wireless intrusion detection und prevention systeme – ein Überblick
DESCRIPTION
The information security provider. Wireless Intrusion Detection und Prevention Systeme – Ein Überblick Matthias Hofherr, [email protected]. Agenda. Methoden Anforderungen Architektur Datenkorrelation Channel Hopping Ortung Wireless Intrusion Prevention Antennen Fazit. Methoden. - PowerPoint PPT PresentationTRANSCRIPT
Cop
yrig
ht a
tsec
info
rmat
ion
secu
rity,
200
6
The information security provider
Wireless Intrusion Detection und
Prevention Systeme – Ein Überblick
Matthias Hofherr, [email protected]
2
Cop
yrig
ht a
tsec
info
rmat
ion
secu
rity,
200
6
Agenda
Methoden Anforderungen Architektur Datenkorrelation Channel Hopping Ortung Wireless Intrusion Prevention Antennen Fazit
3
Cop
yrig
ht a
tsec
info
rmat
ion
secu
rity,
200
6
Methoden
Die besten Ergebnisse liefern WIDS, die eine Kombination dieser Methoden einsetzen
Wireless IDS (WIDS) unterstützen verschiedene Erkennungsmethoden• Signaturbasierte Erkennung
- Updates für Signaturen nötig, keine Zero-Day Erkennung …
• Anomalieerkennung- Unpräzise Alarme, z.T. hohe False Positive Raten- Varianten:
Statistische Anomalieerkennung Protokollbasierte Anomalieerkennung
4
Cop
yrig
ht a
tsec
info
rmat
ion
secu
rity,
200
6
Anforderungen
Ein WIDS muss verschiedene Ereignisse erkennen:• Wireless Scanner
• Angriffe auf 802.11 Netzwerke
• Hijacking von MAC Adressen
• Denial-of-Service Angriffe
• Rogue Access Points / Evil Twins
• Policy Überwachung
5
Cop
yrig
ht a
tsec
info
rmat
ion
secu
rity,
200
6
Architektur
Systemaufbau
• Dezentral/Standalone- Einzelne Einheit, die als Sensor und Auswerteeinheit fungieren
• Zentral- Zentraler Server zur Auswertung und Konfiguration, verteilte
Sensoren
• Datenauswertung: - Kann auf Sensor (bessere Hardware nötig) oder auf Server
(komplette Kopie des Datenstroms nötig) erfolgen
• Sensornutzung:- Dedizierter Sensor- Integriert in Access Point- Access Point, der bei Bedarf zu dedizierten Sensor mutiert
6
Cop
yrig
ht a
tsec
info
rmat
ion
secu
rity,
200
6
Datenkorrelation
Zentrale Datenauswertung mit Korrelation• WIDS muss offene Netzwerk-Schnittstellen bieten
• Datenlieferung an SEM/SIM, Abgleich mit- NIDS
- Logfiles (OS, Applikationen)
- Antivirus-Systemen
- Firewalls / Router
- AAA Server
- …
• Macht nur Sinn bei zeitsynchronen Systemen
7
Cop
yrig
ht a
tsec
info
rmat
ion
secu
rity,
200
6
Channel Hopping
Nicht alle verfügbaren Kanäle können gleichzeitig überwacht werden• Channel Hopping schaltet Sensor wechselweise auf die
verschiedenen Kanäle• Jeder Kanal kann nur eine bestimmte Zeit überwacht
werden• Verhalten bei Angriffserkennung
- Schaltet weiter- Bleibt länger auf Kanal- Schaltet zweite Empfangseinheit auf Kanal
8
Cop
yrig
ht a
tsec
info
rmat
ion
secu
rity,
200
6
Ortung
Angreifer soll nicht nur erkannt, sondern auch geortet werden
Manuelle Ortung mit einem tragbarem Gerät und Richtantenne kann sehr zeitaufwändig sein
Verschiedene automatisierte Methoden:• Nächstgelegener Sensor
• Triangulation
• RF Fingerprinting Kann auch zum Tracking von Equipment/Personen
eingesetzt werden
9
Cop
yrig
ht a
tsec
info
rmat
ion
secu
rity,
200
6
Wireless Intrusion Prevention
Das System leitet aktive Gegenmaßnahmen ein, um einen Angriff zu stoppen
Verschiedene Methoden• Jamming des Kanals
• Isolierung des Angreifers durch Deauth/Disassoc
• Blockierung durch Firewall (Shunning)
• Switch Port deaktivieren Alle Methoden haben Nebeneffekte, die vorher in der
Evaluationsphase geprüft werden sollten
10
Cop
yrig
ht a
tsec
info
rmat
ion
secu
rity,
200
6
Antennen
Die Art und Qualität der Antenne(n) bestimmt die Einsatzmöglichkeit
• Rundstrahler (gleichmässiger Abdeckungsbereich, geringere Reichweite)
• Richtstrahler (verbesserte Reichweite, starke Richtwirkung) Sehr starke Richtstrahler sind für ein WIDS meist ungeeignet, da sie
nur einen sehr engen Winkel abdecken Antennen sollten an die zu überwachende Umgebung angepasst
werden Viele kleine/schwache Antennen ermöglichen bessere Ortung als
wenige starke Antennen Für rein passive Systeme ist nur die Empfangsqualität relevant Aktive Systeme können Empfangsbooster zur Verstärkung nutzen Aktive Systeme dürfen in Deutschland maximal 20 dBi Gewinn
aufweisen
11
Cop
yrig
ht a
tsec
info
rmat
ion
secu
rity,
200
6
Antennen
12
Cop
yrig
ht a
tsec
info
rmat
ion
secu
rity,
200
6
Open Source vs Closed Source
Im Bereich Wireless IDS existieren mehrere OpenSource Projekte, die genutzt werden können:
• Kismet (http://www.kismetwireless.net/)
• Snort-wireless (http://snort-wireless.org/)
• Hostapd (http://www.openbsd.org) Vorteile:
• Beliebiges Customizing
• Große Hardware-Auswahl Nachteile:
• Aufwand für KnowHow
• Support
• Nicht alle Features kommerzieller Systeme stehen zur Verfügung (z.B. Ortung)
13
Cop
yrig
ht a
tsec
info
rmat
ion
secu
rity,
200
6
Fazit
WIDS stellen die einzige Möglichkeit dar, Angriffe auf ein drahtloses Netzwerk zu erkennen
Auch wer kein drahtloses Netzwerk einsetzt, benötigt ein WIDS zur Erkennung von Rogue Access Points
WIDS sind kostspielig (unabhängig ob Open/Closed Source) in Anschaffung und Unterhalt
Ob die Anschaffung eines WIDS gerechtfertigt ist, muss jederfür sich selbst entscheiden. Am besten geschieht das im Rahmen
einer Risikoanalyse.
14
Cop
yrig
ht a
tsec
info
rmat
ion
secu
rity,
200
6
Fragen ?
15
Cop
yrig
ht a
tsec
info
rmat
ion
secu
rity,
200
6
Vortragender
atsec information security GmbH Tel: +49 (0) 89 442 498 30Steinstr. 80 Fax: +49 (0) 89 442 498 31D - 81667 München Mobile: +49 (0) 172 86 72 518www.atsec.com e-mail: [email protected]
Dipl.-Inf. (FH)Matthias Hofherr
Senior Security Consultant