Cel prezentacji. Główne punkty prezentacji. Systemy wykrywania włamań dla sieci bezprzewodowych Wi-Fi. a inne sieci bezprzewodowe

HTML
DOWNLOAD

Wielkość: px

Rozpocząć pokaz od strony:

Download "Cel prezentacji. Główne punkty prezentacji. Systemy wykrywania włamań dla sieci bezprzewodowych Wi-Fi. a inne sieci bezprzewodowe"

Anatol Wasilewski
8 lat temu
Przeglądów:

1 Systemy wykrywania włamań dla sieci bezprzewodowych Wi-Fi Krzysztof Cabaj, Krzysztof Szczypiorski Politechnika Warszawska Cel prezentacji Przedstawienie praktycznych aspektów zastosowania systemów wykrywania włamań w bezprzewodowych sieciach Wi-Fi Teza: w sieciach korporacyjnych powinny być zaimplementowane systemy wykrywania włamań dla sieci Wi-Fi Secure 2004, października 2004 r. Cabaj, Szczypiorski Wireless + IDS 2 Główne punkty prezentacji Walka z propagacją sygnału radiowego Podatności sieci Wi-Fi i znane lekarstwa Możliwe zagrożenia w sieci korporacyjnej Bezprzewodowi hackerzy vs. bezmyślni pracownicy Systemy wykrywania włamań dedykowane dla sieci Wi-Fi WIDZ - Wireless IDS Kismet narzędzia komercyjne Cabaj, Szczypiorski Wireless + IDS 3 Wi-Fi a inne sieci bezprzewodowe Niższa przepływność = Szersze pokrycie Wyższa przepływność = Węższe pokrycie MAN (kilka km) 2.5/3G (GPRS, WCDMA, UMTS) PAN (~10 m) Bluetooth, UWB BAN ( <1 m) LAN (~100 m) IEEE DAB/DVB WLAN = IEEE = Wi-Fi Źródło: Intel Cabaj, Szczypiorski Wireless + IDS 4

Propagacja sygnału radiowego Podatności sieci Wi-Fi Słabość WEP (Wired Equivalent Privacy) ze statycznym kluczem ataki pasywne i aktywne Kiepskie uwierzytelnienie Rozgłaszanie SSID (Service Set

2 Propagacja sygnału radiowego Podatności sieci Wi-Fi Słabość WEP (Wired Equivalent Privacy) ze statycznym kluczem ataki pasywne i aktywne Kiepskie uwierzytelnienie Rozgłaszanie SSID (Service Set IDentifier) Podszywanie się na poziomie adresów MAC i IP Niewłaściwa konfiguracja punktów dostępowych DoS odmowa usługi Źródło: David Wagner - Why Swiss-Cheese Security Isn t Enough Cabaj, Szczypiorski Wireless + IDS 5 Cabaj, Szczypiorski Wireless + IDS 6 Poufność/prywatność, integralność danych Uwierzytelnienie, kontrola dostępu i znane lekarstwa TKIP-PPK AES-CCM Szyfrowanie Architektura uwierzytelnienia 802.1X/EAP AAA/Radius TKIP, CCMP TKIP-MIC AES-CBC-MAC Mechanizmy integralności Wymiana uwierzytelniająca EAP-TLS EAP-TTLS EAP-FAST IEEE i Możliwe zagrożenia w sieci korporacyjnej Dwa najczęściej występujące problemy: próby włamań przez hackerów do sieci WiFi (bezprzewodowi hackerzy) pasywni: war (-driving), (-flying) aktywni: warchalking oraz uruchamianie przez użytkowników nieautoryzowanych punktów dostępowych, stających się tylnymi drzwiami do sieci (bezmyślni pracownicy) Cabaj, Szczypiorski Wireless + IDS 7 Cabaj, Szczypiorski Wireless + IDS 8

Wardriving, warflying Warchalking Peter Shipley - prekursor Źródło

com/boston Wi-Fi + car = Wardriving Wi-Fi + plane = Warflying chalk

Wireless + IDS 10 Uruchamianie nieautoryzowanych punktów dostępowych

za bezpieczeństwo uruchamiają sieci Wi-Fi (tzw.

prostota instalacji Standardowo niebezpieczna konfiguracja (brak

posiadacza komputera przenośnego z kartą Wi-Fi Pani Ania z działu

Rogue AP Systemy wykrywania włamań dla sieci bezprzewodowych Wi-Fi

3 Wardriving, warflying Warchalking Peter Shipley - prekursor Źródło map: Wi-Fi + car = Wardriving Wi-Fi + plane = Warflying chalk (kreda) Cabaj, Szczypiorski Wireless + IDS 9 Cabaj, Szczypiorski Wireless + IDS 10 Uruchamianie nieautoryzowanych punktów dostępowych Nagminnie pracownicy firmy, bez zgody i wiedzy osób odpowiedzialnych za bezpieczeństwo uruchamiają sieci Wi-Fi (tzw. Rogue AP) Ma na to wpływ: niska cena tego typu urządzeń oraz prostota instalacji Standardowo niebezpieczna konfiguracja (brak zabezpieczeń) Sieć korporacyjna staje się dostępna dla każdego posiadacza komputera przenośnego z kartą Wi-Fi Pani Ania z działu marketingowego uruchomiła tzw. Rogue AP Systemy wykrywania włamań dla sieci bezprzewodowych Wi-Fi Stos TCP/IP aplikacyjna transportowa sieciowa łącza danych Model sieci LAN (IEEE LAN RM) LLC MAC PHY Cabaj, Szczypiorski Wireless + IDS 11 Cabaj, Szczypiorski Wireless + IDS 12

Sygnatury skanerów wireless Skanery aktywne można wykrywać poprzez sygnatury charakterystyczne ustawienia pól w ramkach IEEE 802.

11 Skanery pasywne - aktualnie brak możliwości bezpośredniego wykrycia Narzędzia: WIDZ (Wireless IDS) Pakiet oprogramowania powstałego jako proof of concept specjalizowanego IDS dla WiFi- mimo to

4 Sygnatury skanerów wireless Skanery aktywne można wykrywać poprzez sygnatury charakterystyczne ustawienia pól w ramkach IEEE SnortWireless patch na Snort a umożliwiający tworzenie sygnatur dla protokołu IEEE Skanery pasywne - aktualnie brak możliwości bezpośredniego wykrycia Narzędzia: WIDZ (Wireless IDS) Pakiet oprogramowania powstałego jako proof of concept specjalizowanego IDS dla WiFi- mimo to bardzo pomocny Program widz_apmon posiada dwa tryby pracy Generowanie spisu widzianych AP Monitorowanie środowiska, czy nie pojawiają się inne AP Proste rozwiązanie informujące nas o pojawiających się nowych AP. Wykrycie nowego AP może oznaczać Uruchomienie nieautoryzowanego AP Próba ataku man in the middle Cabaj, Szczypiorski Wireless + IDS 13 Cabaj, Szczypiorski Wireless + IDS 14 Narzędzia: Kismet(1/2) Zaawansowany skaner pasywny Funkcje prostego systemu IDS dedykowanego sieciom Wi-Fi Możliwość podłączenie odbiornika GPS Nanoszenie na dostarczone mapy wykrytych informacji Możliwości programu Narzędzia: Kismet(2/2) Wykrywanie sieci Wi-Fi, które nie rozgłaszają swojego SSID Wykrywanie zakresów sieci IP jedynie poprzez nasłuch transmitowanych pakietów protokołów ARP, UDP,TCP pracy w modelu klient-serwer (możliwość analizy w centralnym punkcie danych z wielu sensorów) Cabaj, Szczypiorski Wireless + IDS 15 Cabaj, Szczypiorski Wireless + IDS 16

5 Inne narzędzia Narzędzia open-source SnortWireless (aktualnie rozwijane są nowe preprocesory dla tego systemu IDS) Skanery sieciowe np. NetStumbler Przykładowe narzędzia komercyjne CiscoWorks Wireless LAN Solution Engine (WLSE) NetworkChemistry Podsumowanie Parafrazując Leonarda Cohena ( There ain't no cure for love ): There ain't no cure for Wi-Fi IEEE i vs. piękny umysł bezmyślnych pracowników Walka z nielegalnymi AP przypomina walkę stoczoną w przeszłości z pracowniczymi modemami w sieciach korporacyjnych Systemy IDS dla sieci Wi-Fi mogą pomóc - należy je stosować we wszystkich sieciach korporacyjnych Cabaj, Szczypiorski Wireless + IDS 17 Cabaj, Szczypiorski Wireless + IDS 18 Pytania? Krzysztof Cabaj, Krzysztof Szczypiorski K.Cabaj@ii.pw.edu.pl, K.Szczypiorski@tele.pw.edu.pl Literatura Snort, Martin Roesch - Kismet, Mike Kershaw - Snort-Wireless, Andrew Lockhart - WIDZ (Wireless IDS), Mark "Fat Bloke" Osborne - Layer 2 Analysis of WLAN Discovery Applications for Intrusion Detection, Joshua Wright - AirJack - NetStumbler, Marius Milner Krzysztof Cabaj, Krzysztof Szczypiorski: Systemy wykrywania włamań dla sieci bezprzewodowych Wi-Fi, Materiały: VIII Konferencja Bezpieczeństwa IT Secure 2004, Warszawa października 2004 Cabaj, Szczypiorski Wireless + IDS 20

Podobne dokumenty

Sieci bezprzewodowe oczami hackera

Sieci bezprzewodowe oczami hackera Krzysztof Szczypiorski E-mail: krzysztof@szczypiorski.com http://krzysztof.szczypiorski.com VII Krajowa Konferencja Bezpieczeństwa Sieciowego "Zabezpieczenia sieci korporacyjnych",