Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Copyright atsec information security, 2006 The information security provider Wireless Intrusion Detection und Prevention Systeme – Ein Überblick Matthias.

Veröffentlicht von:Parzifal Henkels Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Copyright atsec information security, 2006 The information security provider Wireless Intrusion Detection und Prevention Systeme – Ein Überblick Matthias."—  Präsentation transkript:

1 Copyright atsec information security, 2006 The information security provider Wireless Intrusion Detection und Prevention Systeme – Ein Überblick Matthias Hofherr, matthias@atsec.com

2 Copyright atsec information security, 2006 2 Agenda Methoden Anforderungen Architektur Datenkorrelation Channel Hopping Ortung Wireless Intrusion Prevention Antennen Fazit

3 Copyright atsec information security, 2006 3 Methoden Die besten Ergebnisse liefern WIDS, die eine Kombination dieser Methoden einsetzen Wireless IDS (WIDS) unterstützen verschiedene Erkennungsmethoden Signaturbasierte Erkennung - Updates für Signaturen nötig, keine Zero-Day Erkennung … Anomalieerkennung - Unpräzise Alarme, z.T. hohe False Positive Raten - Varianten: Statistische Anomalieerkennung Protokollbasierte Anomalieerkennung

4 Copyright atsec information security, 2006 4 Anforderungen Ein WIDS muss verschiedene Ereignisse erkennen: Wireless Scanner Angriffe auf 802.11 Netzwerke Hijacking von MAC Adressen Denial-of-Service Angriffe Rogue Access Points / Evil Twins Policy Überwachung

5 Copyright atsec information security, 2006 5 Architektur Systemaufbau Dezentral/Standalone - Einzelne Einheit, die als Sensor und Auswerteeinheit fungieren Zentral - Zentraler Server zur Auswertung und Konfiguration, verteilte Sensoren Datenauswertung: - Kann auf Sensor (bessere Hardware nötig) oder auf Server (komplette Kopie des Datenstroms nötig) erfolgen Sensornutzung: - Dedizierter Sensor - Integriert in Access Point - Access Point, der bei Bedarf zu dedizierten Sensor mutiert

6 Copyright atsec information security, 2006 6 Datenkorrelation Zentrale Datenauswertung mit Korrelation WIDS muss offene Netzwerk-Schnittstellen bieten Datenlieferung an SEM/SIM, Abgleich mit - NIDS - Logfiles (OS, Applikationen) - Antivirus-Systemen - Firewalls / Router - AAA Server - … Macht nur Sinn bei zeitsynchronen Systemen

7 Copyright atsec information security, 2006 7 Channel Hopping Nicht alle verfügbaren Kanäle können gleichzeitig überwacht werden Channel Hopping schaltet Sensor wechselweise auf die verschiedenen Kanäle Jeder Kanal kann nur eine bestimmte Zeit überwacht werden Verhalten bei Angriffserkennung - Schaltet weiter - Bleibt länger auf Kanal - Schaltet zweite Empfangseinheit auf Kanal

8 Copyright atsec information security, 2006 8 Ortung Angreifer soll nicht nur erkannt, sondern auch geortet werden Manuelle Ortung mit einem tragbarem Gerät und Richtantenne kann sehr zeitaufwändig sein Verschiedene automatisierte Methoden: Nächstgelegener Sensor Triangulation RF Fingerprinting Kann auch zum Tracking von Equipment/Personen eingesetzt werden

9 Copyright atsec information security, 2006 9 Wireless Intrusion Prevention Das System leitet aktive Gegenmaßnahmen ein, um einen Angriff zu stoppen Verschiedene Methoden Jamming des Kanals Isolierung des Angreifers durch Deauth/Disassoc Blockierung durch Firewall (Shunning) Switch Port deaktivieren Alle Methoden haben Nebeneffekte, die vorher in der Evaluationsphase geprüft werden sollten

10 Copyright atsec information security, 2006 10 Antennen Die Art und Qualität der Antenne(n) bestimmt die Einsatzmöglichkeit Rundstrahler (gleichmässiger Abdeckungsbereich, geringere Reichweite) Richtstrahler (verbesserte Reichweite, starke Richtwirkung) Sehr starke Richtstrahler sind für ein WIDS meist ungeeignet, da sie nur einen sehr engen Winkel abdecken Antennen sollten an die zu überwachende Umgebung angepasst werden Viele kleine/schwache Antennen ermöglichen bessere Ortung als wenige starke Antennen Für rein passive Systeme ist nur die Empfangsqualität relevant Aktive Systeme können Empfangsbooster zur Verstärkung nutzen Aktive Systeme dürfen in Deutschland maximal 20 dBi Gewinn aufweisen

11 Copyright atsec information security, 2006 11 Antennen

12 Copyright atsec information security, 2006 12 Open Source vs Closed Source Im Bereich Wireless IDS existieren mehrere OpenSource Projekte, die genutzt werden können: Kismet (http://www.kismetwireless.net/) Snort-wireless (http://snort-wireless.org/) Hostapd (http://www.openbsd.org) Vorteile: Beliebiges Customizing Große Hardware-Auswahl Nachteile: Aufwand für KnowHow Support Nicht alle Features kommerzieller Systeme stehen zur Verfügung (z.B. Ortung)

13 Copyright atsec information security, 2006 13 Fazit WIDS stellen die einzige Möglichkeit dar, Angriffe auf ein drahtloses Netzwerk zu erkennen Auch wer kein drahtloses Netzwerk einsetzt, benötigt ein WIDS zur Erkennung von Rogue Access Points WIDS sind kostspielig (unabhängig ob Open/Closed Source) in Anschaffung und Unterhalt Ob die Anschaffung eines WIDS gerechtfertigt ist, muss jeder für sich selbst entscheiden. Am besten geschieht das im Rahmen einer Risikoanalyse.

14 Copyright atsec information security, 2006 14 Fragen ?

15 Copyright atsec information security, 2006 15 Vortragender atsec information security GmbHTel: +49 (0) 89 442 498 30 Steinstr. 80Fax: +49 (0) 89 442 498 31 D - 81667 MünchenMobile: +49 (0) 172 86 72 518 www.atsec.come-mail: matthias@atsec.com Dipl.-Inf. (FH) Matthias Hofherr Senior Security Consultant

Herunterladen ppt "Copyright atsec information security, 2006 The information security provider Wireless Intrusion Detection und Prevention Systeme – Ein Überblick Matthias."

Ähnliche Präsentationen

Print-, Fax- und File-Server Lösung für ein Homeoffice

Print-, Fax- und File-Server Lösung für ein Homeoffice
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
 Willkommen bei Präsentation.

 Willkommen bei Präsentation.
E-Commerce Shop System

E-Commerce Shop System
Netzwerke in der Informationstechnik

Netzwerke in der Informationstechnik
Thema: Sicherheitsarchitektur für mobiles Arbeiten

Thema: Sicherheitsarchitektur für mobiles Arbeiten
Software Distribution Platform Bernhard M. Wiedemann Problem Statement Current State of the Art Design.

Software Distribution Platform Bernhard M. Wiedemann Problem Statement Current State of the Art Design.
Die Vorteile von Envel WLAN-BS gegenüber gängige „Betreibermodelle“

Die Vorteile von Envel WLAN-BS gegenüber gängige „Betreibermodelle“
Sicherheit als Geschäftsmodell

Sicherheit als Geschäftsmodell
Systemverwaltung wie es Ihnen gefällt.

Systemverwaltung wie es Ihnen gefällt.
Firewalls.

Firewalls.
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.

1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,

Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,
Kirsten Kropmanns Allgemeine Technologien II 21. April 2009

Kirsten Kropmanns Allgemeine Technologien II 21. April 2009
Von Torsten Burmester Hauke Buder Matthias Kaluza

Von Torsten Burmester Hauke Buder Matthias Kaluza
Concurrent Use.

Concurrent Use.
Pascal Busch, WWI00B – Vergleich CORBA vs. Web Services hinsichtlich der Applikationsintegration Web Services vs CORBA Web Services vs CORBA Ein Vergleich.

Pascal Busch, WWI00B – Vergleich CORBA vs. Web Services hinsichtlich der Applikationsintegration Web Services vs CORBA Web Services vs CORBA Ein Vergleich.
Framework für ein Intrusion Detection System

Framework für ein Intrusion Detection System
Virtualisierung mittels VMware und Datacore SANMelody

Virtualisierung mittels VMware und Datacore SANMelody
Sicherheit in Rechnernetzen- Denial of Service- Attacken

Sicherheit in Rechnernetzen- Denial of Service- Attacken

Ähnliche Präsentationen

Google-Anzeigen