معرفی دو سيستم شناسايی مهاجم برای شبكههای بیسيم
ارسال شده: پنجشنبه ۷ خرداد ۱۳۸۸, ۱:۰۹ ب.ظ
اكنونسيستمهای شناسايی مهاجم (Intrusion Detection System يا IDS) بخش مهمی اززير ساخت امنيتی شبكههای شركتی محسوب میشوند. با گسترش شبكههای بیسيمنياز به IDS افزايش يافته است. البته يافتن الگوها و سياستهايی كه بتوانداستفاده قابل قبول را تعريف نموده و نفوذ در محيط های شبكهای بسيارمتغيير و سيار را رد كند، پيچيدهتر شده است. من دو سيستم IDS شبكه بیسيمرا كه از دو روش مختلف استفاده میكنند مورد بررسی قرار داده AirXoneManaged Security Service كه بخشی از يك سرويس مديريت از جانب شركتVigilant Minds میباشد، يك سنسور سختافزاری را به قابليت مانيتورينگ ازراه دور مرتبط میسازد و تحت قرارداد سرويسهای حرفهای ارائه میشود.بدين ترتيب Vigilant Minds به عنوان يك شركت قابل اعتماد در ساختار شركتشما پذيرفته شده و فقط مسائل اندكی از بخشهای بیسيم شبكه شما رانمیداند.
سرويس ديگر يعنی Distributed 4.0 محصول شركت AirMagnetقدرت كنترل فوقالعاده زيادی را با فرض اينكه میخواهيد جزيیترين مسائلدر مورد فضای فركانس راديويی را تحت كنترل شركت مشاهده و كنترل نماييد، دراختيار شما قرار میدهد. در اينجا مشاهده و كنترل اطلاعات به عاليترين شكلصورت میگيرد اما مسئوليت آن نيز بسيار سنگين است.ام.
Vigilant Minds AirXone Managed Security Service
نصبسيستم AirXone بسيار آسان است . يكی از مشاوران Vigilant Minds به منظورمشخص نمودن نيازهای سايت، به شما كمك میكند. او دستگاهی را به شبكه شمامتصل نموده و چگونگی استفاده از اين دستگاه مديريت و گزارشگيری مبتنی برمرورگر را به شما آموزش میدهد. برای نصب سرويس فوق، كمی كار و مهارت ووجود يك WLAN IDS يكپارچه مورد نياز است.
يكی از اولين مراحل بهكارگيری موثر AirXone دانستن اين نكته است كه چند سنسور انحصاری مورداستفاده قرار میگيرد و البته هر چقدر تعداد سنسورها بيشتر باشد هزينهبالاتر خواهد بود. من متوجه شدم كه يك سنسور بخشهايی از سه طبقه يكساختمان را تحت پوشش قرار داده البته سطح پوشش در هر نصب متفاوت است.سنسوری كه من مورد استفاده قرار دادم 12 نقطه دستيابی (access point) ياAP و كلاينت، شامل يك AP در بيرون ساختمان و با فاصله كمی از آزمايشگاه رايافت.
سيستم درمحدوده سطح پوشش سنسور نقاط دستيابی و كلاينتهاهمچون آدرسهای SSID, MAC يا Service Set Identifier و برنامههای امنيتیرا كه تماما برای بررسی آماده هستند، مورد توجه قرار میدهد. هر يك از اينابزارهای بیسيم میتواند طبق مجوز خود در استفاده از شبكه و وضعيت خود درشبكه طبقهبندی شود.
بسته به اندازه شبكه، وارد كردن ابزاهای مجازدر ديتابيس میتواند به صورت دستی و يا از طريق لينكهايی به يك ديتابيساحراز هويت يا سيستم موجودی انجام شود. با شروع كار، سنسورها با سرويسمديريت Vigilant Minds ارتباط برقرار میكنند. از آنجايكه اين كار بر رویيك پورت بالای غيراستاندارد انجام میشود به اصلاحاتی در IDS شبكه معمولشما نياز دارد تا از توليد جريانی از اخطارها در سيستم امنيتی با سيم توسطIDS بیسيم جلوگيری شود.
يكی از ويوگیهای مفيد اين سيستم اين استكه به كاربر امكان میدهد تا دستگاههای خاصی را ناديده بگيرد. به عنوانمثال در تنظيمات شهری بسيار شلوغ كه شبكه بیسيم در ساختمان مجاور هميشهموجود است (كه البته فعلا تهديد كننده نيست) چنين ويوگی بسيار موثر به نظرمیرسد. با كمك مشاورين Vigilant Minds شما میتوانيد يك سری قوانين رابرای رسيدن به موقعيتی كه تمامی شركتهای بزرگ با استفاده از IDS درجستجوی آن هستند، تهيه نماييد: خطرات واقعی پيام هشدار ايجاد مینمايند وديگر فعاليتها بايد بتوانند به سادگی مورد توجه قرار گرفته يا ناديدهگرفته شوند.
مديران شبكه میتوانند به منظور ايجاد قوانين و بررسیموقعيتها به كنسول مديريت دسترسی داشته باشند. اما در مدل Vigilant Mindsاكثر ارتباطات و تعاملات شما با سيستم از طريق هشدارهايی خواهد بود كه قبلاز رسيدن به شما توسط مشاورين و سيستم مديريت مشاهده شدهاند.
اگر بهيك شبكه بیسيم امن نياز داريد اما در عين حال نمیخواهيد تيمی ازمتخصصان داخلی در رابطه با امنيت شبكه ايجاد كنيد AirXone يك انتخاب عالیمحسوب میشود. اما اگر به سرويسی نياز داريد كه در تلفيق با كنسول مديريتشبكه باسيم خودتان كار كند احتمالا مدل فوق انتخاب خوبی نخواهد بود.البته میتوان از آن استفاده نمود اما به كارگيری آن مستلزم كار بسيارزياد و حتی مسئوليت بيشتر است.
AirMagnet Distributed 4.0
بيشترينقدرت سيستمهای تحليل مستقل WLAN لپتاپ AirMagnet در درك شركت از مشخصاتراديويی قرار دارد. AirMagnet Distributed اين قدرت را به وسيله يك سنسورراه دور كه در واقع يك گيرنده بسيار حساس 802.11a/b/g و يك سيستمنرمافزاری است به دست میآورد. در ضمن سيستم نرمافزاری از سنسورها براینمايش دادن طيف وسيعی از اطلاعات در مورد كارآيی شبكه بیسيم و نيز امنيتآن استفاده میكند. شركتی كه به منظور مديريت شبكه خود در جستجوی يك ابزارمنفرد میباشد میتوند بسياری از نيازهای خود را با استفاده از AirMagnetDistributed برطرف نمايد.
سيستم AirMagnet از سه بخش اصلیتشكيل شده: سنسور، سرور مديريت AirMagnet و كنسول AirMagnet . سنسور شبيهيك 802.11 AP استاندارد است و نصب آن به سادگی با آدرس دهی و تنظيماطلاعات محرمانه مشترك به منظور برقراری ارتباط آن با سرور انجام میشود.نصب سرور نيز نسبتا آسان است، اگر چه اين احتمال وجود دارد كه ويوگیهایامنيتی و فايروال سرور اندكی موجب كاهش سرعت شود ( بخصوص در كنترل مجوز)
بعداز نصب سرور نرمافزار كنسول را دريافت نموده و به منظور ايجاد چند مسيركنسول آن را بر روی چند سيستم نصب نماييد. من سرور و كنسول را بر رویسيستمهای Windows XP Pro نصب كردم. AirMagnet با اين نوع پيكربندی كارمیكند اما برای نصبهايی با بيشتر از دو سنسور، سرور بايد بر روی سرورويندوز 2000 اجرا شود.
اگر از نسخه مستقل AirMagnet استفاده كردهباشيد كنسول Distributed نيز برايتان آشنا خواهد بود گرچه اين سيستم امكاندستيابی به ويوگیهای بيشتری را در اختيارتان قرار میدهد. شبكه رامیتوان بر طبق موجودی فيزيكی، نقض سياست، مسائل امنيتی و كارآيی و كارآيیكلی شبكه، به صورت كامل يا با جزييات كمتر، مشاهده نمود. با اين گونهمشاهدات میتوان وضعيت جنبههای مختلف شبكه را در درازمدت يا به صورت فوریبررسی نمود.
اگر برای اولين بار از AirMagnet Distributed استفادهمیكنيد وقتی را صرف يافتن روشهای گوناگون مشاهده آمار شبكه نماييد. منبا ديدن تعدادی AP و كلاينت كه در شبكه من موجود نبودند و ديگر سيستمهایآشكارسازی بیسيم نيز آنها را نشان نداده بودند بهت زده شدم.
كلاينتهاو APهای فوق به شبكه ديگری تعلق داشتند، البته تا قبل از اين موضوع مننمیدانستم كه میتوانم اين شبكه را از محل خودم مشاهده نمايم. من با اينخيال باطل كه فاصله فيزيكی بخشی از امنيت شبكهام را تامين میكند، باشبكه كار میكردم كه البته اين حقيقت چندان مورد علاقه نبودهام.
ايجادسياستهايی برای AirMagnet Distributed بسيار ساده و از طريق check box ودگمههای راديويی را برای طيف گستردهای از پارامترها انجام میگيرد.AirMagnet با فراهم نمودن پيشنهادات و توضيحات برای سياستها در زمانيكهنقايص يافت شده را مورد بررسی قرار میدهيد به شما كمك میكند.
بهعنوان مثال دستگاههای مخرب هشدارهايی ايجاد میكنند كه میتوانند ثبتشوند يا دستيابی به شبكه را مسدود سازند. وقتی سنسورهای در همپوشانی بامناطق تحت پوشش مورد استفاده قرار میگيرند، AirMagnet Distributedمیتواند قدرت سيگنالی را كه دريافت شده آناليز كرده و محل فرد نفوذگر رابيابد.
به عنوان مثال در صورتيكه شخصی يك AP غيرمجاز در بخشحسابداری قرار دهد با استفاده از اين مشخصه به آسانی قابل تشخيص است. اماAirMagnet Distributed تمام نيازهای شما را در رابطه با مديريت شبكهبیسيم برآورده نمیسازد.
سيستم فوق به شما اجازه نمیدهد تابستهها را به منظور يافتن مشكل ايجاد شده توسط برنامههای كاربردیرمزگشايی كنيد. در ضمن سرويسهای احراز هويت برای يك شبكه بزرگ بیسيم رادر اختيارتان قرار نمیدهد.
آنچه اين سرويس در اختيارتان میگذاردتركيبی از تحليل كارآيی WLAN و IDS است كه برای كاربرانی كه میخواهنددست به عمل زده و شبكههای بی سيم خود را به صورت عملی مديريت كنند، ازارزش بسيار فراوانی برخوردار است. اگر يك مدير شبكه WLAN میباشيد كهساختن يك toolkit كارآيی و امنيت را آغاز نمودهايد، AirMagnetDistributed را بايد در ليست خريد خود جای دهيد.
نویسنده: Curtis Franklin Jr
منبع : farsibooks.ir
سرويس ديگر يعنی Distributed 4.0 محصول شركت AirMagnetقدرت كنترل فوقالعاده زيادی را با فرض اينكه میخواهيد جزيیترين مسائلدر مورد فضای فركانس راديويی را تحت كنترل شركت مشاهده و كنترل نماييد، دراختيار شما قرار میدهد. در اينجا مشاهده و كنترل اطلاعات به عاليترين شكلصورت میگيرد اما مسئوليت آن نيز بسيار سنگين است.ام.
Vigilant Minds AirXone Managed Security Service
نصبسيستم AirXone بسيار آسان است . يكی از مشاوران Vigilant Minds به منظورمشخص نمودن نيازهای سايت، به شما كمك میكند. او دستگاهی را به شبكه شمامتصل نموده و چگونگی استفاده از اين دستگاه مديريت و گزارشگيری مبتنی برمرورگر را به شما آموزش میدهد. برای نصب سرويس فوق، كمی كار و مهارت ووجود يك WLAN IDS يكپارچه مورد نياز است.
يكی از اولين مراحل بهكارگيری موثر AirXone دانستن اين نكته است كه چند سنسور انحصاری مورداستفاده قرار میگيرد و البته هر چقدر تعداد سنسورها بيشتر باشد هزينهبالاتر خواهد بود. من متوجه شدم كه يك سنسور بخشهايی از سه طبقه يكساختمان را تحت پوشش قرار داده البته سطح پوشش در هر نصب متفاوت است.سنسوری كه من مورد استفاده قرار دادم 12 نقطه دستيابی (access point) ياAP و كلاينت، شامل يك AP در بيرون ساختمان و با فاصله كمی از آزمايشگاه رايافت.
سيستم درمحدوده سطح پوشش سنسور نقاط دستيابی و كلاينتهاهمچون آدرسهای SSID, MAC يا Service Set Identifier و برنامههای امنيتیرا كه تماما برای بررسی آماده هستند، مورد توجه قرار میدهد. هر يك از اينابزارهای بیسيم میتواند طبق مجوز خود در استفاده از شبكه و وضعيت خود درشبكه طبقهبندی شود.
بسته به اندازه شبكه، وارد كردن ابزاهای مجازدر ديتابيس میتواند به صورت دستی و يا از طريق لينكهايی به يك ديتابيساحراز هويت يا سيستم موجودی انجام شود. با شروع كار، سنسورها با سرويسمديريت Vigilant Minds ارتباط برقرار میكنند. از آنجايكه اين كار بر رویيك پورت بالای غيراستاندارد انجام میشود به اصلاحاتی در IDS شبكه معمولشما نياز دارد تا از توليد جريانی از اخطارها در سيستم امنيتی با سيم توسطIDS بیسيم جلوگيری شود.
يكی از ويوگیهای مفيد اين سيستم اين استكه به كاربر امكان میدهد تا دستگاههای خاصی را ناديده بگيرد. به عنوانمثال در تنظيمات شهری بسيار شلوغ كه شبكه بیسيم در ساختمان مجاور هميشهموجود است (كه البته فعلا تهديد كننده نيست) چنين ويوگی بسيار موثر به نظرمیرسد. با كمك مشاورين Vigilant Minds شما میتوانيد يك سری قوانين رابرای رسيدن به موقعيتی كه تمامی شركتهای بزرگ با استفاده از IDS درجستجوی آن هستند، تهيه نماييد: خطرات واقعی پيام هشدار ايجاد مینمايند وديگر فعاليتها بايد بتوانند به سادگی مورد توجه قرار گرفته يا ناديدهگرفته شوند.
مديران شبكه میتوانند به منظور ايجاد قوانين و بررسیموقعيتها به كنسول مديريت دسترسی داشته باشند. اما در مدل Vigilant Mindsاكثر ارتباطات و تعاملات شما با سيستم از طريق هشدارهايی خواهد بود كه قبلاز رسيدن به شما توسط مشاورين و سيستم مديريت مشاهده شدهاند.
اگر بهيك شبكه بیسيم امن نياز داريد اما در عين حال نمیخواهيد تيمی ازمتخصصان داخلی در رابطه با امنيت شبكه ايجاد كنيد AirXone يك انتخاب عالیمحسوب میشود. اما اگر به سرويسی نياز داريد كه در تلفيق با كنسول مديريتشبكه باسيم خودتان كار كند احتمالا مدل فوق انتخاب خوبی نخواهد بود.البته میتوان از آن استفاده نمود اما به كارگيری آن مستلزم كار بسيارزياد و حتی مسئوليت بيشتر است.
AirMagnet Distributed 4.0
بيشترينقدرت سيستمهای تحليل مستقل WLAN لپتاپ AirMagnet در درك شركت از مشخصاتراديويی قرار دارد. AirMagnet Distributed اين قدرت را به وسيله يك سنسورراه دور كه در واقع يك گيرنده بسيار حساس 802.11a/b/g و يك سيستمنرمافزاری است به دست میآورد. در ضمن سيستم نرمافزاری از سنسورها براینمايش دادن طيف وسيعی از اطلاعات در مورد كارآيی شبكه بیسيم و نيز امنيتآن استفاده میكند. شركتی كه به منظور مديريت شبكه خود در جستجوی يك ابزارمنفرد میباشد میتوند بسياری از نيازهای خود را با استفاده از AirMagnetDistributed برطرف نمايد.
سيستم AirMagnet از سه بخش اصلیتشكيل شده: سنسور، سرور مديريت AirMagnet و كنسول AirMagnet . سنسور شبيهيك 802.11 AP استاندارد است و نصب آن به سادگی با آدرس دهی و تنظيماطلاعات محرمانه مشترك به منظور برقراری ارتباط آن با سرور انجام میشود.نصب سرور نيز نسبتا آسان است، اگر چه اين احتمال وجود دارد كه ويوگیهایامنيتی و فايروال سرور اندكی موجب كاهش سرعت شود ( بخصوص در كنترل مجوز)
بعداز نصب سرور نرمافزار كنسول را دريافت نموده و به منظور ايجاد چند مسيركنسول آن را بر روی چند سيستم نصب نماييد. من سرور و كنسول را بر رویسيستمهای Windows XP Pro نصب كردم. AirMagnet با اين نوع پيكربندی كارمیكند اما برای نصبهايی با بيشتر از دو سنسور، سرور بايد بر روی سرورويندوز 2000 اجرا شود.
اگر از نسخه مستقل AirMagnet استفاده كردهباشيد كنسول Distributed نيز برايتان آشنا خواهد بود گرچه اين سيستم امكاندستيابی به ويوگیهای بيشتری را در اختيارتان قرار میدهد. شبكه رامیتوان بر طبق موجودی فيزيكی، نقض سياست، مسائل امنيتی و كارآيی و كارآيیكلی شبكه، به صورت كامل يا با جزييات كمتر، مشاهده نمود. با اين گونهمشاهدات میتوان وضعيت جنبههای مختلف شبكه را در درازمدت يا به صورت فوریبررسی نمود.
اگر برای اولين بار از AirMagnet Distributed استفادهمیكنيد وقتی را صرف يافتن روشهای گوناگون مشاهده آمار شبكه نماييد. منبا ديدن تعدادی AP و كلاينت كه در شبكه من موجود نبودند و ديگر سيستمهایآشكارسازی بیسيم نيز آنها را نشان نداده بودند بهت زده شدم.
كلاينتهاو APهای فوق به شبكه ديگری تعلق داشتند، البته تا قبل از اين موضوع مننمیدانستم كه میتوانم اين شبكه را از محل خودم مشاهده نمايم. من با اينخيال باطل كه فاصله فيزيكی بخشی از امنيت شبكهام را تامين میكند، باشبكه كار میكردم كه البته اين حقيقت چندان مورد علاقه نبودهام.
ايجادسياستهايی برای AirMagnet Distributed بسيار ساده و از طريق check box ودگمههای راديويی را برای طيف گستردهای از پارامترها انجام میگيرد.AirMagnet با فراهم نمودن پيشنهادات و توضيحات برای سياستها در زمانيكهنقايص يافت شده را مورد بررسی قرار میدهيد به شما كمك میكند.
بهعنوان مثال دستگاههای مخرب هشدارهايی ايجاد میكنند كه میتوانند ثبتشوند يا دستيابی به شبكه را مسدود سازند. وقتی سنسورهای در همپوشانی بامناطق تحت پوشش مورد استفاده قرار میگيرند، AirMagnet Distributedمیتواند قدرت سيگنالی را كه دريافت شده آناليز كرده و محل فرد نفوذگر رابيابد.
به عنوان مثال در صورتيكه شخصی يك AP غيرمجاز در بخشحسابداری قرار دهد با استفاده از اين مشخصه به آسانی قابل تشخيص است. اماAirMagnet Distributed تمام نيازهای شما را در رابطه با مديريت شبكهبیسيم برآورده نمیسازد.
سيستم فوق به شما اجازه نمیدهد تابستهها را به منظور يافتن مشكل ايجاد شده توسط برنامههای كاربردیرمزگشايی كنيد. در ضمن سرويسهای احراز هويت برای يك شبكه بزرگ بیسيم رادر اختيارتان قرار نمیدهد.
آنچه اين سرويس در اختيارتان میگذاردتركيبی از تحليل كارآيی WLAN و IDS است كه برای كاربرانی كه میخواهنددست به عمل زده و شبكههای بی سيم خود را به صورت عملی مديريت كنند، ازارزش بسيار فراوانی برخوردار است. اگر يك مدير شبكه WLAN میباشيد كهساختن يك toolkit كارآيی و امنيت را آغاز نمودهايد، AirMagnetDistributed را بايد در ليست خريد خود جای دهيد.
نویسنده: Curtis Franklin Jr
منبع : farsibooks.ir