Мрежово наблюдение и проверки за сигурност

Наблюдението и анализът на безжичните LAN мрежи изисква специализирани техники и инструменти. Списъкът с най-важните аспекти на анализа на безжичните мрежи 802.11a/b/g, предложен в статията, е съставен в резултат на лабораторни тестове.

Всички задачи за мониторинг за безжични администратори могат да бъдат разделени на три основни групи: наблюдение на активните участници в обмена (мониторинг на мрежата), спазване на корпоративните правила за сигурност (одит на сигурността) и осигуряване на оптимално време за реакция на мрежата за всички безжични възли (анализ на производителността и грешките). Тази статия описва различни инструменти и подходи за тяхното използване за осигуряване на мрежово наблюдение и одити на сигурността.

РАДИО КОНТРОЛ

Можете да използвате помощните програми на клиента, предоставени с WLAN адаптерите, за да намерите точките за достъп в близост (вижте Фигура 1). Разбира се, те са предназначени предимно да осигурят наличността на WLAN адаптера за работа, но новите комбинирани безжични карти поддържат няколко стандарта и следователно потребителят има прост спомагателен вграден инструмент, благодарение на който той може да идентифицира активен достъп точки и разпознават потенциалната радиация в непосредствена близост един до друг, разположени канали в 2,4 GHz лента от 802.11b и g стандарти. A/b/g карти - Lancom MC-54ag, Linksys WPC54AG, Netgear WAG511 и Proxim Orinoko 11a/b/g Combocard, базирани на използваните честотни канали Atheros чипсет, състоянието на WEP криптиране и силата на сигнала.

одит

Необходима е обаче много по-подробна информация, за да се получи дори груба представа за пространственото местоположение на близките активни WLAN клетки. Най-новата версия 0.3.30 на безплатния софтуер Netstumbler предлага Windows-базиран преглед на 802.11b активни точки за достъп с всички важни WLAN параметри. Понастоящем разпознаването на точка за достъп 802.11a се поддържа само в Windows XP. Точките за достъп 802.11g се разпознават изключително в режим на съвместимост 802.11b.

В допълнение към информацията, събрана от помощните програми на клиента, Netstumbler записва времето на първото и последното появяване на разпознатите точки за достъп в безжичната мрежа. Ако потребителят се движи из стаята, въпреки че този метод не осигурява точно местоположение, той позволява да се определи, като се вземе предвид момент във времето, кои безжични клетки са в квартала. Освен това приблизителното местоположение може да бъде определено по-късно чрез пресичане на големи пространства. По-точни WLAN координати могат да бъдат зададени с помощта на допълнителния приемник за глобална система за позициониране (GPS) през COM порта.

Адаптерите за чипсет WLAN на Lucent (Proxim Orinoko Gold 11 Mbps и Lancom Airlancer MC-11) са се доказали добре като хардуерна база за Netstumbler. Изпълнявайки задачата за разпознаване на точки за достъп, както и на помощни програми на клиента, Netstumbler активно се намесва в мрежовия трафик, като изпраща рамка за заявка за сондиране една по една на всички WLAN канали в съответствие със спецификацията IEEE 802.11. Всяка от точките за достъп реагира с „Probe Response“, който в зависимост от конфигурацията си съдържа името на мрежата (Extended Service Set Identifier, ESSID).

ДОПЪЛНИТЕЛНА ИНФОРМАЦИЯ

Ако активните WLAN клиенти се нуждаят от повече информация, тогава може да се получи пълен запис и оценка на мрежовия трафик с помощта на специални инструменти. Анализаторите на WLAN протокол използват пасивен режим за получаване на всички пакети от WLAN адаптери, базирани на PC Card. Те не пречат на това, което се случва в мрежата като Netstumbler. В момента са налични няколко търговски решения за Windows 2000/XP: Airopeek NX 2001 от Wildpacket, Network Instruments Observer 8.3 Expert и Network Associates Wireless Sniffer 4.75. Всички тези продукти водят началото си от класическия анализ на LAN протоколите.

За първо запознаване с пакетите данни на различни WLAN честотни канали се използва почти универсално сканиране на канали или съответно сърфиране по канали: анализаторът превключва за кратки периоди от време от канал на канал, за да събира статистика за трафика - за броя на пакетите, реална скорост на предаване, WEP криптиране, грешки и сила на сигнала.

Вземането под внимание на характеристиките на членовете на семейството 802.11 е много важно, в противен случай това просто изчисление може лесно да доведе до погрешно тълкуване: в целия обхват 2,4 GHz за 802,11 b и g пакетите се разпределят по много по-голям брой канали от тези използва се от активни WLAN - максимум 14. Причината се крие в припокриването на сигнали от съседни канали. Каналите в областта на припокриване на WLAN сигнала обикновено се разпознават от увеличен брой CRC грешки. 802.11a няма тази специфичност поради липсата на припокриване между каналите.

Съвременните анализатори, WLAN, Observer и Airopeek, постигнаха значителен напредък в оценката на трафика: те анализират данните от протокола 802.11, съдържащи се в рамка, и установяват връзки между безжичните възли. По този начин е възможно да се представят точки за достъп и свързани клиенти, по-добри ESSID и заедно с тях логически връзки на точки към разпределителни системи и действително работещи радиоканали. Използвайки анализ на протокол, за разлика от използването на клиентски помощни програми и Netstumbler, можете също да откриете ESSID на затворени мрежи - анализаторите просто го извличат от потока от данни.

Анализаторите разбират и слоя протокол за приложение HTTP, SMB или Lotus Notes, така че могат бързо да генерират профил на използване за клиента. Информацията за приложния слой е достъпна в безжична среда само когато не се използва WEP или VPN криптиране на данни. Статичните WEP ключове - ако са известни - могат да бъдат докладвани на програмата за анализ, ако е необходимо. В случай на динамични ключове, например, когато се използват протоколите 802.1x/EAP, анализът на протоколи над нивото на MAC не е възможен. Тази информация може да бъде достъпна и анализирана само от Ethernet интерфейса на точката за достъп. Пълна картина на мрежовата активност ще предостави само паралелното приложение в тези сценарии на безжични и класически анализатори.

ДОВЕРИЕТО В БЕЗОПАСНОСТТА Е ДОБРО, КОНТРОЛЪТ Е ПО-ДОБЪР

За да търсите неизвестни точки за достъп, безплатният Netstumbler е напълно достатъчен, тъй като принципът му на действие се основава на активни мрежови заявки с известни изисквания. За търговските анализатори на WLAN протоколи се поставят високи изисквания за необходимостта да се поддържат трите най-нови IEEE стандарта - 802.11b (2.4 GHz, максимална честотна лента 11 Mbit/s), 802.11a (5 GHz, 54 Mbit/s), 802.11g 2, 4 GHz, 54 Mbps) - и специфични за производителя режими като Turbomodus на чипове Atheros (5 GHz, 108 Mbps благодарение на мултиплексиране на канали). Observer, Airopeek и Wireless Sniffer, въпреки че поддържат безжични мрежи в допълнение към стандарта 802.11b, но със загуба на функционалност и удобство.

Наскоро одобреният стандарт 802.11g в момента се поддържа само от Airopeek и Observer. В този случай е препоръчително да се използват комбинирани радиокарти, чието използване прави ненужно постоянно „жонглиране“ с карти. Програмите поддържат WLAN карти, базирани на Atheros AR500X за 802.11a/b и AR500X + за 802.11a/b/g. Въпреки това, дори за среди, в които официално се използва само един безжичен стандарт, набор от аналитични инструменти за целия WLAN спектър има смисъл да гарантира, че всички активни безжични мрежи са намерени.

В същото време наличието на комбинирана безжична карта в анализатора улеснява наблюдението чрез сканиране на канали: честотният обхват, който се изследва (2,4 GHz в 802.11b/g и 5 GHz в 802.11a), не трябва да бъде ограничен предварително. При поискване всички канали от трите стандарта могат да бъдат проверени един след друг в един работен цикъл. Това елиминира необходимостта от непрекъснато преконфигуриране на анализатора или повторно сканиране на всеки диапазон. От трите решения само Airopeek предлага толкова удобен метод (вж. Фигура 2).

одит

Търсенето на безжични мрежи също е затруднено от различни политики за лицензиране на честоти на националните регулаторни органи. Каналният спектър, дефиниран за трите съвременни IEEE стандарта за безжични мрежи, не е наличен за използване във всички страни. Следователно драйверите за безжични карти поддържат само някои от технически възможните канали. В рамките на стандартите 802.11b/g и техния обхват 2,4 GHz, например в САЩ са отворени само канали 1-11, докато в Германия каналите 1-13 са официално достъпни. Ако драйверът на картата изпраща само информация за канали от 1 до 11 към анализатора на WLAN, поради припокриването на диапазоните точките за достъп на канал 13 все още се виждат на канали 10 и 11. Попаднахме на това ограничение за броя на каналите при работа с Airopeek и драйвери под него от Atheros. WLAN анализаторът може да получава само пакети, но не и да ги изпраща, така че мониторингът на каналите не е забранен от националните закони.

Освен това не трябва да забравяме, че анализаторите с техния пасивен подход могат да оценяват само това, което „виждат“. Отнема известно време, докато необходимите резултати се появят на екрана. Това важи особено за фрагментарен пакетен запис при сканиране на канали. Целевото наблюдение на честотен диапазон е възможно само въз основа на постоянен запис. По искане на администратора анализаторите предават информация по електронната поща, ако възникне алармена ситуация, предварително определена с помощта на филтър (виж Фигура 3) или прагова стойност, например появата на неизвестен безжичен възел. Заедно с Rfgrabber Wildpacket, Airopeek NX предлага WLAN дистанционен монитор с Ethernet свързаност като добавка към Airopeek NX. Това позволява непрекъснато наблюдение на отдалечени безжични клетки, без да са необходими преносими компютри с анализатор.

одит

За по-задълбочена проверка на спазването на безжичната сигурност („одит на сигурността“) тези ограничени функции на „съдебен анализ“ обикновено липсват. Необходими са допълнителни възможности за разпознаване. В анализаторите на протоколи те се реализират с помощта на индивидуално дефинирани протоколни филтри. Това позволява да се разпознаят стандартните ESSID на производителите на AP или опитите за потребителска връзка, като се посочи родовото име на мрежата ANY. Съответните филтри могат да улавят действителни DoS атаки като SQL Slammer или червеи като MSblaster.

Опитът с Dell Latitude D600 при анализ на безжични мрежи

мрежово

При избора на инструменти за професионален анализ на безжичните локални мрежи трябва да се обърне специално внимание на хардуерните характеристики на използвания лаптоп. След като работихме в лабораторията LANline с Latitude D600 на Dell (Pentium-M 1.6 GHz) и по-старата Latitude C800 (800 MHz Pentium III), ние натрупахме опит, който може да се използва за даване на общи практически съвети.

Скорост на обработка. Записването на пакети от данни в безжични мрежи с номинална скорост на трансфер на данни от 54 Mbps, докато статистически ги оценява, изисква висока производителност на хардуера, използван за анализа. По време на тестове за производителност при максимално използване на безжична клетка, нашата 850 MHz система с Airopeek NX 2.0 не реагира на потребителския вход. Новият Latitude D600 с 1,6 GHz Pentium-M процесор (сравним с 2,4 GHz Pentium 4), от друга страна, поддържа системата да работи гладко. Невъзможно е само декодирането на данни в реално време, което е от малко практическо значение с впечатляващ пакет поток.

Капацитет за съхранение. Лаптопът, който трябва да се анализира, трябва да има най-малко 512 MB и за предпочитане 1 GB RAM, така че дългите пакетни записи да могат да бъдат напълно поставени в бързата памет. За междинно съхранение на пакетни записи се изисква достатъчно продуктивен твърд диск (5400 об/мин) с обем от поне 40 GB. Много е полезно да имате допълнителен твърд диск във външен корпус с комбиниран вход USB-2.0/FireWire. С него големи записи на пакети могат да бъдат транспортирани за по-късен анализ до други работни станции. Малки томове също могат да бъдат записани на CD.

WLAN адаптер. Dell предлага Truemobile 1300 (b/g) и Truemobile 1400 (a/b/g) вътрешни Mini-PCI адаптери за своята Latitude D серия. И двете WLAN решения се базират на чипсета Broadcom. Те не са предназначени директно за запис на пакети, но за да симулират ситуацията, те могат активно да пречат на случващото се чрез вътрешните WLAN адаптери, докато специален външен адаптер за PC Card записва мрежовия трафик. В много ситуации това избягва необходимостта от използване на втори лаптоп. Комбинацията PC Card/Mini PCI трябва да бъде предпочитана пред двойната комбинация PC Card, тъй като форм-факторът на съвременните комбинирани безжични карти не позволява да бъдат инсталирани в два съседни слота за PC Card (изключение: Proxim адаптер).

Ергономичност. Характерът на лова на вълни прави честите промени в местоположението неизбежни. Късметлия за някой с издръжлив и удобен лаптоп. Новият Latitude D600, с частично магнезиево шаси и 2,2 кг, несъмнено изпреварва крехките си предшественици. За по-добро възприемане на информация от безжични LAN анализатори се изисква висока разделителна способност на екрана: 1024 на 768 пиксела. D600 е в състояние да осигури 1400 x 1050 точки с диагонал на екрана 14,1 инча.

Споделете материала с колеги и приятели