Моніторинг мережі і перевірка безпеки

1. Моніторинг і аналіз бездротових локальних мереж вимагають застосування спеціальних методик і робочих...
2. ДОДАТКОВІ ДАНІ
3. ДОВІРА ДО БЕЗПЕКИ - ДОБРЕ, КОНТРОЛЬ - КРАЩЕ
4. Досвід роботи з Latitude D600 від Dell при аналізі бездротових мереж

Моніторинг і аналіз бездротових локальних мереж вимагають застосування спеціальних методик і робочих інструментів. Пропонований в статті список найбільш важливих аспектів аналізу бездротових мереж стандартів 802.11a / b / g складений в результаті лабораторних тестів.

Наша взаимовыгодная связь https://banwar.org/

Всі завдання моніторингу для адміністраторів бездротових мереж можна розділити на три основні групи: спостереження за активними учасниками обміну (моніторинг мережі), дотримання корпоративних правил безпеки (аудит безпеки) і забезпечення оптимального часу реакції мережі для всіх бездротових вузлів (аналіз продуктивності і помилок). У статті описуються різні інструменти і підходи до їх застосування для забезпечення моніторингу мережі та перевірки безпеки.

КОНТРОЛЬ радіоефірі

Виявити точки доступу в межах безпосередньої досяжності можна за допомогою що поставляються разом з адаптерами WLAN клієнтських утиліт (див. Малюнок 1). Звичайно, в першу чергу вони призначені для забезпечення готовності адаптера WLAN до роботи, проте нові комбіновані бездротові карти підтримують кілька стандартів, а тому користувач отримує просте допоміжне вбудоване засіб, завдяки якому він може визначити активні точки доступу і розпізнати потенційне випромінювання в близько одне до одного розташованих каналах в діапазоні 2,4 ГГц стандартів 802.11b і g. Карти стандартів a / b / g - Lancom MC-54ag, Linksys WPC54AG, Netgear WAG511 і Proxim Orinoko 11a / b / g Combocard на базі набору мікросхем Atheros - за допомогою що поставляються з ними утиліт постачають інформацією про застосовувані режимах WLAN (стандарт 802.11), про використовуваних частотних каналах, а також про статус шифрування WEP і інтенсивності сигналу.

Однак, щоб отримати навіть приблизне уявлення про просторове розташування найближчих активних осередків WLAN, необхідна набагато більш докладна інформація. Остання версія 0.3.30 вільно поширюваного програмного забезпечення Netstumbler пропонує на базі Windows огляд активних точок доступу стандарту 802.11b з усіма важливими параметрами WLAN. Розпізнавання точок доступу 802.11а на даний момент підтримується тільки в Windows ХР. Точки доступу стандарту 802.11g розпізнаються виключно в режимі сумісності з 802.11b.

Додатково до зібраної клієнтськими утилітами інформації Netstumbler записує час першого і останнього появи розпізнаних точок доступу в бездротової мережі. Якщо користувач переміщається по кімнаті, цей метод хоч і не дає можливості точного визначення місцезнаходження, але дозволяє визначити з урахуванням моменту часу, які бездротові осередки знаходяться по сусідству. Крім того, приблизне розташування можна визначити час після цього перетину великих просторів. Встановити більш точні координати WLAN можна за допомогою опціонально поставляється приймача глобальної системи навігації і визначення положення (Global Positioning System, GPS), що підключається через порт COM.

В якості апаратної основи для Netstumbler добре зарекомендували себе адаптери WLAN з набором мікросхем від Lucent (Proxim Orinoko Gold 11 Мбіт / с і Lancom Airlancer MC-11). Виконуючи завдання розпізнавання точок доступу, як і клієнтські утиліти, Netstumbler активно втручається в мережевий трафік, відправляючи по черзі по всіх каналах WLAN «кадр запиту зонда» (Probe Request Frame) відповідно до специфікації IEEE 802.11. Кожна з точок доступу відповідає «відповіддю зонду» (Probe Response), де, в залежності від її конфігурації, міститься ім'я мережі (Extended Service Set Identifier, ESSID).

Якщо точка доступу перешкоджає передачі ESSID (статус «невидима», «закрита радіомережа»), щоб, наприклад, запобігти прив'язку клієнтів WLAN шляхом завдання для ESSID значення «будь-хто» (ANY), то, хоча точка доступу і з'являється у відповідному списку Netstumbler , необхідне для її асоціації мережеве ім'я не показується. Існування точок доступу не приховується ні в клієнтських утиліти, ні в Netstumbler навіть тоді, коли використання точки обмежена специфічними МАС-адресами за допомогою списку контролю доступу.

ДОДАТКОВІ ДАНІ

Якщо активним клієнтам WLAN потрібна додаткова інформація, то повний запис і оцінку трафіку мережі можна отримати за допомогою спеціальних інструментів. Протокольні аналізатори WLAN задіють пасивний режим прийому всіх пакетів адаптерів WLAN на базі PC Card. Вони не втручаються в те, що відбувається в мережі, подібно Netstumbler. Для Windows 2000 / XP на даний момент є кілька комерційних рішень: Airopeek NX 2001 від Wildpacket, Network Instruments Observer 8.3 Expert і Network Associates Wireless Sniffer 4.75. Всі ці продукти ведуть своє походження від класичного аналізу протоколів локальних мереж.

Для першого ознайомлення з пакетами даних на різних частотних каналах WLAN майже повсюдно застосовується «сканування каналів» (Channel Scanning) або, відповідно, «серфінг по каналах» (Channel Surfing): аналізатор перемикається на короткі проміжки часу з каналу на канал для збору статистики по трафіку - про кількість пакетів, реальної швидкості передачі, шифруванні WEP, помилки і інтенсивності сигналів.

Врахування особливостей членів сімейства 802.11 дуже важливо, інакше цей простий підрахунок легко може привести до помилкової інтерпретації: у всьому діапазоні 2,4 ГГц для 802.11 b і g пакети розподіляються по набагато більшій кількості каналів, ніж задействуемих активними WLAN - максимум 14. Причина криється в перекривання сигналів сусідніх каналів. Канали в області перекриття сигналу WLAN розпізнаються зазвичай за підвищеним кількістю помилок CRC. 802.11а не володіє подібною специфікою через відсутність перекриття між каналами.

Сучасні аналізатори, WLAN, Observer і Airopeek, помітно досягли успіху в оцінці потоку даних: вони аналізують містяться всередині кадру протокольні дані 802.11 і встановлюють взаємовідносини між бездротовими вузлами. Таким чином вдається уявити точки доступу та асоційованих з ними клієнтів, вищі ESSID і разом з ними логічні підключення точок до розподільних систем і реально працюючі радіоканали. За допомогою аналізу протоколів, на відміну від застосування клієнтських утиліт і Netstumbler, можна дізнатися і ESSID закритих мереж - аналізатори просто витягують його з потоку даних.

Аналізатори розуміють і рівень прикладних протоколів HTTP, SMB або Lotus Notes, тому вони можуть швидко скласти профіль використання для клієнта. Інформація рівня додатків доступна в бездротової середовищі лише тоді, коли не застосовується шифрування даних WEP або VPN. Статичні ключі WEP - якщо вони відомі - при необхідності можуть бути повідомлені аналітичній програмі. У разі динамічних ключів, наприклад, при використанні протоколів 802.1х / EAP, аналіз протоколів вище рівня МАС неможливий. Отримати доступ до такої інформації і проаналізувати її вдасться лише з боку інтерфейсу Ethernet на точці доступу. Повну картину активності в мережі надасть тільки паралельне застосування в цих сценаріях бездротових і класичних аналізаторів.

ДОВІРА ДО БЕЗПЕКИ - ДОБРЕ, КОНТРОЛЬ - КРАЩЕ

З розгортанням бездротових локальних мереж підприємствам неминуче доводиться стикатися з проблемами безпеки. Занадто просто в будь-якій точці області покриття бездротової мережі приймати без будь-якої санкції пакети даних, і так само просто незахищені бездротові мережі можуть бути використані як приховані точки атак на корпоративну мережу. Ціни на мережеві компоненти постійно падають, і персонал все частіше підключає до мережі неавторизовані точки доступу (Rogue Access Point) без урахування вимог корпоративного відділу ІТ по забезпеченню безпеки, в результаті загальна захищеність мережі падає. Відповідальній особі доводиться вирішувати складне завдання: йому потрібно не тільки визначити правила безпеки (наприклад, примусове застосування шифрування даних з 128-розрядним ключем WEP або, ще краще, за допомогою IPSec, а також використання потужних алгоритмів аутентифікації за допомогою 802.1х), але і стежити за їх виконанням.

Для пошуку невідомих точок доступу цілком достатньо безкоштовного Netstumbler, оскільки принцип його роботи базується на активних мережевих запитах з відомими вимогами. До комерційних же протокольним аналізатора WLAN високі вимоги пред'являє необхідність підтримки трьох останніх стандартів IEEE - 802.11b (2,4 ГГц, максимальна пропускна здатність 11 Мбіт / с), 802.11а (5 ГГц, 54 Мбіт / с), 802.11g (2, 4 ГГц, 54 Мбіт / с) - і таких специфічних для виробників режимів, як Turbomodus в мікросхемах Atheros (5 ГГц, 108 Мбіт / с завдяки ущільненню каналів). Observer, Airopeek і Wireless Sniffer хоч і підтримують бездротові мережі крім стандарту 802.11b, але з втратами в функціональності і зручності.

Нещодавно затверджений стандарт 802.11g зараз підтримують тільки Airopeek і Observer. На цей випадок можна порадити використовувати комбіновані радіокарти, застосування яких робить необов'язковим постійне «жонглювання» картами. Програми підтримують карти WLAN на базі мікросхем Atheros AR500X для 802.11а / b і AR500X + для 802.11a / b / g. Однак і для середовищ, де офіційно використовується тільки один бездротовий стандарт, має сенс набір аналітичних інструментів для всього спектра WLAN: лише таким чином можна забезпечити знаходження всіх активних бездротових мереж.

При цьому наявність комбінованої бездротової карти в аналізаторі полегшує моніторинг за допомогою сканування каналів: досліджуваний частотний діапазон (2,4 ГГц в 802.11b / g і 5 ГГц в 802.11а) не повинен обмежуватися заздалегідь. За бажанням всі канали трьох стандартів можуть бути перевірені один за одним за один робочий цикл. При цьому не виникає необхідності постійного переконфігуруванні аналізатора або повторного сканування будь-якого діапазону. З трьох рішень такий зручний метод пропонує тільки Airopeek (див. Малюнок 2).

Пошуку бездротових мереж заважає також різні політики ліцензування частот національних регулюючих органів. Певний для трьох сучасних стандартів IEEE на бездротові мережі спектр каналів доступний для використання далеко не у всіх країнах. Тому драйвери бездротових карт підтримують лише якусь частину з технічно можливих каналів. В межах стандартів 802.11b / g і їх діапазону 2,4 ГГц в США, наприклад, відкриті тільки канали 1-11, а в Німеччині офіційно доступні канали 1-13. Якщо драйвер карти передає аналізатору WLAN лише інформацію про канали з 1 по 11, то внаслідок перекриття діапазонів точки доступу на 13-му каналі виявляються все ж видимими на каналах 10 і 11. Ми натрапили на це обмеження за кількістю каналів при роботі з Airopeek і драйверами під нього від Atheros. Аналізатор WLAN може лише приймати пакети, але не відправляти їх, тому моніторинг каналів не забороняється національними законодавствами.

Сучасні аналізатори WLAN допомагають адміністратора при інвентаризації бездротових мереж, завдяки простоті складання та обслуговування списків МАС-адрес на підставі записаного трафіку даних. Невідомі і тому принципово підозрілі точки доступу та інші вузли WLAN негайно екстрагуються з потоку даних. Однак аналізатори навряд чи зможуть допомогти при визначенні точного місцезнаходження бездротових вузлів. Але в будь-якому випадку спостерігається інтенсивність сигналу дозволяє зробити висновки про його координатах.

Крім того, не можна забувати, що аналізатори зі своїм пасивним підходом можуть оцінювати лише те, що «бачать». Перш ніж необхідні результати з'являються на екрані, проходить деякий час. Особливо це актуально для фрагментарною записи пакетів при скануванні каналів. Цілеспрямований моніторинг будь-якого частотного діапазону можливий тільки на основі постійного запису. За бажанням адміністратора аналізатори передають відомості за допомогою електронної пошти, якщо складається тривожна ситуація, заздалегідь визначена за допомогою фільтра (див. Малюнок 3) або порогового значення, наприклад, поява невідомого бездротового вузла. Разом з «зондом Rfgrabber» Wildpacket як доповнення до Airopeek NX пропонує віддалений монітор WLAN з можливістю підключення до мережі Ethernet. Це дозволяє здійснювати постійний моніторинг віддалених бездротових осередків без обов'язкової установки ноутбуків з аналізатором.

Для забезпечення безпеки бездротових локальних мереж на підприємствах офіційно дозволені бездротові осередки повинні регулярно перевірятися. Точно дізнатися, наскільки успішно пройшла конфігурація точок доступу і клієнтів WLAN, можна лише шляхом аналізу мережевого трафіку. Експертні аналітичні системи Observer Expert, Wireless Sniffer і Airopeek NX мають вбудовані зумовленими шаблонами, на підставі яких вони повідомляють адміністратора про стандартних ситуаціях без додаткових оціночних кроків з його боку. До їх числа відносяться ті випадки, коли точка доступу дозволяє клієнту встановити з ним з'єднання без шифрування даних WEP, хоча WEP і був активований з боку точки доступу, або коли в регулярних широкомовних розсилках Beacon Broadcast точки доступу міститься мережеве ім'я ESSID.

Для більш детальної перевірки дотримання правил безпеки в бездротових мережах ( «аудиту безпеки»), як правило, цих обмежених «функцій експертного аналізу» не вистачає. Необхідні додаткові можливості розпізнавання. У протокольних анализаторах вони реалізуються за допомогою індивідуально визначених фільтрів протоколів. Таким чином вдається розпізнавати стандартні ESSID виробників точок доступу або спроби підключення користувачів за допомогою вказівки універсального мережевого імені ANY. Відповідні фільтри здатні виловлювати і актуальні атаки DoS, наприклад SQL Slammer, або «черв'яків», таких, як MSblaster.

В результаті аналізатор показує адреси тих бездротових вузлів, які порушують правила безпеки і при необхідності повідомляє про них адміністратора по електронній пошті. Останній, грунтуючись на цьому, може приймати вже власні заходи. Визначення та обслуговування фільтра протоколів, правда, зовсім не проста справа - необхідні точні знання про структуру протоколу і принципі його роботи, щоб відшукати його в пакеті. З випуском Airopeek NX 2.0 Wildpacket завдання полегшує входить в комплект Security Audit Template, що містить ряд зумовлених фільтрів. Це, по крайней мере, перший крок.

Петер Мойзер - співробітник тестовій лабораторії LANline. З ним можна зв'язатися за адресою: [email protected] .

? AWi Verlag

Досвід роботи з Latitude D600 від Dell при аналізі бездротових мереж

При підборі інструментарію для професійного аналізу бездротових локальних мереж, особливу увагу слід звернути на особливості апаратного забезпечення застосовуваного ноутбука. Попрацювавши в лабораторії LANline з Latitude D600 (Pentium-M на 1,6 ГГц) від Dell і старішим Latitude С800 (Pentium III на 800 МГц), ми набули досвіду, на підставі якого можна дати загальні практичні поради.

Швидкість обробки. Запис пакетів даних в бездротових мережах з номінальною швидкістю передачі даних 54 Мбіт / с при одночасній статистичної оцінки вимагає високої продуктивності використовуваного для аналізу апаратного забезпечення. Під час тестів на продуктивність при максимальному завантаженні бездротової осередку наша система на 850 МГц при роботі з Airopeek NX 2.0 не реагувала на що вводяться користувачем дані. Новий Latitude D600 з процесором Pentium-M продуктивністю 1,6 ГГц (порівняймо з Pentium 4 продуктивністю 2,4 ГГц), навпаки, дозволяє нормально працювати з системою і далі. Неможливо лише декодування даних в реальному часі, що при значному потоці пакетів має невелике практичне значення.

Об'єм зберігання. Призначений для аналізу ноутбук повинен мати як мінімум 512 Мбайт, а краще - 1 Гбайт оперативної пам'яті, щоб довгі записи пакетів можна було повністю розмістити в пам'яті швидкого доступу. Для проміжного зберігання записів пакетів необхідний досить продуктивний жорсткий диск (5400 обертів / хв) обсягом не менше 40 Гбайт. Дуже корисна наявність додаткового жорсткого диска в зовнішньому корпусі з комбінованим входом USB-2.0 / FireWire. З його допомогою об'ємні записи пакетів можна транспортувати для подальшого аналізу на інші робочі місця. Невеликі обсяги можна записувати і на компакт-диски.

Адаптер WLAN. Dell для своєї серії Latitude D пропонує внутрішні адаптери Mini-PCI Truemobile 1300 (b / g) і Truemobile 1400 (а / b / g). Обидва рішення WLAN базуються на наборі мікросхем Broadcom. Безпосередньо для запису пакетів вони не призначені, але в цілях моделювання ситуації можуть активно втручатися в те, що відбувається через внутрішні адаптери WLAN, в той час як спеціальний зовнішній адаптер РС Card записує мережевий трафік. У багатьох ситуаціях це дозволяє уникнути необхідності використовувати другий ноутбук. Комбінацію PC Card / Mini PCI варто віддати перевагу подвійний комбінації PC Card, оскільки форм-фактор сучасних комбінованих бездротових карт не дозволяє встановлювати їх в два сусідніх слота PC Card (виняток: адаптер Proxim).

Ергономіка. Природа «полювання за хвилями» Робить неминучий часту зміну адреси. Пощастило тому, у кого виявило Міцний Зручний ноутбук. Новий Latitude D600 зі своїм частково магнієвим корпусом і вагою в 2,2 кг, без сумнівів, випередив своїх кволих попередників. Для кращого сприйняття інформації від аналізаторів бездротових локальних мереж необхідний високий дозвіл екрана: 1024 на 768 точок. D600 в змозі забезпечити 1400 на 1050 пікселів при діагоналі екрану 14,1 дюйм.