1 / 15

Wireless Intrusion Detection und Prevention Systeme – Ein Überblick

The information security provider. Wireless Intrusion Detection und Prevention Systeme – Ein Überblick Matthias Hofherr, matthias@atsec.com. Agenda. Methoden Anforderungen Architektur Datenkorrelation Channel Hopping Ortung Wireless Intrusion Prevention Antennen Fazit. Methoden.

noel-deleon
Download Presentation

Wireless Intrusion Detection und Prevention Systeme – Ein Überblick

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. The information security provider Wireless Intrusion Detection und Prevention Systeme – Ein Überblick Matthias Hofherr, matthias@atsec.com

  2. Agenda • Methoden • Anforderungen • Architektur • Datenkorrelation • Channel Hopping • Ortung • Wireless Intrusion Prevention • Antennen • Fazit

  3. Methoden • Wireless IDS (WIDS) unterstützen verschiedene Erkennungsmethoden • Signaturbasierte Erkennung • Updates für Signaturen nötig, keine Zero-Day Erkennung … • Anomalieerkennung • Unpräzise Alarme, z.T. hohe False Positive Raten • Varianten: • Statistische Anomalieerkennung • Protokollbasierte Anomalieerkennung Die besten Ergebnisse liefern WIDS, die eine Kombination dieser Methoden einsetzen

  4. Anforderungen • Ein WIDS muss verschiedene Ereignisse erkennen: • Wireless Scanner • Angriffe auf 802.11 Netzwerke • Hijacking von MAC Adressen • Denial-of-Service Angriffe • Rogue Access Points / Evil Twins • Policy Überwachung

  5. Architektur • Systemaufbau • Dezentral/Standalone • Einzelne Einheit, die als Sensor und Auswerteeinheit fungieren • Zentral • Zentraler Server zur Auswertung und Konfiguration, verteilte Sensoren • Datenauswertung: • Kann auf Sensor (bessere Hardware nötig) oder auf Server (komplette Kopie des Datenstroms nötig) erfolgen • Sensornutzung: • Dedizierter Sensor • Integriert in Access Point • Access Point, der bei Bedarf zu dedizierten Sensor mutiert

  6. Datenkorrelation • Zentrale Datenauswertung mit Korrelation • WIDS muss offene Netzwerk-Schnittstellen bieten • Datenlieferung an SEM/SIM, Abgleich mit • NIDS • Logfiles (OS, Applikationen) • Antivirus-Systemen • Firewalls / Router • AAA Server • … • Macht nur Sinn bei zeitsynchronen Systemen

  7. Channel Hopping • Nicht alle verfügbaren Kanäle können gleichzeitig überwacht werden • Channel Hopping schaltet Sensor wechselweise auf die verschiedenen Kanäle • Jeder Kanal kann nur eine bestimmte Zeit überwacht werden • Verhalten bei Angriffserkennung • Schaltet weiter • Bleibt länger auf Kanal • Schaltet zweite Empfangseinheit auf Kanal

  8. Ortung • Angreifer soll nicht nur erkannt, sondern auch geortet werden • Manuelle Ortung mit einem tragbarem Gerät und Richtantenne kann sehr zeitaufwändig sein • Verschiedene automatisierte Methoden: • Nächstgelegener Sensor • Triangulation • RF Fingerprinting • Kann auch zum Tracking von Equipment/Personen eingesetzt werden

  9. Wireless Intrusion Prevention • Das System leitet aktive Gegenmaßnahmen ein, um einen Angriff zu stoppen • Verschiedene Methoden • Jamming des Kanals • Isolierung des Angreifers durch Deauth/Disassoc • Blockierung durch Firewall (Shunning) • Switch Port deaktivieren • Alle Methoden haben Nebeneffekte, die vorher in der Evaluationsphase geprüft werden sollten

  10. Antennen • Die Art und Qualität der Antenne(n) bestimmt die Einsatzmöglichkeit • Rundstrahler (gleichmässiger Abdeckungsbereich, geringere Reichweite) • Richtstrahler (verbesserte Reichweite, starke Richtwirkung) • Sehr starke Richtstrahler sind für ein WIDS meist ungeeignet, da sie nur einen sehr engen Winkel abdecken • Antennen sollten an die zu überwachende Umgebung angepasst werden • Viele kleine/schwache Antennen ermöglichen bessere Ortung als wenige starke Antennen • Für rein passive Systeme ist nur die Empfangsqualität relevant • Aktive Systeme können Empfangsbooster zur Verstärkung nutzen • Aktive Systeme dürfen in Deutschland maximal 20 dBi Gewinn aufweisen

  11. Antennen

  12. Open Source vs Closed Source • Im Bereich Wireless IDS existieren mehrere OpenSource Projekte, die genutzt werden können: • Kismet (http://www.kismetwireless.net/) • Snort-wireless (http://snort-wireless.org/) • Hostapd (http://www.openbsd.org) • Vorteile: • Beliebiges Customizing • Große Hardware-Auswahl • Nachteile: • Aufwand für KnowHow • Support • Nicht alle Features kommerzieller Systeme stehen zur Verfügung (z.B. Ortung)

  13. Fazit • WIDS stellen die einzige Möglichkeit dar, Angriffe auf ein drahtloses Netzwerk zu erkennen • Auch wer kein drahtloses Netzwerk einsetzt, benötigt ein WIDS zur Erkennung von Rogue Access Points • WIDS sind kostspielig (unabhängig ob Open/Closed Source) in Anschaffung und Unterhalt Ob die Anschaffung eines WIDS gerechtfertigt ist, muss jeder für sich selbst entscheiden. Am besten geschieht das im Rahmen einer Risikoanalyse.

  14. Fragen ?

  15. Vortragender Dipl.-Inf. (FH)Matthias Hofherr Senior Security Consultant atsec information security GmbH Tel: +49 (0) 89 442 498 30 Steinstr. 80 Fax: +49 (0) 89 442 498 31 D - 81667 München Mobile: +49 (0) 172 86 72 518 www.atsec.com e-mail: matthias@atsec.com

More Related