Доступен Nzyme 1.2.0, инструментарий для отслеживания атак на беспроводные сети

good-penguin.png

Представлен выпуск инструментария Nzyme 1.2.0, предназначенного для мониторинга эфира беспроводных сетей с целью выявления вредоносной активности, развёртывания подставных точек доступа, неавторизированных подключений и совершения типовых атак. Код проекта написан на языке Java и распространяется под лицензией SSPL (Server Side Public License), которая основана AGPLv3, но не является открытой из-за наличия дискриминирующих требований в отношении использования продукта в облачных сервисах.

Захват трафика осуществляется через перевод беспроводного адаптера в режим мониторинга за транзитными сетевыми кадрами. Возможна передача перехваченных сетевых кадров в систему Graylog для длительного хранения на случай, если данные потребуются для разбора инцидентов и вредоносных действий. Например, программа позволяет выявить появление несанкционированных точек доступа, а в случае выявления попытки компрометации беспроводной сети покажет, кто стал целью атаки и какие пользователи были скомпрометированы.

Система может генерировать несколько типов предупреждений, а также поддерживает различные способы определения аномальной активности, включая проверку компонентов сети по fingerprint-идентификаторам и создание ловушек. Поддерживается генерация предупреждений при нарушении структуры сети (например, появления ранее не известного BSSID), изменении связанных с безопасностью параметров сети (например, изменение режимов шифрования), выявления присутствия типовых устройств для проведения атак (например, WiFi Pineapple), фиксации обращения к ловушке или определения аномального изменения поведения (например, при появлении отдельных кадров с нетипичным слабым уровнем сигнала или нарушением пороговых значений интенсивности поступления пакетов).

Помимо анализа вредоносной активности система может применяться для общего мониторинга за беспроводными сетями, а также для физического обнаружения источника выявленных аномалий через использование трекеров, позволяющих поступательно определить вредоносное беспроводное устройство на основании специфичных для него атрибутов и изменения уровня сигнала. Управление производится через web-интерфейс.

>>> Подробности

©  Linux.org.ru