Während des Sommers 2001 erreichte die Nachricht von der Unsicherheit des Standardverschlüsselungsprotokolls WEP (Wired-Equivalent-Privacy) die breite Öffentlichkeit. Seitdem kommt die Diskussion um die Sicherheit von drahtlosen Netzwerken nicht zur Ruhe. Zwar gibt es mittlerweile beispielsweise durch TKIP (Temporal-Key-Integrity-Protocol) und 802.1x oder Wireless-Switches Verbesserungen im Sicherheitsbereich. Aber die Sicherheit im Wireless-LAN zu gewährleisten, bleibt ein komplexes Unterfangen. Auch wenn es dem Administrator gelingt, sicherzustellen, dass bei der Inbetriebnahme wirklich nur autorisierte Anwender Zugang bekommen und deren Datenübertragung verschlüsselt wird, kann sich dies wieder ändern. Da kann ein unerwünschter Access-Point (Rogue-Device) im Netz hängen und so die Sicherheit bedrohen, oder Denial-of-Service-Angriffe auf das WLAN legen einen Access-Point lahm. Der Administrator muss um solche Ereignisse wissen. Er benötigt also eine Lösung, die ihm einmal detaillierte Informationen über die Vorgänge in seinem Wireless-LAN liefert. Zum anderen muss diese Lösung ihm helfen, etwa Verbindungs- oder Sicherheitsprobleme zu erkennen. Dazu kann der Administrator zum einen die Monitoring-Funktionen einsetzen, die ihm seine Wireless-Infrastruktur bietet. Oder er verwendet zum anderen eine eigenständige Monitoring-Lösung, die quasi über dem eigentlichen WLAN liegt. Network Computing untersuchte daher sowohl in eine WLAN-Infrastruktur integrierte Lösungen als auch eigenständige beziehungsweise separate Beobachtungslösungen. Unternehmen wählen integrierte Lösungen aber nicht zuerst wegen der Monitoring-Funktionen aus. Bei der Punktevergabe beschränkte sich Network Computing daher auf eigenständige Lösungen. Um Administratoren jedoch bei der Entscheidung, ob separat oder integriert, zu helfen, schaute sich Network Computing auch ein paar integrierte Lösungen an. Wir baten WLAN-Infrastruktur-Hersteller um Teststellungen, um deren Monitoring-Fähigkeiten zu untersuchen. Aber es willigten nur Airespace, Aruba Wireless Networks und Cisco Systems ein.

Report-Card: WLAN-Standardalone-Monitoring-Systeme

Features: WLAN-Standardalone-Monitoring-Systeme

Im Gegensatz zu den integrierten Lösungen fokussieren die spezialisierten Wireless-Monitoring-Produkte einmal darauf, sicherzustellen, dass Wireless-Sicherheitsregeln eingehalten werden. Zum anderen wollen sie den Administrator auf dem Laufenden halten, was in seinem Luftraum vor sich geht. Dieser Produktbereich wächst schnell, und die Ansätze der Hersteller sind beeindruckend. Angefangen beim drahtlosen IDS (Intrusion-Detection-System) oder Tools zur Fehlersuche, über Packet-Capture ohne viele Spielereien bis hin zu WLAN-Monitoring offerieren die Lösungen beinahe für jeden etwas.

Network Computing testete eigenständige Produkte von AirDefense, AirMagnet, Network Chemistry, Network Instruments, Newbury Networks und WildPackets in den Real-World Labs. Die Tests zeigten, dass die Monitoring-Lösungen in den Infrastruktur-Produkten gut genug dafür sind, um fremde Access-Points (Rogue-APs) zu finden, aber eben nicht viel mehr. Auch wenn ein paar Zugaben dabei sind wie Lokalisation von APs oder geringe IDS-Funktionen. Für eine tiefer gehende Analyse kommt der Administrator um eine spezialisierte Lösung nicht herum. Die Tabelle auf Seite 32 zeigt zwei verschiedene Preisszenarien auf, um einen Eindruck zu geben, in welchem Bereich sich die Kosten hier bewegen.

Drahtlose Intrusion-Detection

So wie sich Wireless-LANs entwickeln und reifen, gilt das auch für WLAN-Angriffe. Einige der spezialisierten Produkte, die Network Computing testete, entdecken unerlaubte Versuche, Zugang zu bekommen, und alarmieren den Administrator. Diese IDS-Funktionen entscheiden, ob böswillige Aktivitäten passieren, indem sie den verdächtigen Verkehr mit Signaturen bekannter Angriffe vergleichen, abgelegt in einer Datenbank. Wir stellten fest, dass die IDS-Funktionen der einen Produkte zwar besser waren als bei anderen. Aber alle übersahen Alarme (positive-false) und lösten falschen Alarm aus (false-positive).

Konventionelle IDS konzentrieren sich auf Eindringlinge im Netzwerk. Aber nicht alle Angriffe richten sich darauf, Informationen zu klauen. Scans von Aufklärungswerkzeugen wie »NetStumbler« können Fremden wertvolle Informationen über die WLAN-Topologie geben, sogar die ungefähre Position der Access-Points, was die Diebstahlgefahr erhöht. Einige Angreifer wollen einfach nur den Betrieb des Wireless-LANs stören. Mit einer Denial-of-Service-Attacke gegen die Access-Points kann ein Angreifer Teile des Netzwerks zum Erliegen bringen. Auch die beste Authentifizierung und Autorisierung können dies nicht verhindern. Im Gegensatz zum drahtgebundenen LAN, bei dem ein Fremder eine physikalische Verbindung braucht, können solche Angriffe auch von außerhalb des eigenen Firmengeländes kommen.

Außerdem kann ein WLAN weit offen stehen, wenn ein IT-Mitarbeiter den Access-Point falsch konfiguriert. Dann lungert vielleicht ein Fremder vor dem Gebäude herum und bringt die Anwender in Aufruhr, weil sie sich wegen der Funk-Interferenzen nicht mit den Access-Points verbinden können. Das Leben eines WLAN-Administrators steckt voller Gefahren.

Datensammler

Administratoren müssen alle Access-Points und Clients, eigene als auch fremde, in ihrer Umgebung sehen. Die Produkte müssen auch die wesentlichen Bedrohungen entdecken. Die fortgeschrittenen Fähigkeiten einiger Produkte erleichtern es dem Administrator, einen sicheren Bereich zu erhalten und Problemen auf die Spur zu kommen.

Das Design und der optimale Ort für die Testprodukte variierten. Die meisten spezialisierten Lösungen führen das Monitoring mit Stand-alone-Hardware-Sensoren durch, über das ganze Wireless-LAN verteilt. Die Sensoren berichten dann an einen Management-Server. Nur Network Instruments verwendet einen kompletten Windows-PC gemeinsam mit einem WLAN-Adapter, um das Monitoring durchzuführen. Bei diesem Ansatz muss der Administrator ein teures Gerät aufstellen, wo immer er Messungen durchführen will.

Typischerweise kann der Administrator sich die gesammelten Funkinformationen von irgendwo im Netzwerk auf einer Webseite mit einer Windows-Applikation anschauen, oder er loggt sich auf dem Server selbst ein. Die Infrastruktur-Anbieter arbeiten ähnlich, indem sie ihre gesammelten Funkdaten auf einem Server zusammenführen oder, wie im Falle von Aruba, in einem Switch, der als Master arbeitet. Jeder Hersteller gab an, dass die Reichweite der Sensoren deutlich über das der konventionellen Access-Points hinausgehe. Unser Reichweitentest zeigte, dass diese Versicherung korrekt war, allerdings bei weitem nicht in der angegebenen Größe. Die Sensoren besitzen eine Reichweite, die um das Zwei- bis Dreifache über dem eines typischen Access-Points liegt. Daher benötigt ein Administrator deutlich weniger Sensoren als Access-Points. Das Verhältnis variiert aber in Abhängigkeit vom Hersteller und den Aufstellungsorten. Die Abdeckung auf dem Papier zu bestimmen, erweist sich als schwierig, da die Sensoren passiv arbeiten – sie senden keine Funkwellen aus. Die Hersteller hatten Schwierigkeiten anzugeben, wie jemand herausfinden kann, wie weit die Sensoren hören können. Derzeit bleibt nur Trial-and-Error. Bei Airespace und Cisco muss der Administrator kein Verhältnis zwischen Anzahl der Access-Points und Anzahl der Sensoren bestimmen: Deren Access-Points besitzen integrierte Sensor-Fähigkeiten.

Die Solo- und die integrierten Sensoren besitzen alle im Kern den gleichen Ansatz für die Sicherheit: Jeder Sensor hört den 802.11-Verkehr auf den unterstützten Kanälen im 2,4- und 5-GHz-Band und sammelt Informationen über fremde Access-Points, mögliche in Fortschritt befindliche Angriffe, Verstöße gegen Regeln und andere Details. Auch wenn die Hersteller angeben, dass sie das komplette Wireless-LAN überwachen können, trifft dies so nicht zu. Jeder Sensor kann immer nur auf einem Kanal den WLAN-Verkehr abhören. Verkehr auf anderen Kanälen wartet aber nicht, bis der Sensor wieder auf diesem Kanal lauscht. Allerdings haben die Hersteller in gewisser Weise Recht in dem Punkt, dass ein Sensor für jeden Kanal nicht machbar ist. Daher muss es derzeit beim Scannen der einzelnen Kanäle bleiben.

Die Verweildauer auf jedem Kanal variiert von Hersteller zu Hersteller. Auch wenn dabei ein Teil des Verkehrs nicht aufgezeichnet wird, reichen die Informationen aus, um ein genaues Bild des WLANs zu zeichnen. Unsere Tests zeigten, dass das Scannen der Kanäle für die meisten Situationen ausreicht. In Zukunft werden mehrfache Funkeinheiten für eine größere Genauigkeit und Flexibilität sorgen.

Airdefense, Airmagnet, Aruba und Network Chemistry gewannen unsere Aufmerksamkeit, weil ihre Produkte Angriffe und unnormales Verhalten intelligent erkennen konnten. Für den Administrator wäre es eine Hilfe, wenn er wüsste, welche Angriffe auf sein WLAN niedergehen. Aber die meisten IDS lösen eine Horde von Alarmen aus, die nur Hinweise auf den Typ des Angriffs liefern. Einige Attacken wie MAC-Spoofing ähneln denen in der drahtgebundenen Welt. Andere dagegen kommen nur in der Wireless-Welt vor wie Authentication- oder Deassociation-Frame-Floods. Diese dienen dazu, die Kommunikation zwischen Access-Point und Client zu unterbrechen. In einem Testangriff hatten wir einen Access-Point gefälscht (Spoofing) und dann Deauthentication-Pakete an die Clients geschickt. Eine typische Reaktion des IDS war darauf die Meldung, dass MAC-Adressen-Spoofing und Deauthentication-Floods stattfänden. Ein paar Informationen sind besser als keine. Bei den IDS würden wir gerne mehr Intelligenz und eine bessere Zusammenfassung von Alarmen sehen.

Neben anderen betrachten Airespace und Newbury Networks Lokalisationsdienste als zentralen Bestandteil des Sicherheits-Monitoring. Die Lösung bestimmt dabei den Ort eines Access-Points. Ein Administrator muss wissen, ob sich ein Anwender innerhalb oder außerhalb eines Bereiches befindet, um zu entscheiden, welche Sicherheitsstufe zum Tragen kommt. Genauso muss er zuerst den Ort eines unerwünschten Gerätes wissen, bevor er es ausschalten kann.

Alle Produkte im Test zeigten den Ort unserer 802.11-Geräte an. Allerdings variierten die Produkte in der Feinheit, Genauigkeit und Darstellung sehr drastisch. Newburys Gerät zum Beispiel kann den Raum bestimmen, in dem sich ein Gerät befindet, und Airespaces Lösung kann die Ortsangabe bis auf einen Bereich von 3 auf 3 Meter Größe angeben. Andere sagen nur, welcher Sensor am nächsten liegt.

Bandbreitenfragen

Sensoren müssen ihre Informationen zu einer Konsole beziehungsweise einem Management-Server übertragen. Vielleicht steht ein Sensor in einem entfernten Wireless-LAN und muss die Daten remote zum Server übertragen? Oder der Administrator möchte extensiven Datenverkehr in seinem LAN vermeiden. In diesen und anderen Fällen spielt der Bandbreitenverbrauch der Monitore eine Rolle und sollte bei der Auswahl berücksichtigt werden. Um effizient zu arbeiten, müssen die Sensoren Zusammenfassungen und Alarme auf einer zentralen Konsole anzeigen. Daher erzeugen Sensoren Alarme und übertragen alle beziehungsweise einen Teil der gesammelten Daten für eine Analyse an den Server.

Airdefense, Airmagnet und andere haben beim Entwurf ihrer Produkte auf die Bandbreite geachtet, indem sie beispielsweise nur wenige Daten von den Sensoren zu dem zentralen Sammelpunkt senden. Oder der Administrator kann weniger wichtige Informationen aus der Übertragung herausnehmen. Andere haben sich das Bandbreitenproblem dagegen nicht zu Herzen genommen. Einige schlagen ein separates Netzwerk für die Sensoren vor, während einige ihre Aufgaben nicht ausführen können, ohne den drahtlosen Netzwerkverkehr über das Netz zu schicken. Am schlimmsten war hier Wildpackets Gespann »AiroPeek NX« mit »RFGrabber«. Um hier ausführliche Informationen zu bekommen, muss der Administrator einen Packet-Capture starten, der alle drahtlosen Daten über das drahtgebundene Netz zurückschickt. Dies konnten bis zu 5,5 MBit/s sein – im Gegensatz zu Konkurrenten, die den Verkehr auf einige wenige KBits pro Sekunde reduzierten.

Info

Lokalisierung

Hersteller arbeiten daran, ihre WLANs mit Lokalisierungsfunktionen auszustatten. Aber während einige wenige Produkte den Ort auf einen Zellen-artigen Bereich bestimmen können, geben die meisten Lösungen, die wir ansahen, nur einen Hinweis über den Aufenthaltsort eines Geräts. Wir erwarten, dass die Genauigkeit der Ortsangabe im Laufe des Jahres zunimmt, wenn Unternehmen die Vorteile eines WLANs mit Lokalisierung erkennen.

Die meisten Location-Tracking-Anwendungen beschäftigen sich damit, ein Auge auf Geräte und Personal zu haben, aber die Technologie kann mehr. Beispielsweise kann der Administrator über Orts-bezogene Rechte sicherstellen, dass Besucher in der Lobby oder Lounge Web-Zugang bekommen. In anderen Bereichen dagegen erfordert der WLAN-Zugang Authentifizierung. Wenn unerwünschte Geräte auftauchen, kann die Ortsbestimmung Sicherheitskräften den Weg zur richtigen Stelle weisen.

Ansätze für die Ortsverfolgung fallen in drei Kategorien mit unterschiedlichen Genauigkeiten. Der einfachste und am meisten verbreitete Weg basiert auf der Signalstärke via RSSI (Received-Signal-Strength-Indicator), um den Access-Point oder Sensor zu identifizieren, der am nächsten zum gesuchten 802.11-Gerät liegt. Dies bedeutet oft, dass, wenn das System einmal den nächsten Access-Point ermittelt hat, es am Administrator liegt, den genauen Ort mit einem Handheld-Analyzer zu finden. Die Präzision dieser Methode hängt von der Reichweite des am nächsten gelegenen Access-Points ab. Manchmal zeigt die Lösung auch die RSSIs anderer Access-Points als Hinweis für den Ort an.

Mit ein bißchen Intelligenz und einem Stockwerksplan kann ein Monitoring-System den Ort mittels Triangulierung bestimmen, was die Genauigkeit erhöht. Wenn ein Sensor oder Access-Point ein Gerät hört, bestimmen Systeme mit Triangulierung den wahrscheinlichen Ort an Hand der verschiedenen Signalstärken. In Abhängigkeit von den Systemspezifikationen als auch von der Dichte der Access-Points oder Sensoren kann die Triangulierung den Ort innerhalb einer Fläche zwischen 36 m2 und 81 m2 bestimmen. Obwohl diese Genauigkeit für einige Anwendungen ausreichen mag, besitzt sie deutliche Einschränkungen. Die Methode ignoriert Umgebungs-spezifische Eigenschaften wie Materialien der Gebäudewände, Büroausrüstung sowie andere Abschwächungen oder Multipath-Effekte.

RF-Fingerabdruck-Systeme (Radio-Frequency) berücksichtigen Eigenschaften der Gebäude. Es werden dabei Messungen innerhalb des WLANs vorgenommen, um das intelligente System zu trainieren. Dadurch kann dieses dann Abschwächungsquellen wie Mauern oder Aktenschränke ausgleichen. Die Lösung kann die RF-Signaturen von Signalen an spezifischen Punkten im eigenen WLAN bestimmen. Auch wenn die Systeme erst einmal Stunden von Training benötigen, um die RF-Signaturen zu erstellen: Sie liefern dann eine Genauigkeit, die innerhalb eines 9 m2 großen Bereiches liegt.

AirMagnet Distributed 4.0

Administratoren, vertraut mit tragbaren Wireless-Analyse-Werkzeugen, werden »AirMagnet Distributeds« buntes, intuitives und informationsreiches Interface begrüßen. Airmagnet portierte sein Standalone-Troubleshooting-Produkt auf eine skalierbare, zentral kontrollierbare, verteilte Architektur. Damit lieferte Airmagnet uns das umfangreichste Werkzeug für drahtlose Diagnose und Problemlösung im Test – zu einem Preis, der sich im Mittelfeld bewegte. Bei den Standalone-Lösungen erhielt Airmagnet Distributed 4.0 die Auszeichnung »Referenz« der Network Computing einmal für die Tiefe der Informationen, welche die Lösung sammelt. Zum anderen half uns Airmagnet, genau zu sehen, was in unserem Wireless-LAN passierte. Wir erhielten den Beta-Code für 4.0. Die Version wurde jedoch ohne Abstriche genauso wie alle anderen Produkte gestestet. Zum Zeitpunkt der Veröffentlichung ist die Version 4.0 bereits verfügbar.

In der Drei-Ebenen-Architektur speichern Airmagnets Sensoren die Monitoring-Daten und leiten diese dann an einen Management-Server weiter. Dieser besteht aus dem »SQL Server« von Microsoft, einem minimalen Web-Interface, um ein paar Debug-Informationen über den Server und die Sensoren anzuzeigen, und einer Web-Seite, um eine volle Win32-Konsole herunterzuladen. Die Sensoren sind modifizierte Dual-Slot-Access-Points. Sie sind physisch identisch mit denen von Airdefense. Allerdings verwendet Airmagnet eine 11a/b/g-Karte, während Airdefense zwei separate Karten für 11b/g und 11a in die Slots einsetzt. Beide Geräte verwenden ein modifiziertes Linux als Software für die Sensoren. Leider unterstützt keines der Geräte den Power-over-Ethernet-Standard (PoE) 802.3af. Aber es gibt proprietäre Injektoren, separat käuflich.

Airmagnets Setup erscheint durchgängig, erfordert aber einiges an Zeit. Wir mussten uns über ein serielles Kabel mit jedem Sensor verbinden, um entweder DHCP einzuschalten oder die IP-Adresse des Sensors gemeinsam mit der Server-IP-Adresse und Shared-Secret-Keys einzustellen. Diese Informationen kann der Administrator auch über eine Web-Seite mit der Fabrik-seitig eingestellten IP-Adresse eingeben. Der eigentliche Management-Server, die Backend-SQL-Datenbank und der »AirMagnet Reporter« waren vorinstalliert auf einem Laptop, den der Hersteller uns zur Verfügung stellte. Wir installierten aber die Airmagnet-Konsole über eine sichere Web-Seite auf einer anderen Testmaschine. Die Sensoren verbanden sich mit dem Management-Server, geschützt durch eine sichere Verbindung mittels Shared-Keys. Für die Software konnten wir automatisch ein Upgrade durchführen. Obwohl Airmagnet vorschlägt, für den Reporter und den Management-Server eine separate Maschine zu verwenden, erlebten wir keine Probleme, als wir unsere Konsole auf dem gleichen PC laufen ließen.

Airmagnets Win32-Konsole für das zentrale Management leistete gute Arbeit bei der Anzeige von Alarmen und Zusammenfassungen in einem grafischen Übersichtsbildschirm (Dashboard). Ein hierarchisch aufgebautes Feld auf linken Seite listete unsere Sensoren nach den Standardeigenschaften auf, und wir konnten mit einem Klick auf verschiedene Elemente im Baum Funkinformationen sehen. Über das flexible Interface konnten wir die Alarme nach Datum und Typ sortieren. Redundante Alarme, erzeugt von mehr als einem Sensor, konsolidierte die Konsole in einen Eintrag. Jeder Alarm brachte eine detaillierte Beschreibung mit wie Diagramme, die Auskunft über das mögliche Problem oder Angriff gaben, und was der Administrator dagegen tun kann. Wir konnten jeden Alarm markieren, um ihn von der Eventliste zu streichen. Diese Kennzeichnung merkte sich das Programm aber nicht immer nach einem Neustart – ein Problem, das Airmagnet-Personal nicht reproduzieren konnte.

Der Infrastruktur-Screen zeigte uns eine Momentaufnahme der drahtlosen Geräte. Wir konnten die Einträge gruppieren und filtern nach Status, SSID, Clients mit Access-Point verbunden oder anderen Attributen. Außerdem kennzeichneten wir fremde Access-Points als Nachbarn – Geräte, die wahrscheinlich zu benachbarten Organisationen gehörten – oder als eigene, akzeptierte Geräte und ordneten diesen Stationen beziehungsweise Access-Points Aliasnamen zu.

Die Informationen der Konsole in der Infrastrukturansicht frischte diese nur auf, wenn Sensoren Informationen an den Management-Server lieferten. Kontinuierliche Informationen wie die Signalstärke wurden nicht angezeigt. Um die genauen Details über ein fremdes Gerät oder Netzwerk herauszufinden, klickten wir auf das Remote-GUI (Graphical-User-Interface). Hier konnten wir uns mit einem bestimmten Sensor verbinden und die drahtlosen Aktivitäten in Echtzeit beobachten. Kein anderes Gerät im Test lieferte diese Tiefe an Informationen. Als eine Kleinigkeit wünschen wir uns, dass der Live-Aspekt ein zentraler Teil des Management-Interfaces ist, anstatt in einem anderen Fenster zu erscheinen.

Sowohl Sicherheits- als auch Performance-Policies erzeugten Alarme, aber wir konnten die meisten Schwellenwerte anpassen oder ausschalten. Airmagnet lieferte die umfassendste Menge an Regeln und Alarmen – so viele, dass wir gar nicht alle auslösen konnten. So wie bei anderen Produkten im Test konnte ein einzelnes Ereignis verschiedene Alarme auslösen. Ein schlecht konfigurierter Access-Point erzeugte mit dem Einschalten eine Flut von Alarmen, angefangen von »Fremder Access-Point«- bis zu SSID-Alarmen. Leider kann der Administrator die Alarme nicht per Gerät betrachten und nur diese Untermenge abhaken.

Die Reporting-Funktionen von Airmagnet sind detailliert und vollständig. Als wir in dem Chart-Bildschirm der Konsole blätterten, fanden wir heraus, dass Airmagnets Reporter-Modul eine Vielzahl von Chrystal-Style-Reports erzeugen kann. Wir legten fest, dass mindestens alle zwei Stunden Informationen an die Datenbank geschickt werden. Trotzdem mögen manche die aktuellen Daten von Airdefense bevorzugen, die detaillierter sind.

Airmagnet punktete gut bei der Identifizierung verschiedener Angriffsaspekte. Trotzdem hatte es Probleme bei der Identifizierung von Software-Access-Points, indem es diese als unerwünscht (Rogue) bezeichnete. Außerdem scheute sich Airmagnet-Distributed, uns zu alarmieren, wenn wir eine MAC-Adresse fälschten (Spoofing). Für die Fehlersuche unterstützt Airmagnet auch Packet-Capture mit »Ethereal«, »Sniffer« von Network Associates oder seiner eigenen Lösung. Allerdings sind die eigenen Bordmittel begrenzt.

Administratoren von drahtlosen Netzen, die ein umfassendes und robustes Diagnosewerkzeug suchen, werden von Airmagnet-Distributeds Fähigkeiten beeindruckt sein.

AirDefense Guard 4.0

Was das Design anbelangt - vollständig mit Sensoren, Konsole und Management-Server –, ähneln »AirDefense Guard 4.0« und Airmagnet-Distributed einander. Allerdings gehen diese Gemeinsamkeiten nur kurz bis unter die Oberfläche. Airdefense hat sich bei seiner WLAN-Security-Appliance darauf konzentriert, ein IDS für drahtlose Umgebungen zur Verfügung zu stellen und dabei einen detaillierten Überblick über die Interaktionen zwischen den WLAN-Geräten zu geben. Das hat funktioniert. Guard, auch im Beta-Stadium, führte das Feld an, was IDS-Funktionen anbelangt. Was die Fehlersuche betrifft, lag Airdefense als Zweiter hinter Airmagnet-Distributed.

Auf den ersten Blick erscheint Guard teuer, aber in unseren beiden Preisszenarien bleibt Guard im vertretbaren Rahmen. Die schlüsselfertige Appliance enthält einen im Rack montierbaren Dual-Prozessor-Management-Server mit einem gehärteten Redhat-Linux, einer relationalen Datenbank, Anwendungssoftware für die Analyse von unerwünschten Geräten, IDS, Unterstützung für den laufenden Betrieb, Enterprise-Policy-Management und umfassenden Reportfunktionen.

Guard zeigte sich als eines der Systeme, die am einfachsten zu installieren und konfigurieren waren. Ein paar Minuten, nachdem wir die Basiseinstellungen über ein intuitives Textmenü vorgenommen hatten, lief das System.

Eine SSL-verschlüsselte Startseite mit einer Instrumententafel (Dashboard), welche Alarme und Anzahl der Geräte und eine Liste der Alarme pro Gerät darstellte, zeigte den Status unseres Wireless-LANs auf einen Blick. Anders als Airmagnet stellt Airdefense keine Seite bereit, die nach Access-Points oder SSIDs (Service-Set-ID) mit den zugehörigen Clients gruppiert. Wir vermissten diese Funktion, dies es uns erleichterte, die drahtlosen Beziehungen zu sehen. Airdefenses Instrumententafel besaß auch keine baumähnliche Ansicht der Alarme; stattdessen wurde per Gerät und Typ zusammengefasst. Mit der Maus über den Alarm gehend, gab das Programm einige Details preis. Aber wir mussten in jeden Alarm hineingehen, um mehr Informationen zu erhalten. Auf der anderen Seite konnten wir im Fenster mit den Alarmen diese leicht sortieren und nach Typ, Gerät oder Zeit gruppieren, außerdem auch Alarme als bekannt markieren oder wieder löschen.

Trotz tapferer Versuche des Airdefense-Teams, die Alarmflut zu stoppen, liefen die Alarme – wenn auch schon konsolidiert - im Minuten-Intervall in der Konsole auf. Ein Angriff konnte bis zu fünf Verletzungsmeldungen erzeugen. Obwohl unsere Tests zeigten, dass Event-Korrelation ein schwieriges Geschäft ist, würden wir gern mehr sehen von einem Hersteller, der sich als führend sieht bei drahtlosen IDS. Zugunsten von Airdefense müssen wir jedoch sagen, dass es uns mit ein wenig Tuning und Anpassung unserer Policies gelang, die Menge an neuen Events von Dutzenden auf fünf bis sechs zu verringern. Auf der anderen Seite konnte die Benachrichtigung bei Alarmen so eingestellt werden, dass ein dauerhafter Alarm den Administrator nur alle 30 Minuten informiert.

Die detaillierte Konfiguration der Sicherheits- und Managementregeln ist eine von Airdefenses Stärken. Wir konnten verschiedene Sicherheitsrichtlinien einem Access-Point zuordnen oder bestimmte Stationen so einschränken, dass sie sich nur mit einigen Access-Points verbinden konnten. Mit Hilfe von Guards neuen »Live View«-Funktion konnten wir ein einfaches Packet-Decoding durchführen. Allerdings war es ein mühsames Geschäft, den Capture-Prozess auf dem Sensor zu starten, ihn wieder zu stoppen, die Ergebnisdatei zu konvertieren und vom Server abzuholen.

Administratoren, die sich über die Datenmenge sorgen, die das Wireless-Monitoring-System über das WAN schickt, können die Übertragungsrate für jeden Sensor zum Server auf bis 9,6 KBit/s begrenzen. Anders als bei Airmagnet-Distributed schickt Airdefense kontinuierlich Updates von den Sensoren an den Management-Server. Airmagnet verwendet einen Store-and-Forward-Mechanismus. Umfassende Daten sammelt Guard im Ein-Minuten-Intervall. Damit konnten wir Reports erstellen, um zu sehen, mit welchen Access-Points sich ein Client den Tag über verbunden hat und wie viele Daten diese dabei austauschten.

Zu Beginn machte Guard keine gute Figur beim Erkennen unserer Angriffe. Nachdem wir mit Airdefense gearbeitet hatten, entdeckten wir einen Fehler beim Scannen der Kanäle und dem gleichzeitigen Identifizieren bestimmter Angriffe. Als wir unsere Sensoren auf einen bestimmten Kanal einstellten, identifizierte Guard zentrale Elemente von »DoS disassoc«-, »deauth«- und »MAC spoofing«-Angriffen. Obwohl Guard den Software-Access-Point-Daemon und Ad-hoc-Netzwerke exakt erkannte, lieferte es ein False-Positive für einen Netstumbler-Scan. Dieser stellte sich als Ping eines unserer Test-Laptops heraus, gesendet an den Access-Point. Airdefense bestätigte, dass die Netstumbler-Signatur noch ein bißchen Verbesserung benötigt.

Wegen seiner IDS-Natur offeriert Guard auch SNMP-Traps, Syslog und E-Mail-Benachrichtigung. Es arbeitet auch mit verschiedenen Management-Plattformen zusammen.

Network Chemistry Wireless Intrusion Protection System

Network Chemistry liefert seine Wireless-Sensoren auch an Wildpackets und Newberry Networks. Die Auszeichnung »Preis – Leistung« der Network Computing gewinnt Network Chemistry für sein innovatives Interface, detaillierte und umfassende Alarmeinstellungsmöglichkeiten und einem geringen Preis.

Das »Wireless Intrusion Protection System« (WISP) verwendet eine Mischung aus Open-Source und proprietärer Software, um seine Sensoren zu nutzen. WIPS enthält drei Applikationen. Der »SensorManager« verwaltet die 11a/b/g-Sensoren. »Packetyzer« arbeitet als Frontend-GUI (Graphical-User-Interface) für die Open-Source-Paket-Analyse-Software «Ethereal«. Die proprietäre »Fusion«-Software stellt die Konsole bereit. Sie kombiniert die Anwendungskomponente für die Benutzer mit der zentralen Engine für die Analyse.

Nach der Konfiguration der Sensoren starteten wir Fusion. Die Navigation war einfach. Das Interface stellt zentrale Informationen über das WLAN bereit. Die Netzwerkansicht zeigt die Geräte, aufgelistet nach SSID mit Spalten für die wichtigsten WLAN-Statistiken. Ein separates Fenster zeigt Alarme an, die es entweder chronologisch oder nach Alarmen sortiert. Ein Stationenfenster stellt mehr detaillierte Informationen bereit, einschließlich spezifischer Alarme für die Station.

Da Packetyzer auf Ethereal aufbaut, hat es nicht sämtliche Zusatzfunktionen wie »Airopeek« von Wildpackets oder »Observer« von Network Instruments. Trotzdem leistet es die entsprechende Arbeit, um die Pakete zu dekodieren.

Der Hersteller liefert für die typischsten drahtlosen Angriffe und Konfigurationsabweichungen Policies mit. Über eine »CustomProtect«-Funktion können erfahrene Administratoren ihre eigenen Signaturen erzeugen. Leider erlaubt Fusion nur, die Regeln nur auf den Inhalt eines Paketes anzuwenden, und bezieht so Anomalien, die über mehrere Frames hinweg auftreten, nicht mit ein.

WIPS leistet gute Arbeit bei der Identifizierung von Angriffen. Aber es ist zu empfindlich, was einige Alarme anbelangt. Insgesamt kommt das Produkt als ein skalierbares Wireless-Monitoring-System für einen niedrigen Preis.

WildPacket AiroPeek NX 2.0.2 & RFGrabber 1.1

Ähnlich wie Network Instruments hat Wildpacket ihre Wurzeln in der Analyse von drahtgebundenen Netzen. Dabei läuft »AiroPeek NX 2.0.2« auf dem Laptop des Administrators, während die »RFGrabber«-Sensoren Remote-Packet-Capture und eine zentrale Analyse erlauben. Vielleicht erklärt ihre Herkunft, warum Wildpackets und Network Instruments anscheinend nicht aus ihrer Denkweise von Paket-Analyse ausbrechen können und ein innovatives, verteiltes Wireless-Security-Monitoring-System entwerfen. Es gibt kein Monitoring-Dashboard, und was immer an Monitoring und Konfigurations-Policies existiert, lässt sich nicht einfach konfigurieren. Auf der positiven Seite spielt Wildpacket dank der Schnäppchenpreise der Sensoren in der Liga der preiswerten Angebote mit.

Nach der Installation von Airopeek orteten wir unseren Sensor, ordneten ihm eine IP-Adresse zu und setzten ihn als Remote-Netzwerk-Adapter ein, um Monitoring-Informationen und Pakete zu sammeln. Wir orteten Airopeeks zentrales drahtloses Interface in der SSID-Baum-Ansicht. Sehr einfach gruppierten wir assozierte Access-Points und Stationen nach ihren SSIDs, gemeinsam mit der Signalstärke, dem Verschlüsselungsmodus und anderen Daten bezogen auf Frames und Bytes. Standardmäßig aktualisiert sich der Bildschirm jede Sekunde. Bewegungen über den Bildschirm oder Verkleinerung des Baums führten hier zum Verlust der Mauskontrolle beziehungsweise zu einem aufgeklappten Baum. Dieses störende Verhalten hört auf, wenn der Administrator den Aktualisierungsmodus auf manuell oder auf mehrere Minuten einstellt.

Broadcast-MAC-Adressen, die nur indirekt zum drahtlosen Verkehr gehören, tauchen auch auf dem Bildschirm auf und erzeugen Reihen von irrelevanten Informationen. Die Wireless-spezifischen Reportfunktionen waren wiederum begrenzt, ausgenommen einen Bildschirm mit ständig aktualisierten Kanalstatistiken. Dieser zeigte beispielsweise die Anzahl der Pakete oder die Stärke des Signals beziehungsweise des Rauschens.

An Sicherheitsregeln gab es nur wenig. Ein Standard-Alarm wie »WEP nicht eingeschaltet« war gelistet, weitere Details verlangten eine vollständige Paketanalyse. Die meisten Alarme wurden während des Packet-Capture-Vorgangs ausgelöst. Allgemeine Policies für das drahtgebundene Netzwerk gab es reichlich, aber nur wenige Regeln für das drahtlose. Ein Airopeek-Client konnte Daten von verschiedenen Sensoren erfassen, aber nur einen beobachten.

Der Zugang zum Sensor ist exklusiv und die Menge der Daten beträchtlich, welche die Konsole während des Capture-Vorgangs erhält. Wildpacket empfiehlt eine separate Netzwerk-Infrastruktur. Durch die zusätzliche administrative Last ergibt dies für die meisten Unternehmen keinen Sinn. Als ebenfalls unangenehm empfanden wir die Notwendigkeit, den Monitoring-Modus die ganze Zeit eingeschaltet zu lassen, nur um ein Wireless-Security-Monitoring auszuführen. Airopeek arbeitet akzeptabel bei Erkennung der Symptome eines Angriffs, solange es ein Packet-Capture durchführt. Aber es kann Alarme, außer im Packet-Capture-Modus, nicht pro Gerät gruppieren. Und es gibt keine Möglichkeit, eine Historie der Alarme anzuschauen.

Wildpacket besitzt seit kurzem ein neues verteiltes Monitoring-System namens »Omni 3«. In der angekündigten Version 1.5 bringt es noch vollduplex Gigabit-Ethernet-Support oder Analyse für Radius, SMTP, SQL, Telnet oder VoIP. Mit der Version 2.0 soll Omni-3 dann auch den RF-Grabber unterstützen. In der nächsten Version soll der RF-Grabber außerdem 802.11a beherrschen. Obendrein will Airopeek im Sommer eine 802.11-Omni-3-Appliance bringen.

Info

Die Infrastruktur-Lösungen

In den Untersuchungen bei den Infrastruktur-Lösungen für Wireless-Monitoring hielten uns Arubas fehlerhafte Intrusion-Detection-Funktionen (IDS) auf Trab. Airespace glich mit seinen Fähigkeiten bei der Lokalisation die schwachen Funktionen, Bedrohungen zu entdecken, aus. Cisco leistete solide Arbeit bei der Suche nach fremden Access-Points. Ohne andere IDS-Funktionen und Monitoring nur für 802.11b eignet sich die Offerte besser für das Konfigurationsmanagement. Allerdings kam jetzt Monitoring für 11g/a.

Aruba 800 WLAN Switch mit AirOS Wireless Intrusion Detection 2.0 Software und Aruba 52 Access-Point

Aruba Networks startete ihren Ausflug an den Rand des Netzwerks mit dem »800 WLAN Switch«. Dieser basiert auf dem stärkeren und deutlich teueren »5000 WLAN Switch«. Der 800-WLAN-Switch eignet sich für kleine und mittlere Büros oder Außenstellen. Als Bridge eingesetzt, kann er das lokale WLAN mit einer 5000-Installation verbinden.

Der Aruba-Switch unterstützt eine Mischung von bis zu 16 Access-Points oder »AirMonitors«, wie Aruba seine separaten Hardware-Monitore nennt. Diese basieren auf der gleichen Hardware wie die Access-Points, verwenden aber ein anderes Software-Image. Bis zu acht dieser Monitore können an einem Switch direkt hängen.

Der 800-WLAN-Switch verwendet Access-Points für die Datendienste und Airmonitor für die Funküberwachung. Airespace und Cisco führen dagegen in ihren Systemen beide Aufgaben auf einem Access-Point aus. Auch wenn die Entscheidung davon abhängt, was sich als brauchbarer herausstellt, scheint der Aruba-800 ein wenig darin voraus zu sein, Administratoren einen tieferen Blick in ihr Wireless-LAN zu erlauben.

Das Setup verlief zügig. Nachdem wir uns mit dem Switch über das robuste, IOS-ähnliche CLI (Command-Line-Interface) verbunden hatten, gaben wir IP-Netzwerk-Informationen ein und konfigurierten den internen DHCP-Server. Über Arubas neue, leicht bedienbare, auf dem Web basierende Konfigurationsseiten erzeugten wir ein WLAN-Profil. Dann entwarfen wir einen Stockwerksplan, damit der Switch das Verhältnis von Access-Points zu Airmonitors bestimmen kann, in Abhängigkeit vom gewünschten Durchsatz sowohl für 802.11b/g als auch 11a. Arubas Access-Points, wie auch die von Airespace und Cisco, sind 802.3af-konform (PoE, Power-over-Ethernet), weshalb die Installation schnell vonstatten geht.

Nachdem das WLAN lief, starteten wir eine Menge von typischen Angriffen, um die Belastbarkeit und die Fähigkeit, verschiedene Typen von bösartigem WLAN-Verkehr zu identifizieren, zu testen. Der 800 entdeckte schnell fremde Access-Points und konnte unterscheiden zwischen dem, was Aruba »Interferenz-Access-Points nennt, und feindlichen Access-Points (rogue). Erstere sind nicht mit dem Netzwerk verbunden, letztere schon. Aber das System hatte Probleme mit unseren Dual-Radio-Access-Points, die eine gemeinsame SSIDs für beide Spektren verwendeten. Es hatte ständig, zwischen 11a und 11b wechselnde Alarmmeldungen über feindliche Access-Points, während es versuchte zu bestimmen, welche Frequenz und welchen Kanal die Access-Points verwenden. Der 800 hatte auch Schwierigkeiten, den 11a-Kanal eines Access-Points zu bestimmen. Dann hielt der Switch einen Rogue-Access-Point für Wochen in der Liste für aktive, obwohl er ausgeschaltet war. Schließlich war das System ein bißchen durcheinander, als es die 5-GHz-Kanäle einiger Access-Points bei 11b/g auswies und 2,4-GHz-Kanäle bei 11a. Der Switch kann Ad-hoc-Netzwerke entdecken, obwohl er zwei Alarme mit der gleichen Information für jedes entdeckte erzeugte.

Der 800-Switch hinderte unsere Anwender-Clients automatisch daran, sich mit einem feindlichen Access-Point zu verbinden. Dazu bombardierte er die Clients mit Deauthentication-Paketen, die so aussahen, als ob sie von dem feindlichen Gerät kämen. Der Switch identifizierte auch Clients, die nicht mit Aruba-WLANs assoziiert waren. Wir konnten diese Clients davon ausschließen, sich mit irgendeinem Access-Point zu verbinden, sei es Aruba oder andere.

Der 800-Wireless-Switch hält nicht nur nicht autorisierte Clients und Rogue-Access-Points in Schach. Er entdeckt auch böswillige Angriffe, um WLANs zu blockieren, die ähnliche Methoden wie er selbst verwenden. Leider meldete der 800 die Alarme unabhängig davon, ob ein Aruba-Access-Point oder ein Eindringling diese erzeugte. False-Positive-Meldungen entstanden auch, als wir den Switch konfigurierten, dass er Wireless-Bridges im Haus erkennt. Wir erhielten Alarme, die besagten, dass Arubas eigene Access-Points diese Policy verletzten.

Die Intrusion-Detection-System-Funktionen (IDS) waren mächtiger als die von Airespace und Cisco, aber immer noch unreif. Obwohl der 800 jeden Angriff sah, den wir auf ihn starteten, bot er eine Kombination von MAC-Spoofing-, Ad-hoc-, Deauthentication-, Disassociation- und »AirJack«-Signatur-Alarmen als Vorschlag für die Gefahr an, die sich anbahnte. Der Airjack-Angriff erhielt seinem Namen nach dem Open-Source-Treiber, den wir auch für viele unserer Angriffe verwendeten. Wir mussten die Netstumbler-Suche vier Tage laufen lassen, um den IDS-Alarm auszulösen.

Airespace Wireless Enterprise Platform 2.0

Die »Wireless Enterprise Platform« enthält den »4000 WLAN Switch« und die »Airespace Control«-Software (ACS). Das Unternehmen setzt sehr deutlich auf seine sehr genauen Lokalisationsfähigkeiten. ACS bleibt im IDS-Bereich ein wenig zurück, verglichen mit Arubas jungen und fuchsigen IDS-Funktionen. Aber viele Administratoren werden Airespace automatisierten Ansatz willkommen heißen, Eindringlinge fernzuhalten.

Den Switch aufzusetzen und zu konfigurieren, war so leicht, wie es eben geht. Nach der Eingabe der Netzwerkeinstellungen und dem Hochladen der Porteinstellungen über das CLI konnten wir die geschickt gestaltete grafische Oberfläche benutzen, um WLAN- und Sicherheitsprofile zu konfigurieren – alles mit standardmäßig eingeschalteter SSL-Verschlüsselung. ACS lief auf einem leistungsstarken PC in unserem Testnetzwerk. Es machte Konfiguration, Management und Troubleshooting unseres Switches oder auch des ganzen Netzwerkes, bestehend aus Airespace-Switch und Access-Points, einfach, indem es alle Switch-Konfigurationen und gesammelten Funk-Monitoring-Daten in einer einzigen Benutzungsoberfläche zusammenbrachte.

Feindliche Infrastruktur-Access-Points und Ad-hoc-Netzwerke entdeckte das System prompt und stellte sie in einem Dashboard-Netz dar. Als wir uns die Alarme genauer ansahen, stellten wir fest, dass ACS, obwohl der Switch Alarme sowohl für das 11a- als auch das 11b-Funkinterface sendete, diese anhand der BSSID (Basic-Service-Set-ID) zusammenfasste und mit nur einem Alarm anzeigte. Ein paar wenige Klicks deckten das gesamte Bild auf, aber die meisten Administratoren möchten wohl alle unerwünschten Aktivitäten auf einen Blick sehen.

Airespaces Box versucht wie bei Aruba zu bestimmen, ob unfreundliche Geräte direkt mit dem drahtgebundenen Netzwerk verbunden sind. Anstatt sich aber nur auf Ebene-2-MAC-Adressen zu verlassen, geben sich Airespace-Access-Points als Clients aus und verbinden sich mit den falschen Access-Points, um herauszufinden, welche Ebene-3-IP-Adresse diese verwenden. Das alles geschieht, während die Datenverbindungen für die Anwender bestehen bleiben. Diese Maßnahme führt das System automatisch aus, bis der Administrator die Funktion ausschaltet.

Airespaces Switch hatte einige Schwierigkeiten, unsere WLAN-Angriffe zu entdecken. Der Switch arbeitet ohne IDS-Signaturen, die notwendig sind, um Angriffe zu identifizieren und den Administrator zu alarmieren. Diese will Airespace aber einbauen. Ohne Signaturen lösten wir Rogue-Access-Point-, Ad-hoc- und Interferenz-Alarme aus, wann es passte. Airespaces Switch bietet ein bißchen mehr Schutz, wenn die Angriffe von Clients gestartet werden. Der Switch entdeckt diese Angriffe über doppelte MAC-Adressen und setzt die Clients auf eine schwarze Liste oder bremst diese aus, indem er sie für eine bestimmte Zeit angreift.

Neu hinzu kommt bei der 2.0-Familie der Switch-Software etwas, das Airespace »Wireless Protection System« (WPS) nennt. Dies erlaubt Unternehmen mit der Policy »Kein WLAN« alle WLAN-Aktivitäten zu blockieren. Wenn das Unternehmen Wireless-LAN nutzen will, kann es die passende Software für den Switch kaufen, damit die Daten fließen können. Auch wenn einige spezialisierte Monitoring-Lösungen sich dafür besser eignen, bietet Airespaces WPS einen klaren Migrationspfad für Unternehmen, welche die WLAN-Wasser noch untersuchen wollen.

Airespace betrachtet seine Fähigkeit, Access-Points und Clients innerhalb eines 0,9 m2 großen Fläche zu lokalisieren, als essentiell, um den Luftraum zu sichern. Es bleibt aber abzuwarten, ob Wireless-Administratoren die Fähigkeit, Eindringlinge zu lokalisieren, als genauso wichtig ansehen, wie Angriffe gegen ihr Wireless-LAN zu identifizieren.

Um bei der Fehlersuche zu helfen, liefert Airespace eine Packet-Capture-Funktion mit, die der Administrator zentral vom Switch aus aktivieren kann. Arubas 800-Box besitzt eine ähnliche Funktion.

Cisco Wireless LAN Solutions Engine 2.5

Ciscos »Wireless LAN Solutions Engine 2.5« (WLSE) zielt darauf, die Konfiguration und das Management von großen Cisco-WLAN-Installationen zu erleichtern. Obwohl das neueste Release Administratoren ein paar grundlegende Funküberwachungsfunktionen anbietet für ein Cisco-802.11b-Netzwerk, bleibt es doch in der Hauptsache eine Enterprise-Konfigurations-Management-Lösung.

Um der WLSE die Verantwortung für die »Cisco 1200«-Access-Points in unserem Testbereich zu übergeben, ließen wir diese einfach eine Suche nach Geräten mittels SNMP durchführen. Der arbeitsreiche Teil begann, als wir bei allen Access-Points ein Upgrade durchführen mussten, um diesen Funküberwachungsfähigkeiten zu verleihen. Wir luden zuerst die vorbereitende »helper image«-Datei und dann das auf IOS basierende Firmware-Update auf die Access-Points.

Bei der anschließenden Konfiguration der »Wireless Domain Services« (WDS) bekamen wir Probleme. Eine nicht dokumentierte RADIUS-Port-Fehlkonfiguration hielt den WLSE und alle unsere Cisco-Access-Points davon ab, sich für den Access-Point-Bereich zu authentifizieren, der für unsere WDS die Basis bildete. Die WDS definieren den Sammelbereich, aus dem alle Monitoring-Daten an die WLSE weitergeleitet werden. Wir schafften es letztendlich, dass die Dinge rund liefen. Allerdings erst nach intensiven Nachdenken und einem zehnminütigen Telefongespräch mit Cisco.

Wir konnten Interferenz-Quellen orten und unerwünschte 11b-Access-Points entdecken, indem wir Kanäle mit Hilfe von Access-Points oder Clients mit CCX-v2-Unterstützung (»Cisco Certified Extensions«) scannten. Mit der nachfolgenden Version 2.7 und der IOS-Version 12.2(15)JA auf den Access-Points überwacht das System auch WLANs mit 11a oder 11g.

Die WLSE hilft, unerwünschte Geräte zu finden, indem es den Switch-Port identifiziert, an dem ein solches Gerät hängt. Dies gibt dem Administrator die Chance, es manuell auszuschalten. Es sei denn, dass die MAC-Adresse des Funkinterface numerisch nicht nahe bei der drahtgebundenen MAC-Adresse liegt oder das Gerät nicht mit dem eigenen Netzwerk verbunden ist. Die WLSE-Box kann mit einiger Genauigkeit den Ort von Clients oder feindlichen Access-Points lokalisieren. Wahrscheinlich muss der Administrator aber noch mit einem Handheld-Analyzer den exakten Ort bestimmen.

WLSE leistete ausgezeichnete Arbeit bei der Suche nach fremden 802.11b-Access-Points. Allerdings konnte es nicht einen unserer Testangriffe ordentlich identifizieren. Es wies jedoch auf böswilliges Verhalten hin, indem es einige unserer Angriffe als feindliche Access-Points darstellte. Cisco sagt, dass sie die Suche nach Ad-hoc-Netzwerken in einem künftigen Release integrieren will.

Ähnlich wie bei den Angeboten von Airespace und Aruba kann die WLSE das Auftreten von Interferenzen feststellen. Allerdings kann es nicht wie die anderen beiden die Kanäle der Access-Points und deren Sendeleistung dynamisch ändern, um den WLAN-Bereich anzupassen. Dies hat sich mit der Version 2.7 geändert.

Network Instrum. Expert Observer 9.0 Console & Adv. Wireless Probe 9.0

Als kein Kernprodukt sieht Network Instruments den »Wireless Observer« an, wie sie sagt, und unsere Untersuchungen bestätigen dies. Bis jetzt lag der Fokus des Unternehmens auf der Paketanalyse und dem Monitoring in drahtgebundenen Netzen. Außerdem sagt Network Instruments, dass der »Advanced Wireless Probe« eine natürliche Erweiterung der WAN-, Ethernet- und Gigabit-Ethernet-Probes sei.

Die Monitoring-Lösung besitzt eine Zwei-Ebenen-Struktur. Der Observer fungiert als zentrale Engine und Konsole. Die Probes sammeln die Daten. Der Wireless-Probe, den wir erhielten, bestand aus einer Box, auf der Windows-XP lief, und einer 802.11a/b/g-PCI-Card. Im Rack montierbare und reine Software-Versionen gibt es ebenfalls.

Der Wireless-Observer könnte für Administratoren hilfreich sein, die einen speziellen Ort überwachen und dort eine kontinuierliche Paketanalyse wollen. Bei solchen Bedingungen könnte eines dieser Systeme in einem Büro oder Kabelschrank installiert werden und temporär als Remote-Monitor dienen. Wir glauben jedoch nicht, dass Unternehmen diese Box überall oben an der Decke anbringen werden. Dies denken wir nicht nur aus der Angst heraus, dass diese von der Decke stürzen könnte, sondern auch, wegen des Designs der Probe und des Preismodells. Der Expert-Observer ist unserem zweiten Preismodell mehr als drei Mal so teuer wie der Mitbewerber Wildpackets, dem Airopeek in der Wertung folgt.

Wir installierten den Client, Expert-Observer-9.0, auf einer Workstation und konnten uns leicht mit der Remote-Probe verbinden, nachdem wir die korrekten IP-Informationen angegeben hatten. Wie wir es bei einem Netzwerk-Analyse-Unternehmen erwartet hatten, lieferte der der Packet-Analyzer haufenweise Informationen wie die gesprächigsten Geräte oder Bandbreitennutzung sowie drahtlose Informationen wie Wireless-Site-Survey oder Access-Point-Statistik-Fenster. Signalstärke, Rate und Pakete, übertragen beziehungsweise empfangen, stellt der Observer geschickt in Spalten dar. Ohne einen Server aber, der Informationen sammelt und Alarme erzeugt, mussten wir die Trigger vom Observer und den Bildschirm mit den Alarmen konstant laufen lassen. Das Design der Probe-Software ist so flexibel, dass mehrere Observer-Clients sich mit der Probe gleichzeitig verbinden können. Allerdings benötigt jede Instanz zusätzlich reservierten Speicher, so dass dies die Skalierbarkeit des Systems begrenzt.

Auf Grund des auf einem PC basierenden Designs der Probe konnten wir eine recht große Menge an Daten abfangen und – abhängig von der Speicherkapazität der Festplatte der Probe – dort speichern, bevor wir diese an den Observer übertrugen. Aus diesem Grund kann das System, auch bei begrenzten WAN-Leitungen, eine signifikante Datenmenge ohne Paketverlust erfassen. Auf Grund der Erfahrung von Network Instruments in der Paket-Analyse übersteigen die Anzahl der Decoder und deren Details die anderen Nicht-Paket-Analyse-Produkte, die wir testeten. Leider besitzt die Expert-Analyse, die auf dem Packet-Capture aufbaut, nur wenige Analysen für den drahtlosen Bereich. Obwohl es einige Angriffe und Stations-Fehler fand, zeigte es DoS-Angriffe nicht, die in einem separaten Trigger- und Alarm-Bildschirm erkannt wurden. Wir halten es nicht für gut, nach solch vitalen Informationen suchen zu müssen. Auf der anderen Seite erledigte es seine Aufgabe ordentlich, unsere Angriffe und Sicherheitsverletzungen zu entdecken.

Die Sicherheits- und Performanceregeln des Probes konnten wir leicht mit Observer einstellen. Einige grundlegende Wireless-Konfigurations-Alarme bringt das System mit. Aber wir würden uns eine ein wenig detaillierte Policy-Kontrolle wünschen, um sicherzustellen, dass die Access-Points die korrekte Konfiguration haben. Regeln für die Netzwerk-Analyse-Tools, wie Fehler pro Station, gibt es im Überfluss. Aber die Lösung bringt nur einige wenige allgemeine Wireless-Sicherheitsalarme mit.

Trendstatistiken wie Ausnutzung der Bandbreite und Netzwerkfehler erstellt das System und stellt sie angenehm in Tabellen und Grafiken dar. Reports für den drahtlosen Bereich fehlen, wie Clients verbunden pro Access-Point oder zeitliche Darstellung des Auftretens unerwünschter Access-Points. Ingesamt ist das Gerät für den Wireless-LAN-Bereich nicht mehr als ein einfaches Werkzeug für Fehlersuche und Statistiksammlung.

Newbury Networks WiFi Watchdog 3.0

Was bei »WiFi Watchdog« hervorsticht, ist sein Lokalisierungsmanagement. Auch wenn dies sehr beeindruckt, kann Watchdog ansonsten nicht mehr als ein einfaches Sicherheits-Monitoring durchzuführen.

Watchdog aufzusetzen, verlangt ein bißchen Geduld. Da die Sensoren die Hardware von Network Chemistry verwenden, war deren Installation der einfachste Teil. Aber die »MySQL«-Installation, nachfolgende Datenbank-Modifikationen, die JRE-Einrichtung (Java-Runtime-Environment) sowie die Server-Installation machten die Konfiguration mühsam. Weiter erscheint das Web-Interface weder intuitiv noch ansprechend. Ein deutlich intensiverer Gebrauch von Farbe und Grafiken würde die WLAN-Daten besser darstellen als der jetzige, hauptsächlich mit Text arbeitende Ansatz.

Ohne irgendeine Zusammenfassung oder ein Dashboard, um Informationen zu Alarmen anzuzeigen, mussten wir uns für die System-Alarme durch die Audit-Reports wühlen. Events listet das System nach den Orten auf – in chronologischer Reihenfolge. Diese aber nach Geräten zu gruppieren, geht nicht. Auch Packet-Capture-Unterstützung fehlt.

Info

So testete Network Computing

Wir testeten die drahtlosen Security-Monitoring-Systeme in unseren Syracuse University Real-World Labs. Die Sensoren stellten wir alle in einem Raum auf, so dass alle den gleichen Wireless-Verkehr abhörten. Wir erlaubten drei Sensoren pro Hersteller.

Wir konfigurierten die Sensoren, alle Kanäle im 2,4-GHz-Band und alle nicht überlappenden Kanäle im 5-GHz-Band mit der Default-Scan-Zeit pro Kanal abzuhören. Wenn wir einen Angriff vermissten oder ein Ereignis nicht reproduzieren konnten, stellten wir den Sensor auf den bestimmten Kanal ein, um die Möglichkeit auszuschalten, dass das Gerät einen anderen Kanal während des Tests scannt.

Das Labor besitzt eine Reihe verschiedener drahtloser Geräte, Soho- Unternehmens-Access-Points mit verschiedenen Sicherheitsmodi, also WEP (Wired-Equivalent-Privacy), WPA (Wifi-Protected-Access) und Offen, und Funknetztypen (11a/b/g) eingeschlossen. Zur unserer Verfügung standen auch Infrastruktur-Switches von Aruba, Airespace und anderen.

Für Ad-hoc-Tests versetzten wir die Karten in den Ad-hoc-Modus (Peer-to-Peer), entweder über das Utility der Client-Karte oder den Konfigurations-Tools von Windows-XP. Wir verwendeten auch interne Laptop- und PCMCIA-Client-Karten.

Für die Interferenz-Tests nahmen wir einen Bluetooth-Access-Point und einen PDA (Personal-Desktop-Assistent) mit Bluetooth-Unterstützung. Bluetooth funkt auf dem größten Bereich des 2,4-GHz-ISM-Bandes (Industrial, Scientific, Medical), und erzeugt Interferenzen auf den ersten 11 Kanälen von 802.11b. Die Dichte der Access-Points in unserem Labor führte zu mehr als genug Verkehr durch Beacon-Übertragung und gegenseitige Behinderung.

Für Angriffe verwendeten wir die »AirJack«-Tools wie »disassoc_wlan_jack«, »fata_jack«, »hunter_killer1« oder »wlan_jack«. Wir setzten auf einem Laptop »NetStumbler« ein, um einmal unsere Tests zu beobachten. Zum anderen prüften wir damit die Netstumbler-Scan-Entdeckungsfunktion, die einige der Produkte im Test besaßen. Wir verwendeten den »Host AP«-Treiber, um einen auf Software basierenden Access-Point zu konfigurieren, und das »FakeAP«-Skript, um Access-Points zu fälschen. Wir benutzten auch »AirMagnet«-Tools, um andere Angriffe zu simulieren. Die Public-Domain-Software macht solche Tools im Allgemeinen überflüssig.

Die Reichweite der Sensoren maßen wir, indem wir einen »Cisco Aironet 1200«-Dual-Radio-Access-Point in verschiedenen Entfernungen auf unterschiedlichen Stockwerken platzierten. Wir stellten jeden Access-Point so ein, dass er seine SSID per Broadcast verschickte. Wenn die Sensoren im Labor die Beacons des jeweiligen Access-Point empfangen konnten, galt der Access-Point als entdeckt. Wenn die Sensoren bei weiteren Distanzen weniger Verkehr hörten – ein Zeichen, dass die Sensoren nicht alle Beacons empfangen konnten –, war das für uns schwacher oder teilweise unterbrochener Empfang.

Wir testeten die Geräte-Lokalisierungs-Funktion, indem wir verschiedene Mengen von Boxen im Location-Editor einzeichneten, die Räume in unserer Laborumgebung darstellten. Wir gaben an, wo welche Sensoren installiert waren. Dann starteten wir über das Web-Interface ein RF-Signature-Training (Radio-Frequency) mit unseren Clients. Das System zeigte dann die Orte unserer Clients an. Unerwünschte Geräte außerhalb unseres Bereichs waren für Watchdog von geringerer Bedeutung als Geräte innerhalb dieses. Das enthaltene Radius-Authentifizierungs-System gab den Zugang frei beziehungsweise verweigerte ihn in Abhängigkeit vom Ort.

Wir definierten einfache Sicherheitsregeln wie »Keine feindlichen Access-Points«. Aber unsere Wahlmöglichkeiten waren dabei begrenzt. Das Reporting bestand hauptsächlich aus einem Security-Audit-Report und Auflistungen der Geräte. Nur ein paar wenige ortsbezogene Reports stellte das System bereit.

Die Arten von Angriffen, die Watchdog entdeckte, waren ebenfalls begrenzt. Auch wenn das Unternehmen angab, dass es DoS-Angriffe erkenne, konnten wir im Test keinen DoS-Alarm auslösen.

Watchdog beschloss den Zug beim Sicherheits-Monitoring. Nur die Lokalisierungsfunktionen waren einzigartig. Diese würden wir gerne in allen Produkten sehen. Newburys Sicherheitsmodell hat auch Auswirkung auf ihre Preise: Sie benötigen eine recht hohe Anzahl von Sensoren, um eine genaue Ortung zu erreichen. [ nwc, wve ]