Muitos fabricantes de soluções wireless incluem a função de WIPS/IDS. Neste exemplo temos o AP-61 funcionando como air-monitor, varrendo as frequências a e g para descobrir clientes e APs que não fazem parte da rede local. São denominados interfering APs aqueles que estão no raio de cobertura do AP da nossa rede, mas que não estão cabeados em nossa infraestrutura. Já os interfering clients ativos são os clientes que estão conectados aos APs interfering. O maior inconveniente que os elementos interfering podem causar à nossa rede wireless é, como o próprio nome sugere, a interferência nas frequências utilizadas. A própria controladora, prevendo isso, se encarrega de alocar aos seus SSIDs, canais com frequência adequada a fim de minimizar tais interferências.

topologia - WIPS

Um tipo de vulnerabilidade comum até mesmo em redes residenciais, se refere aos “hidden” SSIDs. Tal recurso é incentivado por muitos fabricantes como uma forma adicional de segurança, mas no fundo trazem mais riscos e problemas que vantagens.
Um SSID visível e protegido (WEP, WPA…) se propaga pelo ar através de um tráfego broadcast originado no AP. Todos os clientes na área de cobertura recebem informações dessas redes.
Já no caso de clientes de redes ocultas, estes tentam verificar se o tal SSID escondido faz parte dos APs dentro da área de cobertura e isso acontece de forma espontânea, ao mesmo tempo em que os APs com SSID escondido fazem broadcast. É possível ver que o tráfego está sendo muito sacrificado: APs e clientes fazendo, ambos broadcast. Outro problema nisso é o fato de que o cliente configurado para se conectar à rede oculta faz esse broadcast dentro e fora da área de cobertura, pois as placas de rede, por comodidade, são configuradas para tentar a associação com as redes escondidas, de forma automática. E quando esse broadcast é feito, qualquer dispositivo com capacidade de capturar o tráfego (Wireshark, inSSIDer, NetStumbler…) facilmente descobre o nome do SSID. Seria o mesmo procedimento que existia antigamente na máfia, onde o comparsa, para entrar no seu bunker, batia na porta e, para que esta fosse liberada, a senha deveria ser dita em alto e bom som, podendo ser ouvida por quem estivesse próximo.

Nesse experimento, os SSIDs ocultos foram descobertos com facilidade pelo monitoramento do AP e repassados à controladora, onde foram identificados pelo WIDS.

 

interfering APs

 

O WIPS também detecta APs rogue, que são APs que não fazem parte da rede wireless local, mas estão cabeados na infraestrutura, representando risco à rede. Os dois APs “intrusos” (IAP-3 e Netgear) foram descobertos pelo IDS da controladora 200. Tais APs rogue até conseguem receber associação de clientes, mas o IPS trata da contenção deste AP através de técnicas como man-in-the-middle e arp poisoning.