Панорама сетевой безопасности
Добиться от руководства компаний серьезного отношения к безопасности беспроводных сетей нелегко. Подчас администраторам трудно сохранять душевное равновесие, когда очередной начальник подразделения без ведома ИТ-специалистов покупает беспроводной концентратор в обычном магазине, чтобы «временно» обеспечить клиентам доступ в Internet. Положение усугубляется тем, что нужно обладать поистине беспредельным терпением для расшифровки отчетов о результатах аудита беспроводной сети.
Большинство инструментов беспроводной сети выдает много данных, но их наглядное представление далеко не самое удачное. В некоторых программах высокого уровня реализованы ограниченные графические функции, но я не знаю ни одного продукта, который генерировал бы цветные карты беспроводной сети по результатам аудита, по крайней мере в стандартной конфигурации. Однако если нужно убедить руководство в необходимости введения более строгих политик безопасности или покупки более подходящего оборудования, то такая карта придает вес аргументам.
С минимальными затратами можно собрать набор бесплатных и коммерческих инструментов для подготовки GPS-карты (Global Positioning System — система глобального позиционирования) всех беспроводных сетей в районе. Эти карты содержат информацию о каждом владельце сети, мощности сигнала, типе шифрования, оборудования, MAC-адресах и множество других полезных данных. Карты помогут визуально оценить и укрепить защиту беспроводной сети.
Необходимые ресурсы
Для подобного проекта необходимы как аппаратные средства, так и программное обеспечение. Администраторы, которым приходилось выполнять беспроводной аудит, уже располагают большей частью оборудования. Большинство программ распространяется бесплатно, но, вероятно, придется еще потратиться на покупку программы картографирования и GPS-приемник. Для работы понадобятся следующие инструменты.
- Ноутбук с беспроводной платой. В большинстве современных ноутбуков (например, все модели на базе Intel Centrino) имеются встроенные радиосхемы. Однако вместо встроенного адаптера лучше применить PC-карту и подключить внешнюю антенну; в результате аудит станет более точным и полным. Для повышения мобильности и улучшения приема в ходе проверок я использую плату Poxim ORiNOCO Classic Gold PC Card и внешнюю, монтируемую в автомобиле антенну. На сайте NetStumbler можно купить аппаратные наборы, в состав которых входят плата и антенна.
- Переносной GPS-приемник. Это аппаратное устройство взаимодействует с компьютером и обнаруживает беспроводные узлы доступа (Access Points — AP). Не обязательно покупать сложный приемник; достаточно иметь простую модель, которая показывает долготу и широту. Однако выбранный приемник должен располагать интерфейсом с компьютером (обычно последовательным кабелем), а выход должен быть совместим со стандартом NMEA (National Marine Electronics Association), чтобы программа картографирования могла прочитать данные, и спецификацией WAAS (Wide Area Augementation System — система расширения области действия). Такое устройство можно приобрести у компаний Garmin и Thales Navigation менее чем за 1000 долл.
- NetStumbler 0.4.0 или более новая версия. Программа NetStumbler Мариуса Милнера — несомненно, самый широко распространенный инструмент беспроводного аудита на базе Windows. Эта универсальная программа распространяется бесплатно, а на Web-узле Милнера (http://www.netstumbler.com) можно найти превосходные дискуссионные форумы по беспроводной безопасности.
- StumbVerter 1.5 или более новая версия. StumbVerter компании Sonar Security (http://www.sonar-security.com) преобразует файлы NetStumbler в файлы, совместимые с Microsoft MapPoint, а затем создает карты аудита на основе этих файлов. Программа распространяется бесплатно, хотя желающие могут поучаствовать в финансировании дальнейших исследований автора. Следует обратить внимание, что StumbVerter 1.5 работает только с MapPoint 2004 и более поздними версиями; владельцам MapPoint 2002 необходима версия StumbVerter Beta 5. Обе версии можно загрузить с узла по адресу http://www.c2security.org/ tools/stumbverter.
- MapPoint 2004 или более новая версия. MapPoint генерирует карты для StumbVerter и позволяет внести улучшения в карты аудита. Это единственная платная программа в нашем наборе; розничная цена около 200 долл. Функции программы беспроводным аудитом не ограничиваются.
Установка
Установка программных пакетов в ноутбуке затруднений не вызывает: достаточно щелкнуть на файле Setup каждой программы, и они устанавливаются автоматически, запрашивая у пользователя необходимую информацию. Однако программы следует разворачивать в определенном порядке.
Первым устанавливается NetStumbler. Процесс занимает несколько минут. После завершения установки следует подключить GPS-приемник и запустить NetStumbler, предпочтительно рядом с известным беспроводным узлом доступа. Отображается главный экран программы; все активные беспроводные AP в зоне действия антенны показаны в правой панели (экран 1).
Экран 1. Отслеживание беспроводных узлов доступа |
В главном экране приводится разнообразная информация об обнаруженных узлах доступа. Не исключено, что число обнаруженных AP будет на удивление велико; на экране 1 показано, как много узлов доступа расположено вокруг торгового центра. Следует убедиться в поступлении GPS-данных для перечисленных AP. Эта информация отображается в столбцах широты и долготы правой панели.
Если данные GPS не поступают, нужно обратиться к пиктограмме GPS status в панели состояния программы. Этот значок показывает, передает ли GPS-приемник в программу данные. Поступлению данных может помешать несколько обстоятельств. Одна из возможных причин — некорректная настройка параметров последовательного порта. Для доступа к этим параметрам следует выбрать в панели меню NetStumbler пункты View, Options. На вкладке GPS следует проверить, корректно ли настроен COM-порт для последовательного соединения. Обычно это COM1 (если используется внутренний модем, то может быть задействован порт COM2).
Важно также убедиться в правильности параметров связи устройства. Например, параметры для устройства Thales Navigation Magellan — 4800 бод, 8 бит/с, контроль по четности отсутствует, один стоп-бит, управление потоком данных отключено (off). Параметры для устройств различных изготовителей немного различаются. Другой причиной может быть неверный формат передачи устройства GPS. В большинстве устройств можно выбрать протокол, используемый для передачи данных в компьютере. В моем устройстве Magellan этот параметр находится под пунктом Setup в главном меню. Кроме того, должен быть активизирован режим NMEA.
Убедившись, что NetStumbler работает нормально, следует установить MapPoint. После установки необходимо удостовериться, что программа запускается без ошибок. Прежде чем продолжать работу, систему нужно перезагрузить.
Затем загружается StumbVerter. Эту программу следует устанавливать последней: она не будет нормально работать, если в системе уже запущены NetStumbler и MapPoint.
Создание карт
Теперь все готово для генерации графических карт беспроводного аудита. Придется отправиться в обход с ноутбуком и GPS-приемником для сбора данных. Более подробная информация об этом процессе, соответствующих инструментах и безопасности беспроводных сетей в целом приведена в статье «Безопасная беспроводная сеть», опубликованной в № 4 Windows IT Pro/RE за 2004 год. Данные, полученные в ходе сеанса аудита, следует сохранить в файле NetStumbler.nsi. Затем нужно открыть NetStumbler, извлечь этот файл и выбрать из меню функции File, Export. При этом необходимо выбрать режим text вместо summary.
Открыв StumbVerter, следует выбрать Map, Create New North America. Предполагается, что используется североамериканская версия MapPoint; имеется также европейская версия. В программе применяются карты MapPoint, поэтому доступность карт полностью определяется версией MapPoint. Затем требуется выбрать функцию Import, NetStumbler Summary и указать экспортированный файл NetStumbler из окна Browse. Можно также импортировать файлы, сохраненные в формате сводок Kismet (программа беспроводного аудита на базе Linux).
StumbVerter генерирует карты исследованного района (экран 2). Окно StumbVerter разделено на три области. Справа показана карта, на которой беспроводные AP представлены зелеными или красными пиктограммами башенок. Зеленая башенка означает, что сигнал AP не зашифрован; красная башенка указывает на зашифрованный сигнал. Слева вверху перечислены все узлы доступа наряду с их идентификаторами 802.11b SSID( Service Set Identifier) и пиктограммами шифрования. Удивительно, как много узлов доступа незашифровано; по моему опыту, более половины AP передают сигналы открыто. В левой нижней области приведен список AP, которые не могут быть показаны на карте из-за отсутствия GPS-данных.
Экран 2. Карта беспроводных узлов доступа |
По щелчку на любом AP в списке указатель карты направляется на данный узел доступа. По двойному щелчку на AP на экране появляется фрейм, содержащий основную часть данных, собранных программой NetStumbler, в том числе следующую информацию:
- SSID узла доступа, часто установленный изготовителем;
- MAC-адрес AP (облегчает идентификацию уникальных узлов доступа, если во многих из них используются одинаковые выбираемые по умолчанию SSID);
- мощность сигнала AP (пиктограммы-башенки также показывают мощность сигнала: чем сильнее сигнал, тем больше волн исходит из башни на рисунке);
- тип шифрования (пиктограммы-башенки отображают статус шифрования, как отмечалось ранее).
Из меню View программы StumbVerter можно настроить уровень детализации карты. Пиктограммы-башенки можно дополнить названием каждого AP или фреймом с информацией. На карте можно показать и другие важные объекты, обнаруженные MapPoint (например, банки и рестораны). При большом числе узлов доступа эти элементы могут заполонить экран и затруднить чтение, поэтому дополнительные точки рекомендуется показывать только в том случае, если они помогают ориентироваться на местности.
Файл карты можно редактировать непосредственно в StumbVerter или использовать функцию Save меню Map, чтобы сохранить карту в формате MapPoint, а затем открыть ее в этой программе. Затем можно применить мощный инструмент для рисования и присвоения ярлыков MapPoint. Карты можно экспортировать в графическом формате (например, в .bmp-файле) в Microsoft PowerPoint или Word. Сохранив карту в формате HTML, ее можно опубликовать на Web-узле. Можно также использовать функцию Save CSV из панели меню, чтобы сохранить данные в файле CSV (comma-separated value — с разделением запятыми) для импорта в электронные таблицы или базы данных. Этот метод применим только к табличным данным, собранным NetStumbler, но не к графическим картам.
StumbVerter оснащен еще одной удачной функцией: Antenna Comparison Tool, доступной из пункта ACT панели меню. Этот инструмент можно использовать для сравнения внешних антенн (до трех одновременно) аудиторской рабочей станции. Для этого нужно провести аудит с использованием каждой антенны, сохранить результаты проверки в файлах .nsi, а затем открыть каждый файл в NetStumbler и экспортировать их с помощью функции подготовки сводок (summary). Затем следует открыть инструмент ACT, ввести имя каждой антенны в одном из полей Log, дважды щелкнуть на каждом поле Log file to load, чтобы открыть окно просмотра, и выбрать файл аудита для каждой антенны. После того как файлы, которые нужно сравнить, будут загружены, следует щелкнуть на кнопке Go.
Инструмент показывает мощность сигнала и отношение сигнал-шум, зарегистрированные каждой антенной для каждого AP, и присваивает каждой антенне относительную оценку на основе этих показателей. Лучшая антенна (по общей оценке) выделяется зеленым цветом.
Лучше один раз увидеть...
Вооружившись картами, можно определить зону распространения беспроводной сети предприятия за пределами здания компании. Можно обнаружить зоны перекрытия с другими беспроводными сетями и принять меры, чтобы уменьшить помехи до минимума. Мне известны случаи, когда компьютеры одной компании регистрировались в сети другой компании и никто не замечал этого. Можно также удалить из сети несанкционированные узлы доступа и сделать нарушителям выговор. Когда речь идет о защите беспроводной сети, одна картинка действительно может заменить тысячу слов.
Президент сетевой консалтинговой фирмы Network Security Services. Имеет сертификаты CISSP и GSNA. thowlett@netsecuritysvcs.com