Системы обнаружения вторжения в беспроводные сети
Системы обнаружения вторжения (Intrusion Detection System, IDS) – это устройства с помощью которых можно выявлять и своевременно предотвращать вторжения в вычислительные сети. Они делятся на два вида: на базе сети и на базе хоста.
Сетевые системы (Network Intrusion Detection Systems, NIDS) анализируют трафик с целью обнаружения известных атак на основании имеющихся у них наборов правил (экспертные системы). Исключение с точки зрения принципов анализа составляют системы на базе нейросетей и искусственного интеллекта. Подмножеством сетевых систем обнаружения вторжений являются системы для наблюдения только за одним узлом сети (Network Node IDS).
Другой вид систем обнаружения вторжений представляют системы на базе хоста (Host Intrusion Detection Systems, HIDS). Они устанавливаются непосредственно на узлах и осуществляют наблюдение за целостностью файловой системы, системных журналов и т.д.
Рисунок 3.13.1 – Основные элементы архитектуры систем обнаружения вторжений
NIDS делятся в свою очередь на две большие категории: на основе сигнатур и на основе базы знаний. Сигнатурные IDS наиболее распространены и проще реализуются, но их легко обойти и они не способны распознавать новые атаки. В таких системах события, происходящие в сети, сравниваются с признаками известных атак, которые и называются сигнатурами. Если инструмент взлома модифицировать с целью изменения какой-либо части сигнатуры атаки, то, скорее всего, атака останется незамеченной. Кроме того, базы данных, содержащие сигнатуры, необходимо надежно защищать и часто обновлять. IDS на основе базы знаний следят за сетью, собирают статистику о её поведении в нормальных условиях, обнаруживают различные отклонения и помечают их как подозрительные. Поэтому такие IDS еще называют основанными на поведении или статистическими.
Простейшую архитектуру IDS можно представить на рисунке 3.13.1.
Для эффективной работы статистической IDS необходимо иметь надежную информацию о том, как ведет себя сеть в нормальных условиях, – точку отсчета. Хотя такую IDS обмануть сложнее, но и у нее есть свои проблемы – ложные срабатывания и трудности при обнаружении некоторых видов коммуникаций по скрытому каналу. Ложные срабатывания особенно вероятны в беспроводных сетях из-за нестабильности передающей среды. Кроме того, атаки, проведенные на ранних стадиях периода фиксации точки отсчета, могут исказить процедуру обучения статистической IDS, поэтому ее развертывание в промышленной сети – занятие рискованное. Как быть, если нормальное поведение сети уже изменено взломщиком в момент развертывания?
Хорошая IDS для беспроводной сети должна быть одновременно сигнатурной и статистической. Некоторые инструменты для проведения атак на беспроводные сети имеют четко выраженные сигнатуры. Если они обнаруживаются в базе данных, то можно поднимать тревогу. С другой стороны, у многих атак очевидных сигнатур нет, зато они вызывают отклонения от нормальной работы сети на нижних уровнях стека протоколов. Отклонение может быть малозаметным, например несколько пришедших не по порядку фреймов, или бросающимся в глаза, скажем, выросшая в несколько раз нагрузка.
Рисунок 3.13.2 – Характеристики систем обнаружения вторжений
Обнаружение таких аномалий – это непростая задача, поскольку не существует двух одинаковых беспроводных сетей. То же относится и к проводным локальным сетям, но там хотя бы нет радиопомех, отражения, рефракции и рассеивания сигнала. Поэтому эффективное применение IDS в беспроводных сетях возможно только после длительного периода детального исследования сети. При разворачивании системы необходимо четко понимать, что, как и зачем мы хотим анализировать, и постараться ответить на эти вопросы чтобы сконструировать необходимую систему IDS (рисунок 3.13.2).
Только собрав значительный объем статистических данных о работе конкретной сети, можно решить, что является аномальным поведением, а что – нет, и идентифицировать проблемы со связью, ошибки пользователей и атаки. Многократные запросы на аутентификацию по протоколу 802.1x/LEAP могут свидетельствовать о попытке атаки методом полного перебора. Но это может объясняться и тем, что пользователь забыл свой пароль, или работой плохо написанного клиентского приложения, которое продолжает попытки войти в сеть, пока не будет введен правильный пароль. Увеличение числа фреймов-маяков может быть признаком DoS-атаки или присутствия в сети фальшивой точки доступа, но не исключено, что все дело в неисправной или неправильно сконфигурированной законной точке доступа. События, фиксируемые IDS на верхних уровнях стека протоколов, например большое число фрагментированных пакетов или запросов TCP SYN, может указывать на сканирование портов или DoS-атаку, но, возможно, это просто результат плохой связи на физическом уровне (уровень 1).
1) События на физическом уровне:
наличие дополнительных передатчиков в зоне действия сети;
использование каналов, которые не должны быть задействованы в защищаемой сети;
перекрывающиеся каналы;
внезапное изменение рабочего канала одним или несколькими устройствами, за которыми ведется наблюдение;
ухудшение качества сигнала, высокий уровень шума или низкое значение отношения сигнал/шум.
Эти события могут свидетельствовать о наличии проблем со связью или с сетью, об ошибках, допущенных при конфигурировании сети, о появлении мошеннических устройств, о преднамеренном глушении либо об атаках «человек посередине» на уровень 1 или 2.
2) События, связанные с административными или управляющими фреймами:
повышенная частота появления некоторых типов фреймов;
фреймы необычного размера;
фреймы неизвестных типов;
неполные, испорченные или неправильно сформированные фреймы;
затопление фреймами с запросами на отсоединение и прекращение сеанса;
частое появление фреймов с запросом на повторное присоединение в сетях, где не включен роуминг;
фреймы с неправильными порядковыми номерами;
частое появление пробных фреймов;
фреймы, в которых SSID отличается от SSID данной сети;
фреймы с широковещательным SSID;
фреймы с часто изменяющимися или случайными SSID;
фреймы со значениями в поле SSID или других полях, типичными для некоторых инструментов вторжения;
фреймы с МАС-адресами, отсутствующими в списке контроля доступа;
фреймы с дублирующимися МАС-адресами;
фреймы с часто изменяющимися или случайными МАС-адресами.
Эти события могут указывать на неправильную конфигурацию сети, проблемы со связью, сильные помехи, попытки применения инструментов активного сканирования сети, подделку МАС-адресов, присутствие в сети посторонних клиентов, попытки угадать или подобрать методом полного перебора закрытый SSID или на более изощренные атаки «человек посередине» на уровень 2, связанные с манипуляцией управляющими или административными фреймами.
3) События, связанные с фреймами протоколов 802.1x/ЕАР:
неполные, испорченные или неправильно сформированные фреймы протокола 802.1x;
фреймы с такими типами протокола ЕАР, которые не реализованы в данной беспроводной сети;
многократные фреймы запроса и ответа процедуры аутентификации ЕАР;
многократные фреймы с извещением о неудачной аутентификации ЕАР;
затопление фреймами начала и завершения сеанса ЕАР;
фреймы ЕАР аномального размера;
фреймы ЕАР с некорректным значением длины.
фреймы ЕАР с неправильными «верительными грамотами»;
фреймы ЕАР, приходящие от неизвестных аутентификаторов (фальшивая точка доступа);
незавершенная процедура аутентификации по протоколу 802.1x/ЕАР.
Эти события могут указывать на попытки прорваться через процедуру аутентификации, описанную в протоколе 802.1x, в том числе и путем размещения фальшивого устройства и проникновения в сеть с помощью атаки методом полного перебора или проведения изощренной DoS-атаки, направленной на вывод из строя механизмов аутентификации. Разумеется, неправильно сформированные фреймы могут возникать и в результате сильных радиопомех или других проблем на уровне 1.
4) События, связанные с протоколом WEP:
наличие незашифрованного беспроводного трафика;
наличие трафика, зашифрованного неизвестными WEP-ключами;
наличие трафика, зашифрованного WEP-ключами разной длины;
фреймы со слабыми IV;
идущие подряд фреймы с повторяющимися IV;
не изменяющиеся IV;
откат к WEP от более безопасного протокола, например TKIP;
ошибки при ротировании WEP-ключей.
Эти события могут указывать на серьезные ошибки при конфигурировании сети, на применение небезопасного устаревшего оборудования или на использование инструментов внедрения трафика опытным взломщиком.
5) События, связанные с общими проблемами связи:
потеря связи;
внезапный всплеск нагрузки на сеть;
внезапное уменьшение пропускной способности сети;
внезапное увеличение задержек в двухточечном канале;
повышенный уровень фрагментации пакетов;
частые повторные передачи.
Эти события заслуживают более пристального изучения для выявления точной причины ошибок. Механизм построения выводов, встроенный в IDS, должен уметь связывать события с различными возможными причинами, тем самым упрощая расследование.
6) Прочие события:
присоединившиеся, но не аутентифицированные хосты;
атаки на верхние уровни стека протоколов, вызывающие срабатывание «традиционной» IDS;
посторонний административный трафик, адресованный точке доступа;
постоянное дублирование или повтор пакетов с данными;
пакеты с данными, в которых испорчены контрольные суммы или MIC, формируемые на канальном уровне;
затопление многократными попытками одновременного присоединения к сети.
Эти события могут свидетельствовать об успешной или неудачной атаке, о наличии хоста с неправильными настройками безопасности, о попытках получить контроль над точкой доступа и изменить ее конфигурацию, о применении инструментов для внедрения трафика, о DoS-атаке против хостов с включенным протоколом 802.11i или о попытках переполнить буферы точки доступа большим числом запросов на соединение со стороны проводной или беспроводной части сети. Но, как и раньше, искажение фрейма или пакета может быть обусловлено проблемами на физическом уровне, например наличием помех или слабым уровнем сигнала.
Коммерческие системы IDS для беспроводных сетей.
Из коммерческих решений хорошо известны программы AirDefense Guard и Isomair Wireless Sentry. Они основаны на размещении сенсоров на территории.
Cамоорганизующаяся беспроводная сеть передачи измерительной информации
Представьте, что Вы можете получить доступ ко всей ценной информации, имеющейся на вашем предприятии. У Вас появится возможность добавлять новые точки измерения там, где раньше это было слишком дорого.
Беспроводные решения, в том числе технологии ZigBee и Smart Wireless от Emerson предоставляют возможность непосредственного подключения контрольно-измерительных приборов в беспроводную сеть, с последующим получением информации в систему управления через беспроводной шлюз. Каждый датчик оснащается собственной антенной и независимым источником электропитания для поддержания работоспособности в течение длительного времени. Технология была специально разработана для применения в области автоматизации технологических процессов, жилищно-коммунальном хозяйстве.
- 4 Конспекты лекций к дисциплине «Беспроводные технологии передачи измерительной информации»
- Глоссарий
- Общие принципы построения сетей
- Методы передачи дискретных данных на физическом уровне
- Линии связи
- Аппаратура линий связи
- Характеристики линий связи
- Типы кабелей
- Кабели типа Витая пара (twisted pair, tp)
- Волоконно–оптический кабель
- Методы передачи дискретных данных на физическом уровне
- Аналоговая модуляция
- Методы аналоговой модуляции
- Цифровое физическое кодирование
- Логическое кодирование
- Скрэмблирование
- Методы передачи данных канального уровня
- Асинхронные протоколы
- Синхронные символьно-ориентированные и бит-ориентированные протоколы
- Бит–ориентированные протоколы
- Протоколы с гибким форматом кадра
- Передача с установлением соединения и без установления соединения
- Обнаружение и коррекция ошибок
- Методы обнаружения ошибок
- Методы восстановления искаженных и потерянных кадров
- Компрессия данных
- Методы коммутации
- Коммутация каналов
- Коммутация каналов на основе частотного мультиплексирования
- Коммутация каналов на основе разделения времени
- Общие свойства сетей с коммутацией каналов
- Коммутация пакетов
- Виртуальные каналы в сетях с коммутацией пакетов
- Пропускная способность сетей с коммутацией пакетов
- Коммутация сообщений
- Беспроводные сети wifi
- Основные элементы сети wifi
- Основы передачи данных в беспроводных сетях
- Сигналы для передачи информации
- Передача данных
- Модуляция сигналов
- Пропускная способность канала
- Методы доступа к среде в беспроводных сетях
- Технология расширения спектра
- Кодирование и защита от ошибок
- Методы коррекции ошибок
- Методы автоматического запроса повторной передачи
- Архитектура стандарта 802.11
- Стек протоколов ieee 802.11
- Уровень доступа к среде стандарта 802.11
- Распределенный режим доступа dcf
- Централизованный режим доступа pcf
- Кадр mac-подуровня
- Реализация стандартов ieee 802.11
- Ieee 802.11
- Передача в диапазоне инфракрасных волн
- Беспроводные локальные сети со скачкообразной перестройкой частоты (fhss)
- Беспроводные локальные сети, использующие широкополосную модуляцию dsss с расширением спектра методом прямой последовательности
- Ieee 802.11b
- Ieee 802.11a
- Ieee 802.11g
- Ieee 802.11d
- Ieee 802.11e
- Ieee 802.11f
- Ieee 802.11h
- Ieee 802.11i
- Ieee 802.11n
- Режимы и особенности их организации
- Режим Ad Hoc
- Инфраструктурный режим
- Режимы wds и wds With ap
- Режим повторителя
- Режим клиента
- Организация и планирование беспроводных сетей
- Угрозы и риски безопасности беспроводных сетей
- Основы криптографии
- Базовые термины и их определения
- Криптография
- Протоколы безопаснисти беспроводных сетей
- Механизм шифрования wep
- Потоковое шифрование
- Блочное шифрование
- Вектор инициализации (Initialization Vector, IV)
- Обратная связь
- Уязвимость шифроваия wep
- Пассивные сетевые атаки
- Активные сетевые атаки
- Аутенфикация в беспроводных сетях
- Стандарт ieee 802.11 сети с традиционной безопасностью
- Принцип аутентификации абонента в ieee 802.11
- Открытая аутентификация
- Аутентификация с общим ключом
- Аутентификация по mac-адресу
- Уязвимость механизмов аутентификации 802.11
- Проблемы идентификатора беспроводной лвс
- Уязвимость открытой аутентификации
- Уязвимость аутентификации с общим ключом
- Уязвимость аутентификации по mac-адресу
- Спецификация wpa
- Пофреймовое изменение ключей шифрования
- Контроль целостности сообщения
- Стандарт сети 802.11i с повышенной безопасностью (wpa2)
- Стандарт 802.1x/eap (enterprise-Режим)
- Архитектура ieee 802.1x
- Механизм аутентификации
- Технологии целостности и конфиденциальности передаваемых данных
- Развертывание беспроводных виртуальных сетей
- Топология сеть-сеть
- Топология хост-сеть
- Топология хост-хост
- Распространенные туннельные протоколы
- Протокол ipSec
- Протокол рртр
- Протокол l2tp
- Системы обнаружения вторжения в беспроводные сети
- Общая характеристика Personal Area Network
- Стандарт технологии bluetooth (ieee 802.15.1)
- Общие сведения
- Архитектура bluetooth Метод частотных скачков
- Понятие пикосети
- Адрес Bluetooth-устройства (bd_addr)
- Состояния Bluetooth
- Физические каналы
- Процедура опроса
- Типы трафика
- Транспортная архитектура
- Режимы работы Bluetooth
- Форматы пакетов bluetooth
- Типы пакетов
- Стек протоколов bluetooth
- Модели использования
- Профили Bluetooth
- Методы безопасности
- Уровни надежности устройства.
- Перспективы развития технологии: bluetooth 4.0.
- Беспроводная сенсорная сеть zigbee®
- Общие сведения
- Топология беспроводных персональных сетей
- Адресация в персональных сетях ZigBee
- Современные реализации сетей на основе технологии ZigBee Ведущие производители оборудования ZigBee
- Пример реализации сенсорной сети
- Библиографическое описание