15 mayo 2009

Las pequeñas y medianas empresas, hoy estáis de enhorabuena. Vuestros presupuestos ya no serán bloqueados por el Dpto. Financiero, cuando se les propone adquirir los robustos IDS para redes wireless que proporcionan compañías como CISCO o AirDenfense.

Desde el SANS Institute nos proponen una solución muy económica mediante la cual podremos construir un sistema IDS para redes wireless, usando tan sólo routers Linksys WRT54GL, OpenWRT y Kismet.

OpenWRT es una distribución GNU/Linux que se carga a modo de firmware en el router Linksys WRT54GL y permite personalizarlo para realizar la instalación de Kismet.

Kismet
, como ya conoceréis por el post de SecUtils que se publicó ayer, es una herramienta de código abierto para el análisis de redes wireless 802.11. Posee una arquitectura distribuida que puede utilizarse para desplegar drones pasivos a lo largo del área de cobertura de una red inalámbrica, que se conectan a un servidor y proporciona de forma centralizada la captura de paquetes, monitorización y logging de alertas.

La instalación es relativamente sencilla aunque se requiere un conocimiento medio/alto en Linux y redes wireless.


Como podéis ver en el diseño de arquitectura, montaremos los puntos de acceso (PA) legítimos que serán usados por los usuarios wireless. Sensores Kismet drones colocados por todo el entorno, que se conectarán con el servidor Kismet y enviarán tráfico a través de la red al servidor.

El administrador utilizará el cliente Kismet para conectarse con el servidor y monitorizar la información capturada por los drones. Además dispone de una consola centralizada donde se detectan las alarmas.

El servidor Kismet puede ejecutarse en modo demonio enviando alertas a los servicios de logging, por lo que el administrador será notificado por cada evento de interés (DoS, PA no autorizados, etc.) vía email o SMS sin tener que estar continuamente monitorizando el sistema.

Por desgracia debido a una serie de factores las alertas generadas hacen que esta solución tenga menos valor del esperado. Debido a que la mayoría de los ataques suelen ser por denegación de servicio y el sistema no podrá actualizarse para monitorizar los nuevos ataques.

Aún así podemos considerarla como una buena solución.

1 comments :

Unknown dijo...

Muy interesante como todas las cosas que publican en este blog, gracias por compartir la info..