Strategije detekcije upada i sigurnost bežičnih mreža

Sustavi za detekciju upada (IDS)

HIDS (Host-based Intrusion Detection System)

HIDS (računalno-orijentirani IDS) nadzire aktivnosti na pojedinačnom uređaju kako bi detektirao sumnjivo ponašanje. Njegova glavna prednost je mogućnost otkrivanja i internih i eksternih upada, za razliku od NIDS sustava i vatrozida.

Pristupi detekciji upada u HIDS sustavima

• Detekcija anomalija:

  • Prikupljaju se podaci o ponašanju legitimnih korisnika tijekom određenog vremena.
  • Primjenjuju se statistički testovi kako bi se otkrila odstupanja od "normalnog" ponašanja.
  • Definiraju se profili korisnika ili pragovi za događaje, neovisno o korisniku.

• Detekcija na temelju potpisa:

  • Definira se skup pravila ili uzoraka poznatih napada.
  • Koristi se za otkrivanje poznatih ranjivosti, često specifičnih za platformu i operacijski sustav.

NIDS (Network-based Intrusion Detection System)

NIDS (mrežno-orijentirani IDS) nadzire mrežni promet na odabranim točkama mreže s ciljem otkrivanja neovlaštenih aktivnosti. Promet se analizira paket po paket u stvarnom vremenu ili blizu stvarnog vremena.

Glavne značajke NIDS-a

• Analizira se promet mrežnog, transportnog i aplikacijskog sloja.
• NIDS sustav sastoji se od senzora, upravljačkih poslužitelja i konzola za administraciju.

Vrste NIDS senzora

• Aktivni senzori (inline):

  • Promet prolazi kroz njih.
  • Mogu odmah blokirati sumnjivi promet (djeluju kao sustavi za prevenciju upada).

• Pasivni senzori:

  • Samo prate kopiju mrežnog prometa bez utjecaja na sam promet.
  • Ne dodaju kašnjenja u komunikaciji.

Kao i HIDS, NIDS sustavi koriste:

• Detekciju anomalija i
• Detekciju na temelju potpisa.

Za standardiziranu komunikaciju između IDS sustava razvijen je IDXP protokol, koji osigurava autentifikaciju i zaštitu podataka pri razmjeni.

Sigurnost u bežičnim mrežama

Bežične mreže su zbog otvorenog prijenosnog medija značajno izloženije sigurnosnim problemima od žičnih mreža.

Ključni čimbenici rizika

• Kanal: Broadcasting prijenos omogućava lakše prisluškivanje i ometanje.
• Pokretljivost: Bežični uređaji su mobilni i ranjiviji na napade.
• Resursi: Bežični uređaji često imaju ograničene resurse za sigurnosne mehanizme.
• Pristupačnost: Uređaji na udaljenim lokacijama bez nadzora izloženi su fizičkim napadima.

Tipične sigurnosne prijetnje

• Slučajna i zlonamjerna asocijacija.
• Ad hoc mreže bez kontrole.
• Lažiranje MAC adrese (krađa identiteta).
• Man-in-the-middle napadi.
• Denial of Service (DoS) napadi.
• Napadi umetanjem prometa.

Mjere za poboljšanje sigurnosti

1. Uporaba enkripcije mrežnog prometa.
2. Vatrozidi, antivirusni i antispyware alati.
3. Isključivanje SSID razašiljanja.
4. Promjena tvorničkih SSID oznaka i lozinki.
5. Filtriranje pristupa po MAC adresama.

IEEE 802.11i i Robust Security Network (RSN)

IEEE 802.11i definira sigurnosne specifikacije za bežične mreže poznate kao RSN (Robust Security Network).

Ključne sigurnosne usluge RSN-a

• Autentifikacija:

  • Koristi EAP protokol između korisnika i autentifikacijskog servera (AS).
  • Obavlja međusobnu autentifikaciju i generira privremene ključeve.

• Kontrola pristupa:

  • Primorava uporabu autentifikacije i pomaže u distribuciji ključeva.

• Privatnost i integritet poruke:

  • MAC slojni podaci su enkriptirani i provjerava se njihov integritet.

Faze IEEE 802.11i procesa

1. Otkrivanje: AP oglašava sigurnosne politike preko beacons i probe responses.
2. Autentifikacija: Stanica i AS se međusobno autentificiraju. AP propušta samo autentifikacijski promet.
3. Generiranje i distribucija ključeva: Generiraju se PMK (Pairwise Master Key) i drugi ključevi.
4. Zaštićeni prijenos podataka: Osigurana komunikacija između stanice i pristupne točke.
5. Prekid konekcije: Kontrolni okviri prekidaju sigurnu konekciju.

Napomena: IEEE 802.11i osigurava komunikaciju samo između stanice i pristupne točke; za cijeli distribuirani sustav sigurnosne usluge implementiraju se na višim slojevima.