Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Атаки на системы обнаружения беспроводных атак
 
Обсуждение статьи Атаки на системы обнаружения беспроводных атак
 
Не дочитал.
Вопервых полученные сетевые пакеты не записываются в БД, их обработка организуется например snort-ом для wlan, а уже  затем с помощью доп.программ _информация_о_атаках_ заносится в БД. Таким образом между злоумышлеником и БД стоит как минимум 2 посредника, а учитывая что в БД записывается только определенное множество сообщени (ID события, ID сигнатуры и т.п, но никак не содержимое пакетов), то ее атакующий сломать не сможет. Конечно можно записывать в БД и пакеты, но зачем? Они и так складываются в логи pcap - смотри их оттуда хоть tcpdump-om хоть ethereal-ом. Я не знаком с уязвимостями wlan драйверов для Linux, может быть их и можно сломать, но сдается мне что даже сделав это, злоумышленик потеряет связь с машиной, поскольку перестанет работать wlan-карточка - а если даже и не перестанет, ктож слушающему интерфейсу назначает IP?! :D
Что касается локальных атак, то это, извиняюсь, притянуто за уши. Cовмещать сети ловушки с рабочей сетью? Они ставятся рядом, но помещать в рабочую сеть машины которые _должны_быть_сломаны_ это полнейший бред! Даже если мы контролируем процесс, то такого делать нельзя... Даже если кто-то видел что "они воткнуты в один коммутатор", хе... так там же VLAN!!! Можно разместить в сети honeypot, например, но есть ли смысл делать это с wlan?
 
статья , неплохая  с иньекцией essid в базе данных конечно придумано красиво , но как то это боле теоретическая возможность. ибо как это обычно происходит , проверка на уязвимости проходит методом чёрного ящика и , если при sql иньекции в web даже если она blind , мы всёравно можем овидеть ответ на запрос а вот в случае с wids получить ответ будет уже проблематично.

Цитата
Я не знаком с уязвимостями wlan драйверов для Linux, может быть их и можно сломать, но сдается мне что даже сделав это, злоумышленик потеряет связь с машиной, поскольку перестанет работать wlan-карточка - а если даже и не перестанет, ктож слушающему интерфейсу назначает IP

может под linux конкретно и нет (да и не нужно это никому,контенгент не велик), но под bsd и macos есть ,к томуже нарушение хода программы после эксплуатации  совсем не обязательно так что карточка может спокойтно работать
 
Цитата
grub пишет:
Таким образом между злоумышлеником и БД стоит как минимум 2 посредника

К сожалению, количество посредников не уменьшает, а увеличивает количество возможных ошибок. В стандартных Web-приложениях между злоумышленником и СУБД находится один или два посредника, но это не мешает 6% серверов быть уязвимым для этой проблемы.

Цитата
grub пишет:
БД записывается только определенное множество сообщени

Куда входят, например, URL для протокола HTTP или SSID сети 802.11x…

Цитата
grub пишет:
злоумышленик потеряет связь с машиной, поскольку перестанет работать wlan-карточка

У большинства WIDS сенсоры имею как минимум 2 интерфейса. Один проводной, другой беспроводной. И если атака идет через беспроводной и тот «падает» в результате атаки, то «взломанный» сенсор вполне может установить соединение с узлом злоумышленника в Интернет через проводную сеть. Конечно, в идеальном мире сенсоры не должны иметь доступа к внешним сетям, но наш мир далек от идеала.

Цитата
grub пишет:
Cовмещать сети ловушки с рабочей сетью?

Я теряюсь. По-моему в статье нет ни слова о honeypot.


Цитата
sh2kerr пишет:
но как то это боле теоретическая возможность

Уверяю Вас, более чем практическая. И немного даже обескуражила автора, когда он эту возможность обнаружил. Что касается подбора запроса – дело в том, что в отличии от Web-приложений, которых множество, систем обнаружения беспроводных атак не так уж и много. Например, в России вряд ли придется столкнуться в ближайшее время с чем-либо кроме Cisco или AirMagnet. И если злоумышленник имеет возможность определить тип WIDS – то он прекрасно знает, какие запросы можно использовать для её компрометации.
По поводу определения типа WIDS есть ряд неплохих работ, ссылка на одну из которых приведена в статье (Joshua Wright, «Weaknesses in Wireless LAN Session Containment»).
 
Статья на мой взгляд интересная. (И ведь не лень было такую работу проделать! Респект автору.) Единственное, в пути решения я бы добавил написание скрипта который бы проверял данные передаваемые СУБД. Поправьте меня если я ошибаюсь, но SSID по спецификации не должен содержать символов / | \ > < и т.д. Соответственно появление этих символов должно рассматриваться как возможная атака.
 
статья непрочто. ну тока со скриптами забавно придумано.
Тем более мне трудно понять как выявить атаку, если атакующий полностью копирует какого-нить клиента(маки ссиды и пр.)? это уж тока по косвенным признакам, например нагрузка на точку при packet injection и тп.
Тем боле как более от БОЛЬШОГО ДОСА. (опция в airreplay) я вообще не знаю что может спасти. Сам предмет разговора ещё не настольео продвинут чтоб про взломы систем защиты чё-та удумывать.
 
Цитата
l0st ****** пишет:
мне трудно понять как выявить атаку, если атакующий полностью копирует какого-нить клиента(маки ссиды и пр.)?

Для этого достаточно ознакомиться с современными системами обнаружения беспроводных атак. Определение mac-address spoofing по изменению sequence number в заголовках канального уровня 802.11 – одна из первых сигнатур для WIDS. Кроме того – большинство WIDS имеют возможность определять местоположение передатчика, и таким образом могут понять, что в сети сейчас находится две станции с одинаковыми характеристиками. Более того – они даже могут «отключать» от сети станции пытающиеся работать из-за пределов защищаемого здания.


Цитата
l0st ****** пишет:
Тем боле как более от БОЛЬШОГО ДОСА. (опция в airreplay) я вообще не знаю что может спасти.

Та же триангуляция помогает найти плохого парня, и объяснить ему с помощью дипольной антенны на 12 дБ почем фунт лиха. Если, конечно, он не спрятался за 5ть километров от атакуемой сети с параболой на 24 дБи :-).
Гораздо больше проблем с атаками на физическом уровне – теми же пресловутыми микроволновыми печами. Поскольку большинство WIDS работают на канальном уровне – они будут расценивать такую атаку просто как шум.

Цитата
l0st ****** пишет:
Сам предмет разговора ещё не настольео продвинут

Отнюдь… Отнюдь…
 
Цитата
Гораздо больше проблем с атаками на физическом уровне – теми же пресловутыми микроволновыми печами. Поскольку большинство WIDS работают на канальном уровне – они будут расценивать такую атаку просто как шум.
А взять карточку, показывающую уровень шума, например старую добрую Ориноко Голд за 30 ё (пофиг что b онли), и той же направленной антенной найти источник? Помехи на пару десятков дБ с потолка обычно не беруцца :)
А из чего можно сваять на коленке генератор помех?
 
Да, кстати. Как относится триангулирующие системы к направленным антеннам (они вообще-то на омни рассчитаны)?
 
Цитата
Более того – они даже могут «отключать» от сети станции пытающиеся работать из-за пределов защищаемого здания.
Подскажите, по каким параметрам можно определить, что станция вне здания? Если сенсоры всенаправленные.
 
Цитата
xpeh пишет:
xpeh

Вы собственно сами ответили на свой вопрос. Один из сенсоров WIDS обычно делается мобильным (например, на базе AirMagnet Laptop Analyzer), чтобы можно было с ним и направленными антеннами выполнять задачи, где сенсоры дают сбой.

Что касается систем позиционирования источника сигнала с всенаправленными антеннами - действительно, они рассчитаны на дипольные антенны (см. http://www.securitylab.ru/foоrum/read.php?PAGEN_1=5&FID=22&TID=4659#nav_start), и используя направленный сигнал, их можно обмануть. Но у меня получалось это сделать в лабораторных условиях, используя две антенны с диаграммой направленности около 8 градусов. Для полевых условий это вряд ли подойдет.

А про DoS - микроволновка
http://www.biznix.org/articles/wirelessdos.html
 
Мне кажется что установка такой штуки в рабочую сеть не от великого ума, ну или скажем от безделия. Сходи на honeynet.org и посмотри стадии развития проекта. Ловушку могут сломать - она для этого и сделана в конце концов, и надо обеспечить сбор достоверной информации раз и защиту производственной сети два. Первый вопрос решается разделением функций между различными сисемами - в т.ч. виртуальными машинами. Второй тотальной защитой _всего_ - лучший способ отделения одной сети от другой. Ну а раз у тебя пакеты от ловушки беспрепятственно бегают по производственной сети. Ну я не знаю... Вероятно вы засланец батенька и хотите не защитить а угробить...

Хотя я и съехал на тему ловушек, но к сенсорам помоему все эти положения также справедливы.
Страницы: 1
Читают тему (гостей: 2)