Network World, США

Инженеры из Дартмута и компании Aruba Networks разрабатывают набор алгоритмов и программную архитектуру, которая позволит реагировать на атаки из глобальной сети

Защита корпоративных беспроводных локальных сетей от атак, становящихся все изощреннее, — такова цель исследовательского проекта MAP агентства Defense Advanced Research Projects Agency (DARPA), пилотная реализация которого сейчас завершается в Дартмутском колледже.

Если исследовательский проект MAP агентства Defense Advanced Research Projects Agency достигнет своих целей, то он может стать основой для динамической системы безопасности беспроводных сетей, которая в состоянии непрерывно выявлять постоянно меняющиеся атаки (и настраиваться под них)

Инженеры из Дартмута и компании Aruba Networks разрабатывают набор алгоритмов и программную архитектуру, которые предусматривают использование радиочастотных датчиков для измерения и анализа трафика. На основании полученных таким образом данных можно реагировать на атаки из глобальной сети, в первую очередь использующие методы имитации соединения и маскировки, которые становятся все популярнее.

Сейчас коммерческие системы обнаружения вторжений (Intrusion Detection System, IDS) для беспроводных сетей выпускают компании AirDefense, AirTight Networks, Network Chemistry и сама Aruba. Но проект преследует более амбициозные цели. Во-первых, создаваемая IDS должна стать значительно интеллектуальнее в определении того, что и как необходимо измерять в трафике беспроводных соединений и как его анализировать. Во-вторых, эта IDS должна иметь возможность обрабатывать не только трафик, поступающий из тысяч точек доступа и от клиентов, но и поток данных измерений, получаемых от ее собственных радиочастотных датчиков, или «снифферов».

Разумнее, то есть лучше

Более интеллектуальные программные средства необходимы потому, что сами атаки становятся интеллектуальнее и изощреннее.

«Современные IDS могут не ‘видеть’ определенных блоков данных; либо хакер может использовать радиочастотные помехи, в силу чего атаку просто невозможно заметить, — пояснил Джош Райт, старший научный сотрудник по вопросам защиты в Aruba — Хакеры используют методы маскировки, адекватно реагировать на которые современные IDS не способны».

Масштабируемость для проекта имеет особое значение, поскольку радиочастотные датчики будут постоянно отслеживать, собирать и объединять большее количество данных реального времени о состоянии радиоэфира в том месте, где они установлены.

В пилотном проекте используются готовые радиочастотные датчики Aruba, которые, по существу, представляют собой точки доступа в стандарте 802.11a/b/g, получающие только радиосигналы. По словам Дэвида Коца, профессора Дартмутского колледжа и одного из ведущих специалистов проекта MAP, программное обеспечение MAP анализирует трафик на всех каналах, измеряет статистические параметры, объединяет информацию, чтобы получить точную картину происходящего в эфире, а затем сканирует трафик в поисках признаков атаки.

Множество датчиков

Вместо того чтобы пытаться уменьшить число радиочастотных датчиков, участники проекта MAP выбрали прямо противоположный подход и устанавливают их как можно больше для того, чтобы обеспечить эффективное покрытие всех точек доступа, авторизованных клиентов и атакуемых клиентов.

«Все три вида устройств задействованы в атаке, — подчеркнул Коц. — Хакер может имитировать точку доступа и требовать от авторизованного клиента отсоединиться от легитимной точки доступа. Вам может потребоваться больше одного датчика для того, чтобы собрать необходимые данные с устройств всех трех типов, которые могут находиться на значительном расстоянии друг от друга».

«Мы пытаемся получить ‘мгновенный снимок’ сети ‘с высоким разрешением’, получая информацию со множества датчиков и объединяя эти данные», — пояснил Коц.

Статистика высокого уровня и точность

Некоторые коммерческие системы IDS проверяют каждый отдельный фрейм данных на соответствие сигнатурам известных атак. В отличие от них MAP анализирует статистику более высокого уровня. «Мы можем анализировать статистические данные об отношении контролируемого трафика к трафику данных при различных видах атак, — сказал Хендерсон, — и тем самым выявлять шаблоны, которые могут служить признаком вредоносной деятельности. Мы можем с большим основанием заявлять, что ведется атака, по сравнению с другими методами, которые предусматривают анализ каждого кадра».

Кроме того, MAP будет вести активный мониторинг каналов 802.11. «Большинство других продуктов конфигурируют свои датчики таким образом, что в каждый момент они могут прослушивать только один канал или последовательно просматривать все каналы, тратя на прослушивание каждого из них определенный период времени», — заметил Коц. MAP работает более интеллектуально. Он циклически просматривает все каналы, но больше времени тратит на самые занятые из них. Кроме того, датчики MAP можно быстро перенастроить на канал, деятельность в котором вызывает подозрение.

MAP должна быть очень эффективной против атак на отказ в обслуживании, а также против нового вида атак, получившего название «снижение качества» (Reduction of Quality, RoQ). Атаки RoQ направлены не на то, чтобы добиться полного отказа в обслуживании. Вместо этого они снижают качество соединения или уменьшают доступную полосу пропускания, либо прерывают соединения для других или предоставляют лучшее обслуживание хакеру. Звонок по беспроводному каналу IP-телефонии, например, может и не прерваться, но количество теряемых пакетов будет настолько велико, что соединение станет практически бесполезным.

Противостояние методам маскировки

Более совершенные средства необходимы и для того, чтобы противостоять методам маскировки, которые хакеры начинают активно использовать. Например, точка доступа в некоторых ситуациях может совершенно легитимно сообщить клиенту об отказе в аутентификации, поэтому такого рода трафик обычен в беспроводной сети. Проблема, по словам Райта, заключается в том, что хакер может использовать трафик отказов от аутентификации для осуществления DoS-атаки или ее маскировки. Совсем недавно, по его словам, это начали применять для того, чтобы воспользоваться программными ошибками в коде драйверов глобальной сети.

Создавая более совершенные средства противодействия атакам, участники проекта MAP работают над тем, чтобы увеличить точность выявления атак, тем самым уменьшить количество ложных тревог (ошибочных допусков в систему), а также ошибочных отказов от допуска — реальные атаки, которые IDS не распознает. 

Поделитесь материалом с коллегами и друзьями