Тема 3. 5. Программно-аппаратный комплекс «зодиак»

Программно-аппаратный комплекс мониторинга WiFi сетей "Зодиак"

Назначение:

Обнаружение легальных клиентов WiFi сетей, которые могут иметь недекларированные возможности и использоваться для негласного получения информации.

Описание проблемы:

WiFi сети могут использоваться устройствами несанкционированного получения информации в качестве канала передачи по целому ряду причин:

сигналы WiFi-устройств имеют достаточно сложную структуру и широкий спектр, поэтому они не поддаются идентификации обычными средствами радиомониторинга;

практически на каждом объекте или вблизи него развернуты WiFi сети (частные или общего пользования), при этом крайне сложно отличить легальных клиентов от клиентов с возможностями негласного получения информации. Это позволяет эффективно маскировать несанкционированную передачу информации среди легальных WiFi каналов;

в крупных городах сети WiFi общего пользования имеют зону покрытия достаточную, чтобы гарантировать возможность подключения к ним устройств с возможностями негласного получения информации;

ресурсы, которые предоставляют каналы WiFi сетей, позволяют передавать звук, данные, видео в реальном масштабе времени, при этом практически все WiFi сети имеют доступ высокоскоростной доступ в Интернет.

В настоящее время продаются малогабаритные WiFi устройства, позволяющие передавать данные, голосовую или видеоинформацию, например беспроводные WiFi видеокамеры, которые легко могут быть переделаны для использования в качестве устройств негласного получения информации. Модернизация WiFi устройств на уровне драйвера позволяет сделать их практически невидимым для большинства штатных программ управления и мониторинга WiFi сетей. Использование специальных программ мониторинга трафика WiFi также является неэффективным для поиска устройств негласного получения информации. Устройства негласного получения информации, как правило, являются абсолютно легальными, с точки зрения администрирования сетей, и попытки поиска их средствами поиска нелегальных возможностей не эффективны.

Решение:

Комплекс ЗОДИАК разработан, как специализированный инструмент автоматизированного контроля канала утечки информации по WiFi сетям.

Комплекс может применяться и как мобильный инструмент при проведении обследований помещений, и как стационарный комплекс радиомониторинга сетей WiFi с распределенной инфраструктурой.

Возможности комплекса могут легко наращиваться: от базовой до экспертной версии программного обеспечения, и от локальной до сетевой конфигурации аппаратной части.

Возможности

мониторинг сетей WiFI в активном и пассивном режимах;

контроль параметров устройств и соединений в реальном масштабе времени;

автоматизированное отслеживание “опасных” сочетаний параметров устройств;

одновременный мониторинг неограниченного числа устройств и сетей;

обнаружение скрытых клиентов и точек доступа невидимых для программ мониторинга сетевого трафика;

поддержка многозонной сетевой конфигурации;

определение местоположения обнаруженных устройств;

русский и английский интерфейс.

Модель угроз

Обнаружение и определение параметров WiFi устройств

Комплекс "ЗОДИАК" принимает и анализирует пакеты данных, передаваемые все устройствами WiFi в зоне радиовидимости. На основе полученной информации, ЗОДИАК составляет список активных WiFi устройств и их параметров. Представление информации о структуре сетей реализовано в виде взаимосвязанных деревьев устройств и их связей. Это позволяет в реальном масштабе времени отслеживать появление новых устройств или соединений. Анализ полученных пакетов позволяет обнаруживать клиентов сетей и точки доступа не только в зоне радиовидимости комплекса, но и за ее пределами.

Комплекс в реальном масштабе времени контролирует следующие параметры обнаруженных устройств:

аппаратный адрес сетевого адаптера (МАС адрес)

имя сети (SSIDE) для точек доступа

время обнаружения

уровень активности

количество активных соединений

режим работы устройства

уровень сигнала от устройства

Мониторинг осуществляется в двух режимах:

пассивный мониторинг пакетов (комплекс только принимает и анализирует пакеты);

активный поиск, при котором комплекс провоцирует активность «скрытых» клиентов и точки доступа посылая пакеты специальной формы. В этом режиме комплекс может обнаруживать устройства, невидимые в пассивном режиме.

В ЗОДИАК реализован мультерижимный доступ - возможность подключения к нескольким доступным сетям в том числе закрытым (при условии наличия пароля) в качестве клиентов с одновременным анализом пакетов этих сетей.

Отслеживание параметров соединений

На основе адресной информации из пакетов, для каждого отправителя информации, ЗОДИАК позволяет построить в реальном масштабе времени структурированное дерево взаимосвязанных с ним получателей, с которыми отправитель обменивается информацией в настоящее время или обменивался ранее. Комплекс позволяет обнаруживать, в том числе, связи с получателями пакетов не являющихся клиентами WiFi сетей, например клиентами локальных сетей, к которым подключены точки доступа, и клиентов в сети Internet.

ЗОДИАК позволяет контролировать следующие параметры соединений:

аппаратный адрес сетевого адаптера получателя (МАС адрес)

аппаратный адрес сетевого адаптера шлюза (МАС адрес)

время первого обнаружения сеанса

время обнаружения текущего сеанса

длительность текущего сеанса

объем передаваемого трафика

уровень активности

протокол соединения

порт

IP адрес отправителя

IP адрес получателя

Графическое представление данных

Граф - инструмент для визуализации связей устройства.

По окружности графа отображаются все получатели информации от выбранного устройства, а также шлюзы и перекрестные связи получателей. Граф различает активные и неактивные связи, оповещает о появлении новых связей, позволяет отследить ретрансляторы и точки выхода в другие сети, в том числе Internet. Граф позволяет оперативно отследить появление опасных связей устройств работающих в штатном режиме.

Круговая диаграмма активности

Круговая диаграмма активности устройства помогает оценить распределение объема трафика передаваемого с устройства по получателям и оперативно определить направление, по которому может передаваться трафик большого объема (например, видеоинформация).

График активности

Временной график активности устройства позволяет оператору отслеживать хронологию передачи трафика и обнаруживать в какой момент времени устройство начинает и заканчивает сеанс связи.

Сопоставляя полученную информацию с расписанием режимных мероприятий на объекте, оператор может обнаруживать незарегистрированные ранее устройства.

Хронометраж трафика по выбранному устройству возможно построить и для ранее сохраненных в режиме автоматической регистрации данных, чтобы анализировать информацию историю активности устройства, например во внерабочее время.

Экспертная версия позволяет генерировать отчеты о результатах мониторинга в файл в формате.cvs (поддерживается табличными редакторами MS Excel и OpenOffice Calc).

Правила

Для выявления «опасных» сочетаний параметров устройств в комплексе реализован инструмент правил. С их помощью оператор задает «опасные» сочетания параметров устройства, которые будут отслеживаться комплексом в автоматическом режиме. При обнаружении таких параметров комплекс зафиксирует тревогу и выполнит заранее определенные действия.

Правила могут использоваться для настройки фильтрации списков устройств и соединений по определенному набору параметров, чтобы оптимизировать представление информации при высокой сетевой активности, например, чтобы скрывать неактуальные устройства или связи.

Определение местоположения обнаруженного устройства

Для локализации клиентов сети WiFi на объектах большой площади или этажности с точностью до 10м. должна быть развернута многозонная конфигурация комплекса. Алгоритм разработан на основе технологии WPS.

Технические характеристики:

Питание:	Сеть 110-220В, 50-60 Гц
Масса	не более 4 кг
Диапазон рабочих температур	+10...+50 С
Максимальная влажность (при +25 С)	75%
Управляющая ПЭВМ	Pentium Core 2 Duo 2 ГГц, ОЗУ 2ГБ, ОС Linux

Спецификация

Базовая комплектация:

СПО Зодиак 2.0

Управляющая ПЭВМ (Notebook)

WiFi адаптер

Транспортная укладка

Дополнительные опции:

Сетевой клиент ЗОДИАК-К

Экспертная версия СПО ЗОДИАК 2.0 про

Сетевая версия СПО (сервер) ЗОДИАК 2.0 сеть

Ударопрочный транспортировочный кейс

Внешняя антенна

 

Возможности комплекса	ЗОДИАК	ЗОДИАК 2.0 про	ЗОДИАК 2.0 сеть
Пассивный мониторинг пакетов	+
Активный поиск устройств		+
Инструменты графического представления	+
Правила	+
Регистрация истории	+
Анализ пакетов протокола TCP		+
Определение уровня сигнала устройства		+
Определение местоположения			+
Подключение сетевых клиентов			+
Отчет		+

 

ЗОДИАК II - это третье поколение программно-аппаратных комплексов радиомониторинга беспроводных интерфейсов, разработанных специально для решения задач обеспечения безопасности информационных технологий.

Комплекс предназначен для обнаружения и идентификации на МАС уровне устройств, использующих беспроводные каналы WiFi, Bluetooth, DECT и ZigBee pro для передачи негласно полученной информации.

В отличии от большинства поисковых приборов индикаторного типа, комплекс позволяет обнаруживать не только активные каналы утечки информации, но и беспроводные устройства находящиеся в режиме ожидания, устройства, а так же работающие в скрытых режимах и использующие шифрование.

В качестве приемного устройства в комплексе используется сетевой сканер E300, который разработан специально для приема сигналов цифровых беспроводных интерфейсов и анализа принятых сигналов на сетевом уровне.

Интерфейс комплекса обеспечивает оптимальное представления информации о клиентах беспроводных сетей, автоматической классификации обнаруженных объектов и оперативного выделения "опасных" объектов на фоне легальных.

ЗОДИАК может применяться и как мобильный инструмент при проведении специальных обследований помещений, и как стационарный комплекс радиомониторинга беспроводных сетей с распределенной инфраструктурой.

Новая функция комплекса - аудит беспроводных сетей WiFi по стандарту безопасности данных индустрии платежных карт PCI DSS v2.0.

Основные преимущества:

Контроль параметров беспроводных устройств в реальном масштабе времени:

WiFi IEEE 802.11 a/b/g/n

Bluetooth IEEE 802.15.1

DECT EU \ USA

ZigBee Pro 802.15.4

Автоматизированное классификация устройств и соединений

Контроль параметров WiFi сетей, в том числе IP адресов и портов

Поддержка удаленных постов и многозонной конфигурации

Аудит сетей WiFi по требования безопасности стандарта DSS PCI v2.0

 

Программно-аппаратных комплекс радиомониторинга беспроводных интерфейсов ЗОДИАК II

Отличительные особенности:

 

Состав комплекса:
E300		сетевой сканер WLAN-WPAN
WF.11		модуль WiFi IEEE 802.11 a\b\g\n
ВТ.21		модуль Bluetooth 2.1+EDR class I
ZB.11		модуль ZigBee pro (IEEE 802.15.4)
DE.11		модуль DECT (EU\USA)
		сумка мягкая
Зодиак про 4		специальное программное обеспечение для мониторинга беспроводных интерфейсов

ЗОДИАК II-это программно-аппаратный комплекс радиомониторинга беспроводных интерфейсов, который предназначен для обнаружения устройств, использующих беспроводные каналы WiFi, Bluetooth, DECT и ZigBee для передачи негласно полученной информации. Комплекс поддерживает наиболее распространенные спецификации стандарта WiFi: a\b\g\n; европейскую (1890-1900 МГц) и американскую (1920-1930 МГц) частотную сетку DECT.

В отличии от большинства поисковых приборов индикаторного типа, комплекс позволяет обнаруживать не только активные каналы утечки информации, но и беспроводные устройства находящиеся в режиме ожидания.

В качестве приемного устройства в комплексе использован сетевой сканер E300, который специально разработан для приема сигналов цифровых беспроводных интерфейсов и анализа принятых сигналов на сетевом уровне.
В отличии от программ для контроля качества сетей или программ прослушивания сетевого трафика, ЗОДИАК разрабатывался специально для выявления закладных устройств и поэтому позволяет эффективно выявлять "опасные" устройства, в том числе и в условиях высокой загрузки эфира сигналами легальных устройств.

Интерфейс комплекса специально разрабатывался для оптимального представления информации о клиентах беспроводных сетей и быстрого обнаружения "опасных" объектов. Комплекс оснащен набором инструментов для автоматической классификации опасных и нестандартных сочетаний параметров устройств и соединений.

ЗОДИАК может применяться и как мобильный инструмент при проведении специальных обследований помещений, и как стационарный комплекс радиомониторинга беспроводных сетей с распределенной инфраструктурой. Новая функция комплекса - аудит беспроводных сетей WiFi по стандарту безопасности данных индустрии платежных карт PCI DSS v2.0.

Возможности сетевой версии:

- подключение неограниченного колличества приемников;

- построение распределенных систем мониторинга WiFi, Bluetooth, ZigBee;

- локализации источника WiFi на поэтажной схеме объекта;

- расширенные сетевые настройки приемников.

 

Модуль Зодиак Управление поддерживает следующие типы устройств:

программно-аппаратные комплексы по обеспечению сетевой безопасности серии RSCB-X (линия платформ Crossbeam X-Series);

телекоммуникационные устройства Alcatel.

С точки зрения клиент-серверной архитектуры модуль Зодиак Управление интегрирован в состав других модулей ПК Зодиак и включает в себя следующие компоненты:

клиентская часть – приложение Зодиак Управление – является структурной компонентой модуля Зодиак Конструктор и устанавливается на рабочую станцию пользователя вместе с другими приложениями этого модуля;

серверная часть обеспечивается средствами модуля Зодиак Контроль.

Приложение Зодиак Управление посредством сервера ПК Зодиак подключается к управляемому сетевому устройству. В результате пользователь/администратор получает возможность выполнять следующие действия:

настраивать конфигурацию устройства и изменять ее параметры;

просматривать данные о текущем состоянии компонент устройства;

осуществлять перезагрузку и выключение устройства.

 

Комплекс предназначен для обнаружения и идентификации на МАС уровне устройств, использующих беспроводные каналы WiFi, Bluetooth, DECT и ZigBee pro для передачи негласно полученной информации.

В отличие от большинства поисковых приборов индикаторного типа комплекс позволяет обнаруживать не только активные каналы утечки информации, но и беспроводные устройства находящиеся в режиме ожидания, а также устройства, работающие в скрытых режимах и использующие шифрование.

В качестве приемного устройства в комплексе используется сетевой сканер E300, который разработан специально для приема сигналов цифровых беспроводных интерфейсов и анализа принятых сигналов на сетевом уровне.

Интерфейс комплекса обеспечивает оптимальное представление информации о клиентах беспроводных сетей, автоматической классификации обнаруженных объектов и оперативного выделения "опасных" объектов на фоне легальных.

ЗОДИАК может применяться и как мобильный инструмент при проведении специальных обследований помещений, и как стационарный комплекс радиомониторинга беспроводных сетей с распределенной инфраструктурой.

Новая функция комплекса - аудит беспроводных сетей WiFi по стандарту безопасности данных индустрии платежных карт PCI DSS v2.0.

Версия 4.1 про:

- обнаружение устройств стандарта DECT на МАС уровне как в режиме разговора, так и при положенной трубке;

- новый интерфейс представления информации об устройстве – позволяет одновременно просматривать параметры устройства, системный журнал событий, относящихся к устройству, контролировать динамику уровня сигнала устройства, объем исходящего трафика данных и управления и структуру связей устройства;

- удобный контекстный поиск по любому полю списков;

- интерфейс правил дополнен новыми условия и действиями для более удобной работы с комплексом в автоматизированном режиме;

- для открытых сетей и для сетей с известным паролем появится возможность контролировать IP адрес устройств и порт для соединений;

- улучшен интерфейс и расчетная часть сетевой версии;

- реализован режим тестирования защищенности беспроводных сетей в соответствии со стандартом безопасности PCI DSSS 2.0 (опция AU-11);

- добавлена возможность работы программы в фоновом режиме и поддержка вспывающих сообщений.

Возможности сетевой версии:

- подключение неограниченного количества приемников;

- построение распределенных систем мониторинга WiFi, Bluetooth, ZigBee;

- локализации источника WiFi на поэтажной схеме объекта;

- расширенные сетевые настройки приемников.

Основные преимущества:

¾ Контроль параметров беспроводных устройств в реальном масштабе времени:

¾ WiFi IEEE 802.11 a/b/g/n

¾ Bluetooth IEEE 802.15.1

¾ DECT EU/USA

¾ ZigBee Pro 802.15.4

¾ Автоматизированная классификация устройств и соединений.

¾ Контроль параметров WiFi сетей, в том числе IP адресов и портов.

¾ Поддержка удаленных постов и многозонной конфигурации.

¾ Аудит сетей WiFi по требованиям безопасности стандарта DSS PCI v 2.0

 

Базовая комплектация включает:

¾ - Cетевой сканер (WLAN/WPAN) E300;

¾ - Модуль WiFi IEEE 802.11 a/b/g/n opt. WF-1;

¾ - Модуль Bluetooth 2.1+EDR class I opt. ВТ-21;

¾ - Модуль DECT (EU/USA) opt. DE-11;

¾ - Модуль ZigBee pro IEEE 802.15.4 opt. ZB-11;

¾ - Специальное программное обеспечение Зодиак про.

Комплектация

¾ СПО Зодиак 2.0

¾ Управляющая ПЭВМ (Notebook)

¾ WiFi адаптер

¾ Транспортная укладка

¾ Дополнительные опции:

¾ Сетевой клиент Зодиак-К

¾ Экспертная версия СПО Зодиак 2.0 про

¾ Сетевая версия СПО (сервер) Зодиак 2.0 сеть

¾ Ударопрочный транспортировочный кейс

¾ Внешняя антенна

Основные особенности

¾ Контроль параметров устройств и соединений в реальном масштабе времени

¾ Поддержка многозонной сетевой конфигурации

¾ Определение точного местонахождения передатчика без физического поиска

¾ Мониторинг сетей WiFI в активном и пассивном режимах

¾ Эргономичность

¾ Комплекс в реальном масштабе времени контролирует следующие параметры обнаруженных устройств:

¾ аппаратный адрес сетевого адаптера (МАС адрес)

¾ имя сети (SSIDE) для точек доступа

¾ время обнаружения

¾ уровень активности

¾ количество активных соединений

¾ режим работы устройства

¾ уровень сигнала от устройства

¾ ЗОДИАК позволяет контролировать следующие параметры соединений: аппаратный адрес сетевого адаптера получателя (МАС адрес)

¾ аппаратный адрес сетевого адаптера шлюза (МАС адрес)

¾ время первого обнаружения сеанса

¾ время обнаружения текущего сеанса

¾ длительность текущего сеанса

¾ объем передаваемого трафика

¾ уровень активности

¾ протокол соединения

¾ порт;

¾ IP адрес отправителя

¾ IP адрес получателя