Kötü amaçlı etkinlikleri belirlemek, sahte erişim noktalarını, yetkisiz bağlantıları dağıtmak ve standart saldırıları gerçekleştirmek amacıyla kablosuz ağların yayın dalgalarını izlemek için tasarlanan Nzyme 1.2.0 araç kitinin sürümü sunuldu. Proje kodu Java ile yazılmıştır ve AGPLv3'ü temel alan SSPL (Sunucu Tarafı Kamu Lisansı) kapsamında dağıtılmaktadır ancak ürünün bulut hizmetlerinde kullanımına ilişkin ayrımcı gereksinimlerin varlığı nedeniyle açık değildir.
Trafik, kablosuz bağdaştırıcının transit ağ çerçeveleri için izleme moduna geçirilmesiyle yakalanır. Olayları ve kötü niyetli faaliyetleri analiz etmek için verilere ihtiyaç duyulması durumunda, ele geçirilen ağ çerçevelerinin uzun vadeli depolama amacıyla Graylog sistemine aktarılması mümkündür. Örneğin program, yetkisiz erişim noktalarının ortaya çıktığını tespit etmenize olanak tanır ve kablosuz bir ağın güvenliğini ihlal etmeye yönelik bir girişim tespit edilirse, saldırının hedefinin kim olduğunu ve hangi kullanıcıların güvenliğinin ihlal edildiğini gösterir.
Sistem çeşitli türde uyarılar üretebilir ve ayrıca, ağ bileşenlerinin parmak izi tanımlayıcılarla kontrol edilmesi ve tuzaklar oluşturulması da dahil olmak üzere, anormal etkinlikleri tespit etmek için çeşitli yöntemleri destekler. Ağ yapısı ihlal edildiğinde (örneğin, daha önce bilinmeyen bir BSSID'nin ortaya çıkması), güvenlikle ilgili ağ parametrelerinde değişiklikler (örneğin, şifreleme modlarında değişiklikler), tipik saldırı cihazlarının varlığının tespit edilmesi (örneğin, örneğin, WiFi Ananas), bir tuzağa yapılan çağrının kaydedilmesi veya davranışta anormal bir değişikliğin belirlenmesi (örneğin, bireysel çerçeveler atipik bir zayıf sinyal seviyesiyle göründüğünde veya paket varışlarının yoğunluğu için eşik değerlerinin ihlali durumunda).
Sistem, kötü amaçlı etkinlikleri analiz etmenin yanı sıra, kablosuz ağların genel izlenmesi için ve aynı zamanda, kötü amaçlı bir kablosuz aygıtın özel durumuna göre aşamalı olarak tanımlanmasını mümkün kılan izleyicilerin kullanımı yoluyla tespit edilen anormalliklerin kaynağının fiziksel olarak tespit edilmesi için kullanılabilir. özellikler ve sinyal seviyesindeki değişiklikler. Yönetim bir web arayüzü üzerinden gerçekleştirilir.
Yeni sürümde:
- Tespit edilen anormallikler, kaydedilen ağlar ve genel durum hakkında e-posta raporları oluşturma ve gönderme desteği eklendi.
- Kimlik doğrulama paketlerinin toplu olarak gönderilmesine dayalı olarak gözetleme kameralarının çalışmasını engellemeye yönelik saldırı girişimlerinin tespiti hakkında uyarı desteği eklendi.
- Daha önce görülmeyen SSID'lerin tanımlanmasıyla ilgili uyarılar için destek eklendi.
- İzleme sistemindeki arızalarla ilgili uyarılar için destek eklendi (örneğin, kablosuz bağdaştırıcının Nzyme çalıştıran bilgisayarla bağlantısı kesildiğinde).
- WPA3 tabanlı ağlarla geliştirilmiş uyumluluk.
- Bir uyarıya yanıt verecek geri arama işleyicilerini belirtme yeteneği eklendi (örneğin, anormallikler hakkındaki bilgileri bir günlük dosyasına kaydetmek için kullanılabilirler).
- İzlenen dağıtılan ağların parametrelerini görüntüleyen bir kaynak envanter listesi eklendi.
- Saldırganın etkileşimde bulunduğu sistemler ve erişim noktaları hakkında bilgilerin yanı sıra sinyal gücü ve gönderilen çerçevelere ilişkin istatistikler sağlayan bir saldırgan profil sayfası eklendi.
Kaynak: opennet.ru