ПРИМЕРЫ И АНАЛИЗ ТИПИЧНЫХ СИГНАТУР АТАК НА БЕСПРОВОДНЫЕ СЕТИ 3 7 9 Подпрограмма build_a_f akemac для создания поддельных МАС-адресов выглядит так:sub build_a_fakemacсле-arhontus:~# perl
Trang 13 7 8 А КОНТРРАЗВЕДКА: СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЯ В БЕСПРОВОДНЫЕ СЕТИ
о во фреймах типа Authenticate, которые посыпает Dstumbler, указан повторяющийсяпорядковый номер 11 (Oxlb);
о во фрейме с запросом на присоединение порядковый номер равен 12 (ОхОс);
о получив ответ на пробный запрос, Dstumbler пытается аутентифицироватъся и соединиться к обнаруженной точке доступа Наверное, это единственная причина,
при-по которой кто-то может захотеть воспри-пользоваться Dstumbler для активного рования (желание сорвать низко висящий плод)
скани-Еще один инструмент поиска беспроводных сетей с помощью активного ния, с которым легко может столкнуться администратор или консультант по безопас-ности, - это сервис сканирования сетей в Windows XP Так зачем нужна программаNetStumbler, если Windows XP и без нее умеет это делать? Упомянутый сервис посылаетфреймы с пробными запросами, указывая в них широковещательный ESSID (ANY) и вто-рое уникальное значение ESSID Именно этот второй ESSID и выдает пользователейWindows XP В посылаемом пробном запросе Windows XP устанавливает специальноезначение в части фрейма, занимающей все отведенное под ESSID поле (32 байт) Этозначение состоит из случайных непечатаемых символов В шестнадцатеричном видеоно выглядит так:
ско-их система сканирует беспроводные сети и даже пытается к ним присоединиться Поэтому то,что на первый взгляд представляется атакой, может быть просто пробелом в образовании От-метим попутно, что то же самое относится к Windows-машинам и инфракрасным каналам Еслиинфракрасный порт активирован, то система будет искать сети и хосты и пытаться подклю-читься к обнаруженным каналам, если это возможно Взломщик может воспользоваться этойвозможностью в своих интересах, превратив свой ноутбук в «инфракрасную ловушку» с цельюатаковать подключающиеся хосты, не привлекая внимания их владельцев
А теперь обратимся к программе Wellenreiter и подделке МАС-адресов в беспроводныхсетях Некоторые возможности реализованной в Wellenreiter атаки методом полного пе-ребора на ESSID мы уже обсуждали Вот фрагмент реального кода из старой версииWellenreiter 1.6, который генерирует поддельные ESSID и МАС-адреса:
system("$fromconf{iwpath} $fromconf{interface} essid
1this_is_used_for_wellenreiter'");
system("$fromconf{ifconfig} $fromconf{interface} down");
my $brutessid = shift (@g_wordlist) ;
my $mactouse = build_a_fakemac;
system("$fromconf{ifpath} $fromconf{interface} hw ether $mactouse");
p r i n t STDOUT "\nl t e s t now the essid: $brutessid";
system("$fromconf{iwpath} $fromconf{interface} essid $brutessid");system("$fromconf{ifpath} $fromconf{interface} u p " ) ;
return ($true);
Trang 2ПРИМЕРЫ И АНАЛИЗ ТИПИЧНЫХ СИГНАТУР АТАК НА БЕСПРОВОДНЫЕ СЕТИ 3 7 9 Подпрограмма build_a_f akemac для создания поддельных МАС-адресов выглядит так:sub build_a_fakemac
сле-arhontus:~# perl maidwts.pl -h
Usage:
maidwts [флаги]
- i , интерфейс
-f, имя файла
Trang 3Такая функциональность может стать полезным дополнением к вашей системе IDS.Что можно сказать по поводу обнаружения атак «человек посередине»? Драйвер AirJack
в качестве ESSID устанавливает по умолчанию строку " A i r J a c k " Поскольку инструментfatajack для проведения DoS-атаки пользуется именно драйвером airjack_cs, то и прини-маемый по умолчанию ESSID будет таким же (это относится и к инструментам essid_jack иwlanjack) Атакуемый хост будет затоплен поддельными фреймами с запросом о прекра-щении сеанса, что очень скоро приведет к потере связи между хостом и точкой доступа.Однако лучшим способом обнаружения атак «человек посередине» на уровень 2 (как и лю-бого подлога на уровне 2) является анализ порядковых номеров фреймов 802.11
Порядковый номер фрейма 802.11 - это число, которое увеличивается на 1 для каждогонефрагментированного фрейма Нумерация начинается с 0 и заканчивается на 4096, послечего счетчик сбрасывается в 0 и отсчет начинается заново Подвох в том, что записать вэто поле произвольное значение нельзя, даже если пользоваться инструментом, которыйсамостоятельно конструирует фреймы (например, dinject из комплекта Wnet) Когда ата-кующий вмешивается в передачу, порядковые номера отправляемых им фреймов не будутсоответствовать нумерации законных фреймов, циркулирующих в сети Например, FakeAPгенерирует трафик, притворяясь точкой доступа Если смотреть только на ESSID и МАС-адреса, то отличить посылаемые FakeAP фреймы-маяки от настоящих невозможно Но уве-личение порядковых номеров на единицу выдает трафик FakeAP с головой Если бы в сетидействительно было несколько точек доступа, то вы бы наблюдали несколько увеличиваю-щихся счетчиков, а не один с постоянно изменяющимися МАС-адресами и ESSID
В случае AirJack надо было бы сравнить с точкой отсчета порядковые номера фреймов,которыми обменивается точка доступа, и тот хост, который подвергся атаке с целью заста-вить его прекратить сеанс В случае большой сети это непростая задача, особенно если в нейесть мобильные хосты, но все же решить ее можно Если для законного трафика между кли-ентом и точкой доступа окно порядковых номеров простирается, скажем, от X до Z, то поряд-ковые номера поддельных фреймов будут далеко выходить за его пределы Посмотрите например обнаружения такой атаки с помощью программы Ethereal приведенный Джошуа Рай-том в статье «Detecting Wireless LAN MAC Address Spoofing» Конечно, если сначала взломщикпроведет DoS-атаку против беспроводного клиента или самой точки доступа, а затем притво-рится выбитым из сети хостом, то цепочка порядковых номеров также будет нарушена Поэто-
му получение эталонного образца цепочки порядковых номеров и последующий мониторинг
и анализ этой характеристики оказываются прекрасным способом обнаружения и ния атак, связанных с подлогом Но на практике некоторые беспроводные клиентские карты
Trang 4пресече-ВКЛЮЧИТЬ РАДАРЫ! РАЗВЕРТЫВАНИЕ СИСТЕМЫ IDS В ВАШЕЙ БЕСПРОВОДНОЙ СЕТИ 38 1работают не в соответствии со стандартом 802.11 в части генерирования порядковых номе-ров В частности, это относится к картам Lucent с версиями программно-аппаратного обес-печения до 8.10 - вот вам и еще одна причина вовремя устанавливать обновления Крометого, блуждающие хосты могут привести к ложным срабатываниям IDS, поскольку при пере-ходе из соты в соту последовательность номеров нарушается Следовательно, в сетях с боль-шим числом мобильных пользователей анализ порядковых номеров фреймов становитсябесполезен, так что в системе IDS эта возможность должна быть отключаемой.
Анализируя имеющиеся примеры сигнатур различных атак, мы приходим к очевидномувыводу: взломщик может без труда модифицировать или вообще избавиться от сигнатурысвоего инструмента Есть сообщения о пользователях программы NetStumbler, которые спомощью шестнадцатеричного редактора удаляли строки, обычно присутствующие вофреймах с пробным запросами Значения ESSID, которые посылают такие инструменты, какWellenreiter или AirJack, также легко изменить Например, в файле airjack.c (на моментнаписания этой книги) посылаемый по умолчанию ESSID определен в строке 1694:memcpy(ai->essid + 1, "AirJack", 7) ;
Следовательно, мы описали полный круг и вернулись к тому, с чего начали эту главу.Хорошая система IDS для беспроводных сетей должна сочетать как анализ сигнатур, так иобнаружение аномалий в работе сети
Включить радары! Развертывание
системы IDS в вашей беспроводной сети
Сколько существует на рынке систем IDS, в которых реализованы только что еся рекомендации? Ни одной!
обсуждавши-Есть много решений, которые отслеживают недопустимые МАС-адреса и ESSID рые из них даже реализованы в виде специальных аппаратных устройств И хотя что-товсегда лучше, чем ничего, но, наш взгляд, такие «решения» - это пустая трата времени иденег Они лишь вселяют ложное чувство защищенности Давайте рассмотрим те из имею-щихся систем IDS, которые могут быть полезны или хотя бы модифицируемы Тогда их, покрайней мере, можно будет переделать с учетом наших замечаний, чтобы они собиралидополнительные данные о работе сети
Некото-Коммерческие системы IDS для беспроводных сетей
Из коммерческих решений хорошо известны программы AirDefense Guard (http://www.airdefense.net/products/airdefense_ids.shtm) и Isomair Wireless Sentry (http://www.isomair.com/products.html) Они основаны на размещении сенсоров на территории защи-щаемой сети и передаче всей собираемой ими информации на центральный сервер иликонсоль Сервер может представлять собой специализированное устройство с безопаснымWeb-интерфейсом или Linux-машину, к которой подключена консоль управления на плат-форме Windows Некоторые из упомянутых программ могут анализировать беспроводнойтрафик, отличный от стандарта 802.11, и даже радиопомехи в наблюдаемой полосе частот,что часто бывает полезно
Trang 53 8 2 КОНТРРАЗВЕДКА: СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЯ В БЕСПРОВОДНЫЕ СЕТИ
Надо сказать, что в зависимости от размера сети и зоны покрытия расстановка сенсоровсистемы IDS может иметь решающее значение Чтобы мониторинг сети был эффективен, сен-соры должны покрывать всю территорию, из которой возможен беспроводной доступ Чемвыше приемная чувствительность сенсоров (в единицах dBm), тем лучше Как минимум, сен-соры должны быть не менее чувствительны, чем трансиверы точки доступа (но даже это негарантирует надежного обнаружения атак против хостов, находящихся на достаточном уда-лении от точки доступа) Серьезный недостаток всех коммерческих сенсоров, которые мывидели, - это невозможность подключить внешнюю антенну Из-за этого увеличить даль-ность действия и чувствительность сенсоров становится весьма затруднительно Ясно, чтокомпании придется покупать больше низкочувствительных сенсоров с малым радиусом дей-ствия, чтобы покрыть всю сеть Казалось бы, можно запросить большую цену за более мощ-ный сенсор с подходящей антенной Но почему-то рынок тяготеет к первому варианту Ко-нечно, можно переделать купленный сенсор, припаяв к нему антенну (и потерять право нагарантийный ремонт) Но, быть может, лучше смастерить собственный сенсор из старого ПК,ноутбука или даже КПК, мы еще вернемся к этой мысли ниже
WiSentry (http://www.wimetrics.com/products/download_wisentry.php) - это кое чисто программное решение, обеспечивающее мониторинг беспроводной сети и обна-ружение вторжений без специальных аппаратных сенсоров WiSentry создает отдельныйпрофиль для каждого беспроводного хоста Профиль хранится в базе данных WiSentry ииспользуется для того, чтобы отличить устройства, которым можно доверять, от всех про-чих В этой программе есть конфигурируемая база данных тревожных событий, она под-держивает сети стандартов 802.11а, b и д
коммерчес-Еще один коммерческий продукт, который сочетает в себе средства для аудита
безопаснос-ти и некоторые функции IDS, - это программа AirMagnet от компании Global Secure Systems(http://www.gsec.co.uk/products/_wireless_security.htm) Существуют ее версии для КПК, но-утбука (с картой Cisco Aironet) и комбинированные Отличительной особенностью AirMagnetявляется наличие анализатора радиочастот в основном диапазоне ISM, что позволяет ей обна-руживать перекрытие каналов 802.11b/g в области приема, а также выявлять возможные по-мехи AirMagnet может помечать зашифрованные по протоколу WEP пакеты со слабыми IV, а впоследних версиях - также обнаруживать использование VPN в сканируемой сети
Коммерческие анализаторы протоколов 802.11, например NAI Sniffer Wireless и WildPacketAiroPeek, также реализуют некоторые возможности IDS AiroPeek даже поддерживает удален-ные сенсоры RFGrabber, что делает ее похожей на распределенные системы типа AirDefense/Isomair В полной комплектации AiroPeek включает также набор инструментов для разработ-
ки собственных фильтров на языках Visual Basic или C++ Следовательно, этот анализатор вкакой-то мере поддается переделке, несмотря на закрытость исходных текстов
Настройка и конфигурирование IDS для беспроводных сетей
с открытыми исходными текстами
В оставшейся части этой главы мы будем говорить о системах IDS с открытым исходным текстом,которые можно подстроить под собственные нужды Первым делом мы рассмотрим инструментWIDZ, написанный Марком Осборном (Mark Osborne, псевдоним Loud Fat Bloke) Во время рабо-
ты над этой книгой текущей была версия 1.5, которая поддерживала следующие функции:
о обнаружение фальшивых точек доступа;
о обнаружение атак с применением Air Jack;
Trang 6о alertl Срабатывает, если поле ESSID пусто В этом случае вызывается сценарийAlert, который записывает в протокол следующие 100 пакетов из подозрительногоисточника;
о alert2 Срабатывает, если в течение заданного промежутка времени происходитслишком много попыток присоединения;
о alert3 Срабатывает, если МАС-адрес находится в файле badmac, который ляет собой простой список адресов в шестнадцатеричном виде;
представ-о alert4 Срабатывает, если ESSID нахпредстав-одится в файле badsids
Разумеется, этот перечень тревог слишком мал, но его можно легко расширить
самостоятель-но Чтобы воспользоваться программой widz_apmon, сначала поднимите беспроводной фейс с помощью ifconfig, а затем выполните команду widz_apmon <sleep_time> wlanO,которая будет оповещать о фальшивых точках доступа в сети Параметр sleep time задаетчисло секунд между сканированиями Пользоваться программой widz_probemon столь же лег-
интер-ко Сначала отредактируйте файлы probemon.conf, badmacs и badsids Затем поднимите
беспро-водной интерфейс, переведите его в режим RFM0N и запустите widz_probemon:
arhontus:~# ifconfig wlanO up && iwpriv wlanO monitor 2 &&
widz_probemon wlanO > logfile &
Сценарий Alert поставляемый в составе IDS, автоматически вызывается, как только будет наружена фальшивая точка доступа или подозрительный трафик По умолчанию сценарий по-сылает сообщения syslog-серверу с помощью команды logger -p s e c u r i t y n o t i c e $1 и вы-водит тревожное сообщение на консоль Можно вместо этого заставить его посылатьсообщение по электронной почте, возбуждать SNMP-событие, добавлять недопустимыйМАС-адрес в список контроля доступа и т.д - дайте простор воображению
об-Есть открытая IDS и с более развитыми функциями; это программа wIDS, написанная МиКели (Mi Keli) Она не зависит от конкретной клиентской карты или драйвера, нужно лишь,
Trang 73 8 4 КОНТРРАЗВЕДКА: СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЯ В БЕСПРОВОДНЫЕ СЕТИ
о протоколировать трафик приманки в рсар-файл;
о перенаправлять беспроводной трафик на проводной интерфейс
Последняя возможность очень интересна, поскольку позволяет перенаправить водной трафик на уровень 3 и использовать средства IDS более высокого уровня, напримерSnort для последующего анализа Порядок запуска wIDS таков:
приманке-h honeypot :извещать о трафике, адресованном приманке
(МАС-адрес точки доступа)-о device :устройство, на которое отправляется расшифрованный
трафик для анализа системой IDSпримечание : рекомендуется задавать флаг "-s"
пример : /wIDS -s -i ethl -о ethO
./wIDS -s -i wlanO -1 /wIDS.tcpdump -h 00:02:2d:4b:7e:OaНаконец, существует недавно появившаяся и многообещающая IDS для беспроводных сетейAirlDS Она поддерживает карты с наборами микросхем Prism и Cisco Aironet, и для нее имеетсяграфический интерфейс, написанный с использованием GTK+ Пока что инструмент находится
на стадии бета-версии, но начиная с версии 0.3.1 будет поддерживать очень гибкое заданиеправил, внедрение трафика для пресечения взлома WEP и активную защиту Для реализациизаявленных функций AirlDS версии 0.3.1 и выше будет пользоваться сильно модифицирован-ными или полностью переписанными драйверами Prism (возможно, в духе AirJack) вместо
«обычных» модулей prism_cs/airo_cs, которые применяются сейчас Следите за ходом ботки AirlDS на сайте http://www.intemetcomealive.com/clients/airids/general.php
разра-Говоря о системах IDS, часто забывают очень мощную программу Kismet Она прошладолгий путь развития от инструмента искателя сетей до полнофункциональной клиент-серверной системы IDS В последних версиях Kismet реализованы рекомендации, сформу-лированные в статьях Джошуа Райта, на которые мы ссылались выше Посмотрите в файлеChangelog, какие функции IDS включены в имеющуюся у вас версию Kismet He забывайте,что между стабильной и разрабатываемой версиями имеются существенные различия; неисключено, что в разрабатываемой версии реализованы те самые функции, которые вамособенно необходимы Во время подготовки этой книги в последнюю разрабатываемуюверсию были включены следующие возможности:
о обнаружение затоплений запросами на прекращение сеанса и отсоединение;
о анализ порядковых номеров фреймов 802.11;
о выявление тех, кто пользуется инструментом AirJack в наблюдаемой области;
Trang 8ВКЛЮЧИТЬ РАДАРЫ! РАЗВЕРТЫВАНИЕ СИСТЕМЫ IDS В ВАШЕЙ БЕСПРОВОДНОЙ СЕТИ 3 8 5
о обнаружение пробных запросов, посылаемых программой NetStumbter, и номера ееверсии;
о обнаружение атак по словарю на ESSID, проводимых с помощью Wellenreiter;
о код Packetcracker для предупреждения о наличии протокола WEP, уязвимого для
ата-ки FMS;
о обнаружение клиентов, которые только посылают пробные запросы, но не диняются к сети (MiniStumbler, Dstumbler и просто потерявшиеся или неправильносконфигурированные хосты);
присое-о различение сетей 802.11 DSSS и FHSS;
о запись фреймов с данными в именованный FIFO-канал для анализа внешней IDS,например Snort;
опове-Несколько рекомендаций по конструированию
самодельного сенсора для беспроводной IDS
Можно самостоятельно сделать удаленный беспроводной сенсор на базе программыKismet Хотя старый ПК с ОС Linux или BSD выглядит и не так привлекательно, как тоню-сенькое устройство фирмы Network Chemistry или какой-нибудь другой (правда, всегдаможно взять за основу КПК Zaurus или iPAQ!), но у самодельного сенсора масса достоинств.Прежде всего, он дешев: затраты могут свестись к приобретению адаптера PCMCIA-PCI идополнительной клиентской карты Кроме того, нам никогда не нравились всенаправлен-ные антенны с малым коэффициентом усиления, которыми оснащаются готовые сенсоры
А что вы скажете о самодельном сенсоре, подключенном к всенаправленной антенне скоэффициентом 14,5 dBi, которую можно приобрести на сайте http://www.fab-corp.com поочень умеренной цене? А всегда ли нужна именно всенаправленная антенна, если принять
во внимание форму вашей сети? Может быть, лучше взять остронаправленную с большимкоэффициентом усиления, если речь идет о протяженном двухточечном беспроводноммосте? Или вы хотите обнаруживать противника только рядом с концевыми точками мос-
та, а не на всем протяжении канала? А повысить приемную чувствительность сенсора на10-20 dBm не желаете?
Еще одна интересная и полезная вещь - это интеграция системы IDS на уровне 2 с темами на более высоких уровнях (Snort, IpLog, PortSentry) в одном устройстве Можно ис-пользовать wIDS с флагом -о, именованные каналы, предоставляемые Kismet, или просто
Trang 9сис-3 8 6 А КОНТРРАЗВЕДКА: СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЯ В БЕСПРОВОДНЫЕ СЕТИ
запускать из Kismet сценарии, управляющие IDS более высокого уровня, точно так же, какKismet запускает программы play и festival для звуковой индикации событий в беспроводнойсети Snort не станет работать на беспроводном интерфейсе - проверьте сами Но проблемулегко решить с помощью Kismet Мы предполагаем, что вы уже знакомы с программой Snort
ях намного превосходит дорогостоящие коммерческие аналоги Посудите сами, много ли вызнаете клиент-серверных гибко интегрируемых коммерческих IDS, поддерживающих одно-временно проводные и беспроводные сети?
Разумеется, для анализа рсар-файлов, формируемых Kismet, можно воспользоваться полнительными средствами Самый очевидный способ - взять программу Ethereal и при-менить фильтры для выбора сигнатур типичных атак Так, фильтры для Ethereal, предназ-наченные для поиска сигнатур инструментов активного сканирования, описаны в статьеДжошуа Райта «Layer 2 Analysis of WLAN Discovery Applications for Intrusion Detection» Мы
wlan fс eq 0x0040 and wlan_mgt tag.number eq 0 and
wlan_mgt.tag.length eq 32 and wlan_mgt.tag.interpretation[0:4]
eq 0c:15:0f:03
о пробные запросы, посылаемые Wellenreiter (при подборе ESSID методом полногоперебора):
wlan f с eq 0x0040 and wlan_mgt tag number eq 0 and
wlan_mgt.tag.length eq 29 and wlan_mgt.tag.interpretation eq
"this_is_used_for_Wellenreiter"
Конечно, есть еще много программ, посылающих фреймы 802.11, и для них тоже надонаписать фильтры (мы занимаемся этим и приглашаем всех желающих присылать сигнату-
ры новых атак на адрес wifoo@arhont.com) К таким программам относятся последниеверсии AirJack, Wepwedgie, Wnet dinj и reinj, Fake АР и ее модификации, а также voidll
Trang 10ВКЛЮЧИТЬ РАДАРЫ! РАЗВЕРТЫВАНИЕ СИСТЕМЫ IDS В ВАШЕЙ БЕСПРОВОДНОЙ СЕТИ 3 8 7
Фильтры Ethereal для поиска сигнатур атак полезны и при изучении проблем
безопаснос-ти, и для обнаружения вторжений Еще большую помощь они смогут оказать в процедурерасследования инцидента, если вторжение все-таки произойдет (но помните, что нужнозаранее позаботиться о безопасном хранении и контроле целостности рсар-файлов) На-конец, если вы любите приключения, попробуйте воспользоваться ими в сочетании с вы-ходными данными Kismet, чтобы организовать активную защиту и автоматически атако-вать или, по крайней мере, озадачить противника Например, если в наблюдаемой областизамечена программа NetStumbler, то при обнаружении фильтром соответствующего паке-
та в протоколе Kismet можно запустить FakeAP с заранее заданным ESSID или сом, игнорируемым Kismet (чтобы избежать возможного переполнения протоколов).Если по той или иной причине комбинация Kismet + Snort вам не по душе, можете поинте-ресоваться проектом Snort-Wireless Это модифицированная версия Snort, которая «понимает»фреймы 802.11 и отправляет тревожные оповещения при обнаружении аномалий на уровне 2
МАС-адре-В настоящее время Snort-Wireless обнаруживает трафик NetStumbler с помощью нента AntiStumbler Preprocessor Отредактируйте файл snort.conf, добавив директиву
компо-p r e компо-p r o c e s s o r a n t is t u m b l e r : компо-p r o b e _ r e q s [num] , компо-p r o b e _ компо-p e r i o d [num] ,
e x p i r e _ t i m e o u t [num], где:
о p r o b e _ r e q s - после какого числа пробных запросов поднимать тревогу;
о p r o b e _ p e r i o d - время (в секундах), в течение которого сохраняется счетчикпробных запросов с нулевым SSID;
о e x p i r e _ t i m e o u t - сколько должно пройти времени (в секундах), прежде чем наруженный противник будет удален из списка пользователей NetStumbler.Помимо этого, с помощью переменных CHANNELS и ACCESS_POINTS, также определяе-мых в файле snort.conf, поддерживается обнаружение фальшивых точек доступа и незави-симых (ad hoc) сетей Сейчас многие возможности, реализуемые комбинацией Kismet + Snort,еще не включены в Snort-Wireless, но благодаря гибкости и возможности создавать правила,ориентированные на сети 802.11, точно так же, как и стандартные правила Snort, потенциалэтого проекта весьма велик
об-Не забывайте, что во многих сенсорах IDS для беспроводных сетей, объявленных мышленным стандартом, для удаленного администрирования и передачи перехваченноготрафика все еще используется telnet и протокол SMNPvl, не обеспечивающие ни шифрова-ния, ни контроля целостности данных А про SNMP-сообщества, выбираемые по умолча-нию, помните? Нам встречались коммерческие сенсоры, в которых для удаленного управ-ления использовалось сообщество public/private, разрешающее чтение и запись! К сожалению,даже системные администраторы часто не меняют настройки сетевых устройств, выстав-ленные по умолчанию Думается, что пройдет еще немало времени прежде, чем эти уст-ройства начнут поддерживать протокол SSHv2, не говоря уже об IPSec С другой стороны,
про-в самодельных сенсорах можно про-воспользопро-ваться любыми способами защиты трафика иконтроля доступа Например, можно построить сеть из таких сенсоров, подключенных кцентральному серверу IDS no VPN с топологией хост-сеть Выше мы уже подробно расска-зывали, как развернуть такую сеть
Аппаратных платформ для конструирования сенсора много Например, можно взятьподходящую плату Soekris (http://www.soekris.com) Поскольку эти платы поддерживаютаппаратное шифрование, то для описанных выше целей они вполне годятся Соберите не-сколько беспроводных сенсоров на базе плат Soekris, оснастите их подходящими антеннами
Trang 113 8 8А КОНТРРАЗВЕДКА: СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЯ В БЕСПРОВОДНЫЕ СЕТИ
с высоким коффициентом усиления, добавьте возможность передавать большие объемыданных на центральный сервер IDS по IPSec-туннелям, зашифрованным AES, поставьте наэтот сервер программы Kismet Snort и другие инструменты анализа и протоколированиятрафика - и вы получите распределенную и не слишком дорогую систему IDS, о которойможно только мечтать! Платы Soekris проектировались для работы под Free/Net/OpenBSDили Linux Почитайте, что сказано на сайте компании Soekris о различных версиях этихплат и их возможностях
Еще одна интересная платформа для создания сенсоров IDS - это старый КПК iPAQ сподставкой для двух клиентских карт PCMCIA В одном разъеме будет находиться картаEthernet для подключения к проводной сети, а в другом - беспроводная карта (мы реко-мендуем Cisco Aironet 350 с двумя разъемами ММСХ, чтобы не возникало необходимостипрограммно реализовывать перебор каналов и можно было использовать подходящую ан-тенну) На iPAQ можно поставить дистрибутив Familiar Linux или аналогичный, инсталлиро-вать пакет Kismet ipkg и организовать связь с центральным сервером IDS по протоколу SSHили через VPN Такой сенсор будет обладать уникальной возможностью «локального» про-смотра на экране событий в сети Представьте себе компанию, в штаб-квартире которойстоит центральный сервер IDS, а региональные офисы могут вести мониторинг удаленныхучастков беспроводной сети Вооружившись сенсором на основе iPAQ, системный адми-нистратор в региональном офисе может следить за работой сети локально, а главный ад-министратор, имеющий доступ к центральному серверу IDS, - наблюдать за событиями вовсей сети и обсуждать их с региональными администраторами Чтобы облегчить пользо-вание такими сенсорами менее опытным сотрудникам на местах, можно установить наклиентский компьютер или на сам сенсор графический интерфейс для Kismet (WireKismet)
В таком случае надо бы позаботиться о дополнительных мерах безопасности для защитысенсора
К сожалению, для КПК Sharp Zaurus еще не выпускаются подставки для двух клиентскихкарт Но можно попробовать задействовать гнезда для CF- и SD-карт Компании SanDisk иSocket производят клиентские SD-карты, которые можно использовать в сенсоре на базеZaurus А соединить сенсор с центральным сервером IDS можно с помощью CF-карты Ethernet
Мы не испытывали эти SD-карты и не знаем, какова их реальная приемная ность и можно ли соединить их с внешней антенной Любая информация от тех, кто обла-дает таким опытом, приветствуется; посылайте ее на адрес wifoo@arhont.com
чувствитель-Наконец, собранный вами шлюз или точка доступа тоже может содержать встроенныйсенсор или даже сервер IDS На самом деле на такой точке доступа можно даже разместитьнесколько сенсоров (например, один для диапазона ISM, а другой - для UNn) Единственноеограничение - это количество PCI-разъемов на материнской плате и доступность беспровод-ных клиентских устройств Можно опять-таки воспользоваться платами Soekris для развер-тывания эффективного и не слишком дорогого шлюза в беспроводную сеть, поддерживаю-щего VPN и дополнительно реализующего мониторинг сети и обнаружение вторжений.Возможности для экспериментов по созданию комбинаций из сенсоров для сетей 802.11или Bluetooth, точек доступа и шлюзов на базе программного обеспечения с открытымиисходными текстами поистине безграничны Нужно только помнить о том, что для беспро-водных сетей еще не создано идеальной системы IDS Поэтому не так важно, насколькохороша развернутая IDS; ничто не сможет заменить знаний и хорошего анализатора бес-проводных протоколов в случае, если подозрительные события все-таки обнаружатся
Trang 12ПОСЛЕСЛОВИЕ 3 8 9
ц 1 г о м ю 1 Т П П 1 1 1 , ц | ( Ц М Ш Х _ 1 р - ^ л и ц и и А г :Резюме
Хотя обнаружить и проследить источник атаки на беспроводную сеть обычно сложнее, чем
на проводную, но разработка специализированных IDS продвигается семимильными ми; это очень быстро растущий сегмент рынка средств обеспечения безопасности IDS длябеспроводных сетей должны анализировать и извещать о подозрительных событиях, про-исходящих на первом и втором уровнях модели 0SI, а также интегрироваться с «традици-онными» IDS, размещаемыми на более высоких уровнях Из-за особенностей беспровод-ных сетей хорошая IDS должна быть одновременно и сигнатурной, и статистической Чтобыобеспечить наблюдение за всем периметром сети, может понадобиться разместить беспро-водные сенсоры IDS В этой главе мы рассмотрели различные подозрительные события всетях, а также известные сигнатуры многих атак и хакерских инструментов Эта информа-ция может оказаться полезной не только системным администраторам и консультантам поинформационной безопасности, но и разработчикам аппаратного и программного обеспе-чения для беспроводных IDS В настоящее время еще не существует идеальной IDS, кото-рая распознавала бы все признаки вторжения, описанные в этой главе Мы кратко рассмот-рели несколько имеющихся коммерческих систем, но наибольшее внимание уделилиприменению программ с открытыми исходными текстами и развертыванию самодельныхсенсоров IDS Сборка, модификация и эксплуатация таких устройств открывает небывалыйпростор вашему воображению
шага-Послесловие
Мы надеемся, что после прочтения этой книги ваши знания о реальном состоянии ности в сетях 802.11 расширились и теперь вы сможете лицом к лицу противостоять темугрозам, которым подвержены современные беспроводные сети Возможно, вы даже захо-тите сами создать какие-нибудь инструменты для обеспечения безопасности, выявить изалатать новые уязвимости или развернуть самостоятельно собранные шлюзы, точки дос-тупа или сенсоры IDS для сетей 802.Ha/b/g Если так, то мы достигли своей цели и не зряпоработали - ведь в эфире носится столько интересных пакетов