La liberigo de la ilaro Nzyme 1.2.0 estas prezentita, desegnita por monitori la sendondojn de sendrataj retoj por identigi malican agadon, disfaldi falsajn alirpunktojn, neaŭtorizitajn konegojn kaj fari normajn atakojn. La projektkodo estas skribita en Java kaj estas distribuita sub la SSPL (Server Side Public License), kiu baziĝas sur AGPLv3, sed ne estas malfermita pro la ĉeesto de diskriminaciaj postuloj pri la uzo de la produkto en nubaj servoj.
Trafiko estas kaptita ŝanĝante la sendratan adaptilon al monitora reĝimo por trafikretaj kadroj. Eblas transdoni kaptitajn retajn kadrojn al la sistemo Graylog por longdaŭra konservado, se la datumoj necesas por analizi okazaĵojn kaj malicajn agadojn. Ekzemple, la programo permesas vin detekti la aperon de neaŭtorizitaj alirpunktoj, kaj se provo endanĝerigi sendratan reton estas detektita, ĝi montros kiu estis la celo de la atako kaj kiuj uzantoj estis endanĝerigitaj.
La sistemo povas generi plurajn specojn de atentigoj, kaj ankaŭ subtenas diversajn metodojn por detekti nenormalan agadon, inkluzive de kontrolado de retaj komponantoj per fingrospuridentigiloj kaj kreado de kaptiloj. Ĝi subtenas generi atentigojn kiam la retostrukturo estas malobservita (ekzemple, la apero de antaŭe nekonata BSSID), ŝanĝoj en sekurec-rilataj retaj parametroj (ekzemple, ŝanĝoj en ĉifradaj reĝimoj), detekto de la ĉeesto de tipaj atakaparatoj (por ekzemple WiFi Pineapple), registrado de voko al kaptilo aŭ determini anomalian ŝanĝon en konduto (ekzemple, kiam individuaj kadroj aperas kun maltipa malforta signalnivelo aŭ malobservo de sojlaj valoroj por la intenseco de pakaj alvenoj).
Krom analizado de malica agado, la sistemo povas esti uzata por ĝenerala monitorado de sendrataj retoj, kaj ankaŭ por fizike detekti la fonton de detektitaj anomalioj per la uzo de spuriloj, kiuj ebligas iom post iom identigi malican sendratan aparaton surbaze de ĝia specifa. atributoj kaj ŝanĝoj en signalnivelo. Administrado estas farita per TTT-interfaco.
En la nova versio:
- Aldonita subteno por generi kaj sendi retpoŝtajn raportojn pri detektitaj anomalioj, registritaj retoj kaj ĝenerala stato.
- Aldonita subteno por avertoj pri detekto de provoj de atakoj por bloki la funkciadon de gvatkameraoj bazitaj sur amasa sendo de senaŭtentigaj pakoj.
- Aldonita subteno por avertoj pri identigado de antaŭe neviditaj SSID-oj.
- Aldonita subteno por avertoj pri misfunkciadoj en la monitora sistemo, ekzemple, kiam la sendrata adaptilo estas malkonektita de la komputilo prizorganta Nzyme.
- Plibonigita kongruo kun WPA3-bazitaj retoj.
- Aldonis la kapablon specifi revokilojn por respondi al averto (ekzemple, ili povas esti uzataj por registri informojn pri anomalioj al protokolo-dosiero).
- Listo de resursa inventaro estis aldonita, kiu montras la parametrojn de deplojitaj retoj, kiuj estas monitoritaj.
- Atakanta profilpaĝo estis aldonita, provizante informojn pri la sistemoj kaj alirpunktoj kun kiuj la atakanto interagis, same kiel statistikojn pri signalforto kaj senditaj kadroj.
fonto: opennet.ru