- WLAN INTRUSION DETECTION AND MONITORING SYSTEM - MARKTANALYSE Autoren: Daniel Walther, Sandro Dähler Datum: 14. Juni 2004 Status: Fertig gestellt Version: 1.0 Institution: Hochschule für Technik und Informatik Biel, Telscom AG Verteiler: Franz Meyer, Gerhard Schwab, Sathya Rao (Telscom AG), Daniel Walther, Sandro Dähler 09.07.2004 1/14
INHALTSVERZEICHNIS Inhaltsverzeichnis...2 1. Einleitung...3 2. Marktübersicht...4 2.1 Wireless Monitoring / Analyzing Tools...4 2.2 Wireless Intrusion Detection Systeme...7 2.3 Kombinierte Systeme...8 3. Schlussfolgerung...14 09.07.2004 2/14
1. EINLEITUNG Durch die zunehmende Verbreitung der Wireless LAN s vergrössert sich auch das Sicherheitsrisiko der IT-Infrastruktur der jeweiligen Firma. Durch die schlecht einschränkbare Ausbreitung eines Wireless LAN s ist es nötig, dieses gut vor Zugriffen (z.b. Wardriving) zu schützen. Infolge der grossen Anforderung an eine solche Applikation, ist nur schwierig ein komplettes und günstiges Sicherheitspaket zu finden. Da auch die Administration und der Unterhalt solcher Systeme aufwendig und teuer sind, werden sie nur selten eingesetzt. Gerade im Bereich der KMU s ist ein grosser Nachholbedarf vorhanden. In diesem Bereich werden nur in der Administration einfache und kostengünstige Systeme gesucht. Leider ist das Angebot solcher Produkte rar. Kombinierte Wireless LAN Sicherheits Systeme (Monitoring und Intrusion Detection) gibt es nur wenige und die meisten sind relativ teuer. Kombinierte Systeme sollen die Administration und die Sicherheit erhöhen. Bei dieser Marktanalyse haben wir unser Hauptaugenmerk auf die kombinierten Systeme gerichtet. Dies aus dem Grund weil unser Projekt genau ein solches System sein soll. 09.07.2004 3/14
2. MARKTÜBERSICHT 2.1 Wireless Monitoring / Analyzing Tools AirMagnet (http://www.airmagnet.com) Airmagnet bietet eine multiplattform Software an. Diese Software ermöglicht ein genaues Monitoring des gesamten Wireless LAN. Da die Software auf einem Laptop, PDA oder einem normalen Computer installiert werden kann, ist diese sehr praktisch und fast jederzeit und überall einsatzbereit. Durch den neu eingeführten Access Point, ist es möglich diverse dieser Aufgaben auch dierkt dem Access Point zu übertragen. Obwohl Airmagnet auch einige Intrusion Detection Funktionalitäten besitzt, ist dieses Produkt aber mehrheitlich ein reines Monitoringtool und daher auch in dieser Sektion zu finden. Features: - Remote 24*7 coverage, alerts, alarms - Handheld: patented AirWISE expertise anywhere - Laptop: 802.11 a/b/g, more power - Surveyor: site survey, planning, validation - Reporter: provides over 50 customizable report Preis: nicht bekannt Chantry Networks (http://www.chantrynetworks.com) Chantry Networks bietet ein Wireless LAN Monitoringtool an, welches komplett auf die eigene Hardware ausgerichtet ist. Durch den Einsatz der eigenen Controllern (Switches) und Access Points, ist es der Software möglich das gesamte Wireless LAN zu administrieren. Leider bietet diese Lösung keinerlei Securityfeatures an. Preis: nicht bekannt Bridgewater System (http://www.bridgewatersystems.com) Schützt das Wireless Netz mit 802.1x und WPA. Das Produkt heisst Wi-Fi AAA (Authentication, Authorization, Accounting). Features: Tag/Zeit restriktion, 09.07.2004 4/14
Cirond Systems (http://www.cirond.com) Der WINc Manager von Cirond Systems ist eine Softwarebasierende für das automatische Setup und management von Wireless LAN s. Diese Software arbeitet mit der Hardware von vielen bekannten Herstellern zusammen. Features: - MapView - user location and network visualization - VirtualShield - virtual security perimeter - AutoKey - WEP key distribution and rotation - AccessLink - visitor provisioning - LoadShare - automatic load balancing - FourPoint - automatic channel allocation Ausserdem bietet die Firma Cirond System Verbindungsmanager für Windows und MS PocketPC an. Preis: WINc Manager $2995.- Elixar (http://www.elixar.com) Der AirTraf 2.0 Hosted arbeitet mit verteilten Sensoren im Wireless Netz, die alle Daten abhören und zur real-time Analyse an den AirTraf Server schicken. Features: - Real-time monitoring - Trend Analysis - Incident Notification - Performance Statistics Preis: Version 1.0 OpenSource, Version 2.0 Preis nicht bekannt 09.07.2004 5/14
ISS (http://www.iss.net) Der Wireless Scanner von ISS ist Sofware basierend und bietet automatische Entdeckung und Sicherheits- Analyse der Wireless Netze(802.11b). Features: - Detection - WLAN Security Management - Built in expertise - Filters - Date Capture and replay Preis: 9 000$ für ein Jahr, unlimitierte Lizenz Network Associates (http://www.networkassociates.com) Der Netasyst Network Analyzer Wireless von McAfee ist Software basierend und bietet Troubleshooting, maintaining und securing von Wireless Netzen(802.11a + b). Features: - Real-time security risk identification - Automatic problem solving - Network optimization - Planning and fien tuning assistance Preis:$4 995 Observer (http://www.networkinstruments.com) Die Firma Network Instruments bietet die Produkte Observer, Expert Observer und Observer Suite an. Alle drei sind Sofware basierend. Featuers: - Captured and decode wireless traffic - Monitoring (AP statistics, Signalstärke, Rogue AP s, ) - Automatische Benachritigung bei Ereignissen 09.07.2004 6/14
Preis: Observer $995, Expert Observer $2 895, Observer Suite $3 995 QWireless (http://www.uv-ac.de/qwireless/) QWireless ist ein Open-Source Wireless LAN Analyzer für Linux. Dieser Analyzer hat zwei Einsatzmöglichkeiten. Erstens, kann dieser als gewöhnlicher Wireless LAN Analyzer gebraucht werden und zweitens hat dieses Produkt die Möglichkeit grössere Wireless LAN s auszumessen und grafisch darzustellen (Struktur). Es ist auch ein Package für Handhelds verfügbar (IPaq). 2.2 Wireless Intrusion Detection Systeme AirSnare (http://home.comcast.net/~jay.deboer/airsnare) AirSnare ist ein Intrusion Detection System, das hilft das Wireless Netz zu überwachen. Es gibt Alarm wenn feindliche MAC Adressen auf dem Netz sind und registriert alle DHCP Requests. Price: AirSnare ist beggarware -> Wer es benützt soll bitte zahlen, muss aber nicht.. Kismet (http://www.kismetwireless.net) Kismet ist ein 802.11 Layer 2 Network Detector, Sniffer und Intrusion Detection System. Kismet arbeitet mit allen Wireless Karten die raw monitoring unterstüzen und 802.11b, 802.11a und 802.11g Traffic sniffen können. Snort (http://snort-wireless.org) Snort-Wireless fügt verschieden Features für 802.11 IDS Funktionalität zur standard Snort Distribution hinzu. Diese erlauben einem Regeln festzulegen um 802.11 Frames, Rogue Access Points, AdHoc networks und anderes zu entdecken. Preis: Freeware, GNU General Public License. 09.07.2004 7/14
WlanDetect (http://www.security-labs.org/wlandetect) WlanDetect hat folgende Features: - kann als plugin zum Prelude-IDS geladen werden - Frame length checker - 3 verschieden Alerts: Misconfiguration, Frame injection, presence of unauthrized hardware. Preise: Freeware, GNU General Public License. 2.3 Kombinierte Systeme AirDefense (http://www.airdefense.net) Das Sicherheitskonzept von AirDefense beruht auf einer Hardwarelösung (Switches und AccessPoints). Mit dem Erwerb einer Zusatzsoftware ist es ausserdem möglich auch AccessPoints von Fremdherstellern zu überwachen. Mit diesem System ist es möglich Wireless LAN s welche auf den Standarten IEEE 802.11a/b/g zu überwachen. Features (Angaben vom Hersteller): - Wi-Fi Assets - WLAN Device Relationship - Device behaviour - Rogue Detection & Analysis - Intrusion Detection System - Wired/Wireless Exposure Management - The centralized policy manager allows enterprises to customize policies for each wireless device Preis: nicht bekannt Airspace (http://www.airespace.com) 09.07.2004 8/14
Die Lösung von Airspace ist eine WLAN End-to-End Lösung. Um den gesamten Funktionsumfang nutzen zu können, ist es nötig alle Produkte von Airspace zu beziehen. Die angebotene Software kann eine unterstützende Kraft bei der Planung und dem Betrieb des Wireless LAN s sein. Durch die angebotenen Hardwareprodukte wird ein komplettes Wireless LAN System angeboten. Features: - WLAN Planning - Intelligent RF Management - Wireless Protection System - Location Tracking Preis: nicht bekannt Airwave (http://www.airwave.com) Die Lösung von Airwave basiert auf einer reinen Softwarelösung. Dies ermöglicht den Firmen Herstellerunabhängig zu bleiben. Durch die Implementation diverser Schnittstellen zu Geräten diverser führenden Hardware-Herstellern und herkömmliche Geräteabfragemethoden (SNMP), wird es möglich das gesamte WLAN zu administrieren. Features (Angaben vom Hersteller): - Real-time Wireless Network Monitoring - Automatic Access Point Discovery - Efficient Access Point Configuration - Firmware Management - Access Point Auditing - Integration with Existing Network Management System - Wireless Rogue Access Point Detection - Wireline Rogue Access Point Detection Preis: AirWave Management Platform(AMP). 3 verschiedene Versionen: AMP Lite 5 000$, AMP Professional Edition 15 000$, AMP Enterprise Edition 50 000$. 09.07.2004 9/14
Aruba Networks (http://www.arubanetworks.com) Das System von Aruba Networks ist ein eigenes Produkt. Die Software wurde speziell für die dazu angebotene Hardware entwickelt und kann so ein komplettes WLAN leicht und einfach administrieren. Leider ist die Einbindung fremder Hersteller wahrscheinlich nicht möglich, Jedenfalls wird darauf nicht hingewiesen. Features (Angaben vom Hersteller): - RF Director Centralizes RF Management - RF Plan Automates Wi-Fi Deployment - RF Analyze for Detailed Troubleshooting - AirOS Wireless IDS Module - AirOS RF Management Module - AirOS VPNs and Firewall Module Preis: Aruba Wireless Networks AirOS 8 000$ (Software), Hardware ab 500$ (AccessPoint) Bluesocket (http://www.bluesocket.com) Bluesocket bietet sogenannte Wireless Gateways an. Diese ermöglich den Einsatz von Access Points diverser Herstellern. Die Wireless Gateways sind wie intelligente Switches zu interpretieren. Das gesamte Monitoring und die Security wird komplett von diesen Gateways übernommen und kann zentral von einem System aus administriert werden. Features: - Wireless Link Encryption - Authentication - Role Based Access Control - Class of Service (CoS) - Secure Mobility - RADIUS Accounting and Hotspot Support - Management - Scalability Preis: nicht bekannt 09.07.2004 10/14
Cisco (http://www.cisco.com) Cisco bietet im Bereich Wireless eine komplette Produktpalette (Cisco Structured Wireless- Aware Network(SWAN) an. Es kann von WLAN Karten, spezielle Switches bis hin zur Software alles bezogen werden. Daher ist es Cisco möglich ein komplettes Sicherheitssystem anzubieten. Durch die komplette Produktpalette werden nahezu alle Features die möglich sind abgedeckt. Dazu gehören auch Intrusion Detection und Monitoring. Preis: nicht bekannt Computer Associates (http://www.ca.com) Das grosse Netzwerkmanagementtool von CA kann auch mit Wireless Funktionalitäten ausgerüstet werden. Dieses Produkt ist wie ein Baukasten aufgebaut und kann beliebig erweitert werden. Dies ermöglicht die komplette Administration von Wired und Wireless auf einem System. Durch die Herstellerunabhängigkeit ist es auch möglich verschieden Produkte zu administrieren. Über die diversen angebotenen Schnittstellen kann auf die Hardware zugegriffen werden. Durch das Baukasten System sind die Features sehr unterschiedlich. Preis: Computer Associates Etrust Threat Management, 9 000$ New Bury Networks (http://www.newburynetworks.com) Die Software WiFi Watchdog ermöglicht mit eigenen Sensoren die Überwachung und Sicherung eines Wireless LAN s. Jedoch verursachen die zusätzlichen Sensoren weitere Kosten. Diese sind aber nötig um das gesamte Wireless LAN mit dem vollen Funktionsumfang der Software überwachen zu können. Features (Angaben von Hersteller): - Patented Location Tracking for 802.11 devices - Location Based Authentication and Access Control - Authentic Rogue WLAN Detection - Intrusion Prevention and Attempted Attack Alerts - Continuous Threat and Vulnerability Detection - Unauthorized Associations - Usage Reporting and Monitoring 09.07.2004 11/14
- le Reports, Alerts and Notifications Preis: WiFi Watchdog 9 995$ Reefedge (http://www.reefedge.com) Die Software WiSe OS (Wireless Services Operating System) ermöglicht die Administration eines kompletten Wireless LAN s. Durch den Einsatz von Hardwareprodukten von Reefedge ist es ausserdem möglich auch das gesamte System Management über die Software WiSe OS zu erledigen. Jedoch ist ein Einsatz mit Hardware von anderen Herstellern auch möglich. In diesem Fall können leider einige Funktionen nicht gebraucht werden. Features (Angaben vom Hersteller): - Security (Herstellerunabhängig) - Mobility (Herstellerunabhängig) - Monitoring (Herstellerunabhängig) - Configuration Management (Herstellerabhängig) Preis: nicht bekannt Wimetrics (http://www.wimetrics.com) Die Software Wimetrics ist speziell auf die Erkennung von falschen Access Points ausgelegt. Durch die Zusammenarbeit von Monitoring und Intrusion Detection können nicht erwünschte Access Points schnell und Zuverlässig erkannt werden. Diese Software ist Hardwareunabhängig, bietet aber nur einen kleinen Funktionsumfang. Features (Angaben vom Hersteller): - 24 x 7 rogue access point detection on the wired LAN - Detects both low end and high end access points, such as Linksys, D-Link, Microsoft, SMS, Cisco and Symbol - Software only solution (runs on standard PC hardware) - Centralized monitoring of access points from multiple locations - Ability to set various types of alerts - Eliminate MAC address spoofing - Identify and authorize wireless access for Windows devices without any client code 09.07.2004 12/14
- Supports 802.11 a, b or g networks Preis: Wireless Access Point Detection System 15 000$, Wireless LAN Monitoring and Intrusion Protection System 09.07.2004 13/14
3. SCHLUSSFOLGERUNG Wie in der Marktanalyse festegestellt, existieren viele Tools im Bereich des Wireless LAN Monitoring und Intrusion Detection. Vielen Firmen bieten Software- und Hardwarelösungen zur Sicherung von Wireless LAN s. Leider sind viele dieser Produkte teuer und es gibt nur wenige kombinierte Systeme. Vor allem im Open-Source Sektor sind kombinierte Systeme nur selten zu finden. Da aber viele der Systeme teuer sind, greifen viele KMU s auf verschiedene Open-Source Software zurück. Diese Systeme bieten jeweils fast dieselben Funktionen wie kommerzielle Systeme an, jedoch stellen diese Produkte eine höhere Anforderung an die Administratoren und erhöhen den Aufwand. 09.07.2004 14/14