Развертывание беспроводных идентификаторов решение для вашей WLAN

Share

|

Сколько IDS решений, осуществления рекомендаций и последующих руководящих мы уже обсуждали присутствуют на современной беспроводной рынок? Ответ - нет.

Есть много беспроводной IDS решения, которые выглядят на незаконные MAC- адреса и ESSIDs на мониторинг WLAN. Некоторые из этих решений даже осуществляться в специализированных устройств. Хотя что-то лучше, чем ничего, по нашему мнению, такие "решения" являются пустой тратой средств и времени. Они также могут дать вам ложное чувство безопасности. Давайте остановимся на имеющихся беспроводных IDS решения, которые могут быть полезными или по крайней мере hackable, так что вы можете изменить инструментов по крайней мере частичного использования замечания мы изложили и дополнительных данных постоянно набирать беспроводной крае.

Коммерческая идентификаторы беспроводных систем

С коммерческой стороны, хорошо известные беспроводной IDS решения включают AirDefense гвардии и Isomair Wireless Сентри. Эти решения основаны на размещение массив датчиков вокруг мониторинг WLAN и централизации производства для управления сервером или консоли. Сервер может быть специализированное аппаратное устройство с безопасной сетевой интерфейс и SNMP управления или Linux машине сервера связано с Windows на базе консоли управления. Некоторые из этих решений может анализировать, не - 802,11 беспроводной трафик или даже РФ вмешательства в контроль полосу, которая является полезной.

Следует отметить, что в зависимости от размеров беспроводной сети и зону охвата, развертывание беспроводных аппаратных сенсоров IDS может быть важно. Каждая точка беспроводного доступа в организации следует, предусмотренных IDS датчик для обеспечения эффективного мониторинга сети. Чем больше датчиков ", получающих чувствительность (в негативном dBm), тем лучше. По крайней мере, принимающего чувствительности датчика не должно быть хуже, чем один из ваших ЗС трансиверы (но даже это не гарантирует надежного обнаружения нападений беспроводных хостов на достаточном расстоянии от ЗС). Большой недостаток всех коммерческих датчиков, мы видим, заключается в том, что для подключения внешней антенны до аппаратуры. Таким образом, возможность резкого увеличения датчиков "и диапазон чувствительности резко снижается. Ясно, что компании пришлось бы покупать более низким уровнем диапазона и низким уровнем чувствительности датчиков для покрытия своих беспроводных сетей. Однако может взимать более для более мощных датчиков подключен к соответствующей антенны. К сожалению, нынешняя тенденция маркетинга следить за первый принцип. Конечно, можно взломать коммерческих датчик проволоки составляют антенны (и потеряете свою гарантию). Возможно, лучше и гибкое решение состоит в том, чтобы построить собственный датчиков, используя старые компьютеры, ноутбуки, КПК или даже;

WiSentry является коммерческое программное обеспечение - единственное решение для WLAN контроля и обнаружения вторжений, которые не требуют специальных аппаратных датчиков. WiSentry создает конкретные профили для каждого въезда развернуты беспроводные пребывания. Этот профиль хранится в WiSentry программного обеспечения и используется для различения между доверием и nontrusted устройств. WiSentry имеет настраиваемый IDS сигналы данных и поддерживает 802.11a, б, г и сетей.

Другим коммерческим инструментом, который сочетает в себе безопасность и аудита СОВ черт AirMagnet из Глобальной Системы безопасности. AirMagnet доступен в портативных ноутбуков (необходимо использовать Cisco Aironet карточек) и "комбо" издания. Отличительная особенность AirMagnet является основным ISM диапазоне собственности РФ анализатор, что позволяет инструмент для обнаружения 802.11b / г дублирования каналов в фойе, и он может обнаружить возможные вмешательства. AirMagnet может флага - в WEP шифрованием данных пакетов со слабыми IVs, и в последние версии, выявления VPNs используются на отсканированных WLAN.

Собственные программы 802,11 протокола анализаторы, такие как Sniffer Wireless ЧГП и WildPacket в AiroPeek, также обладает беспроводной IDS функциональности. По сути, AiroPeek даже поддерживает удаленный RFGrabber беспроводных сенсорных устройств интегрированы с AiroPeek sniffer программного обеспечения. Это дает AiroPeek распределенной функциональности аналогичен AirDefense / Isomair IDS систем. Полный AiroPeek пакет включает разработку программного обеспечения комплекта, что позволяет пользователям писать собственные AiroPeek фильтры в Visual Basic или C + +. Этот протокол беспроводной анализатор поэтому частично hackable, несмотря на коммерческой закрыть источник продукта.

Open Source беспроводных идентификаторов и настройки конфигурации

Первый такой инструментарий будет рассмотрен является WIDZ в Громкая жира Блоке (Марк Осборн). Версия WIDZ на момент написания (1.5) поддерживает следующие:

• Rogue ЗС обнаружения

• AirJack обнаружению

• Probe просит обнаружения

• Широковещательный ESSID ( "ЛЮБОЙ")

• Bad ВКП позиции на ВКП список заблокированных

• Bad ESSID размещения на ESSID список заблокированных

• Ассоциация кадры наводнения

WIDZ 1,5 использует HostAP водителя и работает из коробки. Он состоит из двух программ: widz_apmon, который обнаруживает APs не о ЗС списка (widz - ap.config), и widz_probemon, которая контролирует сеть, возможно, враждебных движения. На сигналы, которые запускают нынешнего WIDZ версия widz_probemon относятся следующие:

• alert1. Оповещения если ESSID поле пустое. Затем он называет сценарий оповещения и бревна ближайшие 100 пакетов из подозрительных источников.

• alert2. Оповещения если больше максимальной ассоциации происходит в менее определенной максимальной ассоциаций времени.

• alert3. Оповещения если ВКП в badmac файл, который представляет собой простой список МДК в шестнадцатиричное.

• alert4. Оповещения если ESSID в badsids реклама файл.

Конечно, это очень ограниченный перечень предупреждений, но Вы можете легко добавлять предупреждения по своему усмотрению. Для использования widz_apmon, первый поднимет Ваш беспроводной интерфейс с ifconfig, а затем используйте widz_apmon | sleep_time | wlan0 создать команду для получения widz - ap.config ЗС список файлов. После этого можно запустить мониторинг мошеннических APs с widz_apmon | sleep_time | wlan0 монитора. В sleep_time переменная относится к времени между сканирует секунд. Использование widz_probemon столь же легко. Во-первых редактировать probemon.conf, badmacs и badsids файлов. Затем довести свой беспроводной интерфейс, положите его в RFMON режиме, и запустить widz_probemon:

  arhontus: ~ # ifconfig wlan0 деятельности и и iwpriv wlan0 наблюдения 2 и и widz_probemon wlan0> и журнала 

В Оповещение сценарием оболочки включают в себя IDS выполняется автоматически, когда изгои ЗС или враждебное движение обнаружено. По умолчанию, скрипт посылает сообщений системного журнала с журналирования р security.notice $ 1 команду и пишет сообщении на текущей консоли. Вы можете сделать его послать предупреждение по электронной почте, SNMP ловушки, добавить предмет МАС-адресу с ACL и так далее, использовать Ваше воображение.

Одним из открытых источников беспроводной IDS в более доступных функций является wIDS на Ми Кели. Этот инструмент IDS не волнует клиента карты или драйверов чипсета; Все wIDS потребностей является беспроводной интерфейс в RFMON режиме. Она также включает автоматическое WEP decryptor (просто место Ваше WEP ключ в Keys.lst) и беспроводного honeypot поддержки (которая, к сожалению, не позволяет WEP на honeypot еще). Более важно то, wIDS можете сделать следующее:

• Проанализировать маяком интервалы для каждого Обнаружен AP.

• Проанализировать 802,11 кадр последовательности чисел.

• Откройте зонд запросы активного сканирования.

• Определять ассоциации просьбе наводнений.

• Определение подлинности запроса наводнений.

• Определять часто reassociation просьбы.

• Свалки в honeypot движения в pcap формат файла.

• Перейти беспроводной трафик на другой проводной интерфейс.

Последний вариант очень интересный, потому что, используя ее можно труб беспроводной трафик на слой 3 и выше IDS инструменты, такие как Snort IDS для дальнейшего анализа. Запуск wIDS - легко и просто:

  arhontus: ~ # wIDS 

  использования:. / wIDS [-s] -i устройство [- л ч журнала - honeypot] [-o устройства] 

  варианты: 

  - ы: использование системного журнала (LOG_ALERT) 

  - я КПК: слушать в интерфейс указываются устройства 

  (eth0, wlan0 ...) 

  (должно быть в жизнь режим) 

  - л журнала: файл, где honeypot пакеты будут захоронены 

  - ч honeypot: оповещение о движении по указанной honeypot 

  ЗС "ВКП 

  - о устройство: устройство, когда расшифрован трафик передается по 

  IDS анализ 

  примечание: "-s" вариант следует использовать. 

  Например:. / wIDS - ы - я eth1, -o eth0 

  . / wIDS - ы - я wlan0 - л. / wIDS.tcpdump - ч 00:02:2 г: 4b: 7e: 0a 

Наконец, есть новые AirIDS беспроводной IDS, что представляется весьма многообещающим. AirIDS имеет GTK + фронтэнд и поддерживает Призма "и Cisco Aironet чипсета карт. Этот инструмент еще в бета стадии разработки, но поддержка очень гибкий пользовательский IDS rulesets, движения инъекций сорвать WEP растрескивания, а также активное защиты от версии 0.3.1 далее. Чтобы позволить себе такие черты, AirIDS 0.3.1 и более поздние версии будут использовать сильно изменены или переписаны Призма водителей (AirJack стиле, пожалуй) вместо "обычных" prism_cs / airo_cs модули он использует сейчас.

А часто игнорируется, и очень мощный инструмент беспроводной IDS является Кисмет. Кисмет прошел долгий путь от того, чтобы быть wardriver инструмент для полномасштабной клиент / сервер IDS. Самые последние версии Кисмет осуществления IDS рекомендаций, полученных от Джошуа Райт статей мы говорили ранее. Выясните, какие функции IDS версии Кисмет поддерживает, проверяя изменений. Не забывайте, что существует довольно большое различие между Кисмет - стабильное и Кисмет развития деревьев: Кисмет развития может осуществляться только последней особенностью IDS Вы остро нуждаются. Последние Кисмет - разработка версии на момент написания включены следующие элементы:

• Deauthentication / deassociation кадры наводнений обнаружения

• 802,11 кадр последовательности анализа

• Флага AirJack пользователей в области мониторинг

• Обнаружение NetStumbler зондов и версию NetStumbler текущих

• Обнаружение Велленрайтер ESSID словарь нападения

• Packetcracker код предупредить о нападении СФУ уязвимых WEP

• Обнаружение зонд только клиентам, что никогда не присоединится к сети (Mini - Stumbler, Dstumbler или просто потеряны и одиноки неверно хостов)

• 802,11 DSSS / FHSS различия

• Написать данные кадры в именованный канал FIFO для внешних, таких, как IDS Snort

• Runtime WEP декодирования

• Чрезмерный шум РФ обнаружения

• Наружная Маршрутизаторы Lucent / Turbocell / Karlnet, не - 802,11 беспроводной сети обнаружения

Эти особенности, вместе с клиент / сервер структуру, удобную систему оповещения (просто нажмите w чтобы открыть отдельное окно и оповещения просмотра предупреждений), большое структурированных данных входе механизма, а также возможность интеграции с удаленных датчиков, таких, как на нейтрино Distributed 802.11b Sensor сделать Кисмет большой свободной IDS инструмент развернуть. Кроме того, возможность использования нескольких клиентских карточек и разделения сканируемого частот среди этих карточек дальнейшее увеличение стоимости Кисмет в беспроводной сети наблюдения и обнаружения.

Несколько рекомендаций для DIY беспроводных датчиков СОВ строительство

Можно рассмотреть здание Кисмет - дистанционное беспроводных датчиков сами. Хотя старый ПК Линукса или BSD может рассматривать не как секси, как один из тонкие устройства от сети химии, и др.. (но Вы всегда можете воспользоваться Заурус или iPAQ!) множество преимуществ взлом деятельности пользовательский IDS датчика. Во-первых, это дешево: Ваши расходы можно запустить лишь расходы на PCMCIA для PCI адаптера и дополнительных карт клиента. Кроме того, мы всегда подозрительных низким получить omnidirectionals используются готовые сделал беспроводных датчиков. Как насчет пользовательский встроенный датчик связан с 14,5 dBi omni проданы на http://www.fab-corp.com за очень разумную цену? Ли всегда нужно быть omnidirectional, учитывая возможные формы сети, зону охвата? Как насчет аппаратуры с использованием высокого получить направленном рядом с дальней точка-точка беспроводной мост? Не хотите обнаружить нападавших вдоль всей вашей ссылке, а не только вокруг беспроводных районе моста? Не хотите повысить чувствительность получении Вашего датчика дополнительно 10 по 20 dBm?

Еще одно интересное и полезное дело - это интеграция как слой 2 беспроводных и высшего слоя IDS инструментов или систем (Snort, IpLog, PortSentry) в одном устройстве. Вы можете использовать wIDS - о флага, Кисмет именованный канал FIFO или просто запускать ваши высшего слоя IDS контрольный пакет скриптов с Кисмет так же, Кисмет играть и проходит фестиваль аудио WLAN деятельности указание. Snort будет отказываться запускать, когда началась беспроводной интерфейс - проверьте его сами. Однако, эту проблему легко обойти, используя Кисмет. Первое, что нужно сделать, это изменить одну строку в kismet.conf файл: Найдите # fifo = / tmp / kismet_dump, раскомментируйте эту строку, сохраните файл конфигурации и запустить kismet_server. Как только началась, Кисмет будет блокироваться / tmp / kismet_dump файл до его ускорился по Snort. Теперь, допустим, начать Snort. Настройте его с вашими желаниями, но и дополнительный - р / tmp / kismet_dump выключателя, когда вы запускаете его, поэтому он будет читать данные из FIFO канал Кисмет. Можно также установить и запустить КИСЛОТА для приятной и красочными IDS журнал просмотра. Вот и все! Желаем вам приятного хорошо конфигурируемым беспроводной и проводной IDS, во многих аспектах широко по сравнению с ее дорогими коммерческими партнерами. В конце концов, сколько клиент / сервер гибкой комплексной беспроводной и проводной коммерческих IDS решения вы знаете о?

Конечно, дополнительные средства могут быть использованы для анализа pcap формат Кисмет свалка файлов. Самый очевидный способ - с помощью Ethereal и применения конкретных фильтров для получения подписей от общего нападения мы уже описал. Так, например, Ethereal фильтры для активного сканирования общих средств нападения подписей, изложенные в Джошуа Райт в "слой 2 Анализ WLAN Discovery Заявки на Intrusion Detection" - документ, и подтверждены нам относятся следующие:

• Netstumbler:

    (wlan.fc.type_subtype экв. 32 и llc.oui экв 0x00601d и llc.pid экв 0x0001) и (данных [4:4] уравнение 41:6 с: 6c: 20 или данные [4:4] уравнение 6c: 46 : 72:75 или данные [4:4] уравнение 20:20:20:20) 

• Dstumbler (активное сканирование):
  

    (wlan.seq экв. 11 и wlan.fc.subtype экв. 11) или (wlan.seq экв. 12 и wlan.fc.subtype экв. 00) 
  

• Windows XP прощупывания:
  

    wlan.fc экв 0x0040 и wlan_mgt.tag.number экв 0 и wlan_mgt.tag.length экв. 32 и wlan_mgt. tag.interpretation [0:4] уравнение 0c: 15:0 ж: 03 

• Велленрайтер зонд запросов (в грубой ESSID - принуждение):

    wlan.fc экв 0x0040 и wlan_mgt.tag.number экв 0 и wlan_mgt.tag.length экв. 29 и wlan_mgt. tag.interpretation уравнение "this_is_used_for_Wellenreiter 

Конечно, сейчас существует множество более 802,11 рамках направления средств для изучения и создания новых фильтров. Такие инструменты включают самые последние версии AirJack, wepwedgie, Wnet dinj и reinj коммунальные услуги, FakeAP и его модификаций, и Void11. В Ethereal нападение подписания фильтры полезной как для исследования безопасности и обнаружения вторжений. Они могут быть еще более полезными в ответ инцидента процедуры следует перерыв в место (однако следует помнить, что правильное и безопасное хранение целостности проверки достоверности pcap файлы должны быть обеспечены заранее). Наконец, если интересно, можно попробовать их использовать и / или Кисмет производства развернуть активную оборону и нападение обратно или по крайней мере запутать нападавших автоматически. Например, когда NetStumbler пользователь обнаружен в этом районе, соответствующих Кисмет производства или пакетные соответствие нападение подписи определяется фильтр можно включить FakeAP с предварительно ESSIDs или МДК игнорируются Кисмет (чтобы избежать возможного переполнения журнала DoS).

Если по какой-то причине вы не хотите использовать Кисмет + Snort комбинацию, вы можете для Snort Wireless - проекта. Snort Wireless - это установил заплатку Snort способна 802,11 рамки понимания и слой 2 - связанных готовности отправки. На данный момент, Snort Wireless - позволяет NetStumbler движения обнаружения через AntiStumbler Preprocessor. Измените свой snort.conf, добавив препроцессора antistumbler: probe_reqs [количество], probe_period [количество], expire_timeout [количество], где:

• probe_reqs это число зонд просит вызывает оповещение.

• probe_period является период времени (в секундах), по которым NULL SSID зонд просьбе рассчитывать постоянно.

• expire_timeout это время (в секундах) до обнаружен преступник удаляется из stumbler список.

Кроме того, изгои APs и специальную сеть обнаружения поддерживаются через КАНАЛЫ и ACCESS_POINTS переменных, а также определены в snort.conf. Хотя многие черты поддержку со стороны Кисмет + Snort сочетание, не включаются в Snort Wireless - еще из-за гибкости проекта и возможность написания 802,11 связанных правила одинаково стандартных правил Snort написаны, то Snort - Беспроводные проект обладает большим потенциалом.

Не забывайте, что многие "стандартные" беспроводных сенсоров IDS использовать telnet и SNMPv1 как средство удаленного администрирования и передать захваченных беспроводной передачи данных без шифрования и проверки целостности. Кто-нибудь лишь упомянуть умолчанию SNMP общин? Мы столкнулись коммерческих беспроводных сенсоров IDS дистанционно управляемых через чтение-запись "государственным и частным секторами" сообщества по умолчанию! К сожалению, даже системных администраторов часто не изменять стандартные настройки сетевых устройств. Мы ожидаем, что много времени пройдет, прежде чем эти устройства начнут поддержки SSHv2, не говоря уже IPSec. С другой стороны, пользовательский Встроенная датчиков можно использовать любые движения защиты и контроля доступа на выбор. Например, вы можете построить сеть заказу построено датчиков связана с централизованной IDS серверу через пребывания в топологии сети VPN.

Выбор на аппаратную платформу для вашей аппаратуры может варьироваться. Одной из интересных возможностей - использование подходящих Soekris доски (http://www.soekris.com). Поскольку эти советы поддержки факультативной основе аппаратного шифрования, то они могут быть весьма пригодны для решения лишь предложил. Несколько Soekris основе пользовательских построенных беспроводных датчиков wielding соответствующих высоким усилением антенны и способен передавать большие объемы данных с помощью AES - зашифрованы IPSec туннелей для централизованного сервера интеграции IDS Кисмет, Snort, и несколько других трафика и анализ журналов инструментов сделать мечта распространен и доступной беспроводной IDS, действительно! Soekris советы были разработаны для запуска свободной / нетто / OpenBSD или Linux. Проверка документации на борту различных версий и их возможностей на Soekris сайта.

Еще одна интересная и прихоти беспроводных датчиков IDS платформа старого PDA iPAQ с двойной PCMCIA карты клиента колыбели. Один слот колыбели проведет Ethernet карты для клиентов проводной связи, а другой - будет иметь беспроводной картой клиента (мы рекомендуем Cisco Aironet 350 с двойным MMCX соединители чтобы избежать необходимости программного канала hopping и плагин в соответствующей антенны). Вы можете установить Familiar или аналогичный дистрибутив на iPAQ, скачать и установить. Ipkg Кисмет пакет и настроить SSH или VPN на базе подключения к центральной IDS мониторинга сервера. В iPAQ основе датчика будет только беспроводных датчиков IDS с "местной" дисплей для просмотра WLAN событий. Себе компания, которая имеет основной сервер IDS в ее центральном офисе и филиалах с мониторинг беспроводных сетей в отдаленных районах. Что iPAQ основе датчиков, системных администраторов, в отдаленных районах будут иметь возможность беспроводного контроля активности для их расположение на месте, и начальник сетевой безопасности и управления персоналом, могут наблюдать за событиями во всех объектов на центральном сервере IDS и проверять их с отраслевыми admininstrators . Для использования таких датчиков более удобным и менее опытным местным отделением техников, графический интерфейс для Кисмет (WireKismet) может быть установлена по желанию клиента или сам датчик. В этом случае вам может понадобиться для укрепления безопасности черты такой датчик.

К сожалению, нет двойных карты клиента колыбелью для Шарп Заурус еще. Можно попытаться использовать CF и УР интервалов в этот прекрасный PDA для беспроводной и проводной связи. Есть беспроводной клиент УР карты производства SanDisk и Socket которые могут быть использованы в Заурус основе беспроводной IDS датчик подключен к центральной сервер IDS с помощью сетевой карты CF. Мы не имеем опыта использования этих карт УР и не знают их практического получения чувствительность и возможность создания проводки внешней антенны.

Наконец, пользовательский Встроенная беспроводного шлюза или точки доступа могут содержать встроенный в датчик IDS или сервера. Фактически, вы можете добавить несколько датчиков для такого ЗС (например, один для ISM, а другой для UNII полосы). Все, что ограничивает Вас в этом случае - это число PCI слотов на датчике основных борту, а наличие беспроводных устройств клиента рекламировать дюйма Опять же, Soekris советов может быть использована для развертывания эффективных и доступных VPN - позволяет обеспечить беспроводной доступ реализации дополнительная сеть мониторинга и обнаружения вторжений функций.

Возможности для экспериментального строительства обычай 802,11 или Bluetooth сенсоров или датчиков, ЗС, и шлюз комбинации с использованием открытого программного обеспечения являются невероятное. Единственное, что вы должны помнить, что до сих пор нет совершенства IDS для беспроводных сетей. Таким образом, неважно, насколько хороши развернутые IDS является; Ничто не может заменить знаний и надежного беспроводного протокола анализатор должен подозрительных событий произошло.