Tiek prezentēts Nzyme 1.2.0 rīku komplekts, kas paredzēts bezvadu tīklu viļņu uzraudzībai, lai identificētu ļaunprātīgas darbības, izvietotu viltus piekļuves punktus, nesankcionētus savienojumus un veiktu standarta uzbrukumus. Projekta kods ir rakstīts Java valodā un tiek izplatīts saskaņā ar SSPL (Server Side Public License), kas ir balstīts uz AGPLv3, bet nav atvērts, jo pastāv diskriminējošas prasības attiecībā uz produkta izmantošanu mākoņpakalpojumos.
Satiksme tiek uztverta, pārslēdzot bezvadu adapteri tranzīta tīkla rāmju uzraudzības režīmā. Pārtvertos tīkla kadrus ir iespējams pārsūtīt uz Graylog sistēmu ilgstošai glabāšanai, ja dati ir nepieciešami incidentu un ļaunprātīgu darbību analīzei. Piemēram, programma ļauj noteikt nesankcionētu piekļuves punktu rašanos, un, ja tiek atklāts mēģinājums uzlauzt bezvadu tīklu, tā parādīs, kurš bija uzbrukuma mērķis un kuri lietotāji tika apdraudēti.
Sistēma var ģenerēt vairāku veidu brīdinājumus, kā arī atbalsta dažādas anomālas darbības noteikšanas metodes, tostarp tīkla komponentu pārbaudi pēc pirkstu nospiedumu identifikatoriem un slazdu izveidi. Tā atbalsta brīdinājumu ģenerēšanu, kad tiek pārkāpta tīkla struktūra (piemēram, parādās iepriekš nezināms BSSID), ar drošību saistīto tīkla parametru izmaiņas (piemēram, izmaiņas šifrēšanas režīmos), tipisku uzbrukuma ierīču klātbūtnes noteikšana (piemēram, piemēram, WiFi Pineapple), zvana uz slazdu ierakstīšana vai anomālu uzvedības izmaiņu noteikšana (piemēram, kad parādās atsevišķi kadri ar netipisku vāju signāla līmeni vai pakešu ienākšanas intensitātes sliekšņa vērtību pārkāpšanu).
Papildus ļaunprātīgas darbības analīzei sistēmu var izmantot vispārējai bezvadu tīklu uzraudzībai, kā arī fiziski atklāto anomāliju avota noteikšanai, izmantojot izsekotājus, kas ļauj pakāpeniski identificēt ļaunprātīgu bezvadu ierīci, pamatojoties uz tās specifiku. atribūti un signāla līmeņa izmaiņas. Pārvaldība tiek veikta, izmantojot tīmekļa saskarni.
Jaunajā versijā:
- Pievienots atbalsts e-pasta ziņojumu ģenerēšanai un nosūtīšanai par konstatētajām novirzēm, reģistrētajiem tīkliem un vispārējo statusu.
- Pievienots atbalsts brīdinājumiem par uzbrukumu mēģinājumu atklāšanu, lai bloķētu novērošanas kameru darbību, pamatojoties uz deautentifikācijas pakešu masveida sūtīšanu.
- Pievienots atbalsts brīdinājumiem par iepriekš neredzētu SSID identificēšanu.
- Pievienots atbalsts brīdinājumiem par kļūmēm uzraudzības sistēmā, piemēram, kad bezvadu adapteris ir atvienots no datora, kurā darbojas Nzyme.
- Uzlabota saderība ar tīkliem, kuru pamatā ir WPA3.
- Pievienota iespēja norādīt atzvanīšanas apstrādātājus, lai reaģētu uz brīdinājumu (piemēram, tos var izmantot, lai reģistrētu informāciju par anomālijām žurnāla failā).
- Ir pievienots resursu inventarizācijas saraksts, kurā tiek parādīti uzraudzīto izvietoto tīklu parametri.
- Ir pievienota uzbrucēja profila lapa, kurā tiek sniegta informācija par sistēmām un piekļuves punktiem, ar kuriem uzbrucējs mijiedarbojās, kā arī statistika par signāla stiprumu un nosūtītajiem kadriem.
Avots: opennet.ru