WSA est un prototype de recherches d'IBM d'un auditeur de sécurité de LAN de 802.11 radios, fonctionnant sous Linux sur un iPAQ PDA. WSA apure automatiquement un réseau sans fil pour que la configuration appropriée de sécurité aide des administrateurs de réseau étroitement toutes les vulnérabilités avant que les intrus essayent de se casser dedans. Bien qu'il y ait 802.11 autres analyseurs de réseau hors de là (wlandump, éthéré, renifleur), ces outils sont des experts en matière visés de protocole qui veulent capturer les paquets sans fil pour l'analyse détaillée. WSA est prévu pour les assistances plus générales des installateurs et des administrateurs de réseau— ceux qui veulent vérifient à facilement et rapidement la configuration de sécurité de leurs réseaux, sans devoir comprendre n'importe lequel des détails des 802.11 protocoles.
La norme 802.11 courante définit deux protocoles de sécurité : l'authentification principale partagée a été conçue pour fournir le contrôle d'accès bloqué, et le chiffrage de WEP a été conçu pour fournir la confidentialité. (quelques fournisseurs essayent également de réclamer que les adresses d'IMPER de SSID et de station fournissent le contrôle d'accès bloqué. Pendant que les adresses de SSID et d'IMPER sont transmises dans l'espace libre, elles vraiment ne fournissent aucune sécurité signicative, et sont facilement déviées.)
Il y a plusieurs titres avec ces protocoles. D'une manière primordiale, WEP et clef partagée sont facultatifs, et éteint par défaut dans des points d'accès. Si ces protocoles ne sont pas allumés dans le même un point d'accès, il est insignifiant pour que les intrus se relient au réseau, en utilisant les cartes et les conducteurs sans fil standard. Le signal 802.11 peut voyager des distances étonnamment grandes du point d'accès, souvent mille pieds ou plus, permettant à des intrus de se relier de l'extérieur du bâtiment, comme d'un sort de stationnement, ou de la rue. Si, de même que souvent le cas, le réseau sans fil est relié directement à un Intranet de corporation, ceci donne des intrus d'accès direct à l'Intranet, déviant tous les murs à l'épreuve du feu de frontière d'Internet.
Le problème des points d'accès "ouverts" est rendu plus difficile en raison du bas coût et de la disponibilité facile des points d'accès, et de la difficulté de les détecter. Il n'est pas rare de trouver des individus ou des groupes au sein d'une compagnie qui ont installé les points d'accès escroc sans connaissance du groupe normal de gestion de réseau, et sans configurer correctement le point(s) d'accès. Il est souvent difficile détecter ces points d'accès escroc avec le réseau normal surveillant des outils, car des points d'accès sont normalement configurés comme ponts de la couche 2.
|
|
En outre, les WEP et les protocoles principaux partagés ont été montrés pour avoir des erreurs cryptographiques significatives qui permettent des attaques cryptographiques sur la confidentialité et des fonctions de contrôle d'accès. (pour des détails, voyez le papier de Wagner à http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html, et le papier d'Arbaugh à http://www.cs.umd.edu/~waa/attack/v3dcmnt.htm). Notez que tandis que WEP et clef partagée sont défectueux, ils devraient encore être allumés, en tant qu'attaques sont beaucoup plus faciles avec eux au loin.
Les fournisseurs et l'IEEE répondent aux protocoles défectueux avec des difficultés dans plusieurs étapes. À court terme, les fournisseurs ajoutent les nouveaux protocoles de gestion d'authentication/key qui fournissent l'authentification bloquée, et les nouvelles clefs de WEP pour chaque carte, par session. En outre, à court terme, les fournisseurs travaillent sur un coup sec à WEP pour rendre des attaques plus difficiles, aussi bien qu'un à long terme accomplissent la difficulté.
D'une perspective de gestion, les administrateurs de réseau ont besoin d'un outil pour vérifier que tous les points d'accès sont à la révision désirée de progiciels de sorte qu'ils aient la version la plus en cours de ces 802.11 difficultés.
Un administrateur de réseau a besoin d'une manière commode de répondre à ces questions :
Quels points d'accès sont installés réellement ?
Où sont-ils ?
Sont-ils correctement configurés ?
Ont-ils les derniers progiciels ?
Le réseau sans fil doit être vérifié périodiquement, car des points d'accès sont facilement ajoutés et modifiés, et car des mises à jour seront roulées dehors fréquemment. L'outil apurant sans fil doit regarder les signaux sans fil réels, car l'information nécessaire ne pourrait pas être fournie par le côté de câble. Pour surveiller les données sans fil, l'auditeur doit être petit et poids léger ainsi il peut être facilement porté autour d'un emplacement pour assurer l'analyse et la revue complètes.
D'une manière primordiale, nous avons voulu que WSA fût facile d'employer, et de n'exiger absolument aucune connaissance des 802.11 protocoles. WSA n'est pas un paquet dump/analyzer. Plutôt il fait tout la surveillance et l'analyse nécessaires du paquet, et fournit à l'utilisateur juste les réponses aux questions importantes de gestion. Les résultats sont de code à couleurs (le vert est bon, le rouge est mauvais) pour l'arrangement rapide et facile.
WSA comporte les fonctionnalités et les dispositifs suivants :
Les voies balisent des paquets pour trouver tous les points d'accès
Détermine des noms de SSID et de AP
Paquets de sonde de voies et les réponses de sonde
Dépiste des paquets de données
Détermine la méthode de chiffrage de lien
Dépiste des paquets d'authentification
Détermine la méthode d'authentification
Dépiste des clients
Détermine des versions de progiciels par l'empreinte digitale le comportement détaillé de point d'accès
WSA fonctionne actuellement sous Linux, sur un cahier ou un iPAQ PDA. Nous soutenons actuellement les cartes de Cisco/Aironet PCMCIA 802.11, ou le vieux prisme Je-a basé des cartes ou le prisme courant II-A basé des cartes. Sur l'iPAQ, nous employons la distribution familière de Linux avec la bibliothèque de fltk, et sur des thinkpads, nous employons RedHat 7.1.
WSA est un prototype de recherches, et aucune décision définie n'a été prise si lui faire un plein produit ou le libérer en tant que source ouverte. (les modifications nécessaires de module de conducteur d'"airo" ont déjà été open-originaire.)
|
|