home *** CD-ROM | disk | FTP | other *** search
/ DOS/V Power Report 2004 March / VPR0403.ISO / talks / 203 / paper.dkb < prev    next >
Encoding:
Extensible Markup Language  |  2003-09-18  |  36.6 KB  |  1,000 lines
  1. <?xml version="1.0" encoding="ISO-8859-1"?>
  2.  
  3. <article id="paper">
  4. <articleinfo>
  5.   <title>Intrusion Detection in 802.11 Wireless Networks</title>
  6.   <author>
  7.     <firstname>Andreas</firstname>
  8.     <surname>Grosse</surname>
  9.   </author>
  10.   <copyright>
  11.     <year>2003</year>
  12.     <holder>Andreas Grosse</holder>
  13.   </copyright>
  14. </articleinfo>
  15.  
  16. <!-- sect: intro -->
  17.  
  18. <section>
  19. <title>Einfhrung / Momentane Situation</title>
  20.  
  21. <para>
  22. So wie sich das Mobiltelefon im Kommunikationsmarkt in den letzten
  23. Jahren durch seine Flexibilit舩 und den daraus resultierenden Komfortgewinn
  24. etabliert hat, finden im Netzwerkbereich kabellose Netzwerke
  25. immer greren Zuspruch. Trotz verschiedener physikalischer
  26. ワbertragungstechniken haben sich mittlerweile einige Schnittstellen
  27. etabliert. Schon l舅gere Zeit werden Infrarotschnittstellen (IrDA) zur
  28. Kommunikation zwischen Mobiltelefonen, PDAs und PCs eingesetzt.
  29. Fr Personal Area Networks (PAN), ein Netzwerk zur Verbindung direkt
  30. am Kper getragener Ger舩e, ist der Funkstandard Bluetooth auf
  31. dem Vormarsch.
  32.  
  33. Fr grere Entfernungen und here Bandbreiten sind die erw臧nten
  34. Medien nicht geeignet und andere ワbertragungstechniken notwendig.
  35. Besonders interessant ist die Entwicklung im Wireless LAN
  36. Bereich. Die erzielten Reichweiten ermlichen
  37. eine raumbergreifende Mobilit舩 mit einer ワbertragungsgeschwindigkeit,
  38. welche einem Vielfachen von ISDN entspricht und damit fr viele
  39. Anwendungsf舁le wie beispielsweise Informationsbeschaffung im Internet
  40. und das ワberprfen von E-Mail-Konten ausreicht.
  41. W臧rend Technologien wie Infrarot und Bluetooth aufgrund ihrer
  42. vorrangigen Verwendung in Freizeitger舩en noch selten Bedeutung fr
  43. Gesch臟tsprozesse haben, sind Wireless LANs in vielen Firmen bereits
  44. fest integriert.
  45.  
  46. Besonders interessant fr Firmen sind Infrastruktur-Netzwerke, da
  47. sie zentral verwaltet, administriert und vergleichsweise einfach im
  48. kompletten Geb舫de verfgbar gemacht werden knen. Fr Intrusion
  49. Detection Systeme sind Infrastruktur-Netzwerke vorteilhaft, da sich
  50. an den Access Points der Netzwerkverkehr konzentriert. Damit bieten
  51. sie die Mlichkeit, 臧nlich wie bei Switches und Routern in kabelgebundenen
  52. LANs, eine maximale Anzahl an Datenpaketen untersuchen
  53. zu knen.
  54. </para>
  55. </section>
  56.  
  57. <!-- sect: security -->
  58.  
  59. <section>
  60. <title>Sicherheit in 802.11 Netzwerken</title>
  61.  
  62. <para>
  63. Das grundlegende Sicherheitsproblem bei drahtlosen Netzwerken ergibt
  64. sich aus den physikalischen Eigenschaften des Mediums. Wie eingangs
  65. genannt, bringen drahtlose Netzwerke viele Vorteile mit sich,
  66. darunter natrlich vor allem die Mobilit舩 und Flexibilit舩. Als gro゚en
  67. Nachteil hat die Verwendung dieses Mediums allerdings zur Folge,
  68. dass die Grenzen zwischen dem internen Netzwerk, welches nur ber
  69. fest definierte Verbindungen erreicht werden kann, und dem externen
  70. Netzwerk, bei dem jedes Element von au゚en erreichbar ist, verschwinden.
  71. W臧rend bei einem klassischen, kabelgebundenen Netzwerk zuerst
  72. physikalische Sicherheitsvorkehrungen, Gateways und Firewalls
  73. berwunden werden mssen, um Zugriff auf ein Netzwerk zu erlangen,
  74. sind Elemente des drahtlosen Netzwerks Angriffen direkt ausgesetzt.
  75. Jedes Ger舩 muss auf einen Angriff direkter oder indirekter Art
  76. vorbereitet sein.
  77.  
  78. Obwohl dieses Problem schon bei der Konzeption des 802.11-
  79. Standards bekannt war, ist dieser fr einen kooperativen Betrieb konzipiert.
  80. W臧rend bei klassischen Netzwerken ein Angriff auf die OSI-Schichten
  81. 1 und 2 sehr schwierig durchzufhren ist, da sie durch Firewalls
  82. und Gateways auf heren Schichten von der Au゚enwelt abgetrennt
  83. sind, kann jedes Ger舩 im drahtlosen Netzwerk auf diese Art
  84. angegriffen werden.
  85. </para> 
  86.  
  87.   <section>
  88.   <title>Angriffsmlichkeiten auf ein Wireless-Netzwerk</title>
  89.   <para>
  90. Man kann die Angriffsmlichkeiten in folgende Kategorien zusammenfassen:
  91.   </para>
  92.   
  93. <itemizedlist>
  94.   <listitem>
  95.    <para>
  96. Passive Angriffe
  97.    </para>
  98.    <para>
  99. Ein passiver Angriff ist das Belauschen eines Netzwerks nach
  100. interessanten Paketen. Darunter f舁lt jeglicher unverschlsselte
  101. Traffic sowie 802.11 Management- und Control-Frames, die weitere
  102. Informationen ber das Netzwerk enthalten knen. Interessante
  103. Informationen sind hierbei beispielsweise die verwendeten
  104. SSIDs oder Hinweise auf die Pr舖enz von Access Points und
  105. anderen Stationen. Bei einem passiven Angriff werden keine eigenen
  106. Pakete verschickt, so dass die Gegenwart eines Angreifers
  107. nicht unmittelbar festzustellen ist. Passive Angriffe dienen der Aufkl舐ung und
  108. gehen oft aktiven Angriffen voraus.
  109.    </para>
  110.   </listitem>
  111.   <listitem>
  112.    <para>
  113. Probing und Scanning
  114.    </para>
  115.    <para>
  116. Hierbei wird das Netzwerk aktiv erforscht. Es werden beispielsweise
  117. Probe Requests verschickt, um die Gegenwart von Access
  118. Points festzustellen; normalerweise werden hierbei eine leere
  119. SSID, die SSID <emphasis>any</emphasis> und von den Herstellern werkseitig eingestellte
  120. Standard-SSIDs getestet, was bei nicht abgesicherten Netzen
  121. zu einem Erfolg fhren kann.
  122. Der bekannteste Vertreter der aktiven Scan-Technik ist das Programm
  123. NetStumbler [NSTR]. Mittlerweile gibt es Software, die
  124. durch charakteristische Merkmale einen Angriff von NetStumbler
  125. und anderen bekannten Programmen erkennen kann.
  126.    </para>
  127.   </listitem>
  128.   <listitem>
  129.    <para>
  130. Vorspielen einer falschen Identit舩
  131.    </para>
  132.    <para>
  133. Da bei 802.11-Netzwerken keine ワberprfung der Authentizit舩
  134. und Integrit舩 von Datenpaketen stattfindet, sind sie anf舁lig fr
  135. so genannte Identity Theft-Angriffe. Die Authentifizierung eines
  136. Clients erfolgt meist nur mittels der Netzwerk-SSID oder mittels
  137. SSID und MAC-Adresse. Die MAC-Adresse eines Clients kann jedem
  138. von dem Client stammenden oder an den Client gerichteten
  139. Frame entnommen werden, und die SSID kann von einem Angreifer
  140. sp舩estens bei der Assoziation eines berechtigten Clients mitgeht
  141. werden. Da sich eine Assoziation aufgrund der Anf舁ligkeit
  142. des Mediums fr Packet Injection und DoS-Angriffe erzwingen
  143. l舖st und das Einstellen einer anderen MAC-Adresse auch
  144. keine Schwierigkeiten bereitet, kann sich ein Angreifer schon nach
  145. kurzer Zeit als berechtigter Client ausgeben.
  146.  
  147. Ein Angreifer kann auch die Identit舩 eines APs annehmen, indem
  148. er Beacons aussendet und auf Probe Requests antwortet; damit
  149. ergeben sich ideale Voraussetzungen fr einen <emphasis>Man in the
  150. Middle</emphasis>-Angriff. Da das Protokoll keine gegenseitige 
  151. Authentifizierung vorsieht, kann der Client nicht feststellen, ob ein Access
  152. Point zur Firma geht oder sich mlicherweise sogar au゚erhalb
  153. des Geb舫des befindet.
  154.  
  155.    </para>
  156.   </listitem>
  157.   <listitem>
  158.    <para>
  159. Denial of Service
  160.    </para>
  161.    <para>
  162. Prinzipbedingt ist es bei Funknetzwerken einfach, die Funktion
  163. durch Stsignale zu beeintr臘htigen. Aufgrund der Verwendung
  164. des ISM-Frequenzbereichs gibt es eine Vielzahl von Ger舩en,
  165. die auf demselben Frequenzband operieren, beispielsweise Funktelefone
  166. und Mikrowellenherde. Auch mit konventioneller Hardware
  167. fr 802.11b-Netzwerke kann man den Betrieb sten, indem
  168. man den Kanal einfach mit Paketen flutet, welche mit den Paketen
  169. anderer Teilnehmer kollidieren und eine Neubertragung verursachen.
  170. Durch das Versenden spezieller Management-Frames mit
  171. der Absenderadresse des Access Points knen Stationen wiederholt
  172. deassoziiert werden. Wenn der Angreifer es schafft, sich als
  173. Access Point auszugeben und Stationen an sich zu binden, kann
  174. er den Datenverkehr komplett unterbinden.
  175. Durch das vergleichsweise geringe Alter der Technik und des Protokolls
  176. ist mit einer sehr unterschiedlichen Reaktion der Implementierungen
  177. verschiedener Hersteller auf Management-Frames
  178. zu rechnen, welche sich nicht an die Spezifikationen halten. Bisher
  179. haben sich die Angriffe grtenteils auf das Ausnutzen der
  180. vorhandenen Lcken und Schw臘hen bei 802.11b und WEP beschr舅kt.
  181. Zunehmend werden aber auch Berichte ber Probleme
  182. bei Access Points bekannt (siehe [BTRAQ]), meist in Form
  183. von fehlerhaften Implementierungen, unsicheren Voreinstellungen
  184. oder Schwachstellen, die fr DoS-Angriffe genutzt werden
  185. knen.
  186.    </para>
  187.   </listitem>
  188.   <listitem>
  189.    <para>
  190. Ungenehmigte Hardware
  191.    </para>
  192.    <para>
  193. Weiteres Gefahrenpotenzial birgt ungenehmigte Hardware, welche
  194. ohne das Wissen und die Genehmigung der IT-Abteilung
  195. mitgebracht und eingesetzt wird. Dies kann ohne be Absicht
  196. geschehen: Privat wird ein Funknetzwerk eingesetzt, die IT-Abteilung
  197. der Firma hat sich aber gegen den Einsatz von Wireless-
  198. Netzwerken entschieden oder ber舩 noch ber den Einsatz. Um
  199. die t臠liche Arbeit zu erleichtern, wird privat angeschaffte Hardware
  200. in der Firma verwendet und damit die Sicherheitsmechanismen
  201. des Firmennetzwerks ausgehebelt. Laut einer Analyse der Gartner-Group [GRTNR]
  202. sind bei 20% aller Firmen ungenehmigte Access Points an die Firmennetzwerke
  203. angeschlossen. Dabei ist davon auszugehen, dass die
  204. meisten dieser APs ohne Firewall direkt an das Firmennetzwerk
  205. angeschlossen sind und damit einem Angreifer den vollen Zugriff
  206. auf das interne LAN ber das drahtlose Netz ermlichen.
  207.    </para>
  208.   </listitem>
  209. </itemizedlist>
  210.  
  211.    <para>
  212. Die integrierten Sicherheitsmechanismen der 802.11-Standards sind
  213. momentan nicht ausreichend. Durch zus舩zlichen Einsatz von Programmen
  214. auf heren Protokollschichten knen die grten Schw臘hen
  215. und Probleme bei Integrit舩, Authentizit舩 und Datensicherheit
  216. kompensiert werden. Dennoch bleiben Stationen im Funknetz anf舁lig
  217. fr DoS-Angriffe und passives Mithen. Durch die fehlende Standardisierung
  218. wirksamer Sicherheitsma゚nahmen auf niederen Protokollschichten
  219. sind die Hardware-Hersteller gezwungen, eigene Sicherheitslungen
  220. einzubringen, wodurch eine Interoperabilit舩 mit Produkten
  221. anderer Hersteller nicht durchg舅gig mlich ist.
  222. Eine Verbesserung versprechen die Standardisierungsbemhungen
  223. um 802.1x und 802.11i. Leider knen auch diese Standards die vielf舁tigen
  224. Angriffsmlichkeiten auf Wireless-Netzwerke nur teilweise
  225. kompensieren. Die Sicherheitsprobleme werden auch in der Zukunft
  226. bei der Entscheidung ber den Einsatz von Wireless-Netzwerken in Firmen
  227. eine gewichtige Rolle spielen. Fr Firmen mit hohem Sicherheitsbedarf
  228. ist der Einsatz von Funknetzwerken zur Zeit nicht ratsam.
  229.   </para>
  230.   </section>
  231.  
  232. </section>
  233.  
  234. <!-- sect: concept -->
  235.  
  236. <section>
  237. <title>Konzeption eines Wireless-Sensors</title>
  238.   <para>
  239.   Augrund der bestehenden Sicherheitslcken und Schw臘hen ist es offensichtlich, 
  240.   dass ein Sicherheitsbedarf, wie er fr Firmen und Privatanwender notwendig ist,
  241.   nur ber zus舩zliche Absicherung erfllt werden kann. Neben dem Einsatz starker 
  242.   Verschlsselung auf heren Protokollschichten ist es fr die Administratoren
  243.   von Netzwerken unumg舅glich, sich einen Einblick in ihr Netzwerk zu verschaffen.
  244.   Dabei werden sie durch Intrusion Detection Systeme untersttzt. Um gezielt auf die Besonderheiten
  245.   eines Wireless-Netzwerks eingehen zu knen, ist ein spezieller Wireless-Sensor zur
  246.   Integration in Intrusion Detection Systeme notwendig.  
  247.   </para>
  248.  
  249.   <section>
  250.   <title>Was kann ein Wireless-Sensor erkennen?</title>
  251.   <para>
  252.   
  253.   Anhand der Pakettypen, der in den Headern gesetzten Flags und Werte
  254. sowie des Inhalts der empfangenen Pakete lassen sich Rckschlsse
  255. ziehen, die eine Kategorisierung und Priorisierung ermlichen. In der
  256. Analysis Engine muss die Logik integriert werden, die aufgrund von
  257. Hinweisen auf das Ereignis schlie゚en kann, welches diese Pakete verursacht
  258. hat. Diese Ereignisse lassen sich in Kategorien einteilen:
  259.   </para>
  260.  
  261.    <!-- list 1 -->  
  262. <itemizedlist>
  263.   <listitem>
  264.    <para> 
  265.    Fremde Ger舩e
  266.    </para>
  267.    <para>
  268. Offensichtlich ist die Einteilung der Ger舩e in fremde und bekannte Stationen.
  269. Dies kann beispielsweise anhand der MAC-Adresse der Station
  270. erfolgen, die in den 802.11-Frames bertragen wird. Aufgrund weiterer
  271. Daten kann dann eine genauere Einteilung erfolgen:
  272.    </para>
  273.   </listitem>
  274.   <listitem>
  275.     <!-- list 1.1 -->
  276.     <itemizedlist>
  277.      <listitem>
  278.       <para> 
  279.   Fremder Access Point
  280.      </para>
  281.    <para>
  282. Ein fremder Access Point kann aufgrund von Frames erkannt
  283. werden, die ausschlie゚lich von Access Points versandt werden,
  284. beispielsweise Beacon Frames, Probe Responses, Association Responses
  285. und IAPP-Traffic, der zwischen zwei Access Points erfolgt
  286. und Roaming und Handover von Clients ermlicht. Zum
  287. Aufbau siehe auch die folgende Abbildung:
  288.   </para>
  289.   
  290.   <para>
  291.   <inlinemediaobject>
  292.     <imageobject>
  293.       <imagedata fileref="picture-203-01.jpg" format="JPG"/>
  294.     </imageobject>
  295.   </inlinemediaobject>
  296.   
  297.       </para>
  298.      </listitem>
  299.      <listitem>
  300.       <para>    
  301.   Fremder Client
  302.      </para>
  303.    <para>
  304. Fremde Clients knen unter anderem anhand von Requests,
  305. wie beispielsweise Probe Requests und Association Requests, erkannt
  306. werden. Bei Verwendung von Programmen wie NetStumbler
  307. oder Kismet kann ein Angreifer an speziellen Flags, bestimmten
  308. SSIDs oder einer eindeutigen Signatur in den Nutzdaten der
  309. Pakete identifiziert werden. Die folgende Abbildung zeigt ein grafisches
  310. Modell hierzu:
  311.   </para>
  312.   <para>
  313.   <inlinemediaobject>
  314.     <imageobject>
  315.       <imagedata fileref="picture-203-02.jpg" format="JPG"/>
  316.     </imageobject>
  317.   </inlinemediaobject>
  318.  
  319.       </para>
  320.      </listitem>
  321.      <listitem>
  322.       <para>
  323. Da bei 802.11-Frames weder Integrit舩 noch Authentizit舩 der bertragenen
  324. Pakete sichergestellt werden knen, muss wie auch im konventionellen
  325. Ethernet damit gerechnet werden, dass die MAC-Adresse
  326. von Angreifern gef舁scht wird. Hier ist beispielsweise der Fall denkbar,
  327. dass ein Access Point mittels einer positiven Ausschlussliste nur Clients
  328. mit bestimmter MAC-Adresse zul舖st. Der Angreifer nimmt daher die
  329. MAC-Adresse eines berechtigten Clients an, um Zugriff auf das Netzwerk
  330. zu erhalten. In diesem Fall kann der Angriff beispielsweise daran
  331. erkannt werden, dass Pakete mit derselben MAC-Adresse ungewnlich
  332. stark in der Signalst舐ke variieren, wiederholt eine Bindung an den
  333. AP mit falschen SSIDs oder WEP-Schlsseln versuchen oder durch anderweitig
  334. nicht zusammenpassende Parameter auffallen.
  335.    
  336.      </para>
  337.     </listitem>
  338.     </itemizedlist>
  339.   </listitem>
  340.   
  341.   <!-- list 2 -->
  342.   <listitem>
  343.    <para>
  344.   Fremde Netzwerke
  345.      </para>
  346.    <para>
  347. Fremde Netzwerke lassen sich beispielsweise daran erkennen, dass
  348. der Absender von Datenpaketen zwar bekannt ist, diese aber nicht an
  349. einen bekannten Access Point gerichtet sind. Da in einem Infrastruktur-
  350. Netzwerk der gesamte Datenverkehr ber einen Access Point laufen
  351. muss, sind alle anders gerichteten Pakete nicht Teil des Netzwerks. Hier
  352. existieren folgende Spezialf舁le:
  353.    </para>
  354.   </listitem>
  355.   <listitem>
  356.     <!-- list 2.1 -->
  357.     <itemizedlist>
  358.      <listitem>
  359.       <para> 
  360.     Kommunikationspartner bekannt, aber nicht AP
  361.        </para>
  362.    <para>
  363. In diesem Fall haben die Pakete als Ziel eine bekannte MACAdresse,
  364. welche aber nicht als Adresse eines genehmigten Access
  365. Points hinterlegt ist. Auch hier gibt es mehrere Mlichkeiten,
  366. Schlussfolgerungen zu ziehen. Falls die MAC-Adresse nicht
  367. von einem Angreifer bernommen wurde, weist diese Kombination
  368. auf ein Ad-Hoc-Netzwerk hin, was meist einen Versto゚ gegen
  369. die Security Policy darstellt. Mlicherweise ist das Ziel der Kommunikation
  370. aber ein Angreifer, welcher die Identit舩 einer autorisierten
  371. Station annimmt und deren MAC-Adresse f舁scht, um dadurch
  372. Zugang zum Netzwerk zu erhalten. Dies wird auf folgender Abbildung deutlich:
  373.    </para>
  374.    <para>
  375.   <inlinemediaobject>
  376.     <imageobject>
  377.       <imagedata fileref="picture-203-03.jpg" format="JPG"/>
  378.     </imageobject>
  379.   </inlinemediaobject>
  380.  
  381.     </para>
  382.        </listitem>
  383.        <listitem>
  384.         <para>
  385.        Kommunikationspartner unbekannt
  386.           </para>
  387.    <para>
  388. Ein unbekannter Kommunikationspartner ist eine Station, deren
  389. MAC-Adresse nicht bekannt ist, an die aber dennoch Pakete von
  390. einer bekannten Station gerichtet sind. Dies kann auf ein Ad-Hoc-Netzwerk 
  391. hinweisen, bei dem eine bekannte Station mit einem
  392. fremden Client kommuniziert. Es kann aber auch auf ein
  393. Infrastruktur-Netzwerk deuten, bei dem sich ein Angreifer als Access
  394. Point ausgibt, um autorisierte Clients an sich zu binden. Wie
  395. bereits genannt, w臧len einige Client-Implementierungen
  396. automatisch den signalst舐ksten Access Point zur Assoziation.
  397. Daher droht hier die Gefahr eines Man In The Middle-Angriffs.
  398. Ein unbekannter Kommunikationspartner kann auch aus dem
  399. Einsatz ungenehmigter, privat angeschaffter Hardware resultieren.
  400. Die Abbildung zeigt diesen Fall:
  401.    </para>
  402.   <para>
  403.   <inlinemediaobject>
  404.     <imageobject>
  405.       <imagedata fileref="picture-203-04.jpg" format="JPG"/>
  406.     </imageobject>
  407.   </inlinemediaobject>
  408.   </para>
  409.  
  410.        </listitem>
  411.        </itemizedlist>
  412.      </listitem>
  413.      
  414.     <!-- list 3 -->
  415.     <listitem>
  416.         <para>
  417.     Auff舁liger Traffic
  418.        </para>
  419.    <para>
  420. Ungewnlicher Netzwerkverkehr kann auf Konfigurationsfehler oder
  421. Angriffe hinweisen. Bei den bertragenen Paketen werden die Paket-
  422. Header und die Nutzdaten nach ungltigen oder ungewnlichen
  423. Kombinationen sowie nach kritischen Inhalten untersucht. Im folgenden
  424. werden einige h舫figer auftretende F舁le genannt:
  425.     </para>
  426.     </listitem>
  427.  
  428.     <listitem>
  429.      <itemizedlist>
  430.  
  431.       <listitem>
  432.        <para> 
  433.   Unverschlsselter Datenverkehr
  434.    </para>
  435.    <para>  
  436. Von besonderem Interesse fr den Netzwerkadministrator ist unverschlsselter
  437. Datenverkehr, da dieser einen Versto゚ gegen die
  438. Security Policy darstellt. Er versetzt jeden Passanten mit der entsprechenden
  439. technischen Ausrstung in die Lage, den Netzwerkverkehr
  440. im Wireless LAN mitzulesen. In einem typischen Firmennetzwerk
  441. beinhaltet dies den Austausch von Dokumenten und EMails,
  442. die mlicherweise vertrauliche Daten enthalten.
  443.        </para>
  444.       </listitem>
  445.  
  446.  
  447.       <listitem>
  448.        <para> 
  449.        Anmeldeversuche
  450.           </para>
  451.    <para>
  452. Anmeldeversuche liefern Informationen ber einen versuchten
  453. beziehungsweise erfolgreichen Zugang zum drahtlosen Netzwerk.
  454. Dazu dienen vor allem Probe Request- und Response-
  455. Pakete sowie Association Request und Response-Pakete. In diese
  456. Kategorie f舁lt auch eine aktive Suche nach Wireless-Netzwerken,
  457. wie sie beispielsweise von Tools wie NetStumbler oder dem Windows
  458. XP Scanning Service durchgefhrt wird, da hierbei ebenfalls
  459. Probe Requests zum Einsatz kommen.
  460.     
  461.        </para>
  462.       </listitem>
  463.       <listitem>
  464.        <para>
  465.  
  466.       Unbekannte SSID/ESSID
  467.          </para>
  468.    <para>
  469. Anhand der bertragenen SSID beziehungsweise ESSID kann
  470. man den Ursprung der Pakete schlussfolgern. Unbekannte SSIDs
  471. deuten auf Clients hin, die fr andere Netze konfiguriert sind, also
  472. beispielsweise Besucher oder Passanten; ein typischer Angreifer
  473. testet bekannte Hersteller-SSIDs, um sich Zugang zum Netzwerk
  474. zu verschaffen. Bei einem Brogeb舫de mit mehreren Firmen,
  475. die eigeneWireless LANs besitzen, kann man beispielsweise
  476. anhand bestimmter SSIDs auf Clients einer anderen Firma schlie゚en.
  477. Anmeldeversuche mit deren SSID weisen nicht zwangsl舫fig
  478. auf einen Angriff hin, sind aber dennoch von Interesse.
  479.        </para>
  480.       </listitem>
  481.       <listitem>
  482.        <para> 
  483.        Beacon propagating SSID
  484.           </para>
  485.    <para>
  486. Um den Zugriff fr nicht autorisierte Stationen zu erschweren,
  487. wurden Access Points um die Funktion erweitert, das Broadcasting
  488. der SSID zu unterdrcken. Als Folge davon muss ein Client
  489. die richtige SSID fr eine erfolgreiche Authentifizierung kennen;
  490. eine Anmeldung mit leerer SSID oder der SSID <emphasis>any</emphasis> wird nicht
  491. mehr akzeptiert. Diese Option wird von den meisten Herstellern
  492. als <emphasis>Closed Network</emphasis> bezeichnet.
  493.        </para>
  494.       </listitem>
  495.       <listitem>
  496.        <para> 
  497.     Bekannte Tools
  498.        </para>
  499.    <para>
  500. Anhand bestimmer Signaturen kann man verschiedeneWerkzeuge
  501. zum Scannen und Angreifen von Wireless-Netzwerken erkennen.
  502. So besitzen einige Programme bestimmte Zeichenketten in
  503. den Nutzdaten der Pakete oder eine eindeutige Kombination von
  504. gesetzten Flags in den Headern der Pakete. Mittels dieser Signaturen
  505. lassen sich beispielsweise wavemon, NetStumbler, DStumbler,
  506. Wellenreiter und der XP Network Scanning Service erkennen.
  507.        </para>
  508.       </listitem>
  509.       <listitem>
  510.        <para> 
  511.     Unexpected Frame Type / Bits set
  512.        </para>
  513.    <para>
  514. Fr die Header-Felder <emphasis>Control Type</emphasis> und 
  515. <emphasis>Subtype</emphasis> werden bei
  516. 802.11 zwei Bytes verwendet, mit denen die Frames in Management,
  517. Daten- und Kontrollframes eingeteilt werden. Die meisten
  518. Frames haben die Byte-Kombination 00/0100 (Probe Request),
  519. 00/0101 (Probe Response), 00/1000 (Beacon) und 10/0000 (Data).
  520. Da viele der mlichen Kombination noch fr zuknftige Verwendung
  521. reserviert sind, ist es sehr wahrscheinlich, dass bisher
  522. ungenutzte Kombinationen verwendet werden, um Reaktionen
  523. auf undefinierte Frames zu provozieren, mit denen Access Points
  524. verschiedener Hersteller identifiziert werden knen.
  525.        </para>
  526.       </listitem>
  527.       <listitem>
  528.        <para>
  529.        Unzul舖siger Frame Type   
  530.        </para>
  531.    <para>
  532. Eine Station in einem drahtlosen Netzwerk kann sich in drei Phasen
  533. befinden. Zu Anfang befindet sich eine Station, die in die
  534. Reichweite eines Access Points betritt, in Phase 1: Sie ist nicht
  535. authentifiziert und nicht assoziiert. Nach einer erfolgreichen Authentifizierung
  536. befindet die Station sich in Phase 2; sie ist authentifiziert, aber nicht 
  537. assoziiert. Daraufhin kann die Station eine Assoziation
  538. beginnen; im Erfolgsfall befindet sie sich dann in Phase 3,
  539. sie ist authentifiziert und assoziiert. 
  540.   </para>
  541.   <para>
  542.   <inlinemediaobject>
  543.     <imageobject>
  544.       <imagedata fileref="picture-203-05.jpg" format="JPG"/>
  545.     </imageobject>
  546.   </inlinemediaobject>
  547.   </para>
  548.   
  549.   <para>
  550. In Abh舅gigkeit der Phase, in dem sich eine Station befindet, sind
  551. nur bestimmte Frames zul舖sig. Zu den erlaubten Frames fr eine
  552. Station in Phase 1 z臧len beispielsweise die Management-Frames
  553. Beacon, Probe Request/Response, Authentication und Deauthentication.
  554. In Phase 1 knen die meisten Control-Frames versandt
  555. werden, da diese fr die Funktion des Netzwerkes notwendig
  556. sind. Data-Frames sind in dieser Phase nur in einem IBSS zul舖sig,
  557. da in Infrastruktur-Netzwerken jedes Datenpaket ber einen Access
  558. Point gesendet werden muss. Dies ist einer Station aber erst
  559. nach der Assoziation mit einem Access Point erlaubt. In Phase
  560. 2 stehen einer Station zus舩zlich die Management-Frames Association
  561. Request/Response, Reassociation Request/Response und
  562. Disassociation zur Verfgung. Nach einer erfolgreichen Assoziation
  563. befindet sich eine Station in Phase 3 und kann jegliche Data-
  564. Frames, Power-Save Control-Frames und Management-Frames
  565. zur Deauthentifizierung von Stationen versenden. Ein Wireless-
  566. Sensor, der eine interne Tabelle ber die Phase von Stationen des
  567. Wireless-Netzwerkes fhrt, kann anhand dieser Tabelle erkennen,
  568. ob die versandten Pakete in der jeweiligen Phase zul舖sig sind.
  569.  
  570.        </para>
  571.       </listitem>
  572.       <listitem>
  573.         <para>
  574.     MAC Address Spoofing
  575.        </para>
  576.    <para>
  577. Viele Access Points bieten als zus舩zliche Sicherheitsfunktion Zugriffskontrolle
  578. anhand der MAC-Adressen der Clients. Da diese
  579. Adressen in den meisten F舁len problemlos manuell eingestellt
  580. werden knen, besteht die Gefahr einer ワbernahme einer zul舖sigen
  581. Adresse durch einen Angreifer. Durch einfaches Mithen
  582. auf dem Funknetz lassen sich die MAC-Adresse und die verwendete
  583. SSID feststellen. Ein autorisierter Client kann beispielsweise
  584. durch DoS-Angriffe tempor舐 behindert werden, worauf der Angreifer
  585. die Chance hat, seine Identit舩 zu bernehmen.
  586. Eine Erkennung dieses Angriffs ist beispielsweise durch die Sequenznummern
  587. der Wireless-Frames mlich. Die Sequenznummern
  588. werden fr das Zusammensetzen fragmentierter Frames benigt.
  589. Laut 802.11-Spezifikation wird die Sequenznummer fortlaufend
  590. inkrementiert. Sprnge innerhalb dieser Sequenz knen
  591. daher auf eine ワbernahme der MAC-Adresse hindeuten. Weitere
  592. Informationen zur Erkennung von MAC-Spoofing finden sich
  593. unter [JHWT].
  594.        </para>
  595.       </listitem>
  596.      </itemizedlist>
  597.     </listitem>
  598.  
  599.  
  600.  
  601.   </itemizedlist>
  602.   
  603.  
  604.    </section>
  605.  
  606.    <section>
  607.   <title>Erkennung passiven Monitorings</title>
  608.    <para>
  609.    
  610.    Bei der Konzeption eines Wireless-Sensors stt man zwangsl舫fig
  611. auf einen Sonderfall: Was passiert, wenn ein Angreifer sich wie der
  612. Wireless-Sensor im Monitor Mode befindet? Aufgrund der besonderen
  613. Problemstellung wird nachfolgend speziell auf dieses Thema eingegangen.
  614.  
  615. Ein Angreifer, der sich wie ein Wireless-Sensor im passiven RFMON-Modus
  616. befindet, versendet keine Pakete. Aus diesem Grund ist es mit
  617. konventionellen Sensoren nicht mlich, die Gegenwart eines solchen
  618. Angreifers festzustellen, da diese auf dem Empfangen und Analysieren
  619. von 802.11-Frames basieren. Es gibt momentan zwei Alternativen, die
  620. jedoch nicht unter Intrusion Detection im klassischen Sinne fallen:
  621.  
  622.    </para>
  623.   <itemizedlist>
  624.    <listitem>
  625.     <para> 
  626.     Physikalische Ortung von Empf舅gern
  627.        </para>
  628.    <para>
  629. Unter Verwendung einer Antenne mit einer entsprechend hohen
  630. Verst舐kung ist es mlich, einen Empf舅ger zu orten. Diese Technik
  631. wurde bereits zur Ortung unlizensierter Kurzwellenempf舅ger
  632. angewandt; eine Portierung auf Wireless-Netzwerke ist technisch
  633. machbar. Problematisch ist hierbei haupts臘hlich, dass keine
  634. omnidirektionalen Antennen mit entsprechender Verst舐kungsleistung
  635. verfgbar sind. Aus diesem Grund muss eine solche Lung
  636. aus einer Anordnung mehrerer gerichteter Antennen bestehen.
  637. Da der Betriebsaufwand einer solchen Anlage den Aufwand
  638. fr eine Absicherung des Wireless LANs bersteigt, wird dieses
  639. Verfahren kaum zum Einsatz kommen.
  640.  
  641.     </para>
  642.    </listitem>
  643.    <listitem>
  644.     <para> 
  645.     Honeypot-Ansatz
  646.        </para>
  647.    <para>
  648. Da der Sensor nur passiv ist, kann er nicht berprfen, ob der
  649. Datenverkehr, den er empf舅gt, reeller Datenverkehr ist. Aus diesem
  650. Grund kann man den Angreifer mit zus舩zlich eingefgten
  651. Datenpaketen in die Irre fhren. Bei einem Angriff basierend auf
  652. solchen Fehlinformationen ist eine Erkennung mlich.
  653. In diesem Zusammenhang interessant ist die Software [FKAP],
  654. die das Vorhandensein nicht existenter Access Points vorgibt. Jede
  655. Antwort an einen dieser APs deutet auf ein vorheriges Mithen
  656. im Funknetz hin. Eine weitere Alternative ist, dem Angreifer Informationen
  657. zu geben, die auf die Verfgbarkeit eines bestimmten
  658. Dienstes schlie゚en lassen. Dazu pr臈estiniert sind beispielsweise
  659. gef舁schte DHCP- oder SNMP-Pakete. Bei dem Versuch einer
  660. Nutzung eines dieser Dienste wird der Angriff erkannt, da diese
  661. Dienste von regul舐en Benutzern nicht in Anspruch genommen
  662. werden.
  663. Dieser Ansatz zur Erkennung eines Angreifers im Monitor Mode
  664. 臧nelt dem eines Honeypots und f舁lt daher nicht in den Themenbereich. 
  665. Weitere Informationen zu Honeypots
  666. finden sich unter [HYNT].
  667.     </para>
  668.    </listitem>
  669.  
  670.   <listitem>
  671.    <para>
  672.    Das Problem, einen passiven Angreifer erkennen zu knen, ist nicht
  673. nur fr Wireless-Netzwerke charakteristisch. Auch im konventionellen
  674. LAN ist es technisch komplex, dies zu erkennen, und die wenigen existierenden
  675. Ans舩ze befinden sich noch in einem frhen Stadium.
  676.    </para>
  677.   </listitem>
  678.   </itemizedlist>
  679.   </section>
  680.  
  681.   <section>
  682.   <title>Fazit</title>
  683.   <para>
  684.   Sicherheit in 802.11-Netzwerken ist ein Problem - ein Problem, fr das
  685. es in absehbarer Zeit keine Patentlungen geben wird. Bestehende
  686. Standards sind nicht ausgereift, propriet舐e Implementierungen erzielen
  687. nicht die gewnschte Sicherheit, und die Vielfalt der Angriffe ist
  688. immens.
  689.  
  690. Laut dem genannten Ansatz <emphasis> Security = Visibility + Control </emphasis>
  691. ergibt sich die Sicherheit
  692. durch die Kombination von Kontrolle und Transparenz. Kann die Zugriffskontrolle
  693. nicht garantiert werden, so erweist sich die Integration
  694. eines Intrusion Detection Systems an dieser Stelle um so wichtiger, um
  695. die Transparenz des Netzwerks und damit die Sicherheit zu erhen.
  696. Trotz des offensichtlichen Bedarfs an Intrusion Detection Systemen
  697. fr Wireless-Netzwerke sind freie Produkte bisher kaum erh舁tlich. Verfgbare
  698. Produkte gehen meist nicht auf die Besonderheiten des Mediums
  699. ein und versuchen, konventionelle Intrusion Detection auf Wireless-
  700. Netzwerke zu bertragen. Dabei werden Angriffe, die in einem kabelgebundenen
  701. Netzwerk nicht anwendbar sind, selten in Betracht gezogen.
  702. Die Konzeption eines Sensors mit dem Fokus auf Ereignisse der
  703. unteren Protokollschichten bildet den zentralen Punkt.
  704. Durch eine ワberwachung des Funknetzwerks im Monitor Mode und
  705. eine Analyse der empfangenen 802.11-Frames kann ein Sensor implementiert
  706. werden, welcher die speziellen Anforderungen erfllt.
  707. Um den Bedarf an Integrit舩, Authentizit舩 und Datensicherheit zu
  708. erfllen, ist starke Verschlsselung auf mlichst niedrigen Protokollschichten
  709. notwendig. Ein herkmliches Intrusion Detection System
  710. ist in diesem Fall nicht mehr in der Lage, Datenpakete auszuwerten.
  711. Zuknftige Intrusion Detection Systeme fr Wireless-
  712. Netzwerke mssen die genannten Schw臘hen kompensieren. Dazu wird eine
  713. verst舐kte Fokussierung auf den Layer 2 notwendig, um fr die Betreiber
  714. des Netzwerkes wichtige Daten liefern zu knen.
  715.   </para>
  716.   <para>
  717. Die Positionierung eines Sensors ist in einem Wireless-Netzwerk problematischer
  718. als bei kabelgebundenen Netzwerken. Die optimale Position
  719. fr einen einzelnen Sensor ist mlichst nahe an einem Access
  720. Point, da an dieser Stelle Angriffe auf den AP selbst und jegliche Kommunikationsversuche
  721. in das kabelgebundene Netzwerk entdeckt werden
  722. knen. Damit kann jedoch nicht die Sicherheit jeder Station gew臧rleistet
  723. werden. Alternativ ist auch eine Positionierung mehrerer
  724. Sensoren entlang des Umfangs eines Funknetzwerkes mlich, was eine
  725. komplette Abdeckung aller Stationen des Funknetzwerkes erlaubt.
  726. Wie zu Anfangs genannt, muss der Sensor ber die F臧igkeit
  727. verfgen, Daten im Monitor Mode aufzunehmen. Dies hat zur
  728. Folge, dass nur spezielle Funknetzwerkkarten verwendet werden knen.
  729. Eine Beeintr臘htigung eines Sensors durch
  730. die Menge an Datenpaketen ist aufgrund der Leistungsf臧igkeit heutiger
  731. Hardware in Verbindung mit dem geringen Datenaufkommen in
  732. Wireless-Netzwerken auch in n臧erer Zukunft unwahrscheinlich.
  733.     </para>
  734.     </section>
  735.  
  736.  
  737. </section>
  738.  
  739. <section>
  740.  <title>References</title>
  741.  <para>
  742. [8SEC] Borisov, N., Goldberg, I., Wagner, D.:
  743. Intercepting Mobile Communications: The Insecurity of 802.11
  744. Online im Internet (12/02/2003):
  745. http://www.isaac.cs.berkeley.edu/isaac/wep-draft.pdf
  746.  </para>
  747.  <para>
  748. [8KEY] Fluhrer, S., Mantin, I., Shamir, A.:
  749. Weaknesses in Key Scheduling of RC4
  750. Eighth Annual Workshop on Selected Areas in Cryptography, August
  751. 2001
  752. Online im Internet (12/02/2003):
  753. http://downloads.securityfocus.com/library/rc4_ksaproc.pdf
  754.  </para>
  755.  <para>
  756. [8WG] IEEE 802.11Working Group
  757. The Working Group for WLAN Standards
  758. Online im Internet (12/02/2003):
  759. http://grouper.ieee.org/groups/802/11/index.html
  760.  </para>
  761.  <para>
  762. [ASVL] AbsoluteValue Systems
  763. The linux-wlan Company
  764. Online im Internet (12/02/2003):
  765. http://www.linux-wlan.com/
  766.  </para>
  767.  <para>
  768. [ACSAC] Annual Computer Security Applications Conference
  769. Application Intrusion Detection using Language Library Calls
  770. Online im Internet (12/02/2003):
  771. http://www.acsac.org/2001/papers/21.pdf
  772.  </para>
  773.  <para>
  774. [ACERT] The CERT Coordination Center
  775. AirCERT Project Homepage
  776. Online im Internet (21/02/2003):
  777. http://www.cert.org/kb/aircert/
  778.  </para>
  779.  <para>
  780. [ARPK] WildPackets Inc.
  781. Airopeek NX
  782. Online im Internet (30/10/2002):
  783. http://www.wildpackets.org/products/airopeek_nx/
  784.  </para>
  785.  <para>
  786.  [ASNORT] AirSnort
  787. AirSnort - WLAN tool to recover encryption keys
  788. Online im Internet (06/02/2003):
  789. http://airsnort.shmoo.com/
  790.  </para>
  791.  <para>
  792. [BTRAQ] Sicherheitslcken in Access Points:
  793. D-Link DWL-900AP+ Security Hole
  794. Online im Internet (12/02/2003):
  795. http://online.securityfocus.com/archive/1/306766
  796. Longshine WLAN Access-Point LCS-883R VU#310201
  797. Online im Internet (12/02/2003):
  798. http://online.securityfocus.com/archive/1/305344
  799. DoS Vulnerability in Linksys Cable/DSL Routers
  800. Online im Internet (12/02/2003):
  801. http://online.securityfocus.com/archive/1/300754
  802.  </para>
  803.  <para>
  804. [CIDF] Stuart Staniford-Chen et. al.:
  805. The Common Intrusion Detection Framework Architecture
  806. Online im Internet (12/02/2003):
  807. http://www.isi.edu/gost/cidf/drafts/architecture.txt
  808.  </para>
  809.  <para>
  810. [CIDS] Cisco Systems, Inc.:
  811. Cisco IDS Host Sensor Data Sheet
  812. Online im Internet (12/02/2003):
  813. http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/prodlit/
  814. hid25_ds.htm
  815.  </para>
  816.  <para>
  817. [DSSID] The wi2600 Crew
  818. Liste von Default SSIDs
  819. Online im Internet (31/02/2003):
  820. http://mediawhore.wi2600.org/nf0/wireless/ssid_defaults/
  821.  </para>
  822.  <para>
  823. [ETHRL] The Ethereal Network Analyzer
  824. Online im Internet (12/02/2003):
  825. http://www.ethereal.com/
  826.  </para>
  827.  <para>
  828. [FKAP] Black Alchemy Enterprises
  829. Fake AP
  830. Online im Internet (12/02/2003):
  831. http://www.blackalchemy.to/project/fakeap/
  832.  </para>
  833.  <para>
  834. [GRTNR] The Gartner Group
  835. Gartner Advises on Security, August 2001
  836. Online im Internet (12/02/2003):
  837. http://www.gartner.com/5_about/press_releases/2001/
  838. pr20010809b.html
  839.  </para>
  840.  <para>
  841. [GRPHA] Stuart Staniford-Chen et. al.:
  842. GrIDS - A GraphBased Intrusion Detection System for Large Networks
  843. In The 19th National Information Systems Security Conference, 1996
  844. Online im Internet (18/10/2002):
  845. http://seclab.cs.ucdavis.edu/arpa/grids/welcome.html
  846.  </para>
  847.  <para>
  848. [HSEC] Herwart Holland-Moritz, alias Wau Holland, 1951-2001, Mitbegrnder
  849. des Chaos Computer Clubs
  850. In einem Interview im Zuge des Hamburger Dialog
  851. Online im Internet (13/01/2003):
  852. http://www.heise.de/newsticker/data/jk-10.05.00-000/
  853.  </para>
  854.  <para>
  855. [HSNT] Heise Online
  856. Funknetze: Nachbesserung fr mehr Sicherheit versp舩et sich
  857. Online im Internet (25/02/2003):
  858. http://www.heise.de/newsticker/data/ea-25.02.03-000/
  859.  </para>
  860.  <para>
  861. [HSTP] Jouni Malinen
  862. HostAP-Treiber
  863. Online im Internet (12/02/2003):
  864. http://hostap.epitest.fi/
  865.  </para>
  866.  <para>
  867. [HYNT] The Honeynet Project
  868. To learn the tools, tactics, and motives of the blackhat community
  869. Online im Internet (12/02/2003):
  870. http://project.honeynet.org/
  871.  </para>
  872.  <para>
  873. [IDWG] The Internet Engineering Task Force
  874. Intrusion Detection Working Group
  875. Online im Internet (12/02/2003):
  876. http://www.ietf.org/html.charters/idwg-charter.html
  877.  </para>
  878.  <para>
  879. [ICOM] Intrusion, Inc.
  880. Why Firewalls Arent Enough
  881. Online im Internet (12/02/2003):
  882. https://www.intrusion.com/products/downloads/
  883. WhyFirewallsArentEnough.pdf
  884.  </para>
  885.  <para>
  886. [JHWT] Joshua Wright
  887. Detecting Wireless LAN MAC Address Spoofing
  888. Online im Internet (12/02/2003):
  889. http://home.jwu.edu/jwright/papers/wlan-mac-spoof.pdf
  890.  </para>
  891.  <para>
  892. [LMF] Joe McAlerney, Adam Migus
  893. libidmef - IDMEF Implementation
  894. Online im Internet (12/02/2003):
  895. http://www.silicondefense.com/idwg/libidmef/
  896.  </para>
  897.  <para>
  898. [LXP] Defcom AB, CodeFactory AB
  899. libidxp - An IDXP/BEEP Protocol Implementation
  900. Online im Internet (12/02/2003):
  901. http://idxp.codefactory.se/
  902.  </para>
  903.  <para>
  904. [NSTR] NetStumbler
  905. 802.11b based Wireless Network Auditing
  906. Online im Internet (31/01/2003):
  907. http://www.netstumbler.com/
  908.  </para>
  909.  <para>
  910. [ORWN] Gast Matthew S.:
  911. 802.11 Wireless Networks: The Definitive Guide
  912. OReilly and Associates, Inc., Sebastopol, CA 2002
  913.  </para>
  914.  <para>
  915. [PRLD] The Prelude Team
  916. Prelude - A Hybrid Intrusion Detection System
  917. Online im Internet (12/02/2003):
  918. http://www.prelude-ids.org/
  919.  </para>
  920.  <para>
  921. [RLSC] Internet Security Systems
  922. RealSecure Network Protection
  923. Online im Internet (24/02/2003):
  924. http://www.iss.net/products_services/enterprise_protection/rsnetwork/
  925.  </para>
  926.  <para>
  927. [RFC1] Point-To-Point Protocol (PPP)
  928. Online im Internet (12/02/2003):
  929. http://www.ietf.org/rfc/rfc1661.txt
  930.  </para>
  931.  <para>
  932. [RFC2] PPP Extensible Authentication Protocol (EAP)
  933. Online im Internet (12/02/2003):
  934. http://www.ietf.org/rfc/rfc2284.txt
  935.  </para>
  936.  <para>
  937. [RFC3] Remote Authentication Dial In User Service (RADIUS)
  938. Online im Internet (12/02/2003):
  939. http://www.faqs.org/rfcs/rfc2865.html
  940.  </para>
  941.  <para>
  942. [SHBID] The SANS Institute
  943. What is host-based intrusion detection?
  944. Online im Internet (12/02/2003):
  945. http://www.sans.org/resources/idfaq/host_based.php
  946.  </para>
  947.  <para>
  948. [SLATS] The SANS (SysAdmin, Audit, Network, Security) Institute
  949. Layered Approach to Security
  950. Online im Internet (13/01/2003):
  951. http://www.sans.org/resources/idfaq/layered_defense.php
  952.  </para>
  953.  <para>
  954. [SCNT] Thomas H. Ptacek, Timothy N. Newsham
  955. Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection
  956. Online im Internet (05/02/2003):
  957. http://www.insecure.org/stf/secnet_ids/secnet_ids.html
  958.  </para>
  959.  <para>
  960. [SNRT] The Snort Team
  961. Snort - The Open Source Network Intrusion Detection System
  962. Online im Internet (12/02/2003):
  963. http://www.snort.org/
  964.  </para>
  965.  <para>
  966. [SNRTX] CERT Knowledgebase
  967. Snort XML Plugin
  968. Online im Internet (12/02/2003):
  969. http://www.cert.org/kb/snortxml/index.html
  970.  </para>
  971.  <para>
  972. [TWRE] Tripwire, Inc.
  973. Tripwire Open Source, Linux Edition
  974. Online im Internet (12/02/2003):
  975. http://www.tripwire.org/
  976.  </para>
  977.  <para>
  978. [VIDR] University of Virginia
  979. Intrusion Detection Research
  980. Online im Internet (30/10/2002):
  981. http://www.cs.virginia.edu/~jones/IDS-research/
  982.  </para>
  983.  <para>
  984. [WSEC] Bernard Aboba
  985. Bernard Aboba's analysis of WEP2 security
  986. Online im Internet (16/01/2003):
  987. http://grouper.ieee.org/groups/802/11/Documents/DocumentHolder/1-253.zip
  988.  </para>
  989.  <para>
  990. [WFAQ] Research Group Internet Security, Applications, Authentication
  991. and Cryptography, Abteilung Computer Science der University
  992. of California, Berkeley
  993. Security of the WEP algorithm
  994. Online im Internet (12/02/2003):
  995. http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html
  996. </para>
  997. </section>
  998.  
  999. </article>
  1000.