Мрежово наблюдение и одит на сигурността, Дневник на мрежовите решения

Наблюдението и анализът на безжичните LAN мрежи изисква специализирани техники и инструменти. Списъкът с най-важните аспекти на анализа на безжичните мрежи 802.11a/b/g, предложен в статията, е съставен в резултат на лабораторни тестове.

Всички задачи за мониторинг за безжични администратори могат да бъдат разделени на три основни групи: наблюдение на активните участници в обмена (мониторинг на мрежата), спазване на корпоративните правила за сигурност (одит на сигурността) и осигуряване на оптимално време за реакция на мрежата за всички безжични възли (анализ на производителността и грешките). Тази статия описва различни инструменти и подходи за тяхното използване за осигуряване на мрежово наблюдение и одити на сигурността.

РАДИО КОНТРОЛ

Можете да използвате помощните програми на клиента, предоставени с WLAN адаптерите, за да намерите точките за достъп в близост (вижте Фигура 1). Разбира се, те са предназначени предимно да осигурят наличността на WLAN адаптера за работа, но новите комбинирани безжични карти поддържат няколко стандарта и следователно потребителят има прост спомагателен вграден инструмент, благодарение на който той може да идентифицира активен достъп точки и разпознават потенциалната радиация в непосредствена близост един до друг, разположени канали в 2,4 GHz лента от 802.11b и g стандарти. A/b/g карти - Lancom MC-54ag, Linksys WPC54AG, Netgear WAG511 и Proxim Orinoko 11a/b/g Combocard, базирани на използваните честотни канали Atheros чипсет, състоянието на WEP криптиране и силата на сигнала.

одит

Необходима е обаче много по-подробна информация, за да се получи дори груба представа за пространственото местоположение на близките активни WLAN клетки. Най-новата версия 0.3.30 на безплатния софтуер Netstumbler предлага Windows-базиран преглед на 802.11b активни точки за достъп с всички важни WLAN параметри. Понастоящем разпознаването на точка за достъп 802.11a се поддържа само в Windows XP. Точките за достъп 802.11g се разпознават изключително в режим на съвместимост 802.11b.

В допълнение към информацията, събрана от помощните програми на клиента, Netstumbler записва времето на първото и последното появяване на разпознатите точки за достъп в безжичната мрежа. Ако потребителят се движи из стаята, въпреки че този метод не осигурява точно местоположение, той позволява да се определи, като се вземе предвид момент във времето, кои безжични клетки са в квартала. Освен това приблизителното местоположение може да бъде определено по-късно чрез пресичане на големи пространства. По-точни WLAN координати могат да бъдат зададени с помощта на допълнителния приемник за глобална система за позициониране (GPS) през COM порта.

Адаптерите за чипсет WLAN на Lucent (Proxim Orinoko Gold 11 Mbps и Lancom Airlancer MC-11) са се доказали добре като хардуерна база за Netstumbler. Изпълнявайки задачата за разпознаване на точки за достъп, както и на помощни програми на клиента, Netstumbler активно се намесва в мрежовия трафик, като изпраща рамка за заявка за сондиране една по една на всички WLAN канали в съответствие със спецификацията IEEE 802.11. Всяка от точките за достъп реагира с „Probe Response“, който в зависимост от конфигурацията си съдържа името на мрежата (Extended Service Set Identifier, ESSID).

ДОПЪЛНИТЕЛНА ИНФОРМАЦИЯ

Ако активните WLAN клиенти се нуждаят от повече информация, тогава може да се получи пълен запис и оценка на мрежовия трафик с помощта на специални инструменти. Анализаторите на WLAN протокол използват пасивен режим за получаване на всички пакети от WLAN адаптери, базирани на PC Card. Те не пречат на това, което се случва в мрежата като Netstumbler. В момента са налични няколко търговски решения за Windows 2000/XP: Airopeek NX 2001 от Wildpacket, Network Instruments Observer 8.3 Expert и Network Associates Wireless Sniffer 4.75. Всички тези продукти водят началото си от класическия анализ на LAN протоколите.

За първо запознаване с пакетите данни на различни WLAN честотни канали се използва почти универсално сканиране на канали или съответно сърфиране по канали: анализаторът превключва за кратки периоди от време от канал на канал, за да събира статистика за трафика - за броя на пакетите, реална скорост на предаване, WEP криптиране, грешки и сила на сигнала.

Вземането под внимание на характеристиките на членовете на семейството 802.11 е много важно, в противен случай това просто изчисление може лесно да доведе до погрешно тълкуване: в целия обхват 2,4 GHz за 802,11 b и g пакетите се разпределят по много по-голям брой канали от тези използва се от активни WLAN - максимум 14. Причината се крие в припокриването на сигнали от съседни канали. Каналите в областта на припокриване на WLAN сигнала обикновено се разпознават от увеличен брой CRC грешки. 802.11a няма тази специфичност поради липсата на припокриване между каналите.

Съвременните анализатори, WLAN, Observer и Airopeek, постигнаха значителен напредък в оценката на трафика: те анализират данните от протокола 802.11, съдържащи се в рамка, и установяват връзки между безжичните възли. По този начин е възможно да се представят точки за достъп и свързани клиенти, по-добри ESSID и заедно с тях логически връзки на точки към разпределителни системи и действително работещи радиоканали. Използвайки анализ на протокол, за разлика от използването на клиентски помощни програми и Netstumbler, можете също да откриете ESSID на затворени мрежи - анализаторите просто го извличат от потока от данни.

Анализаторите разбират и слоя протокол за приложение HTTP, SMB или Lotus Notes, така че могат бързо да генерират профил на използване за клиента. Информацията за приложния слой е достъпна в безжична среда само когато не се използва WEP или VPN криптиране на данни. Статичните WEP ключове - ако са известни - могат да бъдат докладвани на програмата за анализ, ако е необходимо. В случай на динамични ключове, например, когато се използват протоколите 802.1x/EAP, анализът на протоколи над нивото на MAC не е възможен. Тази информация може да бъде достъпна и анализирана само от Ethernet интерфейса на точката за достъп. Пълна картина на мрежовата активност ще предостави само паралелното приложение в тези сценарии на безжични и класически анализатори.