Perchè l'IDS di livello 2 sembra sottosviluppato rispetto all'ID di livello 3, per la rete wireless?

3

Capisco che ci siano molte applicazioni come Snort che svolgono il lavoro per IDS di rete 3

Da quanto ho studiato, l'ID wireless di livello 2 sembra un campo molto lento nello sviluppo? Snort-wireless e Openwids-ng sembrano progetti morti.

Il software opensource più aggiornato e stabile per WIDS che riesco a vedere è Kismet. Ma mi sembra ancora che non sia buono come dovrebbe essere.

Domande: (supponendo che le mie affermazioni precedenti siano vere)

  1. Quali sono le cause che rendono lo sviluppo degli ID wireless in generale in uno sviluppo lento? È un fattore tecnologico?

  2. Quali sono i possibili attacchi che gli ID wireless di questi giorni possono rilevare e prevenire?

  3. Se mi piacerebbe sviluppare un progetto di hobby su un IDS, è ancora possibile contribuire allo sviluppo di IDS wireless layer 2? Quanto sarà difficile?

  4. Ci sono altri IDs wireless decenti nelle community di mercato / opensource?

Grazie.

    
posta nixor01 16.03.2013 - 13:03
fonte

2 risposte

4

Risponderò a questo come meglio posso, dal momento che alcuni di essi sono soggettivi o soggetti a modifiche.

Come accennato in un commento, la barriera per entrare in termini di sviluppo è più alta per il livello 2 che non per il livello 3, ei cavi sono più facili da interfacciare rispetto alle onde radio. La maggior parte della tecnologia wireless coinvolge il firmware su un dispositivo hardware al fine di convertire i segnali RF in pacchetti di dati che possono essere interpretati dai driver del software. Per gestire l'intero spettro degli attacchi wifi, devi essere in grado di gestire l'intero spettro delle comunicazioni.

Questo significa che probabilmente hai bisogno di:

  • Qualche esperienza con i protocolli 802.11, incluso il lato crittografico delle cose.
  • Un dongle wifi che supporta la modalità promiscua completa.
  • Un AP WiFi con un framework aperto come DD-WRT.
  • Un modo per accedere ai frame wireless non elaborati (non solo ai frame Ethernet) sul sistema. Ciò significa che probabilmente avrai bisogno di un qualche tipo di driver wifi specializzato.
  • Un modo per testare il tuo codice con segnali corrotti e altri trucchi sul livello RF, il che probabilmente significa che hai bisogno di un SDR in grado di gestire 2,4 GHz.

In generale, in questo momento gli attacchi principali che i sistemi IDS / IPS wifi stanno esaminando si basano sul rilevamento e la prevenzione del crack delle password sull'AP, ma anche sul rilevamento di vari attacchi Deauth. Il problema più grande, tuttavia, è che gli attacchi wifi più interessanti sono rivolti ai client piuttosto che all'AP. Ciò significa che la costruzione di un IPS è quasi impossibile, dal momento che non puoi essere in linea con le onde radio; il meglio che puoi fare è rilevare che sta accadendo un attacco.

    
risposta data 17.03.2013 - 16:47
fonte
1

Interessante discussione sull'infrastruttura wireless. Il modo migliore (e anche una delle domande che hai postato) è come i venditori come cisco e altri stanno facendo per fornire funzionalità che risolvono alcuni dei problemi che hai elencato con la tecnologia wireless. Spero che conoscendo e comprendendo i fornitori BIG prescrittivi si possa forse rivedere le attuali ipotesi sugli attacchi e sui problemi reali affrontati nei confronti di WIDS. Segue la mia analisi: -

BACKGROUND & LIMITAZIONI

(citazioni tratte da un white paper Cisco )

  1. Current IDS/IPS systems cannot detect access points running with proprietary extensions such as Super G (from Atheros). These readily available devices go undetected. Additionally, it’s possible for a hacker to take standard Wi-Fi equipment (for example, running Linux) and modify it to operate on nonstandard channels or with other nonstandard modulation schemes. These extended or modified devices can be detected only if you analyze the RF physical layer. As Beyond Wi-Fi devices, many other types of non-Wi-Fi equipment - including Bluetooth access points, access points running older standards such as 802.11FH, and proprietary wireless bridges - can also be used to open up holes in the network
  2. They do not detect RF layer DoS attacks that can be implemented through jammer devices or Wi-Fi devices that have been set in a diagnostic jamming mode.
  3. At a fundamental level, a standard Wi-Fi chipset has limited ability to implement Spectrum Intelligence. The reason is that Wi-Fi chipsets are specifically designed to receive Wi-Fi signals only - they do not recognize other types of signals. Standard chipsets are not even designed to pass up enough information for SI to occur at higher levels of software. And there is no ability for software to access the actual data received from the burst for further analysis

SOLUTION

Cisco has created an integrated solution with patented chips and software that has been specifically designed to analyze and classify all RF activity. Cisco Spectrum Analysis Engine (SAgE) hardware core, which has been integrated directly into Wi-Fi chipset.

TECNOLOGIA OFFERTA

Spectrum intelligence (SI) is data about RF spectrum activity derived from advanced interference identification algorithms similar to those used in the military.For every device operating in the unlicensed band, SI reveals : What is it? Where is it? How is it impacting the Wi-Fi network? Cisco has taken the bold step of integrating SI directly into the chipset of new access points.

Utilizzando clean-pipe & MSE (motore di sicurezza della mobilità) accoppiato fornisce la posizione fisica delle interferenze wireless, software sensibile al contesto, dispositivo rogue, dispositivi wire.

I servizi di sicurezza offre i seguenti vantaggi: -

  1. Posizione, correlazione, cronologia / con contesto forense basato per     intelligenza spettrale pulita
  2. Software sensibile al contesto per l'individuazione dei dispositivi wireless.
  3. Adaptive ips Gamma completa di attacchi e minacce 802.11 contro i punti di accesso e i client della rete, riconoscimento della rete, intercettazioni telefoniche, autenticazione e cracking della crittografia, MITM, Wireless dos, attacchi del giorno 0.

ESEMPIO di AIPS

Network Reconnaissance and Profiling Detection Analyzes traffic behavior and performs pattern matching to detect tools and techniques such as Netstumbler, Wellenreiter, Kismet, honeypot access points, and other methods, providing an early alert that a hacker is looking for avenues of attack

Authentication and Encryption Cracking Detection Analyzes traffic behavior and performs pattern matching to detect tools and techniques such as AirSnarf, AirCrack, ASLEAP, Chop-Chop, and other methods, providing an alert of potential or attempted data theft

    
risposta data 18.03.2013 - 08:49
fonte

Leggi altre domande sui tag