MAP na hakerów

Inteligentne narzędzia do statystycznej analizy ruchu w sieciach Wi-Fi mają podnieść ich bezpieczeństwo na zupełnie inny, wyższy poziom.

Inteligentne narzędzia do statystycznej analizy ruchu w sieciach Wi-Fi mają podnieść ich bezpieczeństwo na zupełnie inny, wyższy poziom.

Systemy Wi-Fi znalazły już stałe miejsce i masowe zastosowania do tworzenia połączeń sieciowych w instalacjach domowych lub publicznych miejscach udostępniania Internetu (hot spoty), a także jako integralny element uzupełniający korporacyjne sieci LAN. Bezpieczeństwo transmisji radiowej wciąż jednak budzi wiele wątpliwości i zastrzeżeń, mających realne podstawy. Mimo że najnowsze wersje standardów Wi-Fi były modyfikowane głównie pod kątem wprowadzenia mechanizmów zabezpieczeń spełniających wymagania korporacyjne, jednak podobnie jak w wypadku standardowych sieci kablowych walka z zagrożeniami wydaje się nie mieć końca i żaden, nawet najlepszy standard nie jest w stanie zapewnić bezpieczeństwa na dłuższą metę.

Stąd też wciąż pojawiają się inicjatywy budowy systemów zabezpieczeń, które nie są skoncentrowane na konkretnych lukach lub technikach ataku, a raczej na inteligentnej analizie ruchu pakietów w sieci i wykrywaniu anomalii, które mogą świadczyć o zagrożeniach. Tego typu rozwiązania znane i rozwijane od dawna w wypadku sieci kablowych zaczynają być przystosowywane również do analizy sieci Wi-Fi. Nie jest to proste zadanie, bo sieci bezprzewodowe wykorzystują odmienne technologie i dlatego otwierają inne luki pozwalające na ich atakowanie. Nie ulega też wątpliwości, że nie technika jest najsłabszym elementem systemów, a świadomość i umiejętność zachowania się użytkowników, którzy muszą wiedzieć, jakie są potencjalne zagrożenia i jak należy ich unikać.

Być może dobrym rozwiązaniem dla tych wszystkich problemów będzie "inteligentny" i automatycznie dopasowujący się do zmiennych zagrożeń system MAP, którego opracowywanie jest finansowane m.in. przez rząd Stanów Zjednoczonych. Na razie projekt ten jest jeszcze w fazie badań, ale prototypowe instalacje tego systemu już działają i są praktycznie weryfikowane.

Inteligentne zabezpieczenie

Organizacja DARPA (Defense Advanced Research Projects Agency), na zlecenie amerykańskich agencji rządowych i przy wsparciu firmy Aruba Networks, opracowuje nowe architektury sieci bezprzewodowych oraz zestawy algorytmów i mechanizmów programowych, które mają na celu zabezpieczenie korporacyjnych sieci Wi-Fi przed coraz bardziej zaawansowanymi technikami wykorzystywanymi przez hakerów. Prace te są prowadzone w ramach tzw. projektu MAP, którego nazwa pochodzi od angielskich słów Measure, Analyze, Protect (zmierz, zanalizuj, zabezpiecz), a ich celem jest przygotowanie sensorów umożliwiających efektywne pomiary sygnałów w pasmach radiowych, ich analizę i bieżące, w czasie rzeczywistym reagowanie na próby włamań lub zakłócenia pracy sieci.

Już obecnie na rynku są dostępne firmowe systemy IDS/IPS przeznaczone do zapobiegania włamaniom do sieci bezprzewodowych, takie jak oferowane przez AirDefense, AirTight Networks, Network Chemistry lub Aruba Networks. Założeniem projektu MAP jest przygotowanie mechanizmów, które umożliwią detekcję ruchu pakietów w sieciach składających się nawet z tysięcy stacji i urządzeń klienckich Wi-Fi i bieżącą analizę ogromnej, uzyskiwanej przez sensory liczby danych, która ma być tak efektywna i "inteligentna", by umożliwiać szybką reakcję na pojawiające się zagrożenia. Bardziej niż dotąd inteligentne oprogramowanie jest niezbędne dla przeciwdziałania coraz bardziej wyrafinowanym metodom i technikom wykorzystywanym przez włamywaczy, którzy również uczą się wyszukiwać słabe punkty w systemie Wi-Fi. A klasyczne systemy IDS mogą nie zauważać np. niektórych ramek lub nie reagować na zakłócenia częstotliwości nośnych wywoływane przez hakera.

Praktyczne testy oprogramowania MAP są już przeprowadzane. System wykorzystuje dużą liczbę sond - w praktyce są to zwykłe stacje dostępowe, które zajmują się jedynie nasłuchem transmisji radiowych i sygnałów generowanych zarówno przez stacje sieciowe Wi-Fi, jak i wszelkiego typu urządzenia klienckie. Zbierane w ten sposób dane są analizowane, co umożliwia wykrycie różnych anomalii, np. połączeń inicjowanych przez fałszywe stacje dostępowe, wywoływane przez nie przerwy w transmisji, zakłócenia sesji itd.

Analiza statystyczna sygnałów

Większość komercyjnych rozwiązań tego typu wymaga rejestracji i analizy większości przesyłanych w sieci Wi-Fi pakietów, bo porównują one przesyłane informacje z sygnaturami znanych ataków. Natomiast MAP wykazuje znacznie większą elastyczność - algorytm analizy został zbudowany przy założeniu, że niektóre informacje mogą być tracone ze względu na kolizje pakietów, odbicia sygnałów, źle ustawione anteny lub inne zakłócenia (np. specjalnie wywoływane przez hakera). Oprogramowanie wykorzystuje analizę statystyczną porównującą typowe parametry transmisji i stosunek liczby przesyłanych pakietów z danymi kontrolnymi. W wypadku gdy okazuje się, że wyniki analizy wskazują na statystykę charakterystyczną dla jakiegoś typu ataku, automatycznie uruchamiane są kolejne funkcje systemu.

Większość klasycznych sond monitoruje tylko jeden kanał transmisji lub rotacyjnie zmienia nasłuch na kolejne kanały. MAP wykorzystuje technikę cyklicznej kontroli każdego z kanałów, ale jednocześnie dopasowuje czas trwania nasłuchu do intensywności ruchu pakietów w poszczególnych kanałach. Oprócz tego jeśli analiza statystyczna wykaże podejrzenie ataku, to okoliczne stacje koncentrują nasłuch na podejrzanym elemencie sieci i intensywnie zbierają informacje o jego aktywności, by dostarczyć danych do definitywnego stwierdzenia, czy jest to rzeczywiście atak hakera, czy tylko nietypowa aktywność uprawnionego urządzenia klienckiego.

MAP umożliwia efektywne zapobieganie atakom typu DoS, a także nowego typu RoQ (Reduction of Quality). Te ostatnie polegają na tym, że haker nie dąży do całkowitego zablokowania transmisji, jak w wypadku DoS, ale zmniejsza dostępne pasmo, tak że inne sesje połączeniowe nie zostają przerwane, ale znacznie spowolnione. Tego typu atak jest obecnie bardzo trudny do wykrycia.

Innym przykładem jest technika deautentykacji (przerwania sesji), która może być wykorzystywana do maskowania ataków DoS, wyłudzania haseł i uzyskiwania dostępu do oszukanych przez fałszywą stację dostępową komputerów klienckich, które chcą wznowić sesję połączeniową. Wykrywanie tego typu jest trudne, bo mechanizmy deautentykacji są wykorzystywane w sieciach Wi-Fi i samo ich pojawienie się nie oznacza wykrycia ataku.

Jeśli projekt MAP zakończy się sukcesem, opracowane w jego ramach algorytmy i techniki mogą się stać podstawą do budowy dynamicznych systemów bezpieczeństwa dla sieci WLAN nowej generacji, które będą mogły nie tylko skutecznie odpierać ataki wykorzystujące znane narzędzia, ale również blokować nowe zagrożenia i automatycznie dopasowywać się do modyfikacji i zmian technik stosowanych przez hakerów.

Firmowa integracja Cisco

Firma Cisco Systems opracowała zestaw narzędzi Cisco Secure Wireless Solution, które umożliwiają rozszerzenie mechanizmów zabezpieczeń dostępu do sieci (Cisco NAC) również na klienckie urządzenia bezprzewodowe, a w efekcie utworzenie jednolitego systemu bezpieczeństwa obejmującego sieci LAN kablowe i Wi-Fi. Funkcjonalność ta jest dostępna oczywiście dla użytkowników wykorzystujących oprogramowanie Cisco i jej urządzenia, takie jak NAC Appliance.

Już wcześniej urządzenia bezprzewodowe mogłyby być integrowane z systemem Cisco NAC, ale wymagało to indywidualnego ich uwierzytelniania — obecnie mechanizm ten jest przezroczysty dla użytkowników i działa podobnie jak w wypadku połączeń kablowych. Oprócz NAC, Cisco Secure Wireless Solution współpracuje z takimi firmowymi elementami architektury zabezpieczeń, jak zapora Cisco ASA, CSA (Cisco Security Agent), Cisco IPS (Intrusion Prevention System), Cisco Secure ACS (Access Control Server) oraz Cisco Secure Services Client. Cisco Secure Wireless Solution zawiera m.in. narzędzia umożliwiające automatyczne wyłączanie połączenia Wi-Fi, gdy komputer zostanie podłączony do portu kablowego oraz mechanizmy pozwalające na blokowanie połączeń Wi-Fi z urządzeniami uznanymi za stwarzające zagrożenie dla sieci przez routery, przełączniki lub urządzenia appliance firmy Cisco wyposażone w kontrolery WLAN.

Zdaniem analityków tego typu rozwiązanie nie zapewnia istotnie większego bezpieczeństwa w porównaniu z innymi, tańszymi i bardziej skalowalnymi systemami dostępnymi na rynku, ale dla użytkowników sprzętu i oprogramowania Cisco jego zaletą jest możliwość zarządzania jednolitą bazą z danymi o użytkownikach sieci.


TOP 200