Не дочитал. Вопервых полученные сетевые пакеты не записываются в БД, их обработка организуется например snort-ом для wlan, а уже затем с помощью доп.программ _информация_о_атаках_ заносится в БД. Таким образом между злоумышлеником и БД стоит как минимум 2 посредника, а учитывая что в БД записывается только определенное множество сообщени (ID события, ID сигнатуры и т.п, но никак не содержимое пакетов), то ее атакующий сломать не сможет. Конечно можно записывать в БД и пакеты, но зачем? Они и так складываются в логи pcap - смотри их оттуда хоть tcpdump-om хоть ethereal-ом. Я не знаком с уязвимостями wlan драйверов для Linux, может быть их и можно сломать, но сдается мне что даже сделав это, злоумышленик потеряет связь с машиной, поскольку перестанет работать wlan-карточка - а если даже и не перестанет, ктож слушающему интерфейсу назначает IP?! Что касается локальных атак, то это, извиняюсь, притянуто за уши. Cовмещать сети ловушки с рабочей сетью? Они ставятся рядом, но помещать в рабочую сеть машины которые _должны_быть_сломаны_ это полнейший бред! Даже если мы контролируем процесс, то такого делать нельзя... Даже если кто-то видел что "они воткнуты в один коммутатор", хе... так там же VLAN!!! Можно разместить в сети honeypot, например, но есть ли смысл делать это с wlan?
статья , неплохая с иньекцией essid в базе данных конечно придумано красиво , но как то это боле теоретическая возможность. ибо как это обычно происходит , проверка на уязвимости проходит методом чёрного ящика и , если при sql иньекции в web даже если она blind , мы всёравно можем овидеть ответ на запрос а вот в случае с wids получить ответ будет уже проблематично.
Цитата
Я не знаком с уязвимостями wlan драйверов для Linux, может быть их и можно сломать, но сдается мне что даже сделав это, злоумышленик потеряет связь с машиной, поскольку перестанет работать wlan-карточка - а если даже и не перестанет, ктож слушающему интерфейсу назначает IP
может под linux конкретно и нет (да и не нужно это никому,контенгент не велик), но под bsd и macos есть ,к томуже нарушение хода программы после эксплуатации совсем не обязательно так что карточка может спокойтно работать
grub пишет: Таким образом между злоумышлеником и БД стоит как минимум 2 посредника
К сожалению, количество посредников не уменьшает, а увеличивает количество возможных ошибок. В стандартных Web-приложениях между злоумышленником и СУБД находится один или два посредника, но это не мешает 6% серверов быть уязвимым для этой проблемы.
Цитата
grub пишет: БД записывается только определенное множество сообщени
Куда входят, например, URL для протокола HTTP или SSID сети 802.11x…
Цитата
grub пишет: злоумышленик потеряет связь с машиной, поскольку перестанет работать wlan-карточка
У большинства WIDS сенсоры имею как минимум 2 интерфейса. Один проводной, другой беспроводной. И если атака идет через беспроводной и тот «падает» в результате атаки, то «взломанный» сенсор вполне может установить соединение с узлом злоумышленника в Интернет через проводную сеть. Конечно, в идеальном мире сенсоры не должны иметь доступа к внешним сетям, но наш мир далек от идеала.
Цитата
grub пишет: Cовмещать сети ловушки с рабочей сетью?
Я теряюсь. По-моему в статье нет ни слова о honeypot.
Цитата
sh2kerr пишет: но как то это боле теоретическая возможность
Уверяю Вас, более чем практическая. И немного даже обескуражила автора, когда он эту возможность обнаружил. Что касается подбора запроса – дело в том, что в отличии от Web-приложений, которых множество, систем обнаружения беспроводных атак не так уж и много. Например, в России вряд ли придется столкнуться в ближайшее время с чем-либо кроме Cisco или AirMagnet. И если злоумышленник имеет возможность определить тип WIDS – то он прекрасно знает, какие запросы можно использовать для её компрометации. По поводу определения типа WIDS есть ряд неплохих работ, ссылка на одну из которых приведена в статье (Joshua Wright, «Weaknesses in Wireless LAN Session Containment»).
Статья на мой взгляд интересная. (И ведь не лень было такую работу проделать! Респект автору.) Единственное, в пути решения я бы добавил написание скрипта который бы проверял данные передаваемые СУБД. Поправьте меня если я ошибаюсь, но SSID по спецификации не должен содержать символов / | \ > < и т.д. Соответственно появление этих символов должно рассматриваться как возможная атака.
статья непрочто. ну тока со скриптами забавно придумано. Тем более мне трудно понять как выявить атаку, если атакующий полностью копирует какого-нить клиента(маки ссиды и пр.)? это уж тока по косвенным признакам, например нагрузка на точку при packet injection и тп. Тем боле как более от БОЛЬШОГО ДОСА. (опция в airreplay) я вообще не знаю что может спасти. Сам предмет разговора ещё не настольео продвинут чтоб про взломы систем защиты чё-та удумывать.
l0st ****** пишет: мне трудно понять как выявить атаку, если атакующий полностью копирует какого-нить клиента(маки ссиды и пр.)?
Для этого достаточно ознакомиться с современными системами обнаружения беспроводных атак. Определение mac-address spoofing по изменению sequence number в заголовках канального уровня 802.11 – одна из первых сигнатур для WIDS. Кроме того – большинство WIDS имеют возможность определять местоположение передатчика, и таким образом могут понять, что в сети сейчас находится две станции с одинаковыми характеристиками. Более того – они даже могут «отключать» от сети станции пытающиеся работать из-за пределов защищаемого здания.
Цитата
l0st ****** пишет: Тем боле как более от БОЛЬШОГО ДОСА. (опция в airreplay) я вообще не знаю что может спасти.
Та же триангуляция помогает найти плохого парня, и объяснить ему с помощью дипольной антенны на 12 дБ почем фунт лиха. Если, конечно, он не спрятался за 5ть километров от атакуемой сети с параболой на 24 дБи . Гораздо больше проблем с атаками на физическом уровне – теми же пресловутыми микроволновыми печами. Поскольку большинство WIDS работают на канальном уровне – они будут расценивать такую атаку просто как шум.
Цитата
l0st ****** пишет: Сам предмет разговора ещё не настольео продвинут
Гораздо больше проблем с атаками на физическом уровне – теми же пресловутыми микроволновыми печами. Поскольку большинство WIDS работают на канальном уровне – они будут расценивать такую атаку просто как шум.
А взять карточку, показывающую уровень шума, например старую добрую Ориноко Голд за 30 ё (пофиг что b онли), и той же направленной антенной найти источник? Помехи на пару десятков дБ с потолка обычно не беруцца А из чего можно сваять на коленке генератор помех?
Вы собственно сами ответили на свой вопрос. Один из сенсоров WIDS обычно делается мобильным (например, на базе AirMagnet Laptop Analyzer), чтобы можно было с ним и направленными антеннами выполнять задачи, где сенсоры дают сбой.
Что касается систем позиционирования источника сигнала с всенаправленными антеннами - действительно, они рассчитаны на дипольные антенны (см. http://www.securitylab.ru/foоrum/read.php?PAGEN_1=5&FID=22&TID=4659#nav_start), и используя направленный сигнал, их можно обмануть. Но у меня получалось это сделать в лабораторных условиях, используя две антенны с диаграммой направленности около 8 градусов. Для полевых условий это вряд ли подойдет.
Мне кажется что установка такой штуки в рабочую сеть не от великого ума, ну или скажем от безделия. Сходи на honeynet.org и посмотри стадии развития проекта. Ловушку могут сломать - она для этого и сделана в конце концов, и надо обеспечить сбор достоверной информации раз и защиту производственной сети два. Первый вопрос решается разделением функций между различными сисемами - в т.ч. виртуальными машинами. Второй тотальной защитой _всего_ - лучший способ отделения одной сети от другой. Ну а раз у тебя пакеты от ловушки беспрепятственно бегают по производственной сети. Ну я не знаю... Вероятно вы засланец батенька и хотите не защитить а угробить...
Хотя я и съехал на тему ловушек, но к сенсорам помоему все эти положения также справедливы.