Network World, США
Дартмутский колледж и компании Aruba Networks разрабатывают набор алгоритмов и программную архитектуру, которые позволят реагировать на атаки из Internet.
Защитить корпоративные WLAN от изощренных атак — такова цель исследовательского проекта MAP агентства Defense Advanced Research Projects Agency (DARPA), пилотная реализация которого завершается в Дартмутском колледже. Инженеры из Дартмута и компании Aruba Networks разрабатывают набор алгоритмов и программную архитектуру, которые позволяют использовать данные от радиочастотных сенсоров для измерения и анализа трафика. Эти данные послужат для отражения атак из Сети, базирующихся на имитации соединения и маскировке.
Коммерческие системы обнаружения вторжений (Intrusion Detection System, IDS) для беспроводных сетей выпускают AirDefense, AirTight Networks, Network Chemistry и сама Aruba, но проект MAP преследует более амбициозные цели. Во-первых, создаваемая IDS должна стать значительно «разборчивее» при определении того, что и каким образом измерять в трафике беспроводных соединений и как его анализировать. Во-вторых, IDS должна обрабатывать не только трафик, поступающий от тысяч точек доступа и клиентов, но и измерения, получаемые от ее собственных радиочастотных датчиков («снифферов»).
Разумнее, то есть лучше
Совершенствование программных средств необходимо, поскольку атаки становятся все интеллектуальнее и изощреннее. «Современные IDS не замечают определенные блоки данных. К тому же хакеры порой используют радиочастотные помехи, и обнаружение атак усложняется или становится невозможным, — пояснил Джош Райт, старший научный сотрудник по вопросам защиты Aruba. — Хакеры задействуют методы маскировки, адекватно реагировать на которые современные IDS не способны».
Фактор масштабируемости имеет для новой IDS особое значение, поскольку ее радиочастотные датчики будут в режиме реального времени отслеживать и объединять большое количество данных о состоянии радиоэфира. Кстати, используемые в пилотном проекте сенсоры Aruba, по существу, представляют собой точки доступа стандарта 802.11a/b/g, принимающие только радиосигналы. По словам Дэвида Коца, профессора Дартмутского колледжа и одного из ведущих специалистов проекта MAP, программное обеспечение MAP анализирует трафик на всех каналах и объединяет информацию для получения точной картины происходящего в эфире, а затем сканирует трафик в поисках признаков атаки.
Множество датчиков
Участники проекта MAP решили устанавливать как можно больше датчиков, чтобы обеспечить эффективную защиту всей инфраструктуры WLAN, в том числе точек доступа, авторизованных и атакуемых клиентских устройств. «Все три вида оборудования задействованы в атаке, — подчеркнул Коц. — Хакер может имитировать точку доступа и требовать от авторизованного клиента отсоединиться от легитимной точки. Поэтому защитной системе может потребоваться больше одного датчика для сбора необходимых данных с устройств всех трех типов, которые порой находятся на значительном расстоянии друг от друга. Мы пытаемся получить «мгновенный снимок сети с высоким разрешением», используя информацию от множества датчиков и объединяя эти данные».
Статистика высокого уровня
Некоторые коммерческие системы IDS проверяют каждый отдельный фрейм транслируемых данных на соответствие сигнатурам известных атак. В отличие от них, MAP анализирует статистику более высокого уровня. «Мы можем анализировать статистические данные о контролируемом трафике и соотносить их с информацией о трафике при разных видах атак, — сказал Хендерсон. — В результате удается выявлять шаблоны, свидетельствующие о вредоносной деятельности. Это позволяет обнаруживать атаки с большей уверенностью, чем при использовании методов, предусматривающих анализ каждого кадра».
Кроме того, система MAP будет проводить активный мониторинг каналов 802.11. «Большинство других продуктов конфигурируют свои датчики так, что в каждый момент они могут прослушивать лишь один канал или последовательно просматривать все каналы, тратя на это значительное время», — отметил Коц. MAP работает более интеллектуально: циклически контролирует все каналы, но больше времени тратит на самые загруженные. При этом датчики можно быстро перенастроить на канал, деятельность в котором вызывает подозрение.
Система MAP должна оказаться очень эффективной при противодействии атакам, нацеленным на отказ в обслуживании, а также новому виду атак RoQ (Reduction of Quality — «снижение качества»). Атаки RoQ приводят к снижению качества соединения, уменьшению доступной полосы пропускания, разрыву соединения для других и обеспечению хакеру лучшего обслуживания. Звонок по беспроводному каналу IP-телефонии может и не прерваться, но количество теряемых пакетов будет настолько большим, что соединение станет практически бесполезным.
Противостояние методам маскировки
Более совершенные средства необходимы и для того, чтобы противостоять хакерским методам маскировки. Например, в некоторых ситуациях точка доступа сообщает клиентам об отказе в аутентификации, и такой трафик обычен в беспроводной сети. Проблема, по словам Райта, заключается в том, что хакер может опираться на трафик отказов от аутентификации для проведения DoS-атаки или ее маскировки. Совсем недавно злоумышленники стали задействовать такой способ для использования программных ошибок в коде драйверов Сети.
Участники проекта MAP работают над тем, чтобы повысить точность выявления атак. Это позволит уменьшить количество ложных тревог и ошибочных отказов в доступе к локальной беспроводной сети.