Verdachte Evenementen op WLAN


  Share  
|

Zodra een voldoende aantal statistieken netwerk gedrag zijn verzameld, een goede draadloze IDS kan beginnen op zoek naar de verdachte gebeurtenissen met vermelding van de mogelijkheid van een kwaadaardige aanval. Deze gebeurtenissen kunnen worden geopenbaard als de aanwezigheid van bepaalde soorten frame, de frequentie van het frame transmissie, frame structuur en volgnummer afwijkingen, de verkeersstroom afwijkingen, en onverwachte frequentie gebruiken. Laten we categoriseren de gebeurtenissen een kwaliteit draadloze IDS moet in staat zijn op te sporen en een waarschuwing voor uitgifte.

1 RF / Physical Layer Evenementen

  • Extra zenders in het gebied.

  • Kanalen niet gebruikt door de beschermde WLAN in gebruik.

  • Overlappende kanalen.

  • Plotselinge operationele kanaal te veranderen door een of meer gecontroleerd draadloze apparaten.

  • Verlies van signaal kwaliteit, hoog niveau van lawaai, of een lage SNR.

Deze gebeurtenissen kunnen aangeven connectiviteit of netwerk problemen, ernstige netwerk misconfiguratie, schurkenstaten apparaat plaatsing, opzettelijk storen, en Layer 1 en Layer 2-man-in-the-middle-aanvallen.

2 Beheer / Control Frames Evenementen

  • Verhoogde frequentie van normaal huidige netwerk frames.

  • Frames van ongewone grootte.

  • Onbekend frametypen.

  • Onvolledige, beschadigde of misvormde frames.

  • Overstromingen van deassociate / deauthenticate frames.

  • Frequente Reassociation frames op netwerken zonder ingeschakeld roaming.

  • Frames uit de reeks.

  • Frequente sonde verzoeken.

  • Frames met ESSIDs verschillend van de WLAN ESSID.

  • Frames met de uitzending ESSID ( "Any").

  • Frames met vaak of willekeurig veranderen ESSIDs.

  • Frames met ESSIDs of andere gebieden die typisch zijn voor bepaalde inbraak gereedschap.

  • Frames met MAC-adressen niet opgenomen in de ACL.

  • Frames met dubbele MAC-adressen.

  • Frames met vaak wisselende of willekeurig MAC-adressen.

Deze gebeurtenissen kunnen aangeven netwerk onjuiste en connectiviteit problemen, sterke RF-interferentie, wardrivers actief scannen met behulp van hulpmiddelen op het gebied, MAC-adres spoofing op de WLAN, ongevraagde klanten aangesloten op het WLAN, probeert te raden of brute-een gesloten ESSID, of meer kracht geavanceerde aanvallers mangelen controle en beheer frames te lanceren Layer 2 man-in-the-middle-of DoS-aanvallen.

3 802.1x/EAP Frames Evenementen

  • Onvolledige, beschadigde of misvormde 802.1x frames.

  • Frames met EAP-typen die niet uitgevoerd door de WLAN.

  • Meerdere EAP-verificatie Request en Response frames.

  • Meerdere MAP mislukking frames.

  • EAP start en EAP afmelding frame overstromingen.

  • MAP frames van abnormale grootte ( "EAP-of-Death").

  • Gefragmenteerde MAP frames van kleine omvang.

  • EAP frames met slechte authenticatie lengte.

  • EAP frames met slechte verificatiereferenties.

  • EAP frames met meerdere verzoeken MD5 uitdaging.

  • EAP beelden die afkomstig zijn van illegale Authenticators (rogue access points).

  • Unfinished 802.1x/EAP authenticatie processen.

Deze gebeurtenissen kunnen aangeven pogingen om de 802.1x-verificatie regeling, met inbegrip van bypass slimme malafide 802.1x apparaat plaatsing en de toegang brute-dwingen of geavanceerde DoS-aanvallen om de authenticatie mechanismen uit te schakelen. Natuurlijk kan de misvormde 802.1x frames gevolg van sterke RF-interferentie en andere Layer 1 problemen.

4 WEP-Related Events

  • Ongecodeerde draadloos verkeer aanwezig.

  • Verkeer gecodeerd met onbekende WEP-sleutels.

  • Verkeer gecodeerd met WEP-sleutels van verschillende lengtes.

  • Zwakke IV frames.

  • Frames met herhaalde IVs op een rij.

  • Nr. IV veranderen.

  • Terugval naar de oorspronkelijke WEP uit meer veilige oplossingen zoals TKIP.

  • Mislukt WEP-sleutel rotatie.

Deze gebeurtenissen kunnen wijzen op ernstige veiligheid van het netwerk, onjuiste, onzeker legacy apparatuur in gebruik, de gebruikers schenden van het veiligheidsbeleid, schurkenstaat draadloze apparaat plaatsing, of het gebruik van het verkeer injecteren tools (WEPwedgie, reinj) door geavanceerde crackers.

5 Algemene Connectiviteit / Traffic Flow Evenementen

  • Connectiviteit verlies.

  • Plotselinge toename van bandbreedte verbruik.

  • Plotselinge daling van de netwerk throughput.

  • Plotselinge vertraging verhogen op een point-to-point verbinding.

  • Verhoogde packet versnippering niveau.

  • Frequent hertransmissies.

Deze evenementen moeten een toekomstig onderzoek gevraagd naar de precieze oorzaken van het probleem te vinden ontdekt. Een intelligente IDS gevolgtrekking motor moet in staat zijn om deze problemen te koppelen aan de verschillende categorieën van evenementen, dus ten dele het automatiseren van het onderzoek problemen.

6 Diverse Evenementen

  • Geassocieerde, maar niet geverifieerd, gastheren.

  • Aanvallen op hogere lagen netwerk triggering de "traditionele" IDS.

  • Ongevraagde toegangspunt beheer van het verkeer.

  • Voortdurend gedupliceerd of herhaalde datapakketten.

  • Data pakketten met corrupte data link layer checksums / MIC.

  • Flood van meerdere gelijktijdige pogingen netwerk vereniging.

Deze gebeurtenissen kunnen succesvolle of mislukte kraker aanvallen, een host met verkeerd geconfigureerde beveiligingsinstellingen, pogingen om toegang te krijgen en opnieuw de ingezette access points te geven, het gebruik van het verkeer injecteren van gereedschappen, geavanceerde DoS-aanvallen tegen 802.11i-enabled hosts, of pogingen om de AP overweldigen buffers met grote aantallen verbindingen van de bedrade of draadloze kant. Nogmaals, alle gevallen van frame of packet corruptie worden toegeschreven aan de fysieke laag problemen, zoals interferentie en lage signaalsterkte.

Nu kunt u gemakkelijk herkennen veel van de aanval veelbetekenende tekens van het voorgaande evenement lijst. Bijvoorbeeld, frames met vaak veranderd MAC-adressen en ESSIDs zijn een goede indicatie van iemand met behulp van een FakeAP. Als alternatief is er een manier om brute-force gesloten ESSIDs cliënt met behulp van twee PCMCIA-kaarten en Wellenreiter. We hebben niet te beschrijven in de aanval gedeelte, omdat we nog nooit geprobeerd, en het gebruik van essid_jack of dinject is veel efficiënter en bespaart middelen. Dergelijke brute-dwingen aanval genereert beelden met veranderende ESSIDs en MAC-adressen manier (Wellenreiter om de kaart van de aanvaller verkoper en de identiteit obscure). Frequente sonde verzoeken kunnen wijzen op iemand met behulp Netstumbler of Ministumbler, en gastheren plotseling veranderen hun werking kanaal kan vlag een mogelijk man-in-the-middle-aanval.

Veel van de beschreven gebeurtenissen kunnen het gevolg zijn van de gebruiker wangedrag in plaats van een geplande kwaadaardige aanval. Gebruikers kunnen aansluiten ongevraagde draadloze apparaten storing of gebruik-maken van apparaten (Bluetooth, draadloze camera's, draadloze telefoons). Ze kunnen verbinding maken met de AP staat zonder WEP / TKIP als de AP zij (een grote vergissing aan de zijde van de beheerder is toegestaan) of miss / firmware-upgrades te vermijden ( "If it works, don't fix it"), waardoor je 802,11 i-gebaseerde beveiliging inzet inspanningen nutteloos. Elk systeem-of netwerkbeheerder weet hoe onhandelbaar en onaangename sommige gebruikers kan worden.

een artikel afkomstig van Krelle Xijao

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions