Системы обнаружения и предотвращения атакам
Лекция 9
Системы обнаружения беспроводных атак.
Угрозы для беспроводной сети
Архитектура БСОА (Wireless 
Intrusion Detection System)
Основу WIDS составляют сенсоры, выполняющие функцию сбора беспроводного трафика в режиме мониторинга, и, возможно, его обработку. Сенсоры могут быть реализованы на базе ОС линейки Windows или "специализированных программно-аппаратных комплексов" (в большинстве случаев - Linux). Как правило, сенсоры представляют собой достаточно интеллектуальные устройства, поддерживающие TCP/IP и обладающие развитыми
интерфейсами управления.
Структура WIPS-сети
Возможности и задачи WIDS
•автоматически обнаруживать все подключенные к сети беспроводные устройства;
•строить карту сети с указанием точек расположения беспроводных устройств;
•отслеживать изменения (отключено, украдено, выведено из строя и т.д.) в составе беспроводных устройств;
•контролировать сетевой трафик, передаваемый в беспроводном сегменте, и обнаруживать в нем различные аномалии;
•собирать информацию для проведения расследований, связанных с несанкционированной активностью;
•обнаруживать различные атаки и попытки сканирования;
•отслеживать отклонения в политике безопасности и настройках беспроводных устройств.
Взлом через воздушный зазор (1)
Поскольку данные, полученные из недоверенного источника, сохраняются в базе данных, существует вероятность их некорректной обработки, и как следствие - возможность проведения злоумышленником атак типа "внедрение операторов SQL" (SQL Injection). Добавление к строковым полям пакетов, сохраняемых в СУБД, специальных символов позволяет терминировать исходный SQL запрос и добавить к нему операторы, контролируемые злоумышленником. Практически такая атака может быть реализована путем создания ложных точек доступа или одноранговых сетей с SSID вида:
‘;insert into ...
Существенное, но преодолимое ограничение на эксплуатацию данного вида уязвимости накладывает длина SSID (32 байта). Или с помощью функции трассировки СУБД проверить реакцию WIDS на команды типа
iwconfig ath0 mode master essid ';--
6
Взлом через воздушный зазор (2)
Ещё одной распространенной Web-уязвимостью, характерной для систем обнаружения беспроводных атак, является Межсайтовое выполнение сценариев (Cross-Site Scripting, XSS). Информация об обнаруженной атаке отображается в консоли управления, в качестве которой зачастую используется Web-браузер. Соответственно, если злоумышленник укажет в качестве SSID последовательность символов:
"> <script>alert()</script>
в браузере оператора или администратора отработает сценарий, контролируемый злоумышленником.
В этом случае 32 байта предоставляют достаточный резерв для того, чтобы указать в качестве источника сценария внешний сервер. Результаты такой атаки могут быть самыми разнообразными - от кражи данных для аутентификации до выполнения некоторых действий по настройке WIDS вместо оператора. Подобная уязвимость была устранена в Web- интерфейсе сервера Airmagnet Enterprise.
7
Взлом через воздушный зазор (3)
Условия сохраненного XSS возникали при отображении SSID в списках контроля доступа Enterprise Server:
https:///Amom/Amom.dll/BD
В случае использования "толстого" клиента ситуация может усложняться. Например, если браузер работает в зоне безопасности Local Machine, внедрение сценариев может привести к серьезным последствиям. Во многих WIDS Web-сервер управления использует аутентификацию типа Basic, что повышает вероятность успеха атак типа CSRF.
Архитектура внедрений WIPS
Организациям доступно несколько вариантов внедрения WIPS- систем. Они включают:
• Оверлейную (наложенную) модель
• Интегрированную (встроенную) модель
• Гибридную модель
Оверлейная (наложенная) 
модель
Оверлейная модель — использует специальные сенсоры и систему управления для создания оверлейной WIPS-сети над существующей WLAN. Данная модель предполагает увеличение организацией ее существующей WLAN инфраструктуры путем внедрения в нее специальных беспроводных сенсоров или Air Monitors (AMs). AMs внедряются в существующую WLAN как простые точки доступа, могут размещаться на стенах или потолке и получать питание через PoE. В отличие от точек доступа “Access Points” (APs), AMs обычно являются пассивными устройствами, которые контролируют окружающую среду на наличие признаков атаки или другой нежелательной беспроводной активности.