WSA è un prototipo di ricerca dell'IBM di un revisore dei conti di sicurezza di lan delle 802.11 radio, funzionante sotto Linux su un iPAQ PDA. WSA verifica automaticamente una rete senza fili affinchè la configurazione adeguata di sicurezza aiuti i coordinatori della rete vicino tutte le vulnerabilità prima che i hackers provino ad rodaggio. Anche se ci sono altri 802.11 analizzatori di rete verso l'esterno là (wlandump, etereo, ventosa), questi attrezzi sono esperti puntati su di protocollo che desiderano bloccare i pacchetti senza fili per analisi dettagliata. WSA è inteso per i pubblici più generali degli installatori e dei coordinatori della rete— coloro che desidera a facilmente e rapidamente verifica la configurazione di sicurezza delle loro reti, senza dovere capire c'è ne dei particolari dei 802.11 protocolli.
Il campione corrente 802.11 definisce due protocolli di sicurezza: l'autenticazione chiave comune è stata destinata per fornire il controllo di accesso sicuro e la crittografia di WEP è stata destinata per fornire la riservatezza. (alcuni fornitori inoltre provano a sostenere che gli indirizzi del MAC della stazione e di SSID forniscono il controllo di accesso sicuro. Mentre gli indirizzi del MAC e di SSID sono trasmessi nella radura, realmente non forniscono alcuna sicurezza espressiva e facilmente sono esclusi.)
Ci sono parecchi problemi di sicurezza con questi protocolli. Il più d'importanza, WEP e la chiave comune sono facoltativi e spento per difetto nei punti di accesso. Se questi protocolli non sono accesi nel persino un punto di accesso, è insignificante affinchè i hackers colleghi alla rete, usando le schede ed i driver senza fili standard. Il segnale 802.11 può viaggiare distanze sorprendentemente grandi dal punto di accesso, spesso mille piedi o più, permettendo che i hackers colleghino dall'esterno della costruzione, quale da un lotto di parcheggio, o dalla via. Se, come è spesso il caso, la rete senza fili è collegata direttamente ad un Intranet corporativo, questo dà i hackers d'accesso diretto al Intranet, escludente tutte le pareti refrattarie di contorno del Internet.
Il problema dei punti di accesso "aperti" è reso più difficile a causa del basso costo e della disponibilità facile dei punti di accesso e della difficoltà di rilevazione loro. Non è raro trovare gli individui o i gruppi in seno ad un'azienda che hanno installato i punti di accesso del rogue senza la conoscenza del gruppo normale della rete ed al di fuori correttamente della configurazione del point(s) di accesso. Questi punti di accesso del rogue sono spesso difficili da rilevare con la rete normale che controlla gli attrezzi, poichè i punti di accesso sono configurati normalmente come ponticelli di strato 2.
|
|
In più, i WEP ed i protocolli chiave comuni sono stati indicati per avere errori crittografici significativi che consentono gli attacchi crittografici sia alle funzioni di controllo di accesso che di riservatezza. (per i particolari, veda la carta da Wagner/Goldberg a http://www.isaac.cs.berkeley.edu/isaac/wep-faq.htmle la carta da Arbaugh a http://www.cs.umd.edu/~waa/attack/v3dcmnt.htm). Si noti che mentre WEP e la chiave comune sono difettosi, dovrebbero ancora essere accesi, come attacchi sono molto più facile con loro fuori.
I fornitori e lo IEEE stanno rispondendo ai protocolli difettosi con le difficoltà in parecchie fasi. A breve termine, i fornitori stanno aggiungendo i nuovi protocolli dell'amministrazione di authentication/key che forniscono l'autenticazione sicura e le nuove chiavi di WEP per ogni scheda, per la sessione. In più, a breve scadenza, i fornitori stanno lavorando ad un tweak a WEP per rendere gli attacchi più difficili, così come un di lunga durata completano la difficoltà.
Da una prospettiva dell'amministrazione, i coordinatori della rete hanno bisogno di un attrezzo di verificare che tutti i punti di accesso sono alla revisione voluta dei firmware in modo che abbiano la versione più corrente di queste 802.11 difficoltà.
Un coordinatore della rete ha bisogno di un senso conveniente rispondere a queste domande:
Che punti di accesso realmente sono installati?
Dove sono?
Sono configurati correttamente?
Hanno gli ultimi firmware?
La rete senza fili deve essere controllata periodicamente, poichè i punti di accesso facilmente sono aggiunti e modificati e poichè gli aggiornamenti saranno rotolati frequentemente fuori. L'attrezzo di verifica senza fili deve guardare i segnali senza fili reali, poichè le informazioni necessarie non potrebbero essere disponibili dal lato metallico. Controllare i dati senza fili, il revisore dei conti deve essere piccolo e peso leggero in modo da può essere trasportato facilmente un luogo per accertare l'analisi e la revisione complete.
Il più d'importanza, abbiamo desiderato WSA essere facile da usare e da non richiedere assolutamente conoscenza dei 802.11 protocolli. WSA non è un pacchetto dump/analyzer. Piuttosto fa tutti i controllo ed analisi necessari del pacchetto e fornisce all'utente appena le risposte alle domande importanti dell'amministrazione. I risultati sono color-coded (verde è buono, il colore rosso è difettoso) per comprensione veloce e facile.
WSA caratterizza le seguenti funzionalità e caratteristiche:
Le piste guidano i pacchetti per trovare tutti i punti di accesso
Determina i nomi di AP e di SSID
Pacchetti della sonda delle piste e le risposte della sonda
Rintraccia i pacchetti di dati
Determina il metodo di crittografia di collegamento
Rintraccia i pacchetti di autenticazione
Determina il metodo di autenticazione
Rintraccia i clienti
Determina le versioni dei firmware tramite impronta digitale il comportamento dettagliato del punto di accesso
WSA attualmente funziona sotto Linux, su un taccuino o su un iPAQ PDA. Attualmente sosteniamo le schede di Cisco/Aironet PCMCIA 802.11, o il vecchio prisma Io-ha basato le schede o il prisma corrente II-HA basato le schede. Sul iPAQ, stiamo usando la distribuzione esperta di Linux con la biblioteca del fltk e sui thinkpads, stiamo usando RedHat 7.1.
WSA è un prototipo di ricerca e nessuna decisione definita è stata presa se rendergli un prodotto pieno o liberarlo come fonte aperta. (le modifiche necessarie del modulo del driver "di airo" già sono state si aprono -sourced.)
|
|