Vorige week testten we draadloze beveiligingsproducten van AirWave, Checkpoint en HP. Vandaag zijn Kismet en SonicWall aan de beurt.

Kismet

Kismet (betekent zoveel als ‘voorbestemming’) Wireless is open source en gratis. Het is een netwerkdetector, pakketsnuffelaar en inbraakdetectiesysteem voor draadloze netwerken volgens IEEE 802.11. Dat omvat verkeer van 802.11a, b en g en in principe ook 802.11n. Het programma werkt onder Linux en andere Unix-varianten zoals *BSD en Mac OS X. Qua hardware hebt u een draadloze netwerkkaart nodig die promiscue kan werken en dus ook netwerkpakketten kan ontvangen die niet voor hem bestemd zijn. Er zijn een twintigtal wlan-kaarten die Kismet ondersteunt, en hoewel er een versie gecompileerd is voor Windows ondersteunt die er slechts één. In de praktijk maakt dat de Windows-versie alleen bruikbaar als drone (zie verderop).

Passief

In tegenstelling tot andere wlan-detectiesystemen werkt Kismet puur passief. Er worden dus geen netwerkpakketten uitgezonden, het werkt alleen op basis van wat de wlan-kaart kan ontvangen. Een zogenaamde promiscue netwerkkaartinstelling zorgt ervoor dat de kaart alle netwerkpakketten op het netwerk opvangt, dus ook alle pakketten die niet voor hem bestemd zijn. In een draadloos netwerk betekent dit, dat de promiscue wlan-kaart pakketten opvangt of ‘snuffelt’ van alles wat maar uitzendt en in het bereik van de netwerkkaart ligt: AP’s, clients, noem maar op. De Kismet software kan dan de AP’s en de clients met elkaar associëren zodat u kunt zien wie met wie contact probeert te leggen.

Functionaliteit

Via de uitgezonden netwerkpakketten kan Kismet dus inbraakpogingen ontdekken, een basis IDS-functionaliteit. Daarbij kan Kismet ook concurrerende snuffelaars zoals NetStumbler ontdekken, zolang ze maar actief zijn en niet zoals Kismet passief. De aanwezigheid van een passieve snuffelaar zoals Kismet is niet te detecteren op het draadloze (of bekabelde) netwerk. Kismet ondersteunt het bewaren van gesnuffelde pakketten en doet dat dan in standaardformaten zoals Airsnort en tcpdump/Wireshark. Om zoveel mogelijk draadloze netwerken op te sporen, ondersteunt Kismet kanaalhuppelen. In plaats van sequentieel van een kanaal naar het volgende te navigeren, springt Kismet in een niet-sequentiële volgorde tussen de kanalen heen en weer waarbij telkens een groot gat gelaten wordt. Omdat aaneenliggende kanalen overlappen, vergroot Kismet hiermee de kans om meer pakketten te snuffelen.

Kismet werkt in drie onderdelen. Een ‘drone’ of robot verzamelt enkel netwerkpakketten, maar analyseert ze niet. Dat doet een ismet server. Die kan alleen draaien en netwerkpakketten onderzoeken of dit doen in samenwerking met een drone. Het derde onderdeel is de client en die dient alleen maar om informatie te tonen: deze communiceert dus met de server. Tot slot kan Kismet de geografische locatie van een draadloos netwerk bepalen als u een gps-ontvanger aansluit en ondersteunt het DECT-sniffing plus Wi-Spy DBx.

Deelconclusie

Kismet Wireless is een uitstekend gereedschap om draadloze netwerken volledig passief te ‘besnuffelen’ en alle aanwezige AP’s en clients plus alle mogelijke in-trusiepogingen te detecteren. Het vereist wel de nodige technische kennis en hoewel het open source is, blijkt niemand Windows echt te ondersteunen. U gebruikt het dus bij voorkeur met Linux of Mac OS X.

SonicWall Wireless Security

De SonicWall Network Security Appliance of kortweg NSA 2400 is voor algemeen netwerkgebruik bedoeld en dus niet specifiek voor draadloze netwerken, maar u kunt er wel de Sonic Point access points in uw netwerk mee beheren. Bovendien hebben die SonicPoint AP’s zelf ook al beveiligingen aan boord tegen ongeoorloofde toegang. De combinatie van de NSA 2400 network security appliance met SonicPoint AP’s lijkt ons dan ook een bijzonder grote belofte in te houden en daarom hebben we het product ook onderzocht.

De NSA 2400 appliance biedt zes Ethernet-aansluitingen voor lan, wan, wlan, DMZ en wat u zo nogal wenst te configureren. Het gaat om een éénrekeenheid hoge appliance die qua grootte vergelijkbaar is met een doorsnee dvd-speler voor in de woonkamer. Het systeem ondersteunt een firewalldoorvoersnelheid tot 450 Mbit/s. SonicWall geeft een vpn-prestatie op van 300 Mbit/s bij 3DES en AES en bij volle UTM-functionaliteit met inhoudsinspectie haalt hij nog 50 Mbit/s. Naast de aankoop van de hardware hebt u nog een softwarelicentie nodig voor deze appliance. Standaard is daarin begrepen 75 site-to-site vpn-policy’s, 10 gebundelde vpn-clientsessies en 75 vpn-policy’s voor toegang op afstand. Er is geen beperking op het aantal nodes dat de firewall kan bedienen.

Beheer

Het firewalldeel van de NSA 2400 blijkt erg modern en houdt rekening met zowat alles, zoals voip-verkeer, wizards voor het definiëren van eigen internetservers, noem maar op. U kunt het zo gek niet bedenken of het is voorzien. Het beheer van de NSA 2400 gaat via een webinterface. Die is erg rechtlijnig uitgewerkt en biedt aan de linkerzijde van uw browserscherm een menu met uitklapbare opties en een menukeuze leidt dan tot een detailscherm rechts van dat menu. De NSA 2400 herkent SonicPoint AP’s in uw netwerk automatisch en u kunt ze zien in een speciaal onderdeel van het webbeheer. AP’s van andere merken worden niet ondersteund. Er is een ‘rogue AP’-detectie en die detecteert onbekende draadloze netwerken in uw buurt. De lijst vindt u terug onder de IDS-configuratie van de SonicPoints. Het is een beetje verwarrend dat er in deze configuratie alleen maar gesproken wordt over SonicPoints, maar daar worden dus kennelijk ook AP’s van andere merken mee bedoeld. Toch in de IDS-configuratie. Voor de andere rubrieken in de configuratie worden echt alleen SonicPoints van SonicWall ondersteund. De SonicPoint AP’s kunnen in groepen onderverdeeld worden en u kunt dan configuraties per groep vastleggen. De NSA 2400 appliance ondersteunt zoals reeds aangehaald Wireless IDS (intrusiedetectie op het draadloze netwerk), maar ook speciale firewall-regels voor het wlan, beveiligd draadloos zwerven via Virtuel Access Points (VLAN’s over een draadloze verbinding) en zowel bekabelde als draadloze gastdiensten voor uw hele netwerk. Met de juiste licenties biedt deze appliance u inhoudscontrolerende diensten, zoals het blokkeren van internetverkeer met ongewenste inhoud, malware, uitvoerbare bestanden en scripts zoals ActiveX, Java, en dergelijke meer.

Deelconclusie

De installatiewizard, internetserverwizard, vpn wizard en applicatiefirewallwizard maken het erg gemakkelijk om snel een configuratie draaiende te hebben. De NSA 2400 biedt ontzettend veel functionaliteit met een beheer dat niettemin erg duidelijk en rechtlijnig blijft. Gezien de mogelijkheden van de combinatie horen voor het draadloze netwerk de SonicPoint AP’s er beslist bij.

SLOTCONCLUSIE

Als u een groot wireless lan met allemaal enterpriseklasseproducten zo goed mogelijk wilt kunnen beheren, dan kunt u dat met AirWave. De functionaliteit inzake beveiliging is dan echter wat minder. Wenst u een maximale beveiliging die een draadloos netwerk volledig kan dichttimmeren, dan biedt HP u dat. Voor een kleine kmo volstaat de oplossing van CheckPoint. Tussen kleinere kmo’s en de grote wlan-netwerken situeren we de apparatuur van SonicWall. Kismet is een gratis scannertje waarmee u uw eigen netwerk grondig kunt controleren. De diverse besproken producten zijn onderling niet echt vergelijkbaar, maar veeleer aanvullend.

Johan Zwiekhorst