Реклама

Network World, США

Дартмутский колледж и компании Aruba Networks разрабатывают набор алгоритмов и программную архитектуру, которые позволят реагировать на атаки из Internet.

Защитить корпоративные WLAN от изощренных атак — такова цель исследовательского проекта MAP агентства Defense Advanced Research Projects Agency (DARPA), пилотная реализация которого завершается в Дартмутском колледже. Инженеры из Дартмута и компании Aruba Networks разрабатывают набор алгоритмов и программную архитектуру, которые позволяют использовать данные от радиочастотных сенсоров для измерения и анализа трафика. Эти данные послужат для отражения атак из Сети, базирующихся на имитации соединения и маскировке.

Коммерческие системы обнаружения вторжений (Intrusion Detection System, IDS) для беспроводных сетей выпускают AirDefense, AirTight Networks, Network Chemistry и сама Aruba, но проект MAP преследует более амбициозные цели. Во-первых, создаваемая IDS должна стать значительно «разборчивее» при определении того, что и каким образом измерять в трафике беспроводных соединений и как его анализировать. Во-вторых, IDS должна обрабатывать не только трафик, поступающий от тысяч точек доступа и клиентов, но и измерения, получаемые от ее собственных радиочастотных датчиков («снифферов»).

Разумнее, то есть лучше

Совершенствование программных средств необходимо, поскольку атаки становятся все интеллектуальнее и изощреннее. «Современные IDS не замечают определенные блоки данных. К тому же хакеры порой используют радиочастотные помехи, и обнаружение атак усложняется или становится невозможным, — пояснил Джош Райт, старший научный сотрудник по вопросам защиты Aruba. — Хакеры задействуют методы маскировки, адекватно реагировать на которые современные IDS не способны».

Фактор масштабируемости имеет для новой IDS особое значение, поскольку ее радиочастотные датчики будут в режиме реального времени отслеживать и объединять большое количество данных о состоянии радиоэфира. Кстати, используемые в пилотном проекте сенсоры Aruba, по существу, представляют собой точки доступа стандарта 802.11a/b/g, принимающие только радиосигналы. По словам Дэвида Коца, профессора Дартмутского колледжа и одного из ведущих специалистов проекта MAP, программное обеспечение MAP анализирует трафик на всех каналах и объединяет информацию для получения точной картины происходящего в эфире, а затем сканирует трафик в поисках признаков атаки.

Множество датчиков

Участники проекта MAP решили устанавливать как можно больше датчиков, чтобы обеспечить эффективную защиту всей инфраструктуры WLAN, в том числе точек доступа, авторизованных и атакуемых клиентских устройств. «Все три вида оборудования задействованы в атаке, — подчеркнул Коц. — Хакер может имитировать точку доступа и требовать от авторизованного клиента отсоединиться от легитимной точки. Поэтому защитной системе может потребоваться больше одного датчика для сбора необходимых данных с устройств всех трех типов, которые порой находятся на значительном расстоянии друг от друга. Мы пытаемся получить «мгновенный снимок сети с высоким разрешением», используя информацию от множества датчиков и объединяя эти данные».

Статистика высокого уровня

Некоторые коммерческие системы IDS проверяют каждый отдельный фрейм транслируемых данных на соответствие сигнатурам известных атак. В отличие от них, MAP анализирует статистику более высокого уровня. «Мы можем анализировать статистические данные о контролируемом трафике и соотносить их с информацией о трафике при разных видах атак, — сказал Хендерсон. — В результате удается выявлять шаблоны, свидетельствующие о вредоносной деятельности. Это позволяет обнаруживать атаки с большей уверенностью, чем при использовании методов, предусматривающих анализ каждого кадра».

Кроме того, система MAP будет проводить активный мониторинг каналов 802.11. «Большинство других продуктов конфигурируют свои датчики так, что в каждый момент они могут прослушивать лишь один канал или последовательно просматривать все каналы, тратя на это значительное время», — отметил Коц. MAP работает более интеллектуально: циклически контролирует все каналы, но больше времени тратит на самые загруженные. При этом датчики можно быстро перенастроить на канал, деятельность в котором вызывает подозрение.

Система MAP должна оказаться очень эффективной при противодействии атакам, нацеленным на отказ в обслуживании, а также новому виду атак RoQ (Reduction of Quality — «снижение качества»). Атаки RoQ приводят к снижению качества соединения, уменьшению доступной полосы пропускания, разрыву соединения для других и обеспечению хакеру лучшего обслуживания. Звонок по беспроводному каналу IP-телефонии может и не прерваться, но количество теряемых пакетов будет настолько большим, что соединение станет практически бесполезным.

Противостояние методам маскировки

Более совершенные средства необходимы и для того, чтобы противостоять хакерским методам маскировки. Например, в некоторых ситуациях точка доступа сообщает клиентам об отказе в аутентификации, и такой трафик обычен в беспроводной сети. Проблема, по словам Райта, заключается в том, что хакер может опираться на трафик отказов от аутентификации для проведения DoS-атаки или ее маскировки. Совсем недавно злоумышленники стали задействовать такой способ для использования программных ошибок в коде драйверов Сети.

Участники проекта MAP работают над тем, чтобы повысить точность выявления атак. Это позволит уменьшить количество ложных тревог и ошибочных отказов в доступе к локальной беспроводной сети.