<
  • Главная
Статьи

Атаки на системи виявлення бездротових атак

У даній статті описуються результати досліджень систем виявлення бездротових атак з точки зору фахівця в галузі безпеки додатків. Виявлені помилки проектування в статті не обговорюються, оскільки їх усунення вимагає від виробника істотних трудовитрат.

Сергій Гордейчик, gordey @ ptsecurity.com

зміст

Системи виявлення бездротових атак (Wireless Intrusion Detection System, WIDS) поки не настільки популярні, як їх провідні аналоги, але сучасні тенденції дозволяють прогнозувати зростання числа їх впроваджень. Позитивним фактором є інтеграція подібних програм з активним мережевим обладнанням і усвідомлення керівництвом ризиків, пов'язаних з несанкціонованим використанням бездротових пристроїв. Останнє призводить до збільшення числа інсталяцій WIDS навіть в мережах, де бездротові мережі не використовуються. У зв'язку з цим у фахівців в області безпеки виникає необхідність оцінити не тільки якісні характеристики того чи іншого продукту, але і прогнозувати можливий негативний вплив від його впровадження на безпеку корпоративної мережі.

У даній статті описуються результати досліджень систем виявлення бездротових атак з точки зору фахівця в галузі безпеки додатків. Виявлені помилки проектування в статті не обговорюються, оскільки їх усунення вимагає від виробника істотних трудовитрат.

Сучасна система виявлення бездротових атак є досить складне рішення, побудоване на основі двох-або триланкової архітектури, часто використовує Web-технології.

Основу WIDS становлять сенсори, що виконують функцію збору бездротового трафіку в режимі моніторингу, і, можливо, його обробку. Сенсори можуть бути реалізовані на базі ОС лінійки Windows або "спеціалізованих програмно-апаратних комплексів" (в більшості випадків - Linux). Як правило, сенсори являють собою досить інтелектуальні пристрої, що підтримують TCP / IP і володіють розвиненими інтерфейсами управління.

Сенсори взаємодіють з компонентом збору даних (сервером), передають йому інформацію про виявлені атаках або перехоплених пакетах. Сервер обробляє інформацію, що надійшла, виконує функції виявлення атак і кореляції подій безпеки. Як сховище інформації зазвичай використовується стандартна СУБД. Для управління системою і моніторингу подій використовуються консоль управління, виконана у вигляді "товстого" або "тонкого" клієнта.

Таким чином, WIDS являє собою розподілену систему, потенційно вразливу для атак, що лежать не тільки в бездротової площині.

Щоб надати статті тінь наукообразия, можна сформувати "модель зловмисника", тобто визначити основні антропогенні джерела загроз. Для WIDS до таких відносяться зовнішні зловмисники, які взаємодіють з системою через радіоефір, внутрішні зловмисники, які мають доступ до локальної мережі, і оператори, що володіють деякими обмеженими можливостями з управління компонентами системи.

Архітектура типової системи виявлення бездротових атак, і розглядаються в статті вектори атак наведені на малюнку 1.

У даній статті описуються результати досліджень систем виявлення бездротових атак з точки зору фахівця в галузі безпеки додатків

Малюнок 1. Архітектура системи виявлення бездротових атак

Основним механізмів впливу зовнішніх зловмисників на систему виявлення бездротових атак є створення фреймів 802.11, обробка яких призведе до нестандартних ситуацій. Досвід експлуатації дротових систем виявлення атак [1], а також багтрека Ethereal / Wireshark показує, що наявність вразливостей в "Вівісектора" складних протоколів є річчю цілком буденною. Кінцевий автомат канального рівня 802.11 досить непростий для того, щоб вводити в оману розробників. Уразливості в Kismet [2], а також останні публікації [3] про уразливість в драйверах бездротових клієнтів змушують задуматися про ймовірну наявність подібних проблем в сенсорах WIDS. Однак це має слабке відношення до теми статті.

Оскільки дані, отримані з недовірених джерела, зберігаються в базі даних, існує ймовірність їх некоректної обробки, і як наслідок - можливість проведення зловмисником атак типу "впровадження операторів SQL" (SQL Injection). Додавання до строкових полях пакетів, які зберігаються в СУБД, спеціальних символів дозволяє терминировать вихідний SQL запит і додати до нього оператори, контрольовані зловмисником. Практично така атака може бути реалізована шляхом створення помилкових точок доступу або тимчасових мереж з SSID виду:

'; insert into ...

Істотне, але преодолимое обмеження на експлуатацію даного виду уразливості накладає довжина SSID (32 байта).

В даний час подібна уразливість обробляється в рамках політики відповідального розголошення, і можливо, буде опублікована пізніше. Однак ніхто не заважає читачеві за допомогою функції трасування СУБД перевірити реакцію WIDS на команди типу

iwconfig ath0 mode master essid '; -

Ще однією розповсюдженою Web-вразливістю, характерною для систем виявлення бездротових атак, є міжсайтовий виконання сценаріїв (Cross-Site Scripting, XSS). Інформація про виявлену атаці відображається в консолі управління, в якості якої найчастіше використовується Web-браузер. Відповідно, якщо зловмисник вкаже як SSID магічну послідовність символів:

"> <script> alert () </ script>

в браузері оператора або адміністратора відпрацює сценарій, контрольований зловмисником. У цьому випадку 32 байта надають достатній резерв для того, щоб вказати в якості джерела сценарію зовнішній сервер. Результати такої атаки можуть бути найрізноманітнішими - від крадіжки даних для аутентифікації до виконання деяких дій з налаштування WIDS замість оператора. Подібна вразливість була усунута в Web-інтерфейсі сервера Airmagnet Enterprise [4]. Умови збереженого XSS виникали при відображенні SSID в списках контролю доступу Enterprise Server:

https: // <servername> /Amom/Amom.dll/BD

У разі використання "товстого" клієнта ситуація може ускладнюватися. Наприклад, консоль управління AirMagnet для відображення інформації про атаку використовує впроваджений об'єкт Internet Explorer і вставляє в HTML-шаблон SSID точки доступу (або клієнта), порушувала політику безпеки. Якщо браузер працює в зоні безпеки Local Machine, впровадження сценаріїв може привести до серйозних наслідків. Так, наприклад в Windows до XP Service Pack 2 відкриття локального HTML файлу практично аналогічно запуску виконуваної програми. Детальніше про ризики, пов'язані з використанням в додатках об'єкта Internet Explorer, що працює в зоні безпеки My Computer можна дізнатися з [5] і [6]. У багатьох WIDS Web-сервер управління використовує аутентифікацію типу Basic, що підвищує ймовірність успіху атак типу CSRF. Однак дана уразливість настільки поширена, що не варто її навіть згадувати.

Природно, виконання цих атак вимагає, щоб зловмисник мав інформацію про тип використовуваної WIDS, але це питання досить добре висвітлений у публікації [7].

На відміну від зовнішнього зловмисника, внутрішній користувач має набагато більші можливості. Оскільки інтерфейси управління сенсорами і серверами WIDS представляють собою повнофункціональні Web-інтерфейси, зловмисник з високим ступенем ймовірності може виявити в цих додатках весь спектр атак з Web Application Consortium Threads Classification [8].

Як приклади можна привести уразливості [9], в Cisco WLSE і так далі. В інтерфейсі управління сенсорами AirMagnet SmartEdge Sensor також була виявлена ​​уразливість типу XSS, що виникає при перегляді журналів аудиту:

https: ///AirMagnetSensor/AMSensor.dll/XH WebServer Log

Для здійснення атаки в даному випадку використовується ім'я користувача, що вводиться при проходженні аутентифікації. Відбитий варіант XSS присутній в повідомленнях про помилки:

http: // <sensor IP> / xss <script> alert () </ script> https: // <sensor IP> / xss <script> alert () </ script>

Ще одним вектором атак, яким може скористатися внутрішній зловмисник, є мережева взаємодія між компонентами системи, такі як збір даних з сенсорів, збереження подій в СУБД, віддалене управління і перегляд подій.

Природно даний трафік є досить критичним для того, щоб виробники подбали про його захист за допомогою таких надійних механізмів як SSL.

Однак турбота про зручність користувачів змушує виробників використовувати самоподпісанного сертифікати і не задіяти механізм їх перевірки. Наприклад, консоль управління Airmagnet без зайвих питань сприймає практично будь-який сертифікат. Це дозволяє зловмисникові, реалізувати умови "людина посередині" розшифровувати трафік (включаючи паролі користувачів), що передається між консоллю управління і сервером за допомогою загальнодоступних засобів, таких як Cain [11]. Нижче наведено приклад перехопленого і розшифрованого трафіку.

[Client-side-data] GET /AMom/AMom.dll/UA HTTP / 1.1 Accept: * / * AMUser: admin <STATIONID> AMBuild: 4694 User-Agent: AirMagnet Host: <serverip> Connection: Keep-Alive Authorization: Basic YWRtaW46MTExMTEx[Server-side-data] HTTP / 1.1 200 OK Date: Mon, 20 Mar 2006 12:53:12 GMT Server: Apache / 2.0.52 (Win32) mod_ssl / 2.0.52 OpenSSL / 0.9.7a Content-Length : 301 Keep-Alive: timeout = 15 Connection: Keep-Alive Content-Type: text / html [Server-side-data] <html> 3 2 AirMagnetSensor 111111 16777215 1 0 1111111111111111111111111111111111111111111111111111111111111111 1 admin 111111 16777215 1 0 1111111111111111111111111111111111111111111111111111111111111111 3 AirMagnetSensor2 111111 16777215 1 0 0 </ html>

Крім цього, WIDS може працювати з активним мережевим обладнанням, наприклад комутаторами, використовуючи небезпечні мережеві протоколи, такі як SNMPv1, що теж дає певні переваги зловмисникові.

У більшості WIDS рівня підприємства реалізована функція розмежування доступу. Користувачі можуть мати права на виконання тільки певних операцій, наприклад - тільки перегляд подій, або зона їх повноважень може бути обмежена певними групами сенсорів (будівля, поверх).

При наявності вразливостей в інтерфейсі управління дана група користувачів має можливість підвищити свої привілеї в рамках системи виявлення атак або всієї мережі, якщо уразливість досить серйозна.

В процесі тестування Highwall Enterprise Server і Highwall EndPoint 4.0.2.11045 були виявлені множинні уразливості типу Cross-Site Scripting та SQL Injection. Користувач, який має права на зміну об'єктів системи (наприклад, імені сенсора WIDS або робочої станції, на якій встановлений Highwall EndPoint) може впровадити в сторінки сервера оператори Javascript і перехопити дані авторизації більш привілейованого користувача, або виконати від його імені дії з налаштування WIDS.

Функція перегляду інформації про точках доступу і будівлях містить уразливість типу SQL Injection, що дозволяє оператору виконувати на сервері СУБД команди мови SQL. Оскільки в якості сервера виступає Microsoft SQL Server і додаток працює з ним використовуючи високі привілеї, зловмисник має великі можливості з розвитку атаки.

У висновку хотілося б дати деякі тривіальних рекомендації для фахівців, які обирають або розгортають систему виявлення бездротових атак.

  1. Перевірте реакцію системи на нестандартний трафік в бездротової мережі. Кілька прикладів такого трафіку було приведено в статті. Додатково можна скористатися різними Фузер, наприклад [11].
  2. Зверніть увагу на рівень привілеїв, використовуваний WIDS для роботи з СУБД. Якщо при цьому використовується обліковий запис суперкористувача, наслідки атак можуть бути досить серйозними.
  3. При проектуванні мережевої інфраструктури для WIDS враховуйте вимоги до поділу мереж. Виносьте керуючий трафік в окремий сегмент / VLAN.
  4. Вимикатимете протоколи віддаленого управління сенсорами. Використання доісторичного telnet в 2006 році нашої ери може бути виправдано тільки при побудові honeypot.
  5. Проскануйте мережеві інтерфейси сенсорів і серверів WIDS за допомогою сканера вразливостей, що підтримує Web-додатки. Для організації Web-сервера цілком може використовуватися стара версія Apache (або іншої програми), що містить уразливості. Гарантую, що в більшості випадків ви будете неприємно здивовані. Але обов'язково зробіть резервну копію системи. Сканер, не розбираючись в суті питання, може отримати доступ до віддаленого управління, і порядком нашкодив, натискаючи на всі доступні кнопки.
  6. Серйозно ставитеся до налаштування робочої станції, з якої відбувається управління системою. Сам автор використовує наступний підхід, легко реалізовується за допомогою настройки Proxy-сервера:
  • бразуер, що використовується для роботи в корпоративній мережі не має доступу до ресурсів Internet.

  • браузер, що працює з Internet обмежений у використанні корпоративних ресурсів і працює в "пісочниці".

  1. Додатково можна заблокувати виконання сценаріїв в зоні безпеки My Computer [12].

Спробуйте ставитися до системи WIDS як до критичного бізнес-додатком, і виконати сформульовані в політиці безпеки вимоги для даного класу продуктів. Крім позачергового перегляду політики ви отримаєте унікальну можливість побувати на місці фахівців ІТ та користувачів, щодня виконують (?) Вимоги політики.

Сергій Гордейчик працює системним архітектором компанії Positive Technologies ( www.ptsecurity.ru ), Де він спеціалізується в питаннях безпеку додатків, безпеки бездротових і мобільних технологій. Автор також є провідним розробником курсів "Безпека бездротових мереж", "Аналіз і оцінка захищеності Web-додатків" навчального центру «Інформзахист» ( www.itsecurity.ru ).

Опублікував кілька десятків статей в "Windows IT Pro / RE", SecurityLab ( www.securityfocus.ru ) Та інших виданнях. Є учасником Web Application Security Consortium (WASC).

Основний напрямок діяльності компанії - захист комп'ютерних мереж від несанкціонованого доступу. Говорячи простіше, ми допомагаємо нашим клієнтам захиститися від хакерів і інших непрошених віртуальних гостей.

Своє основне завдання ми вирішуємо трьома шляхами:

  • надаємо послуги з аудиту і захисту обчислювальних мереж, серверів, робочих станцій;
  • розвиваємо один з кращих в світі сканерів безпеки XSpider , Який клієнт може використовувати самостійно для пошуку і усунення вразливостей;
  • забезпечуємо інформаційну підтримку професіоналам на сторінках належить нам провідного російського порталу з інформаційної безпеки securitylab.ru .

Будучи спеціалізованою компанією, ми здатні забезпечити найвищий рівень сервісу в своїй області. У той же час, маючи багатий і успішний досвід роботи в сфері інформаційних технологій, ми за бажанням клієнта готові надати і більш комплексні рішення (починаючи від проектування архітектури локальної мережі, поставки обладнання і закінчуючи підтримкою і супроводом усієї мережевої програмно-апаратної інфраструктури).


посилання

  1. Vulnerabilities in Snort 2.4

  2. Kevin Finisterre, «New Kismet Packages available - SayText () and suid kismet_server issues»

  3. Johnny «Cache», David Maynor «Device Drivers: Dont build a house on a shaky foundation

  4. AirMagnet Enterprise

  5. «SPI Dynamics WebInspect Cross Application Script Injection Vulnerability»

  6. SPI Dynamics, «Feed Injection in Web 2.0»

  7. Joshua Wright, «Weaknesses in Wireless LAN Session Containment»

  8. Web Application Security Consortium, Threats Classification

  9. Cisco Security Advisory: Multiple Vulnerabilities in the WLSE Appliance

  10. Cain & Abel

  11. Raw Wireless Tools Homepage

  12. How to strengthen the security settings for the Local Machine zone in Internet Explorer



Новости
  • Виртуальный хостинг

    Виртуальный хостинг. Возможности сервера распределяются в равной мере между всеми... 
    Читать полностью

  • Редизайн сайта

    Редизайн сайта – это полное либо частичное обновление дизайна существующего сайта.... 
    Читать полностью

  • Консалтинг, услуги контент-менеджера

    Сопровождение любых интернет ресурсов;- Знание HTML и CSS- Поиск и обновление контента;-... 
    Читать полностью

  • Трафик из соцсетей

    Сравнительно дешевый способ по сравнению с поисковым и контекстным видами раскрутки... 
    Читать полностью

  • Поисковая оптимизация

    Поисковая оптимизация (англ. search engine optimization, SEO) — поднятие позиций сайта в результатах... 
    Читать полностью