismet do ipkg, e ajustar acima SSH- ou o connectivity VPN-baseado aos IDS centrais que monitoram o usuário. Um sensor iPAQ-baseado seria o único sensor dos IDS do wireless com uma exposição "local" para ver eventos de WLAN. Envision uma companhia que tenha o usuário principal dos IDS seus sede e escritórios de filial com redes wireless monitoradas em posições remotas. Com sensores iPAQ-baseados, os administradores de sistema nas posições remotas poderão monitorar localmente a atividade wireless para sua posição, e a equipe de funcionários principal da segurança e da administração da rede pode observar os eventos em todos os locais no usuário central dos IDS e verificá-los com admininstrators da filial. Para fazer o uso de tais sensores mais convenientes para técnicos locais mais menos experientes da filial, um GUI para Kismet (WireKismet) pode ser instalado no cliente ou no sensor próprio. Neste caso você pôde querer realçar características da segurança de tal sensor.

Infelizmente, não há nenhum berço dobro do cartão do cliente para o Zaurus afiado ainda. Um podia tentar usar os entalhes dos CF e do SD deste PDA maravilhoso para o connectivity wireless e wired. Há cartões wireless do cliente do SD manufaturados por SanDisk e por soquete que podem ser usados em um sensor wireless Zaurus-baseado dos IDS conectado ao usuário central dos IDS através de um cartão do Ethernet dos CF. Nós não temos a experiência usando estes cartões do SD e não estamos cientes de sua sensibilidade de recepção prática e da possibilidade de wiring acima de uma antena externa.

Finalmente, uma passagem ou um ponto de acesso wireless custom-built podem conter um sensor interno ou o usuário dos IDS. No fato, você pode adicionar diversos sensores a tal AP (por exemplo, um para ISM e outro para as faixas de UNII). Tudo que o limita neste caso é o número de entalhes do PCI na placa principal e na disponibilidade do sensor dos dispositivos wireless do cliente a plug dentro. Outra vez, as placas de Soekris podem ser usadas desdobrando as passagens wireless seguras VPN-permitidas eficientes e affordable que executam funções adicionais da monitoração da rede e de deteção do intrusion.

As possibilidades para o edifício experimental do costume 802.11 ou os sensores ou o sensor de Bluetooth, o AP, e as combinações da passagem que usam o software aberto da fonte são incredible. A única coisa que você tem que se manter na mente é que não há ainda nenhum IDS perfeito para redes wireless. Assim não importa como bom os IDS desdobrados são; nada pode substituir para o conhecimento e um analisador wireless confiado do protocolo se os eventos suspicious ocorrerem.

este é um artigo adicionado por Krelle Xijao


Disclaimer: Nosso Web site não é responsável para a informação contida por este artigo. Este artigo em nenhuma maneira reflete as vistas, as opiniões, os pensamentos ou a opinião da equipe de funcionários do diretório dos artigos.

Observação da tradução: O artigo "que desdobra uma solução wireless dos IDS para seu WLAN" foi traduzido usando um serviço de tradução automatizado. Nós desculpamo-nos sincerely por todos os erros da tradução que ocorram. Obrigado compreendendo.


Online: 1073 users browsing the articles directory