Назначение:

Обнаружение легальных клиентов WiFi сетей, которые могут иметь недекларированные возможности и использоваться для негласного получения информации.

Описание проблемы:

WiFi сети могут использоваться устройствами несанкционированного получения информации в качестве канала передачи по целому ряду причин:

сигналы WiFi-устройств имеют достаточно сложную структуру и широкий спектр, поэтому они не поддаются идентификации обычными средствами радиомониторинга;

практически на каждом объекте или вблизи него развернуты WiFi сети (частные или общего пользования), при этом крайне сложно отличить легальных клиентов от клиентов с возможностями негласного получения информации. Это позволяет эффективно маскировать несанкционированную передачу информации среди легальных WiFi каналов;

в крупных городах сети WiFi общего пользования имеют зону покрытия достаточную, чтобы гарантировать возможность подключения к ним устройств с возможностями негласного получения информации;

ресурсы, которые предоставляют каналы WiFi сетей, позволяют передавать звук, данные, видео в реальном масштабе времени, при этом практически все WiFi сети имеют доступ высокоскоростной доступ в Интернет.

В настоящее время продаются малогабаритные WiFi устройства, позволяющие передавать данные, голосовую или видеоинформацию, например беспроводные WiFi видеокамеры, которые легко могут быть переделаны для использования в качестве устройств негласного получения информации. Модернизация WiFi устройств на уровне драйвера позволяет сделать их практически невидимым для большинства штатных программ управления и мониторинга WiFi сетей. Использование специальных программ мониторинга трафика WiFi также является неэффективным для поиска устройств негласного получения информации. Устройства негласного получения информации, как правило, являются абсолютно легальными, с точки зрения администрирования сетей, и попытки поиска их средствами поиска нелегальных возможностей не эффективны.

Решение:

Комплекс ЗОДИАК разработан, как специализированный инструмент автоматизированного контроля канала утечки информации по WiFi сетям.

Комплекс может применяться и как мобильный инструмент при проведении обследований помещений, и как стационарный комплекс радиомониторинга сетей WiFi с распределенной инфраструктурой.

Возможности комплекса могут легко наращиваться: от базовой до экспертной версии программного обеспечения, и от локальной до сетевой конфигурации аппаратной части.

Возможности

мониторинг сетей WiFI в активном и пассивном режимах;

контроль параметров устройств и соединений в реальном масштабе времени;

автоматизированное отслеживание “опасных” сочетаний параметров устройств;

одновременный мониторинг неограниченного числа устройств и сетей;

обнаружение скрытых клиентов и точек доступа невидимых для программ мониторинга сетевого трафика;

поддержка многозонной сетевой конфигурации;

определение местоположения обнаруженных устройств;

русский и английский интерфейс.

Модель угроз

Обнаружение и определение параметров WiFi устройств

Комплекс «ЗОДИАК» принимает и анализирует пакеты данных, передаваемые все устройствами WiFi в зоне радиовидимости. На основе полученной информации, ЗОДИАК составляет список активных WiFi устройств и их параметров. Представление информации о структуре сетей реализовано в виде взаимосвязанных деревьев устройств и их связей. Это позволяет в реальном масштабе времени отслеживать появление новых устройств или соединений. Анализ полученных пакетов позволяет обнаруживать клиентов сетей и точки доступа не только в зоне радиовидимости комплекса, но и за ее пределами.

Комплекс в реальном масштабе времени контролирует следующие параметры обнаруженных устройств:

аппаратный адрес сетевого адаптера (МАС адрес)

имя сети (SSIDE) для точек доступа

время обнаружения

уровень активности

количество активных соединений

режим работы устройства

уровень сигнала от устройства

Мониторинг осуществляется в двух режимах:

пассивный мониторинг пакетов (комплекс только принимает и анализирует пакеты);

активный поиск, при котором комплекс провоцирует активность «скрытых» клиентов и точки доступа посылая пакеты специальной формы. В этом режиме комплекс может обнаруживать устройства, невидимые в пассивном режиме.

В ЗОДИАК реализован мультерижимный доступ — возможность подключения к нескольким доступным сетям в том числе закрытым (при условии наличия пароля) в качестве клиентов с одновременным анализом пакетов этих сетей.

Отслеживание параметров соединений

На основе адресной информации из пакетов, для каждого отправителя информации, ЗОДИАК позволяет построить в реальном масштабе времени структурированное дерево взаимосвязанных с ним получателей, с которыми отправитель обменивается информацией в настоящее время или обменивался ранее. Комплекс позволяет обнаруживать, в том числе, связи с получателями пакетов не являющихся клиентами WiFi сетей, например клиентами локальных сетей, к которым подключены точки доступа, и клиентов в сети Internet.

ЗОДИАК позволяет контролировать следующие параметры соединений:

аппаратный адрес сетевого адаптера получателя (МАС адрес)

аппаратный адрес сетевого адаптера шлюза (МАС адрес)

время первого обнаружения сеанса

время обнаружения текущего сеанса

длительность текущего сеанса

объем передаваемого трафика

уровень активности

протокол соединения

порт

IP адрес отправителя

IP адрес получателя

Графическое представление данных

Граф — инструмент для визуализации связей устройства.

По окружности графа отображаются все получатели информации от выбранного устройства, а также шлюзы и перекрестные связи получателей. Граф различает активные и неактивные связи, оповещает о появлении новых связей, позволяет отследить ретрансляторы и точки выхода в другие сети, в том числе Internet. Граф позволяет оперативно отследить появление опасных связей устройств работающих в штатном режиме.

Круговая диаграмма активности

Круговая диаграмма активности устройства помогает оценить распределение объема трафика передаваемого с устройства по получателям и оперативно определить направление, по которому может передаваться трафик большого объема (например, видеоинформация).

График активности

Временной график активности устройства позволяет оператору отслеживать хронологию передачи трафика и обнаруживать в какой момент времени устройство начинает и заканчивает сеанс связи.

Сопоставляя полученную информацию с расписанием режимных мероприятий на объекте, оператор может обнаруживать незарегистрированные ранее устройства.

Хронометраж трафика по выбранному устройству возможно построить и для ранее сохраненных в режиме автоматической регистрации данных, чтобы анализировать информацию историю активности устройства, например во внерабочее время.

Экспертная версия позволяет генерировать отчеты о результатах мониторинга в файл в формате .cvs (поддерживается табличными редакторами MS Excel и OpenOffice Calc).

Правила

Для выявления «опасных» сочетаний параметров устройств в комплексе реализован инструмент правил. С их помощью оператор задает «опасные» сочетания параметров устройства, которые будут отслеживаться комплексом в автоматическом режиме. При обнаружении таких параметров комплекс зафиксирует тревогу и выполнит заранее определенные действия.

Правила могут использоваться для настройки фильтрации списков устройств и соединений по определенному набору параметров, чтобы оптимизировать представление информации при высокой сетевой активности, например, чтобы скрывать неактуальные устройства или связи.

Определение местоположения обнаруженного устройства

Для локализации клиентов сети WiFi на объектах большой площади или этажности с точностью до 10м. должна быть развернута многозонная конфигурация комплекса. Алгоритм разработан на основе технологии WPS.

Технические характеристики:

Питание:	Сеть 110-220В, 50-60 Гц Аккумуляторная батарея Время непрерывной работы 1 час
Масса	не более 4 кг
Диапазон рабочих температур	+10…+50 С
Максимальная влажность (при +25 С)	75%
Управляющая ПЭВМ	Pentium Core 2 Duo 2 ГГц, ОЗУ 2ГБ, ОС Linux

Спецификация

Базовая комплектация:

СПО Зодиак 2.0

Управляющая ПЭВМ ( Notebook)

WiFi адаптер

Транспортная укладка

Дополнительные опции:

Сетевой клиент ЗОДИАК-К

Экспертная версия СПО ЗОДИАК 2.0 про

Сетевая версия СПО (сервер) ЗОДИАК 2.0 сеть

Ударопрочный транспортировочный кейс

Внешняя антенна

Возможности комплекса	ЗОДИАК	ЗОДИАК 2.0 про	ЗОДИАК 2.0 сеть
Пассивный мониторинг пакетов	+
Активный поиск устройств		+
Инструменты графического представления	+
Правила	+
Регистрация истории	+
Анализ пакетов протокола TCP		+
Определение уровня сигнала устройства		+
Определение местоположения			+
Подключение сетевых клиентов			+
Отчет		+