Copyright atsec information security, 2006 The information security provider Wireless Intrusion Detection und Prevention Systeme – Ein Überblick Matthias Hofherr,
Copyright atsec information security, Agenda Methoden Anforderungen Architektur Datenkorrelation Channel Hopping Ortung Wireless Intrusion Prevention Antennen Fazit
Copyright atsec information security, Methoden Die besten Ergebnisse liefern WIDS, die eine Kombination dieser Methoden einsetzen Wireless IDS (WIDS) unterstützen verschiedene Erkennungsmethoden Signaturbasierte Erkennung - Updates für Signaturen nötig, keine Zero-Day Erkennung … Anomalieerkennung - Unpräzise Alarme, z.T. hohe False Positive Raten - Varianten: Statistische Anomalieerkennung Protokollbasierte Anomalieerkennung
Copyright atsec information security, Anforderungen Ein WIDS muss verschiedene Ereignisse erkennen: Wireless Scanner Angriffe auf Netzwerke Hijacking von MAC Adressen Denial-of-Service Angriffe Rogue Access Points / Evil Twins Policy Überwachung
Copyright atsec information security, Architektur Systemaufbau Dezentral/Standalone - Einzelne Einheit, die als Sensor und Auswerteeinheit fungieren Zentral - Zentraler Server zur Auswertung und Konfiguration, verteilte Sensoren Datenauswertung: - Kann auf Sensor (bessere Hardware nötig) oder auf Server (komplette Kopie des Datenstroms nötig) erfolgen Sensornutzung: - Dedizierter Sensor - Integriert in Access Point - Access Point, der bei Bedarf zu dedizierten Sensor mutiert
Copyright atsec information security, Datenkorrelation Zentrale Datenauswertung mit Korrelation WIDS muss offene Netzwerk-Schnittstellen bieten Datenlieferung an SEM/SIM, Abgleich mit - NIDS - Logfiles (OS, Applikationen) - Antivirus-Systemen - Firewalls / Router - AAA Server - … Macht nur Sinn bei zeitsynchronen Systemen
Copyright atsec information security, Channel Hopping Nicht alle verfügbaren Kanäle können gleichzeitig überwacht werden Channel Hopping schaltet Sensor wechselweise auf die verschiedenen Kanäle Jeder Kanal kann nur eine bestimmte Zeit überwacht werden Verhalten bei Angriffserkennung - Schaltet weiter - Bleibt länger auf Kanal - Schaltet zweite Empfangseinheit auf Kanal
Copyright atsec information security, Ortung Angreifer soll nicht nur erkannt, sondern auch geortet werden Manuelle Ortung mit einem tragbarem Gerät und Richtantenne kann sehr zeitaufwändig sein Verschiedene automatisierte Methoden: Nächstgelegener Sensor Triangulation RF Fingerprinting Kann auch zum Tracking von Equipment/Personen eingesetzt werden
Copyright atsec information security, Wireless Intrusion Prevention Das System leitet aktive Gegenmaßnahmen ein, um einen Angriff zu stoppen Verschiedene Methoden Jamming des Kanals Isolierung des Angreifers durch Deauth/Disassoc Blockierung durch Firewall (Shunning) Switch Port deaktivieren Alle Methoden haben Nebeneffekte, die vorher in der Evaluationsphase geprüft werden sollten
Copyright atsec information security, Antennen Die Art und Qualität der Antenne(n) bestimmt die Einsatzmöglichkeit Rundstrahler (gleichmässiger Abdeckungsbereich, geringere Reichweite) Richtstrahler (verbesserte Reichweite, starke Richtwirkung) Sehr starke Richtstrahler sind für ein WIDS meist ungeeignet, da sie nur einen sehr engen Winkel abdecken Antennen sollten an die zu überwachende Umgebung angepasst werden Viele kleine/schwache Antennen ermöglichen bessere Ortung als wenige starke Antennen Für rein passive Systeme ist nur die Empfangsqualität relevant Aktive Systeme können Empfangsbooster zur Verstärkung nutzen Aktive Systeme dürfen in Deutschland maximal 20 dBi Gewinn aufweisen
Copyright atsec information security, Antennen
Copyright atsec information security, Open Source vs Closed Source Im Bereich Wireless IDS existieren mehrere OpenSource Projekte, die genutzt werden können: Kismet ( Snort-wireless ( Hostapd ( Vorteile: Beliebiges Customizing Große Hardware-Auswahl Nachteile: Aufwand für KnowHow Support Nicht alle Features kommerzieller Systeme stehen zur Verfügung (z.B. Ortung)
Copyright atsec information security, Fazit WIDS stellen die einzige Möglichkeit dar, Angriffe auf ein drahtloses Netzwerk zu erkennen Auch wer kein drahtloses Netzwerk einsetzt, benötigt ein WIDS zur Erkennung von Rogue Access Points WIDS sind kostspielig (unabhängig ob Open/Closed Source) in Anschaffung und Unterhalt Ob die Anschaffung eines WIDS gerechtfertigt ist, muss jeder für sich selbst entscheiden. Am besten geschieht das im Rahmen einer Risikoanalyse.
Copyright atsec information security, Fragen ?
Copyright atsec information security, Vortragender atsec information security GmbHTel: +49 (0) Steinstr. 80Fax: +49 (0) D MünchenMobile: +49 (0) Dipl.-Inf. (FH) Matthias Hofherr Senior Security Consultant