Опубликован: 20.02.2007 | Доступ: свободный | Студентов: 3480 / 785 | Оценка: 4.42 / 4.03 | Длительность: 40:03:00
Лекция 15:

Беспроводные инструментальные средства

< Лекция 14 || Лекция 15: 12 || Лекция 16 >

AiroPeek

AiroPeek с сайта http://www.wildpackets.com/products/airopeek фактически позволяет вам заглянуть в данные, переданные по беспроводной сети. Его способности шире, чем у NetStumbler. Фактически, он показывает Web-трафик. Этот аспект инструмента AiroPeek помещает его в категорию инструментов перехвата пакетов типа tcpdump.

Реализация

Наиболее важным условием для работы AiroPeek является наличие беспроводной сетевой платы с правильным аппаратно-программным обеспечением, которое допускает смешанный режим. AiroPeek поддерживает сетевые платы Cisco Systems 340 Series, Cisco Systems 350, Symbol Spectrum24 11 Mbps DS, Nortel Networks e-mobility 802.11 WLAN, IntelR PRO/Wireless 2011 LAN, 3Com AirConnect 11 Mbps WLAN и Lucent ORiNOCO PC (Silver/Gold). Для плат, которые требуют определенного аппаратно-программного обеспечения, необходимые драйверы доступны на сайте WildPackets.

Когда вы впервые запускаете AiroPeek, вас попросят указать адаптер, используемый вами для перехвата данных. Просто выберите правильную сетевую плату и нажмите OK. На рис. 15.2 показан пример этого окна.

Выбор беспроводного адаптера

Рис. 15.2. Выбор беспроводного адаптера

Теперь AiroPeek готов перехватывать пакеты. Выберите Capture (Перехват) из главного меню. Вас поприветствует экран, подобный изображенному на рис. 15.3. Теперь большинство беспроводного трафика, который проходит в пределах диапазона вашей беспроводной карты, может быть перехвачен.

Перехват беспроводного трафика

увеличить изображение
Рис. 15.3. Перехват беспроводного трафика

Если в данной области несколько беспроводных сетей или обильный трафик, вы можете использовать триггеры (trigger), чтобы сузить количество собираемых данных.

Совет. Вы можете расшифровывать трафик, защищенный WEP-протоколом, если вы знаете правильный WEP-ключ. Установите ключ, последовательно выбирая опции Tools/Options/802.11/WEP Key Set/Edit Key Sets (Редактирование набора ключей).

С этого места AiroPeek становится просто еще одним анализатором сетевых потоков. Используйте его, чтобы удостовериться, что трафик шифруется, или чтобы определить, какова утечка сетевой информации из кабельной сети в беспроводную. Приведем некоторые типичные сценарии.

  • Проверьте, что WEP включен. Без надлежащего WEP-ключа AiroPeek не может просматривать какие-либо данные.
  • Проверьте, что доступ, основанный на MAC-адресах, работает. Доступ, основанный на MAC-адресах, разрешает подключение к беспроводной сети только беспроводным сетевым картам, имеющим определенные физические MAC-адреса. Другие сетевые платы могут видеть трафик, но не смогут получить доступ к сети.
  • Идентифицируйте рискованные протоколы в беспроводной сети. Используйте AiroPeek, чтобы определить, какой тип трафика идет по беспроводной части сети. Прошла ли идентификация домена? Проходит ли мешанина от менеджера NT LAN Manager между частями файла? Используются ли какие-либо открытые текстовые протоколы? Даже если WEP-протокол включен в сеть, то у злонамеренного внутреннего пользователя, знающего WEP-ключ, все еще есть возможность прослушивать трафик.
  • Сделайте отладку беспроводной сети. Как системного администратора, вас уже вероятно спросили, почему сеть такая медленная? Инструмент типа AiroPeek поможет вам отладить сеть, чтобы определить, нет ли проблем связи между серверами, не отвечающими хостами или вмешивающимся трафиком.
  • Определите диапазон сети. Выполните простой тест, чтобы определить, как далеко распространяется ваша сеть. Например, прокатитесь на лифте вверх и вниз на несколько этажей (если вы находитесь в таком здании), чтобы определить, кто еще может видеть вашу сеть. Выйдите за пределы здания, пока не потеряете сигнал. Это испытание полезно только в том случае, если вы также используете антенну с большим усилением. Существуют узконаправленные антенны с усилением порядка 20 Дб. Эти антенны могут получать очень слабые сигналы, но диапазон углов, в котором они работают наиболее эффективно, узок. Это означает, что тот, кто желает подслушать вашу сеть на расстоянии, должен иметь терпение и использовать штатив (или другое неподвижное устройство), чтобы перехватить сигнал. Наконец, вы захотите узнать, как далеко простирается ваша сеть, так что не полагайтесь на антенну портативного компьютера.

Пример из жизни. Ненадежность WEP-протоколов

Беспроводные сети не считаются слишком ненадежными с точки зрения использования их в деловых конторах и корпоративных сетях. Они могут также появиться в жилых районах, аэропортах и больших магазинах. Обнаружение присутствия беспроводной сети не обязательно понижает ее безопасность, но способность просматривать ее данные действительно понижает безопасность сети. В мае 2002 г. анонимный хакер сообщил об обнаружении беспроводных сетей в нескольких больших универмагах, таких как Best Buy, Wal-Mart и Home Depot. Хотя не ясно, передавалась ли информация, связанная с кредитной карточкой, незашифрованной, этот случай убеждает нас в том, что кто-то, сидя на автомобильной стоянке, мог собрать немало номеров кредитных карточек в течение одного дня.

Даже если трафик зашифрован, WEP-реализации уязвимы для активных и пассивных атак и дают возможность третьему лицу идентифицировать WEP-ключ, анализируя пакеты. Таким образом, для защиты данных не достаточно полагаться только на WEP. Продавцы могут утверждать, что их WEP-защита основана на 40- или 64-разрядном шифровании, но это несколько преувеличено. Секретный ключ в обоих случаях состоит из 40 битов. Следующие 24 бита (которые входят в 64-битовый ключ) являются частью вектора инициализации (IV), который изменяется для каждого пакета. Исследователи из лаборатории AT&T Labs и из университета Райса (http://www.cs.rice.edu/~astubble/wep/wep_attack.html) обнаружили метод взлома схемы генерации IV и распознавание WEP-ключа, основанный на пассивном подслушивании, от 5 до 6 миллионов пакетов. На первый взгляд это число может показаться большим, но частично загруженная сеть легко производит такое количество пакетов за несколько часов. Исследователи универси тета Штата Мэриленд (University of Maryland) (http://www.cs.umd.edu/~waa/wireless.pdf) также идентифицировали подобную слабость в WEP-протоколе и его реализациях от разных продавцов.

< Лекция 14 || Лекция 15: 12 || Лекция 16 >