¿Por qué los IDS de capa 2 parecen poco desarrollados en comparación con los IDS de capa 3, para la red inalámbrica?

Navega tus respuestas
3

Entiendo que hay muchas aplicaciones como Snort que hacen el trabajo para los IDS de capa 3 de red.

Por lo que he investigado, el IDS inalámbrico de capa 2 parece ser un campo que se desarrolla muy lentamente. Snort-wireless y Openwids-ng parecen proyectos muertos.

El software de código abierto más actualizado y estable para WIDS que puedo ver es Kismet. Pero sigo sintiendo que no es tan bueno como debería ser.

Preguntas: (Suponiendo que mis afirmaciones anteriores son ciertas)

  1. ¿Cuáles son las causas que hacen que los IDS inalámbricos estén en desarrollo lento en general? ¿Es un factor tecnológico?

  2. ¿Cuáles son los posibles ataques que los IDS inalámbricos en estos días pueden detectar y prevenir?

  3. Si me gustaría desarrollar un proyecto de hobby en un IDS, ¿es posible seguir contribuyendo al desarrollo de IDS inalámbrico de capa 2? ¿Qué tan difícil va a ser esto?

  4. ¿Hay otros IDS inalámbricos decentes en las comunidades de mercado / de código abierto?

Gracias.

    
pregunta nixor01 16.03.2013 - 13:03
fuente

2 respuestas

4

Responderé a esta pregunta lo mejor que pueda, ya que parte de ella es subjetiva o está sujeta a cambios.

Como mencioné en un comentario, la barrera de entrada en términos de desarrollo es mayor para la capa 2 que para la capa 3, y los cables son más fáciles de conectar que las ondas de radio. La mayoría de la tecnología inalámbrica involucra firmware en un dispositivo de hardware para traducir las señales de RF en paquetes de datos que pueden ser interpretados por los controladores de software. Para poder administrar todo el espectro de ataques wifi, debe poder manejar todo el espectro de comunicaciones.

Esto significa que probablemente necesites:

  • Alguna experiencia con los protocolos 802.11, incluido el lado criptográfico de las cosas.
  • Un dongle wifi que admite el modo promiscuo completo.
  • Un punto de acceso wifi que ejecuta un marco abierto como DD-WRT.
  • Una forma de acceder a los marcos inalámbricos sin procesar (no solo a los marcos Ethernet) en el sistema. Esto significa que probablemente necesitará algún tipo de controlador wifi especializado.
  • Una forma de probar su código con señales corruptas y otros trucos en la capa de RF, lo que probablemente significa que necesita un SDR que pueda manejar 2.4GHz.

En general, en este momento, los ataques principales que los sistemas wifi IDS / IPS están considerando se basan en la detección y prevención de descifrado de contraseñas en el AP, pero también en la detección de varios ataques graves. El mayor problema, sin embargo, es que los ataques wifi más interesantes están dirigidos a los clientes en lugar de al AP. Esto significa que la creación de un IPS es casi imposible, ya que no puede conectarse con las ondas de radio; lo mejor que puedes hacer es detectar que se está produciendo un ataque.

    
respondido por el Polynomial 17.03.2013 - 16:47
fuente
1

Discusión interesante sobre la infraestructura inalámbrica. La mejor manera (y también una de las preguntas que publicó) es cómo lo hacen los proveedores como cisco y otros para proporcionar funciones que aborden algunos de los problemas que enumeró con la tecnología inalámbrica. Espero que al conocer y comprender los prescriptores de los GRANDES proveedores, quizás pueda revisar sus suposiciones actuales sobre los ataques y problemas reales que se enfrentan con respecto a WIDS. El siguiente es mi análisis: -

ANTECEDENTES & LIMITACIONES

(citas extraídas de a whitepaper de Cisco )

  
  1. Los sistemas actuales de IDS / IPS no pueden detectar puntos de acceso   corriendo con extensiones propietarias como Super   G (de Atheros). Estos dispositivos fácilmente disponibles pasan desapercibidos. Además, es posible que un pirata informático tome equipos Wi-Fi estándar (por ejemplo, ejecutando Linux) y lo modifique para que funcione en canales no estándar o con otros esquemas de modulación no estándar. Estos dispositivos extendidos o modificados pueden detectarse solo si analiza   La capa física de RF. Como los dispositivos Beyond Wi-Fi, muchos otros tipos de equipos que no son Wi-Fi, incluidos los puntos de acceso Bluetooth, los puntos de acceso que ejecutan estándares más antiguos, como   802.11FH, y puentes inalámbricos patentados, también se pueden usar para abrir agujeros en la red
    2.   
  2. No detectan ataques DoS de capa de RF que se pueden implementar a través de dispositivos de interferencia o dispositivos Wi-Fi que se han configurado en un modo de bloqueo de diagnóstico.
    3.   
  3. A un nivel fundamental, un conjunto de chips Wi-Fi estándar tiene una capacidad limitada para implementar Spectrum Intelligence. La razón es que los conjuntos de chips de Wi-Fi están diseñados específicamente para recibir señales de Wi-Fi solamente, no reconocen otros tipos de señales. Los conjuntos de chips estándar ni siquiera están diseñados para pasar suficiente información para que SI se produzca en niveles más altos de software. Y no hay capacidad para que el software acceda a los datos reales recibidos de la ráfaga para su posterior análisis
    4.   

SOLUTION

  

Cisco ha creado una solución integrada con chips y software patentados que han sido diseñados específicamente para analizar y clasificar toda la actividad de RF. Núcleo de hardware de Cisco Spectrum Analysis Engine (SAgE) , que se ha integrado directamente en el conjunto de chips Wi-Fi.

TECNOLOGÍA OFRECIDA

  

La inteligencia del espectro (SI) es información sobre la actividad del espectro de RF derivada de algoritmos avanzados de identificación de interferencias similares a los utilizados en el ejército. Para cada dispositivo que opera en la banda sin licencia, SI revela: ¿Qué es? ¿Dónde está? ¿Cómo está afectando a la red Wi-Fi? Cisco ha dado el paso audaz de integrar SI directamente en el conjunto de chips de los nuevos puntos de acceso.

Uso de clean-pipe & MSE (motor de seguridad de movilidad) acoplado proporciona la ubicación física de las interferencias inalámbricas, software sensible al contexto, dispositivo malicioso, dispositivos de cable.

Los servicios de seguridad le proporcionan las siguientes ventajas: -

  1. Ubicación, correlación, historial / con contexto forense basado en     inteligencia de espectro limpio
  2. Software sensible al contexto para ubicar dispositivos inalámbricos.
  3. ips adaptativos Rango completo de ataques y amenazas 802.11 contra puntos de acceso y clientes no autorizados de la red, reconocimiento de la red, escuchas ilegales, autenticación y encriptación de encriptación, MITM, dispositivos inalámbricos, ataques del día 0.

EJEMPLO DE AIPS

  

Reconocimiento de redes y detección de perfiles   Analiza el comportamiento del tráfico y realiza la comparación de patrones para detectar herramientas y técnicas como Netstumbler, Wellenreiter, Kismet, puntos de acceso de honeypot y otros métodos, lo que proporciona una alerta temprana de que un pirata informático está buscando vías de ataque

     

Autentificación y cifrado   Detección de craqueo Analiza el comportamiento del tráfico y realiza la comparación de patrones   para detectar herramientas y técnicas como AirSnarf, AirCrack, ASLEAP, Chop-Chop y otros métodos, proporcionando una alerta de posible o intento de robo de datos

    
respondido por el Saladin 18.03.2013 - 08:49
fuente

Lea otras preguntas en las etiquetas

El correo electrónico de Yahoo sigue siendo engañado ¿Son los certificados de firma intermedios la única forma segura y práctica de administrar los certificados de cliente OpenVPN?