Мониторинг беспроводной сети Хорошо, когда твоя беспроводная сеть работает четко, как часы. Настроено шифрование, MAC-адреса клиентов занесены в белый список, а рядом нет никаких посторонних WLAN, способных помешать нормальной работе твоей сети. В такие моменты очень не хочется, чтобы случилась ситуация, когда твоя сеть будет еле дышать из-за помех внезапно развернутых по соседству Wi-Fi. Или еще хуже – взломана наглым вардрайвером, который умудрился, не взирая на установленное шифрование, проникнуть в твою сеть и начудить там. Всех этих неприятностей можно избежать и устранить их еще до того, как сеть ляжет. Для этого необходимо вести мониторинг своей WLAN с целью выявления аномалий в ее работе. Этим мы и займемся сейчас, а поможет нам в этом специальный анализатор беспроводных сетей CommView for WiFi. В одной из предыдущих статей мы уже рассматривали эту программу. Тогда она использовалась для захвата пакетов зашифрованных WEP, с целью его дальнейшего взлома. Но теперь она встанет по другую сторону баррикад. Что бы анализировать эфир нашей WLAN, необходимо перевести беспроводной адаптер в режим promiscuous. Это так называемый пассивный режим мониторинга. В отличие от обычного режима работы, в таком состоянии сетевой адаптер будет обнаруживать все пакеты, независимо от того, кому они предназначались. При установке CommView for WiFi будет предложено установить специальный драйвер, который и переведет адаптер в необходимый режим работы. Список поддерживаемых адаптеров можно посмотреть на этой странице http://www.tamos.ru/products/commwifi/adapterlist1.php В качестве анализатора идеально конечно использовать ноутбук с установленным PCMCIA адаптером и присоединенной к нему антенной, для увеличения дальности связи. Рассмотрим рисунок, на котором наглядно видно как будет работать данная система. Как видишь, анализатор сети не является ее составной частью. Этому есть два объяснения. Во-первых, беспроводной адаптер не может одновременно слушать эфир и посылать пакеты, для работы в нашей WLAN. Конечно, можно на один из компьютеров поставить второй адаптер, который и будет следить за сетью. Тогда отпадет необходимость выделять ноутбук для наших целей. Но с точки зрения безопасности, это не логично. Ведь получив доступ к компьютеру нашей сети, на котором находится анализатор, злоумышленник может его просто выключить или, что еще хуже, поменять настройки под себя. В таком случае никаких сигналов о нарушении работы сети поступать не будет и админ так и не узнает о вторжении, пока что-нибудь не упадет. Со схемой работы нашей системы мониторинга мы разобрались. Теперь переходим к рассмотрению возможностей CommView for WiFi, которая будет стоять на анализаторе. В беспроводной сети каждую секунду передаются множество пакетов с различной служебной, управляющей информацией и сами данные. У нас возникает необходимость среди всего этого хаоса выбирать и анализировать только те пакеты, которые представляют для нас интерес. Поэтому в первую очередь мы установим «беспроводные правила» для нашей системы мониторинга. В Wi-Fi сетях фигурируют четыре вида пакетов, это: beacon, management, control и data пакеты. В зависимости от того, какую информацию мы хотим просматривать в нашей сети, выставляем захват определенных видов пакетов при помощи пунктов в разделе меню «Правила», или на главной панели управления. Data-пакеты – самая интересная информация, которая может нас интересовать, это данные, которые передаются по сети. Если твоя WLAN зашифрована WEP или WPA, то и данные, передаваемые в эфир, так же будут зашифрованы и, соответственно, недоступны для посторонних. Но у нас есть возможность следить за своей сетью, так как CommView for WiFi умеет расшифровывать пакеты на лету. Для этого заходи в пункт меню «Настройка»->»Ключи WEP/WPA» и в появившемся окне вбивай пароль, который ты поставил на свою WLAN. Далее идут management-пакеты, то есть управляющие. Они содержат фреймы Probe Response и Probe Requests, которые пересылаются между точкой доступа и клиентом для аутентификации последнего в сети. Аутентификация по стандарту 802.11 это только первый шаг в установке сетевого подключения. Здесь проверяется, действительно ли клиент обладает секретным ключом для работы в сети. На данном этапе шифрование данных не происходит. Если шифрование не используется, то такая аутентификация называется открытой и для работы в данной сети достаточно простого желания. Следующим этапом установления полноценного соединения является регистрация клиента с точкой доступа, то есть его ассоциация. Для этого используются фреймы Association Request и Association Response, которые так же находятся в management-пакетах. На очереди control-пакеты, которые тоже используются при установке соединения. Они доходят до адресата при помощи ip-адресов, и содержат специальные флаги. Например, пакет с SYN-флагом означает синхронизацию (synchronization). Такой пакет может отправить клиент, для начала соединения. В ответ он может получить подтверждение, то есть пакет с флагом ACK (acknowledgement). А может получить и пакет с флагом RST, означающий отказ (reset), если по каким-то причинам соединение невозможно. Среди возможных флагов может фигурировать такой, как FIN (finish) – закрывающий соединение. И последний вид пакетов, использующийся в беспроводных сетях, это beacon-пакеты. Точка доступа с определенным интервалом времени отсылает их в эфир, что бы рядом находящиеся клиенты могли узнать о ней. Данные пакеты содержат всю необходимую информацию о сети: ее название, мощность сигнала, наличие шифрования и так далее. Следующей стадией фильтрации трафика являются правила, которые CommView for WiFi позволяет настроить достаточно гибко. Для начала рассмотрим простые правила, имеющие множество критериев отбора пакетов. Установим фильтрацию по протоколам. Для этого необходимо выполнить настройки, показанные на рисунке. Как видишь, мы установили правила, ограничивающие захват только IP, TCP и UDP пакетов. Остальные пакеты буду проигнорированы. Что ж, часть трафика уже отсеяли. Теперь установим очень полезный критерий на MAC-адреса. Если твоя сеть зашифрована, страшнее некуда, и все физические адреса адаптеров твоих клиентов находятся в белом списке, то при появлении устройства с неизвестным MAC-адресом, было бы неплохо записать все пакеты, которые он отправлял или получал в нашей WLAN. Все пакеты, которые будут отправлять или получать адаптеры, занесенные в список, игнорируются. А вот весь трафик, нагнетаемый неизвестными устройствами, будет записан. Установка следующих видов простых правил так же легка. Если ты подозреваешь кого-либо в своей сети, то можешь фильтровать пакеты, в которых фигурирует его IP-шник, а потом спокойно посмотреть, куда этот негодяй лазил. Та же самая история и с портами. У тебя подозрение, что кто-то постоянно ломится на определенный порт твоего сервера? Ставь правило на захват пакетов, идущих на интересующий тебя порт, это позволить разобраться, кто же пытается начудить в твоей сети. В довесок можешь фильтровать пакеты по наличию в них определенного текста. Понятное дело, что если у тебя есть свой веб-сервер, то на его порт постоянно буду приходить запросы. Не подозревать же всех. Но не каждый пакет будет содержать хитро сформированный запрос, позволяющий получить секретную информацию или повысить свои привилегии. Вот именно такие запросы и можно проверять в наших правилах. Остался последний вид фильтрации по TCP-флагам, которые мы рассмотрели ранее. Возможно, он тоже тебе пригодится для более четкого анализа работы твоей сети. Вот уже огромная часть трафика, не предоставляющего для нас интерес, отбрасывается. Простые правила позволяют настроить фильтрацию очень легко и быстро. Но если тебе необходимы максимально гибкие правила, учитывающие многие нюансы, то у нас есть и такая возможность. Называется она «Универсальные правила». Чтобы ее использовать, надо немного знать математику и логику. Для каждого правила необходимо придумать имя и задать ему формулу, в соответствии с которой будет происходить фильтрация пакетов. На рисунке показан пример создания правила «Rule1». Указанная в нем формула, говорит о том, что захватываться будут TCP-пакеты, размер которых лежит в диапазоне от 200 до 600 байтов, приходящие с IP-адресов в диапазоне 192.168.0.3 - 192.168.0.7. Причем IP-адреса получателей находятся в сегменте 192.168.1.0/255.255.255.240, и имеющие TCP-флаг PSH ACK. Синтаксис правил и другие примеры ты можешь посмотреть в файле справки, идущей к программе или на этой страничке http://www.tamos.ru/htmlhelp/commwifi/syntax.htm Что же, фильтровать и записывать необходимый для нас трафик мы научились. Но не дело, если wardriver’ы будут все выходные терзать твою беспроводную сеть в офисе, а ты об этом узнаешь только в понедельник. Поэтому сейчас мы рассмотрим систему предупреждений, которая будет оповещать тебя о наличии аномалий в работе WLAN. Выбирай вкладку «Предупреждения» и клацай по кнопке «Настройка e-mail». Появится окно с настройками. Пример показан на рисунке. Можно заранее протестировать отправку письма, что бы потом не оказалось, что введенные настройки не пашут. Оповещение по e-mail позволит получать нам информацию о работе сети по почте. Некоторые почтовые серверы предоставляют возможность получать sms-уведомления о приходе нового письма. Представь, как оперативно в этом случае ты сможешь получать информацию от своего анализатора. Круто? Еще бы, но на этом фокусы не заканчиваются. Чтобы получать уведомления по аське, вместо e-mail адреса получателя, надо прописать [email protected], где UIN – номер твоего IСQ. Правда я эту возможность проверить не смог, так как банально не нашел в своем QIP Infium пункта «Разрешить EmailExpress messenger», который необходимо установить для работы этой функции. Завершив настройки, переходим к настройкам предупреждения, нажав кнопку «Добавить». Некоторые типы событий, при которых будет вызвано предупреждение, очень похожи на рассмотренные нами правила захвата, так что сориентироваться здесь будет легко. Сигнал может быть подан при обнаружении пакета, который подходит под указанную формулу; при превышении указанного уровня загрузки сети; или при возникновении в сети устройств с неизвестными MAC или IP-адресами, а так же точек доступа и одно ранговых сетей. Рассмотрим следующий пример, показанный на рисунке. При появлении в эфире устройства, MAC-адрес которого не занесен в список, на экран будет выведено соответствующее сообщение. Оно так же будет отправлено на указанный e-mail. Порог срабатывания установлен в единицу. Можно поставить и больше, если рядом с твоей WLAN иногда могут проходить люди с КПК. Не отвлекаться же на прохожих, которые и не собирались трогать твою сеть. После срабатывания предупреждения, оно отключается. Если есть вероятность, что в твою сеть хотят проникнуть несколько персон с разных девайсов, то можно увеличить это значение. При выводе сообщения используется текст вместе с переменной %SMAC%, в которой будет записан MAC-адрес источника пакета. Посмотрим, что получится, если в нашей сети окажется посторонний. Как видно, мы получаем достаточно понятное сообщение, что в нашей сети появился посторонний с таким то маком. Это же сообщение будет отправлено нам на почту. А еще данное действие вызвало запись пакетов, ведь мы это установили в настройках предупреждения ранее. Так что теперь все действия непрошенного гостя будут записываться. Мало того, что наша сеть зашифрована, так ее работа вдобавок и мониторится. Чего еще можно желать? А если ты уехал в другой город, и возникла необходимость посмотреть, что творится с твоей сетью? Или сетью, какой либо фирмы, компании, или просто твоего знакомого, который не разбирается в сетевых технологиях. Спешу тебя обрадовать, у нас есть возможность удаленно получать данные, о работе WLAN, находящейся под наблюдением. Давай посмотрим на рисунок, наглядно показывающий, как это будет работать. На анализатор ставиться специальная программа CommView Remote Agent for WiFi. Теперь она будет служить анализатором WLAN. На удаленном компьютере устанавливается обычный CommView for WiFi, при помощи которого мы подключаемся к анализатору и наблюдаем перехватываемый трафик так, как будто наш локальный. Установка CommView Remote Agent for WiFi очень проста, как и ее настройка, где необходимо будет указать порт и пароль для подключения. Дальше эта программа будет работать в фоновом режиме. При необходимости можно просмотреть некоторые данные о соединении, вызвав следующее окно Теперь на удаленном компьютере, запустив CommView for WiFi, нажимаем Ctrl+E, тем самым вызываем меню для работы с агентом. Устанавливаем новое соединение, указываем IP-адрес анализатора, канал для мониторинга и пароль для подключения. Теперь, мы можем наблюдать за нашей сетью, как за локальной. Систему, что мы сейчас настроили, вряд ли можно назвать полноценной системой обнаружения вторжений (IDS - Intrusion Detection Systems). Но она вполне может помочь защитить нашу WLAN от непрошенных гостей. Сейчас беспроводные сети активно начинают применяться даже в маленьких городах. Поэтому, построение таких систем мониторинга беспроводных сетей, возможно, будет приобретать все большее значение. Автор статьи: Kastor http://kastordriver.livejournal.com/ Специально для проекта VR-ONLINE (март 2010)
