https://wiki.itcollege.ee/api.php?action=feedcontributions&feedformat=atom&user=JhannusICO wiki - User contributions [en]2026-05-07T09:12:08ZUser contributionsMediaWiki 1.45.1https://wiki.itcollege.ee/index.php?title=Kodut%C3%B6%C3%B6_aines_%22Veebirakenduste_loomine_ASP.NET_abil%22,_meeskonnad_2010&diff=34218Kodutöö aines "Veebirakenduste loomine ASP.NET abil", meeskonnad 20102011-06-18T01:17:43Z<p>Jhannus: /* Liikmed */</p>
<hr />
<div>= Meeskonnad 2010=<br />
==[[Meeskond "Arved"]]==<br />
===Teema===<br />
Projekti arendust kajastav blogi: [http://liivimaakeskmised.blogspot.com/]<br />
<br />
<br />
===Liikmed===<br />
<br />
* Indrek Ots<br />
* Mait Poska<br />
* Joosep Püüa<br />
* Toomas Talviste<br />
* Madis Vellamäe<br />
<br />
==[[Meeskond "Hyper Power ASP Rangers"]]==<br />
===Teema===<br />
Infosüsteem autolammutuse toimimiseks, ehk sisuliselt veebipood.<br />
Täpsem info ja arengulugu -> http://hyperasp.blogspot.com/<br />
<br />
===Liikmed===<br />
<br />
* Arno Kender<br />
* Erki Veiko<br />
* Lili-Ann Polluks<br />
<br />
==[[Meeskond "FileRepo"]]==<br />
===Teema===<br />
Failide repositioorium. <br />
<br />
Blogi http://filerepo.blogspot.com<br />
<br />
===Liikmed===<br />
<br />
* Liisa Jõgiste<br />
* Madis Toom<br />
<br />
==[[Meeskond "Pokkerikäsi"]]==<br />
===Teema===<br />
Pokkeri käe analüüs<br />
<br />
===Liikmed===<br />
<br />
* Jaagup Toome<br />
* Madis Sildaru<br />
<br />
==[[Meeskond "Masuuka"]]==<br />
===Teema===<br />
Masuaja abimees arvepidamiseks <br><br />
Projekti koduleht "[[Masuuka]]"<br />
<br />
===Liikmed===<br />
<br />
* Saul Talve<br />
* Marko Kurm<br />
<br />
==[[Meeskond "Better late than never"]]==<br />
===Teema===<br />
Terviseleht<br />
<br />
===Liikmed===<br />
<br />
* Kristjan Karri<br />
<br />
<br />
<br />
[[Category: Veebirakenduste loomine ASP.NET abil]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=Kodut%C3%B6%C3%B6_aines_%22V%C3%B5rgurakendused_II:_hajuss%C3%BCsteemide_ehitamine%22_-_vanad_meeskonnad&diff=34217Kodutöö aines "Võrgurakendused II: hajussüsteemide ehitamine" - vanad meeskonnad2011-06-18T01:15:05Z<p>Jhannus: /* Liikmed */</p>
<hr />
<div>[[Category: Võrgurakendused II: hajussüsteemide ehitamine]]<br />
==[[Meeskond "Jõrru"]]==<br />
<br />
==[[Meeskond "Heiki Mis?"]]==<br />
===Teema===<br />
Nimede pakkumise teenus<br />
[http://nimeteenus.blogspot.com/]<br />
<br />
===Liikmed===<br />
Arno Kender,<br />
Arto Vaas,<br />
Erki Veiko,<br />
Lili-Ann Polluks,<br />
Olavi Soosaar,<br />
<br />
==[[Meeskond "RSS"]]==<br />
[[RSS voogude värskete uudiste korjamise rakendus]]. Kasutaja koostab RSS voogude jada, rakendus võttab välja nimekiri viimastest uudistest...<br />
===Liikmed===<br />
Aleksandr Jastremski IA27<br />
<br />
==[[Meeskond "Juutuub"]]==<br />
===Teema===<br />
juutuubi playlisti generaator<br />
[ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Markus Lausmaa,<br />
Marko Väljaots,<br />
Valdar Kallasmaa,<br />
Jaagup Toome,<br />
Margus Klaamann<br />
<br />
==[[Meeskond "The TuX's"]]==<br />
===Teema===<br />
Näljaste teejuht - kohviku menüü<br />
[ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Tiia Tänav,<br />
Tiina Laast<br />
<br />
==[[Meeskond "näljased"]]==<br />
===Teema===<br />
Menüü. Meie projekti eesmärk on siis ehitada loengus arutletud menüü, mida ehk ka hiljem reaalselt töösse lasta. Nimelt siis veebis töötav menüü, kuhu klienditeenindaja saab lisada asju, muuta ja märkida "otsas" ning kuhu tudengid saavad kasutajaid teha ja anda oma hinnanguid, tagasisidet.<br />
<br />
Flickr. Meie projekti kolmas osa on Flickri API, mis võimaldab otsida kasutajad emaili järgi, otsida suvalisi pilte, uploadida pilte ja vaadata oma pildisette.<br />
<br />
[http://naljased.blogspot.com Blogi]<br />
<br />
===Liikmed===<br />
Hannes Karask,<br />
Liisa Jõgiste,<br />
Kristjan Karri<br />
<br />
==[[Meeskond "Liivimaa keskmised"]]==<br />
===Teema===<br />
Menüühaldus.<br />
<br />
Kiire ülevaade meie lahendusest. On olemas teenus, mis võimaldab näha valitud kohviku menüüd. Samuti pakub teenus menüü muutmise ja lisamise võimalust. Täpsem teenuse funktsionaalsuse kirjeldus asub meie meeskonna lehel - [[Meeskond "Liivimaa keskmised"]]. Kui kõik läheb hästi, siis valmib ka samale teenusele rakendus, mis jookseb Windows Phone 7 Series peal.<br />
<br />
===Liikmed===<br />
Indrek Ots,<br />
Joosep Püüa,<br />
Mait Poska,<br />
Madis Vellamäe,<br />
Toomas Talviste<br />
<br />
==[[Meeskond "X"]]==<br />
===Teema===<br />
Ladu<br />
<br />
===Liikmed===<br />
Sergei Rumjantsev,<br />
Martin Hallang,<br />
Rauno Pihlak<br />
<br />
==[[Meeskond "Põhi lax!"]]==<br />
===Teema===<br />
Veebi meediaplayer<br />
<br />
===Liikmed===<br />
Sergei Podust<br />
Jüri-Joonas Kerem,<br />
Urmas Sepp,<br />
Tiit Ojamets,<br />
Indrek Eiche,<br />
Silver Kuusik,<br />
Alar Järvesoo<br />
<br />
==[[Meeskond "Valmis!"]]==<br />
===Teema===<br />
Message service<br />
<br />
===Liikmed===<br />
Artur Šarõpin, Leonid Dikušin, Marko Kurm<br />
<br />
==[[Meeskond "One Man Army"]]==<br />
===Teema===<br />
* Desktop rakendus Flickr kliendile<br />
* Provisioning API<br />
===Liige===<br />
Margus Kerma</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10431Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-19T18:47:35Z<p>Jhannus: /* Töötamine NetStumbleriga */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
===Võõrasse juurdepääsupunkti ühendamise põhjus===<br />
<br />
Kasutaja ühendub võõrasse juurdepääsupunkti just seetõttu, et tänapäeva operatsioonisüstemid on sedasi üles ehitatud, et otsitakse kogu aeg tugevaima signaaliga juurdepääsupunkti, millesse ühenduda kasutajat segamata.<br />
<br />
[[Image:AP.PNG]]<br />
<br />
Joonis. Kasutaja ühendumine võõrasse ligipääsupunkti.<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta nõrkade turvaseadistustega juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret internetiühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
===Võõraste juurdepääsupunktidega kaasnevad otsesed ohud===<br />
<br />
* Andmete levimine: Ainuüksi passiivse võrguliikluse jälgimisega võib ründaja saada ülevaate arvutivõrgus olevatest kasutajatest ja nende võrguliiklust. Paketid võivad näidata ''host''-ide nimesid ja IP aadresse. Kehvemini konfigureeritud arvutivõrkude puhul võib ründaja koguda isegi kasutajanimesid, paroole (nt HTTP protokollilt), emaile jms.<br />
* Kui ründaja on omandanud ''host''-ide nimed ja IP aadressid, saab ta kasutada arvutivõrgu jälgimiseks veebis tasuta levivaid võrguskanneerimise rakendusi. Nendega omakorda ehitada nimekirja potensiaalsetest sihtmärkidest, keda oleks võimalik rünnata. Igalt ''host''-ilt saab otsida "näpujälgi" (fingerprints) erinevate programmidega nagu näiteks Nessus. Antud tarkvaraga on võimalik saada teada kasutaja operatsioonisüsteemi nõrkustest, nõrkadest seadistustest, avatud teenustest, avatud portidest jne. "Näpujälgi" saab otsida mitte klientidelt, vaid ka isegi ''switch''-idelt ja ruuteritelt.<br />
* Ründaja, kes on esimese punkti läbi käinud, on juba tõenäoliselt päris palju vajalikku informatsiooni saanud. Kui sellest pole piisanud, siis teise punkti läbimine ja potensiaalsete nõrkade ''host''-ide ründamine näiteks ''brute force''-iga (sõnaraamatu abil), ruuteride / switchide ründamine arvates ära ''default'' paroole jne annab äkki omakorda vajalikke andmeid juurde. <br />
* Tasuta internet - võõra inimese poolt paigaldatud juurdepääsupunkt annab võimaluse võõrale kasutada tasuta internetiühendus. Eriti kasulik on sellisel juhul paigaldada võõras juurdepääsupunkt ettevõttetesse, kuna viimastel on üldjuhul kordades kiiremad internetiühendused kui kodukasutajatel. Samas pääseb sedasi ligi ka veebisaitidele, mis on välistele ühendustele keelatud. Lisaks võib võõra juurdepääsupunkti paigaldaja tekitada suure legaalse jama, laadides alla näiteks keelatud tarkvara, multimeediat või levitades viimaseid.<br />
* DDoS - võõra juurdepääsupunkti haldaja võib juurdepääsupunkti kasutada näiteks ettevõttele DoS (Denial of Service) ründe teostamiseks. Näitena võib tuua ARP ''poisoning''-i ja 'IP 'spoofing''-u. Vastav tarkvara koos kasutusjuhenditega on internetist vabalt kättesaadav.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt, ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/] või proovida sama põhimõttega programmi [http://www.metageek.net/products/inssider inSSider]<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et see eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
[[Image:Netstumbler.png]]<br />
<br />
Joonis. Netstumbleri kasutajaliides [http://www.wifisoftwares.com/wp-content/gallery/software-screenshots/netstumbler.png]<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
<br />
[http://gnawgnu.blogspot.com/2010/02/how-to-disable-softap-aka-windows-7.htmlm Õpetus "SoftAP" välja lülitamiseks]<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
* ''Ways to (mis)use it'', http://blog.airtightnetworks.com/wifi-rogue-ap-5-ways-to-%E2%80%9Cuse%E2%80%9D-it/<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
=== Täiendaja ===<br />
Jürgen Hannus, D21<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10430Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-19T18:41:15Z<p>Jhannus: /* Töötamine NetStumbleriga */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
===Võõrasse juurdepääsupunkti ühendamise põhjus===<br />
<br />
Kasutaja ühendub võõrasse juurdepääsupunkti just seetõttu, et tänapäeva operatsioonisüstemid on sedasi üles ehitatud, et otsitakse kogu aeg tugevaima signaaliga juurdepääsupunkti, millesse ühenduda kasutajat segamata.<br />
<br />
[[Image:AP.PNG]]<br />
<br />
Joonis. Kasutaja ühendumine võõrasse ligipääsupunkti.<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta nõrkade turvaseadistustega juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret internetiühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
===Võõraste juurdepääsupunktidega kaasnevad otsesed ohud===<br />
<br />
* Andmete levimine: Ainuüksi passiivse võrguliikluse jälgimisega võib ründaja saada ülevaate arvutivõrgus olevatest kasutajatest ja nende võrguliiklust. Paketid võivad näidata ''host''-ide nimesid ja IP aadresse. Kehvemini konfigureeritud arvutivõrkude puhul võib ründaja koguda isegi kasutajanimesid, paroole (nt HTTP protokollilt), emaile jms.<br />
* Kui ründaja on omandanud ''host''-ide nimed ja IP aadressid, saab ta kasutada arvutivõrgu jälgimiseks veebis tasuta levivaid võrguskanneerimise rakendusi. Nendega omakorda ehitada nimekirja potensiaalsetest sihtmärkidest, keda oleks võimalik rünnata. Igalt ''host''-ilt saab otsida "näpujälgi" (fingerprints) erinevate programmidega nagu näiteks Nessus. Antud tarkvaraga on võimalik saada teada kasutaja operatsioonisüsteemi nõrkustest, nõrkadest seadistustest, avatud teenustest, avatud portidest jne. "Näpujälgi" saab otsida mitte klientidelt, vaid ka isegi ''switch''-idelt ja ruuteritelt.<br />
* Ründaja, kes on esimese punkti läbi käinud, on juba tõenäoliselt päris palju vajalikku informatsiooni saanud. Kui sellest pole piisanud, siis teise punkti läbimine ja potensiaalsete nõrkade ''host''-ide ründamine näiteks ''brute force''-iga (sõnaraamatu abil), ruuteride / switchide ründamine arvates ära ''default'' paroole jne annab äkki omakorda vajalikke andmeid juurde. <br />
* Tasuta internet - võõra inimese poolt paigaldatud juurdepääsupunkt annab võimaluse võõrale kasutada tasuta internetiühendus. Eriti kasulik on sellisel juhul paigaldada võõras juurdepääsupunkt ettevõttetesse, kuna viimastel on üldjuhul kordades kiiremad internetiühendused kui kodukasutajatel. Samas pääseb sedasi ligi ka veebisaitidele, mis on välistele ühendustele keelatud. Lisaks võib võõra juurdepääsupunkti paigaldaja tekitada suure legaalse jama, laadides alla näiteks keelatud tarkvara, multimeediat või levitades viimaseid.<br />
* DDoS - võõra juurdepääsupunkti haldaja võib juurdepääsupunkti kasutada näiteks ettevõttele DoS (Denial of Service) ründe teostamiseks. Näitena võib tuua ARP ''poisoning''-i ja 'IP 'spoofing''-u. Vastav tarkvara koos kasutusjuhenditega on internetist vabalt kättesaadav.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt, ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/] või proovida sama põhimõttega programmi [http://www.metageek.net/products/inssider inSSider]<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
[[Image:Netstumbler.png]]<br />
<br />
Joonis. Netstumbleri kasutajaliides [http://www.wifisoftwares.com/wp-content/gallery/software-screenshots/netstumbler.png]<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
<br />
[http://gnawgnu.blogspot.com/2010/02/how-to-disable-softap-aka-windows-7.htmlm Õpetus "SoftAP" välja lülitamiseks]<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
* ''Ways to (mis)use it'', http://blog.airtightnetworks.com/wifi-rogue-ap-5-ways-to-%E2%80%9Cuse%E2%80%9D-it/<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
=== Täiendaja ===<br />
Jürgen Hannus, D21<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10429Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-19T18:36:38Z<p>Jhannus: /* Võõraste juurdepääsupunktide tuvastamise meetodid */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
===Võõrasse juurdepääsupunkti ühendamise põhjus===<br />
<br />
Kasutaja ühendub võõrasse juurdepääsupunkti just seetõttu, et tänapäeva operatsioonisüstemid on sedasi üles ehitatud, et otsitakse kogu aeg tugevaima signaaliga juurdepääsupunkti, millesse ühenduda kasutajat segamata.<br />
<br />
[[Image:AP.PNG]]<br />
<br />
Joonis. Kasutaja ühendumine võõrasse ligipääsupunkti.<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta nõrkade turvaseadistustega juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret internetiühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
===Võõraste juurdepääsupunktidega kaasnevad otsesed ohud===<br />
<br />
* Andmete levimine: Ainuüksi passiivse võrguliikluse jälgimisega võib ründaja saada ülevaate arvutivõrgus olevatest kasutajatest ja nende võrguliiklust. Paketid võivad näidata ''host''-ide nimesid ja IP aadresse. Kehvemini konfigureeritud arvutivõrkude puhul võib ründaja koguda isegi kasutajanimesid, paroole (nt HTTP protokollilt), emaile jms.<br />
* Kui ründaja on omandanud ''host''-ide nimed ja IP aadressid, saab ta kasutada arvutivõrgu jälgimiseks veebis tasuta levivaid võrguskanneerimise rakendusi. Nendega omakorda ehitada nimekirja potensiaalsetest sihtmärkidest, keda oleks võimalik rünnata. Igalt ''host''-ilt saab otsida "näpujälgi" (fingerprints) erinevate programmidega nagu näiteks Nessus. Antud tarkvaraga on võimalik saada teada kasutaja operatsioonisüsteemi nõrkustest, nõrkadest seadistustest, avatud teenustest, avatud portidest jne. "Näpujälgi" saab otsida mitte klientidelt, vaid ka isegi ''switch''-idelt ja ruuteritelt.<br />
* Ründaja, kes on esimese punkti läbi käinud, on juba tõenäoliselt päris palju vajalikku informatsiooni saanud. Kui sellest pole piisanud, siis teise punkti läbimine ja potensiaalsete nõrkade ''host''-ide ründamine näiteks ''brute force''-iga (sõnaraamatu abil), ruuteride / switchide ründamine arvates ära ''default'' paroole jne annab äkki omakorda vajalikke andmeid juurde. <br />
* Tasuta internet - võõra inimese poolt paigaldatud juurdepääsupunkt annab võimaluse võõrale kasutada tasuta internetiühendus. Eriti kasulik on sellisel juhul paigaldada võõras juurdepääsupunkt ettevõttetesse, kuna viimastel on üldjuhul kordades kiiremad internetiühendused kui kodukasutajatel. Samas pääseb sedasi ligi ka veebisaitidele, mis on välistele ühendustele keelatud. Lisaks võib võõra juurdepääsupunkti paigaldaja tekitada suure legaalse jama, laadides alla näiteks keelatud tarkvara, multimeediat või levitades viimaseid.<br />
* DDoS - võõra juurdepääsupunkti haldaja võib juurdepääsupunkti kasutada näiteks ettevõttele DoS (Denial of Service) ründe teostamiseks. Näitena võib tuua ARP ''poisoning''-i ja 'IP 'spoofing''-u. Vastav tarkvara koos kasutusjuhenditega on internetist vabalt kättesaadav.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt, ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
[[Image:Netstumbler.png]]<br />
<br />
Joonis. Netstumbleri kasutajaliides [http://www.wifisoftwares.com/wp-content/gallery/software-screenshots/netstumbler.png]<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
<br />
[http://gnawgnu.blogspot.com/2010/02/how-to-disable-softap-aka-windows-7.htmlm Õpetus "SoftAP" välja lülitamiseks]<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
* ''Ways to (mis)use it'', http://blog.airtightnetworks.com/wifi-rogue-ap-5-ways-to-%E2%80%9Cuse%E2%80%9D-it/<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
=== Täiendaja ===<br />
Jürgen Hannus, D21<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10428Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-19T18:32:01Z<p>Jhannus: /* Võõra juurdepääsupunkti installimise peamised põhjused */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
===Võõrasse juurdepääsupunkti ühendamise põhjus===<br />
<br />
Kasutaja ühendub võõrasse juurdepääsupunkti just seetõttu, et tänapäeva operatsioonisüstemid on sedasi üles ehitatud, et otsitakse kogu aeg tugevaima signaaliga juurdepääsupunkti, millesse ühenduda kasutajat segamata.<br />
<br />
[[Image:AP.PNG]]<br />
<br />
Joonis. Kasutaja ühendumine võõrasse ligipääsupunkti.<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta nõrkade turvaseadistustega juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret internetiühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
===Võõraste juurdepääsupunktidega kaasnevad otsesed ohud===<br />
<br />
* Andmete levimine: Ainuüksi passiivse võrguliikluse jälgimisega võib ründaja saada ülevaate arvutivõrgus olevatest kasutajatest ja nende võrguliiklust. Paketid võivad näidata ''host''-ide nimesid ja IP aadresse. Kehvemini konfigureeritud arvutivõrkude puhul võib ründaja koguda isegi kasutajanimesid, paroole (nt HTTP protokollilt), emaile jms.<br />
* Kui ründaja on omandanud ''host''-ide nimed ja IP aadressid, saab ta kasutada arvutivõrgu jälgimiseks veebis tasuta levivaid võrguskanneerimise rakendusi. Nendega omakorda ehitada nimekirja potensiaalsetest sihtmärkidest, keda oleks võimalik rünnata. Igalt ''host''-ilt saab otsida "näpujälgi" (fingerprints) erinevate programmidega nagu näiteks Nessus. Antud tarkvaraga on võimalik saada teada kasutaja operatsioonisüsteemi nõrkustest, nõrkadest seadistustest, avatud teenustest, avatud portidest jne. "Näpujälgi" saab otsida mitte klientidelt, vaid ka isegi ''switch''-idelt ja ruuteritelt.<br />
* Ründaja, kes on esimese punkti läbi käinud, on juba tõenäoliselt päris palju vajalikku informatsiooni saanud. Kui sellest pole piisanud, siis teise punkti läbimine ja potensiaalsete nõrkade ''host''-ide ründamine näiteks ''brute force''-iga (sõnaraamatu abil), ruuteride / switchide ründamine arvates ära ''default'' paroole jne annab äkki omakorda vajalikke andmeid juurde. <br />
* Tasuta internet - võõra inimese poolt paigaldatud juurdepääsupunkt annab võimaluse võõrale kasutada tasuta internetiühendus. Eriti kasulik on sellisel juhul paigaldada võõras juurdepääsupunkt ettevõttetesse, kuna viimastel on üldjuhul kordades kiiremad internetiühendused kui kodukasutajatel. Samas pääseb sedasi ligi ka veebisaitidele, mis on välistele ühendustele keelatud. Lisaks võib võõra juurdepääsupunkti paigaldaja tekitada suure legaalse jama, laadides alla näiteks keelatud tarkvara, multimeediat või levitades viimaseid.<br />
* DDoS - võõra juurdepääsupunkti haldaja võib juurdepääsupunkti kasutada näiteks ettevõttele DoS (Denial of Service) ründe teostamiseks. Näitena võib tuua ARP ''poisoning''-i ja 'IP 'spoofing''-u. Vastav tarkvara koos kasutusjuhenditega on internetist vabalt kättesaadav.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
[[Image:Netstumbler.png]]<br />
<br />
Joonis. Netstumbleri kasutajaliides [http://www.wifisoftwares.com/wp-content/gallery/software-screenshots/netstumbler.png]<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
<br />
[http://gnawgnu.blogspot.com/2010/02/how-to-disable-softap-aka-windows-7.htmlm Õpetus "SoftAP" välja lülitamiseks]<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
* ''Ways to (mis)use it'', http://blog.airtightnetworks.com/wifi-rogue-ap-5-ways-to-%E2%80%9Cuse%E2%80%9D-it/<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
=== Täiendaja ===<br />
Jürgen Hannus, D21<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10427Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-19T18:28:42Z<p>Jhannus: /* Peamised "kahtlusalused" */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
===Võõrasse juurdepääsupunkti ühendamise põhjus===<br />
<br />
Kasutaja ühendub võõrasse juurdepääsupunkti just seetõttu, et tänapäeva operatsioonisüstemid on sedasi üles ehitatud, et otsitakse kogu aeg tugevaima signaaliga juurdepääsupunkti, millesse ühenduda kasutajat segamata.<br />
<br />
[[Image:AP.PNG]]<br />
<br />
Joonis. Kasutaja ühendumine võõrasse ligipääsupunkti.<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta nõrkade turvaseadistustega juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
===Võõraste juurdepääsupunktidega kaasnevad otsesed ohud===<br />
<br />
* Andmete levimine: Ainuüksi passiivse võrguliikluse jälgimisega võib ründaja saada ülevaate arvutivõrgus olevatest kasutajatest ja nende võrguliiklust. Paketid võivad näidata ''host''-ide nimesid ja IP aadresse. Kehvemini konfigureeritud arvutivõrkude puhul võib ründaja koguda isegi kasutajanimesid, paroole (nt HTTP protokollilt), emaile jms.<br />
* Kui ründaja on omandanud ''host''-ide nimed ja IP aadressid, saab ta kasutada arvutivõrgu jälgimiseks veebis tasuta levivaid võrguskanneerimise rakendusi. Nendega omakorda ehitada nimekirja potensiaalsetest sihtmärkidest, keda oleks võimalik rünnata. Igalt ''host''-ilt saab otsida "näpujälgi" (fingerprints) erinevate programmidega nagu näiteks Nessus. Antud tarkvaraga on võimalik saada teada kasutaja operatsioonisüsteemi nõrkustest, nõrkadest seadistustest, avatud teenustest, avatud portidest jne. "Näpujälgi" saab otsida mitte klientidelt, vaid ka isegi ''switch''-idelt ja ruuteritelt.<br />
* Ründaja, kes on esimese punkti läbi käinud, on juba tõenäoliselt päris palju vajalikku informatsiooni saanud. Kui sellest pole piisanud, siis teise punkti läbimine ja potensiaalsete nõrkade ''host''-ide ründamine näiteks ''brute force''-iga (sõnaraamatu abil), ruuteride / switchide ründamine arvates ära ''default'' paroole jne annab äkki omakorda vajalikke andmeid juurde. <br />
* Tasuta internet - võõra inimese poolt paigaldatud juurdepääsupunkt annab võimaluse võõrale kasutada tasuta internetiühendus. Eriti kasulik on sellisel juhul paigaldada võõras juurdepääsupunkt ettevõttetesse, kuna viimastel on üldjuhul kordades kiiremad internetiühendused kui kodukasutajatel. Samas pääseb sedasi ligi ka veebisaitidele, mis on välistele ühendustele keelatud. Lisaks võib võõra juurdepääsupunkti paigaldaja tekitada suure legaalse jama, laadides alla näiteks keelatud tarkvara, multimeediat või levitades viimaseid.<br />
* DDoS - võõra juurdepääsupunkti haldaja võib juurdepääsupunkti kasutada näiteks ettevõttele DoS (Denial of Service) ründe teostamiseks. Näitena võib tuua ARP ''poisoning''-i ja 'IP 'spoofing''-u. Vastav tarkvara koos kasutusjuhenditega on internetist vabalt kättesaadav.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
[[Image:Netstumbler.png]]<br />
<br />
Joonis. Netstumbleri kasutajaliides [http://www.wifisoftwares.com/wp-content/gallery/software-screenshots/netstumbler.png]<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
<br />
[http://gnawgnu.blogspot.com/2010/02/how-to-disable-softap-aka-windows-7.htmlm Õpetus "SoftAP" välja lülitamiseks]<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
* ''Ways to (mis)use it'', http://blog.airtightnetworks.com/wifi-rogue-ap-5-ways-to-%E2%80%9Cuse%E2%80%9D-it/<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
=== Täiendaja ===<br />
Jürgen Hannus, D21<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10368Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T21:50:17Z<p>Jhannus: /* Kasutatud materjal */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
===Võõrasse juurdepääsupunkti ühendamise põhjus===<br />
<br />
Kasutaja ühendub võõrasse juurdepääsupunkti just seetõttu, et tänapäeva operatsioonisüstemid on sedasi üles ehitatud, et otsitakse kogu aeg tugevaima signaaliga juurdepääsupunkti, millesse ühenduda kasutajat segamata.<br />
<br />
[[Image:AP.PNG]]<br />
<br />
Joonis. Kasutaja ühendumine võõrasse ligipääsupunkti.<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
===Võõraste juurdepääsupunktidega kaasnevad otsesed ohud===<br />
<br />
* Andmete levimine: Ainuüksi passiivse võrguliikluse jälgimisega võib ründaja saada ülevaate arvutivõrgus olevatest kasutajatest ja nende võrguliiklust. Paketid võivad näidata ''host''-ide nimesid ja IP aadresse. Kehvemini konfigureeritud arvutivõrkude puhul võib ründaja koguda isegi kasutajanimesid, paroole (nt HTTP protokollilt), emaile jms.<br />
* Kui ründaja on omandanud ''host''-ide nimed ja IP aadressid, saab ta kasutada arvutivõrgu jälgimiseks veebis tasuta levivaid võrguskanneerimise rakendusi. Nendega omakorda ehitada nimekirja potensiaalsetest sihtmärkidest, keda oleks võimalik rünnata. Igalt ''host''-ilt saab otsida "näpujälgi" (fingerprints) erinevate programmidega nagu näiteks Nessus. Antud tarkvaraga on võimalik saada teada kasutaja operatsioonisüsteemi nõrkustest, nõrkadest seadistustest, avatud teenustest, avatud portidest jne. "Näpujälgi" saab otsida mitte klientidelt, vaid ka isegi ''switch''-idelt ja ruuteritelt.<br />
* Ründaja, kes on esimese punkti läbi käinud, on juba tõenäoliselt päris palju vajalikku informatsiooni saanud. Kui sellest pole piisanud, siis teise punkti läbimine ja potensiaalsete nõrkade ''host''-ide ründamine näiteks ''brute force''-iga (sõnaraamatu abil), ruuteride / switchide ründamine arvates ära ''default'' paroole jne annab äkki omakorda vajalikke andmeid juurde. <br />
* Tasuta internet - võõra inimese poolt paigaldatud juurdepääsupunkt annab võimaluse võõrale kasutada tasuta internetiühendus. Eriti kasulik on sellisel juhul paigaldada võõras juurdepääsupunkt ettevõttetesse, kuna viimastel on üldjuhul kordades kiiremad internetiühendused kui kodukasutajatel. Samas pääseb sedasi ligi ka veebisaitidele, mis on välistele ühendustele keelatud. Lisaks võib võõra juurdepääsupunkti paigaldaja tekitada suure legaalse jama, laadides alla näiteks keelatud tarkvara, multimeediat või levitades viimaseid.<br />
* DDoS - võõra juurdepääsupunkti haldaja võib juurdepääsupunkti kasutada näiteks ettevõttele DoS (Denial of Service) ründe teostamiseks. Näitena võib tuua ARP ''poisoning''-i ja 'IP 'spoofing''-u. Vastav tarkvara koos kasutusjuhenditega on internetist vabalt kättesaadav.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
[[Image:Netstumbler.png]]<br />
<br />
Joonis. Netstumbleri kasutajaliides [http://www.wifisoftwares.com/wp-content/gallery/software-screenshots/netstumbler.png]<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
<br />
[http://gnawgnu.blogspot.com/2010/02/how-to-disable-softap-aka-windows-7.htmlm Õpetus "SoftAP" välja lülitamiseks]<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
* ''Ways to (mis)use it'', http://blog.airtightnetworks.com/wifi-rogue-ap-5-ways-to-%E2%80%9Cuse%E2%80%9D-it/<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
=== Täiendaja ===<br />
Jürgen Hannus, D21<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10367Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T21:42:48Z<p>Jhannus: /* Võõraste juurdepääsupunktidega kaasnevad ohud */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
===Võõrasse juurdepääsupunkti ühendamise põhjus===<br />
<br />
Kasutaja ühendub võõrasse juurdepääsupunkti just seetõttu, et tänapäeva operatsioonisüstemid on sedasi üles ehitatud, et otsitakse kogu aeg tugevaima signaaliga juurdepääsupunkti, millesse ühenduda kasutajat segamata.<br />
<br />
[[Image:AP.PNG]]<br />
<br />
Joonis. Kasutaja ühendumine võõrasse ligipääsupunkti.<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
===Võõraste juurdepääsupunktidega kaasnevad otsesed ohud===<br />
<br />
* Andmete levimine: Ainuüksi passiivse võrguliikluse jälgimisega võib ründaja saada ülevaate arvutivõrgus olevatest kasutajatest ja nende võrguliiklust. Paketid võivad näidata ''host''-ide nimesid ja IP aadresse. Kehvemini konfigureeritud arvutivõrkude puhul võib ründaja koguda isegi kasutajanimesid, paroole (nt HTTP protokollilt), emaile jms.<br />
* Kui ründaja on omandanud ''host''-ide nimed ja IP aadressid, saab ta kasutada arvutivõrgu jälgimiseks veebis tasuta levivaid võrguskanneerimise rakendusi. Nendega omakorda ehitada nimekirja potensiaalsetest sihtmärkidest, keda oleks võimalik rünnata. Igalt ''host''-ilt saab otsida "näpujälgi" (fingerprints) erinevate programmidega nagu näiteks Nessus. Antud tarkvaraga on võimalik saada teada kasutaja operatsioonisüsteemi nõrkustest, nõrkadest seadistustest, avatud teenustest, avatud portidest jne. "Näpujälgi" saab otsida mitte klientidelt, vaid ka isegi ''switch''-idelt ja ruuteritelt.<br />
* Ründaja, kes on esimese punkti läbi käinud, on juba tõenäoliselt päris palju vajalikku informatsiooni saanud. Kui sellest pole piisanud, siis teise punkti läbimine ja potensiaalsete nõrkade ''host''-ide ründamine näiteks ''brute force''-iga (sõnaraamatu abil), ruuteride / switchide ründamine arvates ära ''default'' paroole jne annab äkki omakorda vajalikke andmeid juurde. <br />
* Tasuta internet - võõra inimese poolt paigaldatud juurdepääsupunkt annab võimaluse võõrale kasutada tasuta internetiühendus. Eriti kasulik on sellisel juhul paigaldada võõras juurdepääsupunkt ettevõttetesse, kuna viimastel on üldjuhul kordades kiiremad internetiühendused kui kodukasutajatel. Samas pääseb sedasi ligi ka veebisaitidele, mis on välistele ühendustele keelatud. Lisaks võib võõra juurdepääsupunkti paigaldaja tekitada suure legaalse jama, laadides alla näiteks keelatud tarkvara, multimeediat või levitades viimaseid.<br />
* DDoS - võõra juurdepääsupunkti haldaja võib juurdepääsupunkti kasutada näiteks ettevõttele DoS (Denial of Service) ründe teostamiseks. Näitena võib tuua ARP ''poisoning''-i ja 'IP 'spoofing''-u. Vastav tarkvara koos kasutusjuhenditega on internetist vabalt kättesaadav.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
[[Image:Netstumbler.png]]<br />
<br />
Joonis. Netstumbleri kasutajaliides [http://www.wifisoftwares.com/wp-content/gallery/software-screenshots/netstumbler.png]<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
<br />
[http://gnawgnu.blogspot.com/2010/02/how-to-disable-softap-aka-windows-7.htmlm Õpetus "SoftAP" välja lülitamiseks]<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
=== Täiendaja ===<br />
Jürgen Hannus, D21<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10366Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T21:42:12Z<p>Jhannus: /* Võõraste juurdepääsupunktidega kaasnevad ohud */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
===Võõrasse juurdepääsupunkti ühendamise põhjus===<br />
<br />
Kasutaja ühendub võõrasse juurdepääsupunkti just seetõttu, et tänapäeva operatsioonisüstemid on sedasi üles ehitatud, et otsitakse kogu aeg tugevaima signaaliga juurdepääsupunkti, millesse ühenduda kasutajat segamata.<br />
<br />
[[Image:AP.PNG]]<br />
<br />
Joonis. Kasutaja ühendumine võõrasse ligipääsupunkti.<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
==Võõraste juurdepääsupunktidega kaasnevad ohud==<br />
<br />
* Andmete levimine: Ainuüksi passiivse võrguliikluse jälgimisega võib ründaja saada ülevaate arvutivõrgus olevatest kasutajatest ja nende võrguliiklust. Paketid võivad näidata ''host''-ide nimesid ja IP aadresse. Kehvemini konfigureeritud arvutivõrkude puhul võib ründaja koguda isegi kasutajanimesid, paroole (nt HTTP protokollilt), emaile jms.<br />
* Kui ründaja on omandanud ''host''-ide nimed ja IP aadressid, saab ta kasutada arvutivõrgu jälgimiseks veebis tasuta levivaid võrguskanneerimise rakendusi. Nendega omakorda ehitada nimekirja potensiaalsetest sihtmärkidest, keda oleks võimalik rünnata. Igalt ''host''-ilt saab otsida "näpujälgi" (fingerprints) erinevate programmidega nagu näiteks Nessus. Antud tarkvaraga on võimalik saada teada kasutaja operatsioonisüsteemi nõrkustest, nõrkadest seadistustest, avatud teenustest, avatud portidest jne. "Näpujälgi" saab otsida mitte klientidelt, vaid ka isegi ''switch''-idelt ja ruuteritelt.<br />
* Ründaja, kes on esimese punkti läbi käinud, on juba tõenäoliselt päris palju vajalikku informatsiooni saanud. Kui sellest pole piisanud, siis teise punkti läbimine ja potensiaalsete nõrkade ''host''-ide ründamine näiteks ''brute force''-iga (sõnaraamatu abil), ruuteride / switchide ründamine arvates ära ''default'' paroole jne annab äkki omakorda vajalikke andmeid juurde. <br />
* Tasuta internet - võõra inimese poolt paigaldatud juurdepääsupunkt annab võimaluse võõrale kasutada tasuta internetiühendus. Eriti kasulik on sellisel juhul paigaldada võõras juurdepääsupunkt ettevõttetesse, kuna viimastel on üldjuhul kordades kiiremad internetiühendused kui kodukasutajatel. Samas pääseb sedasi ligi ka veebisaitidele, mis on välistele ühendustele keelatud. Lisaks võib võõra juurdepääsupunkti paigaldaja tekitada suure legaalse jama, laadides alla näiteks keelatud tarkvara, multimeediat või levitades viimaseid.<br />
* DDoS - võõra juurdepääsupunkti haldaja võib juurdepääsupunkti kasutada näiteks ettevõttele DoS (Denial of Service) ründe teostamiseks. Näitena võib tuua ARP ''poisoning''-i ja 'IP 'spoofing''-u. Vastav tarkvara koos kasutusjuhenditega on internetist vabalt kättesaadav.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
[[Image:Netstumbler.png]]<br />
<br />
Joonis. Netstumbleri kasutajaliides [http://www.wifisoftwares.com/wp-content/gallery/software-screenshots/netstumbler.png]<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
<br />
[http://gnawgnu.blogspot.com/2010/02/how-to-disable-softap-aka-windows-7.htmlm Õpetus "SoftAP" välja lülitamiseks]<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
=== Täiendaja ===<br />
Jürgen Hannus, D21<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10365Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T21:11:17Z<p>Jhannus: /* Võõraste juurdepääsupunktidega kaasnevad ohud */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
===Võõrasse juurdepääsupunkti ühendamise põhjus===<br />
<br />
Kasutaja ühendub võõrasse juurdepääsupunkti just seetõttu, et tänapäeva operatsioonisüstemid on sedasi üles ehitatud, et otsitakse kogu aeg tugevaima signaaliga juurdepääsupunkti, millesse ühenduda kasutajat segamata.<br />
<br />
[[Image:AP.PNG]]<br />
<br />
Joonis. Kasutaja ühendumine võõrasse ligipääsupunkti.<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
==Võõraste juurdepääsupunktidega kaasnevad ohud==<br />
<br />
* Andmete levimine: Ainuüksi passiivse võrguliikluse jälgimisega võib ründaja saada ülevaate arvutivõrgus olevatest kasutajatest ja nende võrguliiklust. Paketid võivad näidata ''host''-ide nimesid ja IP aadresse. Kehvemini konfigureeritud arvutivõrkude puhul võib ründaja koguda isegi kasutajanimesid, paroole (nt HTTP protokollilt), emaile jms.<br />
* Kui ründaja on omandanud ''host''-ide nimed ja IP aadressid, saab ta kasutada arvutivõrgu jälgimiseks veebis tasuta levivaid võrguskanneerimise rakendusi. Nendega omakorda ehitada nimekirja potensiaalsetest sihtmärkidest, keda oleks võimalik rünnata. Igalt ''host''-ilt saab otsida "näpujälgi" (fingerprints) erinevate programmidega nagu näiteks Nessus. Antud tarkvaraga on võimalik saada teada kasutaja operatsioonisüsteemi nõrkustest, nõrkadest seadistustest, avatud teenustest, avatud portidest jne. "Näpujälgi" saab otsida mitte klientidelt, vaid ka isegi ''switch''-idelt ja ruuteritelt.<br />
* <br />
<br />
Enterprise Data Access With the information obtained from the item #1 above, an attacker may already have the data that he is looking for. If he is not (yet) lucky, targeted attacks can be launched on the list of potentially vulnerable hosts (that was built in item #2 above) to gain direct access to the data. Examples of such attacks include password guessing (how many of us change the default user name/passwords on switches/routers?), launching remote dictionary attacks and obtaining remote shell access (say, using buffer overflows).<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
[[Image:Netstumbler.png]]<br />
<br />
Joonis. Netstumbleri kasutajaliides [http://www.wifisoftwares.com/wp-content/gallery/software-screenshots/netstumbler.png]<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
<br />
[http://gnawgnu.blogspot.com/2010/02/how-to-disable-softap-aka-windows-7.htmlm Õpetus "SoftAP" välja lülitamiseks]<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
=== Täiendaja ===<br />
Jürgen Hannus, D21<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10364Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T21:00:04Z<p>Jhannus: /* Võõra juurdepääsupunkti installimise peamised põhjused */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
===Võõrasse juurdepääsupunkti ühendamise põhjus===<br />
<br />
Kasutaja ühendub võõrasse juurdepääsupunkti just seetõttu, et tänapäeva operatsioonisüstemid on sedasi üles ehitatud, et otsitakse kogu aeg tugevaima signaaliga juurdepääsupunkti, millesse ühenduda kasutajat segamata.<br />
<br />
[[Image:AP.PNG]]<br />
<br />
Joonis. Kasutaja ühendumine võõrasse ligipääsupunkti.<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
==Võõraste juurdepääsupunktidega kaasnevad ohud==<br />
<br />
* Andmete levimine: Ainuüksi passiivse võrguliikluse jälgimisega võib ründaja saada ülevaate arvutivõrgus olevatest kasutajatest ja nende võrguliiklust. Paketid võivad näidata ''host''-ide nimesid ja IP aadresse. Kehvemini konfigureeritud arvutivõrkude puhul võib ründaja koguda isegi kasutajanimesid, paroole (nt HTTP protokollilt), emaile jms.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
[[Image:Netstumbler.png]]<br />
<br />
Joonis. Netstumbleri kasutajaliides [http://www.wifisoftwares.com/wp-content/gallery/software-screenshots/netstumbler.png]<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
<br />
[http://gnawgnu.blogspot.com/2010/02/how-to-disable-softap-aka-windows-7.htmlm Õpetus "SoftAP" välja lülitamiseks]<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
=== Täiendaja ===<br />
Jürgen Hannus, D21<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10363Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T20:15:08Z<p>Jhannus: /* Autor */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
===Võõrasse juurdepääsupunkti ühendamise põhjus===<br />
<br />
Kasutaja ühendub võõrasse juurdepääsupunkti just seetõttu, et tänapäeva operatsioonisüstemid on sedasi üles ehitatud, et otsitakse kogu aeg tugevaima signaaliga juurdepääsupunkti, millesse ühenduda kasutajat segamata.<br />
<br />
[[Image:AP.PNG]]<br />
<br />
Joonis. Kasutaja ühendumine võõrasse ligipääsupunkti.<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
[[Image:Netstumbler.png]]<br />
<br />
Joonis. Netstumbleri kasutajaliides [http://www.wifisoftwares.com/wp-content/gallery/software-screenshots/netstumbler.png]<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
<br />
[http://gnawgnu.blogspot.com/2010/02/how-to-disable-softap-aka-windows-7.htmlm Õpetus "SoftAP" välja lülitamiseks]<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
=== Täiendaja ===<br />
Jürgen Hannus, D21<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10362Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T20:10:01Z<p>Jhannus: /* Töötamine NetStumbleriga */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
===Võõrasse juurdepääsupunkti ühendamise põhjus===<br />
<br />
Kasutaja ühendub võõrasse juurdepääsupunkti just seetõttu, et tänapäeva operatsioonisüstemid on sedasi üles ehitatud, et otsitakse kogu aeg tugevaima signaaliga juurdepääsupunkti, millesse ühenduda kasutajat segamata.<br />
<br />
[[Image:AP.PNG]]<br />
<br />
Joonis. Kasutaja ühendumine võõrasse ligipääsupunkti.<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
[[Image:Netstumbler.png]]<br />
<br />
Joonis. Netstumbleri kasutajaliides [http://www.wifisoftwares.com/wp-content/gallery/software-screenshots/netstumbler.png]<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
<br />
[http://gnawgnu.blogspot.com/2010/02/how-to-disable-softap-aka-windows-7.htmlm Õpetus "SoftAP" välja lülitamiseks]<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10361Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T20:08:16Z<p>Jhannus: /* Töötamine NetStumbleriga */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
===Võõrasse juurdepääsupunkti ühendamise põhjus===<br />
<br />
Kasutaja ühendub võõrasse juurdepääsupunkti just seetõttu, et tänapäeva operatsioonisüstemid on sedasi üles ehitatud, et otsitakse kogu aeg tugevaima signaaliga juurdepääsupunkti, millesse ühenduda kasutajat segamata.<br />
<br />
[[Image:AP.PNG]]<br />
<br />
Joonis. Kasutaja ühendumine võõrasse ligipääsupunkti.<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
[[Image:Netstumbler.png]]<br />
<br />
Joonis. Netstumbleri kasutajaliides [http://www.wifisoftwares.com/wp-content/gallery/software-screenshots/netstumbler.png allikas]<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
<br />
[http://gnawgnu.blogspot.com/2010/02/how-to-disable-softap-aka-windows-7.htmlm Õpetus "SoftAP" välja lülitamiseks]<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=File:Netstumbler.png&diff=10360File:Netstumbler.png2010-05-18T20:07:23Z<p>Jhannus: Netstumbler interface</p>
<hr />
<div>Netstumbler interface</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10359Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T20:02:53Z<p>Jhannus: /* Võõra juurdepääsupunkti kasutamise põhjused */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
===Võõrasse juurdepääsupunkti ühendamise põhjus===<br />
<br />
Kasutaja ühendub võõrasse juurdepääsupunkti just seetõttu, et tänapäeva operatsioonisüstemid on sedasi üles ehitatud, et otsitakse kogu aeg tugevaima signaaliga juurdepääsupunkti, millesse ühenduda kasutajat segamata.<br />
<br />
[[Image:AP.PNG]]<br />
<br />
Joonis. Kasutaja ühendumine võõrasse ligipääsupunkti.<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
<br />
[http://gnawgnu.blogspot.com/2010/02/how-to-disable-softap-aka-windows-7.htmlm Õpetus "SoftAP" välja lülitamiseks]<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10358Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T20:02:12Z<p>Jhannus: /* Võõra juurdepääsupunkti kasutamise põhjused */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
===Võõra juurdepääsupunkti kasutamise põhjused===<br />
<br />
Kasutaja ühendub võõrasse juurdepääsupunkti just seetõttu, et tänapäeva operatsioonisüstemid on sedasi üles ehitatud, et otsitakse kogu aeg tugevaima signaaliga juurdepääsupunkti, millesse ühenduda kasutajat segamata.<br />
<br />
[[Image:AP.PNG]]<br />
<br />
Joonis. Kasutaja ühendumine võõrasse ligipääsupunkti.<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
<br />
[http://gnawgnu.blogspot.com/2010/02/how-to-disable-softap-aka-windows-7.htmlm Õpetus "SoftAP" välja lülitamiseks]<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10357Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T20:00:47Z<p>Jhannus: /* Võõra juurdepääsupunkti kasutamise põhjused */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
==Võõra juurdepääsupunkti kasutamise põhjused==<br />
<br />
Kasutaja ühendub võõrasse juurdepääsupunkti just seetõttu, et tänapäeva operatsioonisüstemid on sedasi üles ehitatud, et otsitakse kogu aeg tugevaima signaaliga juurdepääsupunkti, millesse ühenduda kasutajat segamata.<br />
<br />
[[Image:AP.PNG]]<br />
<br />
Joonis. Kasutaja ühendumine võõrasse ligipääsupunkti.<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
<br />
[http://gnawgnu.blogspot.com/2010/02/how-to-disable-softap-aka-windows-7.htmlm Õpetus "SoftAP" välja lülitamiseks]<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10356Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T20:00:10Z<p>Jhannus: Undo revision 10355 by Jhannus (Talk)</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
==Võõra juurdepääsupunkti kasutamise põhjused==<br />
<br />
Kasutaja ühendub võõrasse juurdepääsupunkti just seetõttu, et tänapäeva operatsioonisüstemid on sedasi üles ehitatud, et otsitakse kogu aeg tugevaima signaaliga juurdepääsupunkti, millesse ühenduda kasutajat segamata.<br />
<br />
[[Image:AP.PNG]]<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
<br />
[http://gnawgnu.blogspot.com/2010/02/how-to-disable-softap-aka-windows-7.htmlm Õpetus "SoftAP" välja lülitamiseks]<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10355Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T19:58:00Z<p>Jhannus: </p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
===Kuidas kasutaja ühendab võõrasse ligipääsupunkti?===<br />
<br />
Operatsioonisüsteemid otsivad kogu aeg automaatselt parimat Wi-Fi ühendust. Seega kui lähemal on mõni ligipääsupunkt, mille signaal on tugevam, siis ühendatakse automaatselt sellesse. Seepärast on ka nõnda lihtne kasutajate märkamatu ühendamine võõrasse ligipääsupunkti.<br />
<br />
[[AP.PNG]]<br />
<br />
==Võõra juurdepääsupunkti kasutamise põhjused==<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[File:AP.PNG]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
<br />
[http://gnawgnu.blogspot.com/2010/02/how-to-disable-softap-aka-windows-7.htmlm Õpetus "SoftAP" välja lülitamiseks]<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=File:AP.PNG&diff=10354File:AP.PNG2010-05-18T19:55:45Z<p>Jhannus: Rogue AP'sse ühendumine</p>
<hr />
<div>Rogue AP'sse ühendumine</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10353Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T19:45:16Z<p>Jhannus: /* Windows 7 Rogue AP */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
==Võõra juurdepääsupunkti kasutamise põhjused==<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
<br />
[http://gnawgnu.blogspot.com/2010/02/how-to-disable-softap-aka-windows-7.htmlm Õpetus "SoftAP" välja lülitamiseks]<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10352Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T19:45:08Z<p>Jhannus: /* Windows 7 Rogue AP */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
==Võõra juurdepääsupunkti kasutamise põhjused==<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
[http://gnawgnu.blogspot.com/2010/02/how-to-disable-softap-aka-windows-7.htmlm Õpetus "SoftAP" välja lülitamiseks]<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10351Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T19:28:35Z<p>Jhannus: /* Windows 7 Rogue AP */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
==Võõra juurdepääsupunkti kasutamise põhjused==<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
'''Kaitsemehhanisme'''<br />
<br />
SoftAP vastu on töödatud välja paar lahendust. Esiteks võib määrata Windows 7't kasutavad seadmed 'võõrateks', mis peale teised kliendid selles võrgus ei saa nendega ühendada. Selleks skaneeritakse keelatud seadmete laineid, mida nad välja annavad. Antud juhul siis Windows 7 SoftAP'd kasutavad seadmed.<br />
<br />
Teine veidi manuaalsem meetod oleks lülitada seadmetel, mis kasutavad SoftAP funktsiooni, SoftAP lihtsalt välja, ning määrata ära Windows 7 kasutajate õigused sedasi, et seda ei oleks võimalik jälle sisse lülitada.<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10349Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T19:14:30Z<p>Jhannus: /* Windows 7 Rogue AP */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
==Võõra juurdepääsupunkti kasutamise põhjused==<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10348Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T19:14:13Z<p>Jhannus: /* Windows 7 Rogue AP */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
==Võõra juurdepääsupunkti kasutamise põhjused==<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
Täpsemalt siis teostab Windows 7't kasutav seade ''Port Address Translation''-it, lubades ühte ainsat avalikku IP aadressi kasutada mitmel sisevõrgu seadmel, avaldades seejärel ainult kindlad 4nda kihi pordi numbrid. Siit ka turvarisk, et seadmed, mis on ühendunud Windows 7 virtuaalsesse juurdepääsupunkti, ''bridge''-itakse traadiga võrku "nähtamatuna", kuna nad on peidetud virtuaalse juurdepääsupunkti IP taha.<br />
Rohkem avaldab selline operatsioonisüsteemi funktsioon muret suurematele ettevõtetele. Nimelt ''peer-to-peer'' režiimis vahetatakse lokaalseid faile ja programme ühenduses olevate arvutite vahel, mitte terves näiteks ettevõtte võrgus.<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10346Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T19:01:19Z<p>Jhannus: </p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
==Võõra juurdepääsupunkti kasutamise põhjused==<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
===Windows 7 Rogue AP===<br />
<br />
Windows 7 sisaldab tarkvara, mis võimdaldab kasutaja sülearvutil käituda kui ''rogue AP'', mis varjab autoriseerimata kasutajate sisenemist võrku. Nimelt sisaldab Windows 7 '''SoftAP''' nimelist lisafunktsiooni, mida tuntakse ka "virtual Wi-Fi" nime all. "SoftAP" kaudu toimib Windows 7 kasutav sülearvuti üheaegselt kui Wi-Fi klient ja teisalt kui Wi-Fi juurdepääsupunkt, millesse teised kliendid ühenduda saavad. See on kindlasti kasulik funktsioon, kui kasutajad on heatahtlikud ja kasutavad seda näiteks muusika jagamiseks või failide vahetamiseks. Küll aga avaneb sellega kurjemate soovidega kasutajatel võimalus siseneda ettevõtte arvutivõrku, olles ise varjatud rünnatava sülearvuti IP aadressi taha.<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10345Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T18:49:42Z<p>Jhannus: </p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
==Võõra juurdepääsupunkti kasutamise põhjused==<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
* ''Windows 7 Rogue AP'', http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10343Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T18:42:52Z<p>Jhannus: /* Välislingid */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
==Võõra juurdepääsupunkti kasutamise põhjused==<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
* http://www.networkworld.com/newsletters/wireless/2010/022210wireless1.html<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=V%C3%B5%C3%B5raste_juurdep%C3%A4%C3%A4su_punktide_tuvastus._(Rogue_AP_Detection)&diff=10342Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)2010-05-18T18:33:57Z<p>Jhannus: /* Mis on võõras juurdepääsupunkt? */</p>
<hr />
<div>Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid. <br />
<br />
==Võõrad juurdepääsupunktid==<br />
<br />
===Mis on võõras juurdepääsupunkt?===<br />
<br />
Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele. <br />
<br />
Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata või ei oma selleks luba.<br />
<br />
Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).<br />
<br />
===Kodukasutaja vs suurtarbija juurdepääsupunktid ===<br />
<br />
Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt ''Wavelink Mobile Manager'' [http://www.wavelink.com] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla. <br />
<br />
Kodukasutaja juurdepääsupunkt on seevastu ettevõtte arvutivõrgule suurim ohuallikas, kuna need võivad tegutseda arvutivõrgus väga vaikselt ja arvutivõrgu administraatorile nähtamatult. <br />
<br />
Suurtarbija juurdepääsupunkte saab samuti muuta administraatori jaoks avastamatuteks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.<br />
<br />
==Võõra juurdepääsupunkti kasutamise põhjused==<br />
<br />
===Peamised "kahtlusalused"===<br />
<br />
Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab. <br />
<br />
Kuna ettevõtte töötajatel on tavaliselt ettevõtte vahenditele suhteliselt vaba juurdepääs, siis on neil võimalik ettevõtte arvutivõrku installida võõras juurdepääsupunkt oma IT osakonnaga koordineerimata. <br />
<br />
Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba kasutada sülearvutit töö juures. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis) <br />
<br />
[[Image:pocket_AP.png]]<br />
<br />
Joonis. Taskupääsupunkt [http://store.ovislinkonline.com/80mupoap.html] http://store.ovislinkonline.com/<br />
<br />
Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, ühendada sellise juurdepääsupunkti testimise eesmärgil ettevõtte arvutivõrku.<br />
<br />
Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata. <br />
<br />
Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist ust“, et kasu saada selle arvutivõrgu ressurssidest.<br />
<br />
===Võõra juurdepääsupunkti installimise peamised põhjused=== <br />
<br />
On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.<br />
<br />
Esimesel juhul ühendab ründaja oma juurdepääsupunkti vooluvõrku (lühiajalise kasutuse korral võib ka akude pealt) ning sidestab selle standardkaabliga Etherneti pordi kaudu traatühendusega kohtvõrguga.<br />
<br />
Kui ründaja on võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.<br />
<br />
Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimalik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jms. <br />
<br />
Teine motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib püüda isegi installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Selle stsenaariumi korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.<br />
<br />
==Võõraste juurdepääsupunktide tuvastamise meetodid==<br />
<br />
Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning ta edastab regulaarse intervalliga kohtvõrgu majakasignaale (võrgu nime (SSID) kandvaid pakette). Seega oleks signaalide kuulamine üks peamisi tuvastamise meetodeid. <br />
<br />
===Tuvastamine traadita liidese kaudu===<br />
<br />
Üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu oleks kaardistada arvutivõrk ja vaadelda raadiosageduste katvust (spektrit) selles piirkonnas ning teha seda perioodiliselt. Järgnevalt tuleks võrrelda kahte raadiosageduste katvusala pilti - võib tuvastada uue võõra juurdepääsupunkti. <br />
<br />
Teiseks ründajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [http://www.airmagnet.com] või NetStumbler [http://www.netstumbler.com]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asuvad selle töövahendi tööpiirkonnas. <br />
<br />
Signaalide püüdmiseks on vaja uuritav piirkond selle vahendiga läbi käia. Võib skaneerida ka kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.<br />
<br />
====Töötamine NetStumbleriga====<br />
<br />
NetStumbler on traadita arvutivõrgu levipiirkonnas WiFi seadmete tuvastamise tööriist ja seda saab firma kodulehelt (http://www.netstumbler.com) tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti, mis võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.<br />
<br />
Selle meetodi kasutamiseks oleks tark hoida oma arvutivõrgu juurdepääsupunktid dokumenteeritud asukohtades, sest siis on võimalik nt NetStumbleriga minna nende juurdepääsupunktide juurde ja kontrollida, kas arvutivõrku ei ole mitte tekkinud juurde uusi juurdepääsupunkte.<br />
<br />
NetStumbler saadab välja tühje, nn null-SSID-pakette, millele WiFi-seadmed vastavad oma SSID-nimega. Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja seira sealt plinkiva signaali tugevust, liikudes samal ajal läbi uuritava piirkonna. Ringi liikudes peaks märkama plinkimise signaali nõrgenemist ja tugevnemist ja kui liikuda signaali tugevnemise suunas, peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.<br />
<br />
NetStumbleri kasutamisel tuleb silmas pidada järgmist: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.<br />
<br />
Lisaks tasub teada, et NetStumbler ei toeta täna Windows 7 ja Windows Vista operatsioonisüsteeme (NetStumbleri viimane verisoon NetStumbler 0.4.0 on loodud 6 aasta tagasi), kuid toote autor tegeleb juba vastavate uuenduste sisseviimisega. [http://www.stumbler.net/]. Seniks võib katsetada arvuti väikest ümberkonfigureerimist [http://www.wlanbook.com/netstumbler-windows-7/].<br />
<br />
Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Kuigi see on väga aeganõudev protseduur, on see siiski üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt.<br />
<br />
===Tuvastamine traatühendusega liidese kaudu===<br />
<br />
Samuti võib võõra juurdepääsupunkti tuvastada traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Asja tuum on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt kodu või väikese kontori odavad juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea, kuidas seda teha.<br />
<br />
Seni, kui on teada, et suurem osa juurdepääsupunkte töötavad HTTP serveril ja enamik lauaarvutitest või isegi mitmed võrguserverid ei tööta sellel, võib teha alamvõrkude kaupa pordi skaneerimist, otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:<br />
<br />
# Kui oled lõpetanud oma traatida kohtvõrgu (WLANi) installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.<br />
# Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.<br />
# Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (Telnet).<br />
<br />
Sedasi saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi, mis ei ole küll väga töökindel süsteem, kuid kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks kirjutada oma skripti sellisel viisil, et see blokeerib Etherneti pordid seal, kus on tuvastud uued TCP pordid 80 või 23 ja saadab sulle e-kirjaga vastava aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtete lahendustes.<br />
<br />
Võõra juurdepääsupunkti leidmiseks on võimalik kasutada ka Internetis pakutavat tasuta online'is skaneerimise töövahendit iWIDS [http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/], mis on mõeldud eelkõige Windows Vista ja Windows 7 kasutajatele. Samas on ka analoog Mac'i kasutajatele [http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/]. <br />
<br />
iWIDS skaneerib etteantud intervalliga arvutivõrku otsides seal leiduvaid juhtmeta seadmeid ning tulemuseks kuvab monitorile nende MAC aadressid, andmed seadme tarnija kohta, BSSID ja RSSI. Leitud MAC aadressi kaudu (klikkides ekraanil sellele MAC aadressile) on võimalik tuvastada seadme asukoht pikkus ja laiuskraadides, näha tema asukohta kaardil Google Earth'i ja Google Maps'i abil, nende programmide poolt pakutava täpsusega. Samuti on võimalik panna iWIDS tööle selliselt, et ta teavitaks kasutajat helisignaaliga ja soovi korral ka e-kirjaga, kui keegi võõras on end sinu arvutivõrku installinud.<br />
<br />
Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi, millest alljärgnevalt lähemalt.<br />
<br />
===Tsentraliseeritud avastamine===<br />
<br />
Ideaalne meetod võõraste juurdepääsupunktide avastamiseks on kasutada tsentraalset konsooli, mis on lisatud traatühendusega arvutivõrgu osale seire sooritamiseks. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.<br />
<br />
Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. Alljärgnevalt lühiülevaade mõningatest variantidest. <br />
<br />
====Cisco Unified Wireless Network====<br />
<br />
''Cisco Unified Wireless Network'' [http://www.cisco.com] pakub võõra juurdepääsupunkti tuvastamiseks kahte meetodit, mis võimaldavad võõra juurdepääsupunkti täielikult identifitseerida ja ohjeldada. ''Cisco Unified Wireless Network'''i lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.<br />
<br />
Cisco iga kontroller on konfigureeritud raadiosagedusgrupi nimega. Kui juba ''Lightweight AP'', mis on üks osa ''Cisco Unified Wireless Network'' arhitektuurist, on registreeritud kontrolleri abil, manustab ta raadiosagedusgrupile spetsiifilise autentimise informatsiooni elemendi (''authentication Information Element'' (AIE)), mis on konfigureeritud kontrollerile kõigis tema majakasignaalide vastusfreimides. Kui ''Lightweight AP'' kuuleb kas AIE-ta või vale AEI-ga juurdepääsupunkti vastusfreimide majakasignaale, siis ''Lightweight AP'' fikseerib selle juurdepääsupunki võõrana, jäädvustab kontrolltabelis tema BSSID ja saadab tabeli kontrollerile. Edasi on kaks meetodit: aktiivne meetod ja passiivne meetod.<br />
<br />
'''Aktiivset meetodit''' (''Rogue Location Discovery Protocol'' (RLDP)) kasutatakse, kui võõrale juurdepääsupunktile ei ole konfigureeritud autentimise funktsiooni (''Open Authentication''). Režiimis, mis on vaikimisi peal, juhitakse aktiivset juurdepääsupunkti, et ta liiguks võltskanalile ja ühendaks end kliendina võõra külge. Selle aja jooksul saadab aktiivne juurdepääsupunkt autentimata sõnumeid kõikidele ühenduses olevatele klientidele ning sulgeb seejärel raadioliidese, misjärel seostab võõra juurdepääsupunkti kliendina. <br />
<br />
Juurdepääsupunkt püüab võõra juurdepääsupunkti IP aadressi kätte saada ja edastab kontrollerile võõra juurdepääsupunkti kaudu UDP protokolli (''User Datagram Protocol'') paketi (port 6352), mis sisaldab infot kohaliku ja võõra juurdepääsupunkti ühenduse kohta. Kui kontroller võtab selle paketi vastu, siis sellel on sisse lülitatud alarm, mis teavitab võrguadministraatorit, et traatühendusega arvutivõrgus on avastatud võõras juurdepääsupunkt.<br />
<br />
'''Passiivset meetodit''' kasutatakse, kui võõral juurdepääsupunktil on olemas mingi autentimine, kas siis WEP või WPA. Kui võõral juurdepääsupunktil on konfigureeritud autentimise funktsioon, siis ''Lightweight AP'' ei saa ühenduda, sest ta ei tea võõra juurdepääsupunkti konfigureerimise võtit. Protsess algab kontrolleriga, kui see annab edasi võltsdetektorina konfigureeritud juurdepääsupunktile võõraste klientide MAC aadresside nimekirja. Võltsdetektor skaneerib ARP päringu jaoks kõik ühendatud ja konfigureeritud alamvõrgud ning ARP otsib andmelülikihi (Layer 2) aadressi, mis sellele vastab. Kui vastavus on tuvastatud, siis kontroller teavitab võrguadministraatorit, et traatühendusega alamvõrgus on tuvastatud võõras.<br />
<br />
====HP ProCurve====<br />
<br />
HP ProCurve töötab põhimõttel, et Microsoft Windowsi põhine ProCurve Manager +/ProCurve Mobility Manager (PCM+/PMM) tarkvara (kombinatsioon nendest kahest võimaldab nii traatühendusega kui ka traadita ühendusega arvutivõrkude haldamist) võimaldab kasutada raadiosagedusi, et skaneerida ProCurve traadita juurdepääsupunkte, et avastada potentsiaalseid võõraid juurdepääsupunkte. <br />
<br />
Selleks installitakse arvutivõrku HP ProCurve juurdepääsupunktid, mis skaneerivad aeg-ajalt ümberkaudsete juurdepääsupunktide majakasignaale. Eri asukohtadesse paigutatud HP ProCurve juurdepääsupunktid püüavad võõra juurdepääsupunkti erineva tugevusega majakasignaale, mis sisaldavad ka infot selle võõra juurdepääsupunkti MAC aadressi ja SSID kohta.<br />
<br />
ProCurve Mobility Manager korjab kogu selle raadio teel skaneeritud info kokku ja võrdleb selle baasil äsja avastatud seadmeid ProCurve Manager Plus’is asuva nimekirjaga, kuhu on salvestatud arvutivõrku üles seatud juurdepääsupunktide andmed. Arvutivõrgu administraator saab võrrelda raadiosageduslikke väärtusi (kanal, RSSI jne), hinnata ümberkaudsete raadiovastuvõtjate usaldusväärsust ja vastavalt tegutseda. <br />
<br />
Programm võimaldab valida ka meetodit, kuidas infot IT administraatorile edastada - kas lihtsalt programmi sisse logimisega või e-kirja või ekraanipildi saatmisega e-posti aadressile. <br />
<br />
====WiSentry====<br />
<br />
WiSenry tarkvara pakub ettevõtetele samuti 24/7 kaitset võõraste sissetungijate eest. WiSentry töötab ettevõttes olemasoleva traatühendusega arvutivõrgu osa peal, monitoorides nii traatühendusega kui ka traadita ühendusega arvutivõrku ning kuvab pildi nii seadme kui ka tema käitumise kohta, tuvastades seega nii võõra juurdepääsupunkti kui ka autoriseeritud juurdepääsupunkti lubamatu käitumise. Seiret toimetavad nn „agendid“, mis on „tarkvara sensorid“ ja opereerivad Windowsi teenusena. <br />
<br />
Juurdepääsupunkti arvutivõrku sisenemisel kuvab WiSentry reaalajas IT administraatori arvutiekraanile info (tarnija nimi, mudel, pordi, kuhu juurdepääsupunkt on ühendatud ja tõenäosuse protsendi, et vastav seade on juurdepääsupunkt, MAC aadressi, IP aadressi ja ajatempli viimasest seadme tegevusest arvutivõrgus) kõikide juurdepääsupunktide kohta sõltumata sellest, kas tegemist on autoriseeritud või võõra juurdepääsupunktiga. WiSentry on mastabeeritava (tingimustele väga hästi kohandatav) arhitektuuriga, mis pakub 100%-list arvutivõrgu kaetavust ja suudab samaaegselt kaitsta arvutivõrgu erinevaid segmente. <br />
<br />
WiSentry on puhtalt tarkvaraline lahendus, mis ei vaja täiendavat riistvara ja suudab tuvastada ka kõrgetasemelisi juurdepääsupunkte, nagu Linksys, D Link, Cisco jne. <br />
<br />
====ArubaOS====<br />
<br />
ArubaOS lahendus võimaldab süsteemil täpselt vahet teha, kas tegemist on võõra juurdepääsupunktiga või tegemist on juurdepääsupunktiga, mis oma lähedusega „riivab“ meie arvutivõrku. Kui see juurdepääsupunkt on klassifitseeritud võõrana, siis süsteem teeb automaatselt ta töövõimetuks sõltumata sellest, kas tegemist on traatühendusega või traadita arvutivõrguga. Samuti teavitatakse võrguadministraatorit võõraste juurdepääsupunktide olemasolust ja nende täpsest füüsilisest asukohast hoones, nii et neid saab arvutivõrgust eemaldada.<br />
<br />
====WiFi Manageri kasutamine====<br />
<br />
WiFi ''Manageri'' kasutamisel toimub võõra juurdepääsupunkti tuvastamine kahe etapiliselt: esmalt juurdepääsupunkti olemasolu tuvastamine ja seejärel identifitseerimine, kas tegemist on võõraga või mitte.<br />
<br />
Tuvastamiseks kasutatakse raadiosageduste skaneerimist, juurdepääsupunkti skaneerimist ja traatühendusega võrgu poolseid sisendeid.<br />
<br />
Identifitseerimiseks on vajalik eelnevalt konfigureeritud autoriseeritud juurdepääsupunktide nimekirja olemasolu. Nimekirja saab kanda andmed MAC aadresside, SSID-e, tarnijate, teabekanali liigi ja kasutatava kanali kohta. Iga uus avastatud juurdepääsupunkt, mille kohta selles nimekirjas nimetatud andmed puuduvad, liigitatakse võõra juurdepääsupunktina.<br />
<br />
===„Vaese mehe“ lähenemine===<br />
<br />
Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada ''Transmission Control Protocol'' (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [http://www.foundstone.com/us/resources/proddesc/superscan3.htm] või SuperScan 4,0 [http://www.foundstone.com/us/resources/proddesc/superscan.htm] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara ettevõtte arvutivõrku ühendatud sülearvutist või lauaarvutist, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.<br />
<br />
Kui nüüd juurdepääsupunkt on avastatud, tuleb võrguadministraatoril määrata, kas tegemist on võõra või autoriseertud juurdepääsupunktiga. Selleks on kasulik pidada autoriseeridu juurdepääsupunktide nimekirja, kus oleks kirjas andmed MAC aadressi, SSID, müüja, raadiovastuvõtja tüüp ja kanal, millel ta töötab. Nüüd võib leitud pordi 80 kasutajaliidese nimekirja üle kontrollida ja kui nimekirjas olevad andmed on erinevad ettevõtte WLAN-is olevatest autoriseeritud juurdepääsupunktide andmetest, siis võib väita, et on avastatud potentsiaalne võõras juurdepääsupunkt. Ürita kahtlustatava juurdepääsupunkti IP aadressiga avada tema administraatori ekraanipilt, et näha, kas juurdepääsupunkt on seaduslik või mitte. <br />
<br />
Võõra juurdepääsupunkti füüsilise asukoha määramine on siinjuures kõige raskem ülesanne, mistõttu oleks kasulik koostada marsruutimistabeli kirjed, kus oleksid andmed võrguharude ühenduspunktide (võrgusõlmede) kohta. See lihtsustab töö tegemist. Võõra juurdepääsupunkti leidmiseks otsi tabelist, millist ühenduspunkti võõras juurdepääsupunkt kasutab. Siinjuures on oluline, et autoriseeritud seadmed asuksid jätkuvalt võrguadministraatori poolt pandud asukohtades ja seega nende andmed vastaksid marsruutimistabelis olevatele kirjetele. Füüsilise asukoha otsimist saab ahendada, kui hinnata piirkaugust, mis on vajalik, et seadme raadiosageduse signaal ühenduspunktini ulatuks.<br />
<br />
==Võõraste juurdepääsupunktide takistamine==<br />
<br />
On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:<br />
* Keela Etherneti pordid, mis ei ole püsivalt kasutuses. Vajadusel saab neid porte tarkava abil aktiveerida või lihtsalt Etherneti kaablil võrku lülitada. Lisaks sellele on tagatud hea füüsiline turvalisus, mis peletab tavaliselt ründajad eemale (sarnaselt võlts turvakaamerate üles seadmise efektile). See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.<br />
* Kasuta ka Interneti proksiserverit, mis nõuab autentimist, et blokeerida tundmatute juurdepääsupunktide kaudu sooritatud tegevused (nt faili allalaadimine, veebiteenuse kasutamine jne).<br />
* Rakenda arvutivõrgule juurdepääsukontrolli tehnoloogiat. See tingib selle, et kui ründaja soovib juurdepääsu arvutivõrgule, peab ta läbima kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (''Network Access Control'') peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima). NAC võib pakkuda täiendavat funktsionaalsust, nagu tihe ligipääsukontroll, identsuse haldust, juurdepääsu haldust ja mitte-vastavate klientide isoleerimine (nt nõuetele vastava viiruse tõrjeta arvutid).<br />
* Rakendada arvutivõrgule autentimisstandardit IEEE 802.1X/EAP [http://www.ieee802.org/1/pages/802.1x-2004.html], [http://www.ieee802.org/1/pages/802.1x-2010.html], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud. <br />
* Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. On võimalik täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (''wireless'') MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva seadme MAC aadressi kui hakkama WLANis selle järele nuhkima.<br />
* Rakenda tsentraliseeritud avastamise vahendeid, mis tuvastavad võõra juurdepääsupunkti automaatselt ja raporteerivad sellest ning näitavad graafiliselt ka selle asukoha. <br />
* Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida omi juurdepääsupunkte. See ei takista küll otseselt võõraste juurdepääsupunktide installimist, kuid hoiab siiski paljud sellest eemale.<br />
<br />
Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.<br />
<br />
==Kasutatud materjal==<br />
<br />
* T. Carpenter, J. Barrett, CWNA &reg; ''Certified Wireless Network Administrator Official Study Guide'' (''Exam'' PW0-100), ''Fourth Edition'', McGraw-Hill 2008<br />
* ''Identifying Rogue Access Points'' by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010<br />
* ''Rogue Access Point Detection'', http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010<br />
* ''How to Detect a Rouge Access Point'', http://www.computer-network-security-training.com/how-to-detect-a-rouge-access-point/, Retreived 04.2010<br />
* ''Rogue AP Prevention: Duping (802)Dot1X Access Control'' (http://www.cwnp.com/index/cwnp_wifi_blog/5173), Retrieved 04.2010<br />
* Marius Stumbler, http://www.stumbler.net/, Retrieved 04.2010<br />
* WlanBook, http://www.wlanbook.com/, Retrieved 04.2010<br />
* Cisco Systems, Inc homepage, http://www.cisco.com/, Retrieved 04.2010<br />
* HP Networking homepage, http://www.procurve.com/, Retrieved 04.2010 <br />
* WiMetrics homepage, http://www.wimetrics.com/, Retrieved 04.2010<br />
* Aruba Networks homepage, http://www.arubanetworks.com/index.en.php, Retrieved 04.2010 <br />
* ManageEngine homepage, http://www.manageengine.com/, Retrieved 04.2010<br />
* e-Teatmik: IT ja sidetehnika seletav sõnaraamat, http://vallaste.ee/<br />
<br />
== Välislingid ==<br />
<br />
* http://www.wavelink.com/<br />
* http://store.ovislinkonline.com/<br />
* http://store.ovislinkonline.com/80mupoap.html<br />
* http://www.ieee802.org/1/pages/802.1x-2004.html<br />
* http://www.ieee802.org/1/pages/802.1x-2010.html<br />
* http://www.airmagnet.com<br />
* http://www.netstumbler.com<br />
* http://www.wlanbook.com/netstumbler-windows-7/ <br />
* http://www.wlanbook.com/iwids-rogue-wireless-access-point-scanner/<br />
* http://www.wlanbook.com/wifi-scanner-v1.1-mac-os-x-snow-leopard/<br />
* http://www.cisco.com<br />
* http://www.airwave.com<br />
* http://www.foundstone.com/us/resources/proddesc/superscan3.htm<br />
* http://www.foundstone.com/us/resources/proddesc/superscan.htm<br />
* http://www.arubanetworks.com/index.en.php<br />
<br />
== Autor ==<br />
<br />
Kaia Kulla, AK 21<br />
<br />
[[Category:Traadita side alused]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=Meeskond_%22n%C3%A4ljased%22&diff=10265Meeskond "näljased"2010-05-18T10:26:04Z<p>Jhannus: </p>
<hr />
<div>== 1. XML ==<br />
XML-i tegime menüü kohta. XSLT faile on kaks: üks teeb XML-i HTML-i ning teine vahetab elementide ja atribuutide kohtad. XML faili kohta on olemas ka kirjeldav schema. Raskeimaks osaks oli elementidest atribuutide tegemine, asi küll toimis, kuid vormistus oli kole ning auklik. Schema vajas ka veidi harjumist, kuid kui asi käppa sai, siis läks imelihtsaks. <br />
[[Media:XML]]<br />
<br />
== 2. Teenus ==<br />
2.1<br />
'''Teenus'''<br />
<br />
Võimalused alajaotuste kaupa: <br />
*Kasutajagrupid:Hetkel on 3 kasutajagruppi: admin (saab teha kõike), müüja (saab teha kõike peale kasutajate ja kasutajagruppide loomise) ning tavakasutajad. On olemas eraldi funktsioon ka kasutajagruppide loomiseks. Iga meetodi käivitamisel kontrollitakse kasutajaõigusi. Ühel kasutajal saab olla mitu kasutajagruppi. <br />
*Kasutajad. Kasutajate loomiseks on 2 funktsiooni: üks tavakasutajate tegemiseks, mis ei eelda sisselogimist ning teine, mida saab teostada vaid administraator (ja lisada müüjaid või teisi administraatoreid). Kasutajate loomisel kontrollitakse seda, kas kasutajanimi on juba kasutusel. Kasutaja id ning roll sisestatakse ka tabelisse kasutajaRollis, mis näitab kasutajatel olevaid rolle. Kasutajate kustutamine käib otse andmebaasist. Kasutaja loomisel salvestatakse andmebaasi kasutaja parool hashitud kujul (algoritmiks sha1) <br />
*Tooted. Kasutajatel (hetkel müüjal) on võimalus lisada ja kustutada tooteid toodete kategooriaid, hindu jms. <br />
*Sessioonid. Kasutaja edukal sisselogimisel luuakse unikaalne juhuslik sessiooni võti, mille olemasolu kontrollitakse iga sisselogimist eeldava meetodi käivitamisel. Session_key salvestatakse andmebaasis vastavas väljas. Eraldi on funktsioonid sessiooni olemasolu kontrollimiseks ning uuendamiseks. Hetkel on timeoudiks 10 minutit. Sessiooni kehtivust kontrollitakse ka kasutajaõiguste kontrollimisel. <br />
* Logimine. Võrreldakse sisestatud kasjutajanime ning sisestatud parooli hashi andmebaasis olevatega. Kui need ühtivad, siis sisselogimine on edukas ning luuakse unikaalne session key, mis salvestatakse andmebaasi. Sisselogimine ning sessiooni olemasolu on eelduseks meetodite käivitamiseks. Kui sessioon aegub, siis toimub kasutaja väljalogimine. Väljalogimisfunktsioon kirjutab üle sessiooni aegumise aja, pannes selleks hetkelise kellaaja. <br />
Lisaks on veel hunnik abifunktsioone, näiteks parooli hashimine, väärtuste tagastamine jms. <br />
<br />
Klient on kirjutatud WPF-is ning hetkel on võimalik kuvada tooteid, kasutajaid, gruppe ning kasutajagruppe.<br />
<br />
2.2<br />
'''Menüü teenuse klient'''<br />
<br />
Et meie tore teenus oleks veidi rohkem käega katsutavam, sai külge tehtud ka klient, mis realiseeriks põhifunktsioone. Kliendiks on WPF rakendus ning funktsionaalsus on järgmine:<br />
<br />
*'''Sisse logimine''': rakenduse käivitamisel ahistatakse kasutajat sisselogimisaknaga, valede andmete korral saab kasutaja ilusa punase veateate. Õnnestumise korral genereeritakse sessioonivõti, ning kantakse teda pidevalt edasi.<br />
<br />
*'''Toodete kuvamine,lisamine, kustutamine''': kuvatakse väike popup, kus hunnik lahtreid ning kasutaja saab neid täites lisada toote. ID alusel saab kustutada ebasoovitava toote. Õnnestumisel või ebaõnnestumisel kuvatakse muidugi veateade.<br />
<br />
*'''Kategooriate kuvamine, lisamine, kustutamine''': iga toit tuleb paigutada kategooriasse, siin on koht kus neid luua saab. ID alusel jällegi kustutamine.<br />
<br />
*'''Kasutajate kuvamine, lisamine''': siin kuvatakse kõik süsteemis olevad kasutajad, ning toimub ka lisamine<br />
<br />
*'''Kasutaja gruppide kuvamine (kustutamine)''': kuvatakse kehtivad kasutaja grupid, meetod ka kustutamiseks<br />
<br />
*'''Pildid'''<br />
[http://enos.itcollege.ee/~hkarask/VR2/rakendus_login.png Login Aken]<br />
[http://enos.itcollege.ee/~hkarask/VR2/klient_ba.png BackEnd]<br />
<br />
*'''Klient'''<br />
[http://enos.itcollege.ee/~hkarask/VR2/VR2__Menyy.rar Source]<br />
<br />
== 3. Flickr API ==<br />
[http://i40.tinypic.com/k3r90i.png Pilt]<br />
<br />
Võimalused alajaotuste kaupa:<br />
*'''Pildiotsing''': Kasutajal on võimalus otsida otsingusõna järgi pilte Flickri pildibaasist. Pilte otsitakse kasutajate galeriidest, pildikomplektidest ja niisama üles laetud piltidest, mis on ''publicud'' ehk avalikud. Kui kasutaja sisestab vähem kui 2 tähte, kuvatakse veateade. See on Flickri poolt samuti kinni keeratud, et ühetähe otsinguid ei teostataks. Üldjoontes ei oleks sellel ka mingisugust mõtet. Otsingusõna sisestamisel kuvatakse paremale aknasse 5 pildi ''thumbnaili'', mis on kõige värskemad. ''Thumbnailidest'' vasakul all nurgas kuvatakse, mitu lehekülge pilte leiti ja mitmendal leheküljel parasjagu ollakse. Olles esimesel lehel ja/või teostades esimest otsingut, nuppu "eelmine" ei kuvata. Seejärel saab kasutaja hakata navigeerima lehekülgedel "eelmine" ja "järgmine" nuppudega. Valides thumbnaili välja ja klikkides selle peale, kuvatakse pilt suurena, laiusega 380 pikslit ja kõrgusega 380 pikslit. Kui suur pilt on kuvatud, avaneb ka võimalus vajutada nuppu "Ava kasutaja profiil". Sellega pääseb API kasutaja ligi suure pildi kasutaja profiilile. See on sobilik näiteks kui API kasutajale hakkas huvi pakkuma pildi üles laadinud kasutaja, ning soovib tema teisigi pilte sirvida.<br />
*'''Inimese otsing''': Kasutajal on võimalus otsida emaili järgi Flickri kasutajaid. Otsingulahtrisse mitte millegi sisestamisel või jättes sisestamata "@" sümbol, kuvatakse veateade. Vastasel korral kuvatakse kas kasutaja Flickri kasutajanimi, pärisnimi (kui see on tal määratud) ja tema profiili URL. Kui kasutaja on leitud, kuvatakse ka nuppu "Ava veebisait", millega pääseb kasutaja ligi ka tema profiilile, kirjutamata ise midagi veebibrauseri aknasse. Kui kasutajat ei leitud, antakse ka vastav veateade.<br />
*'''Fotokomplektide kuvamine''': Kasutaja saab vaadata oma fotokomplekte. Selleks tuleb kõigepealt vastava nupuga omandad ''frob'', mis on Flickri API ajutine kood (kehtib ühe tunni). Kui ''frob'' on omandatud, avaneb kasutajale nupp "omanda token". ''Tokeniga'' on Flickri poolne frobi teisendus ''tokeniks'', mida kasutatakse edaspidi kasutaja identifitseerimiseks. Kui ''token'' on omandatud, kuvatakse teade "token omandatud" või vastasel juhul "token omandamata". Seejärel ilmub nähtavale nupp "tiri fotosetid". Sellele klikkides kuvatakse thumbnailidena kasutaja fotokomplektid.<br />
*'''Piltide üleslaadimine''': Kõigepealt tuleb omandada ''frob'' ja ''token'', nagu eelnevas punktis kirjeldatud. Seejärel saab kasutaja üles laadida oma pilte arvutist ''OpenFileDialogi'' abil. Seejärel saab sisestada pildile tiitli ehk nime, kirjelduse ja ''tagi'', mida aga ei pea tegema (Flickr samuti ei nõua nende atribuutide olemasolu). Olles salvestanud atribuudid ilmneb nupp "lae üles". Sellele vajutades laetakse pilt kasutaja üldpiltide sekka üles.<br />
<br />
Klient, installer ja lähtekood:<br />
[http://enos.itcollege.ee/~jhannus/VRII/FlickrWPF.zip Download]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=Meeskond_%22n%C3%A4ljased%22&diff=10250Meeskond "näljased"2010-05-17T20:31:51Z<p>Jhannus: /* 3. Flickr API */</p>
<hr />
<div>== 1. XML ==<br />
XML-i tegime menüü kohta. XSLT faile on kaks: üks teeb XML-i HTML-i ning teine vahetab elementide ja atribuutide kohtad. XML faili kohta on olemas ka kirjeldav schema. Raskeimaks osaks oli elementidest atribuutide tegemine, asi küll toimis, kuid vormistus oli kole ning auklik. Schema vajas ka veidi harjumist, kuid kui asi käppa sai, siis läks imelihtsaks. <br />
[[Media:XML]]<br />
<br />
== 2. Teenus ==<br />
Võimalused alajaotuste kaupa: <br />
*Kasutajagrupid:Hetkel on 3 kasutajagruppi: admin (saab teha kõike), müüja (saab teha kõike peale kasutajate ja kasutajagruppide loomise) ning tavakasutajad. On olemas eraldi funktsioon ka kasutajagruppide loomiseks. Iga meetodi käivitamisel kontrollitakse kasutajaõigusi. Ühel kasutajal saab olla mitu kasutajagruppi. <br />
*Kasutajad. Kasutajate loomiseks on 2 funktsiooni: üks tavakasutajate tegemiseks, mis ei eelda sisselogimist ning teine, mida saab teostada vaid administraator (ja lisada müüjaid või teisi administraatoreid). Kasutajate loomisel kontrollitakse seda, kas kasutajanimi on juba kasutusel. Kasutaja id ning roll sisestatakse ka tabelisse kasutajaRollis, mis näitab kasutajatel olevaid rolle. Kasutajate kustutamine käib otse andmebaasist. Kasutaja loomisel salvestatakse andmebaasi kasutaja parool hashitud kujul (algoritmiks sha1) <br />
*Tooted. Kasutajatel (hetkel müüjal) on võimalus lisada ja kustutada tooteid toodete kategooriaid, hindu jms. <br />
*Sessioonid. Kasutaja edukal sisselogimisel luuakse unikaalne juhuslik sessiooni võti, mille olemasolu kontrollitakse iga sisselogimist eeldava meetodi käivitamisel. Session_key salvestatakse andmebaasis vastavas väljas. Eraldi on funktsioonid sessiooni olemasolu kontrollimiseks ning uuendamiseks. Hetkel on timeoudiks 10 minutit. Sessiooni kehtivust kontrollitakse ka kasutajaõiguste kontrollimisel. <br />
* Logimine. Võrreldakse sisestatud kasjutajanime ning sisestatud parooli hashi andmebaasis olevatega. Kui need ühtivad, siis sisselogimine on edukas ning luuakse unikaalne session key, mis salvestatakse andmebaasi. Sisselogimine ning sessiooni olemasolu on eelduseks meetodite käivitamiseks. Kui sessioon aegub, siis toimub kasutaja väljalogimine. Väljalogimisfunktsioon kirjutab üle sessiooni aegumise aja, pannes selleks hetkelise kellaaja. <br />
Lisaks on veel hunnik abifunktsioone, näiteks parooli hashimine, väärtuste tagastamine jms. <br />
<br />
Klient on kirjutatud WPF-is ning hetkel on võimalik kuvada tooteid, kasutajaid, gruppe ning kasutajagruppe.<br />
<br />
== 3. Flickr API ==<br />
[http://i40.tinypic.com/k3r90i.png Pilt]<br />
<br />
Võimalused alajaotuste kaupa:<br />
*'''Pildiotsing''': Kasutajal on võimalus otsida otsingusõna järgi pilte Flickri pildibaasist. Pilte otsitakse kasutajate galeriidest, pildikomplektidest ja niisama üles laetud piltidest, mis on ''publicud'' ehk avalikud. Kui kasutaja sisestab vähem kui 2 tähte, kuvatakse veateade. See on Flickri poolt samuti kinni keeratud, et ühetähe otsinguid ei teostataks. Üldjoontes ei oleks sellel ka mingisugust mõtet. Otsingusõna sisestamisel kuvatakse paremale aknasse 5 pildi ''thumbnaili'', mis on kõige värskemad. ''Thumbnailidest'' vasakul all nurgas kuvatakse, mitu lehekülge pilte leiti ja mitmendal leheküljel parasjagu ollakse. Olles esimesel lehel ja/või teostades esimest otsingut, nuppu "eelmine" ei kuvata. Seejärel saab kasutaja hakata navigeerima lehekülgedel "eelmine" ja "järgmine" nuppudega. Valides thumbnaili välja ja klikkides selle peale, kuvatakse pilt suurena, laiusega 380 pikslit ja kõrgusega 380 pikslit. Kui suur pilt on kuvatud, avaneb ka võimalus vajutada nuppu "Ava kasutaja profiil". Sellega pääseb API kasutaja ligi suure pildi kasutaja profiilile. See on sobilik näiteks kui API kasutajale hakkas huvi pakkuma pildi üles laadinud kasutaja, ning soovib tema teisigi pilte sirvida.<br />
*'''Inimese otsing''': Kasutajal on võimalus otsida emaili järgi Flickri kasutajaid. Otsingulahtrisse mitte millegi sisestamisel või jättes sisestamata "@" sümbol, kuvatakse veateade. Vastasel korral kuvatakse kas kasutaja Flickri kasutajanimi, pärisnimi (kui see on tal määratud) ja tema profiili URL. Kui kasutaja on leitud, kuvatakse ka nuppu "Ava veebisait", millega pääseb kasutaja ligi ka tema profiilile, kirjutamata ise midagi veebibrauseri aknasse. Kui kasutajat ei leitud, antakse ka vastav veateade.<br />
*'''Fotokomplektide kuvamine''': Kasutaja saab vaadata oma fotokomplekte. Selleks tuleb kõigepealt vastava nupuga omandad ''frob'', mis on Flickri API ajutine kood (kehtib ühe tunni). Kui ''frob'' on omandatud, avaneb kasutajale nupp "omanda token". ''Tokeniga'' on Flickri poolne frobi teisendus ''tokeniks'', mida kasutatakse edaspidi kasutaja identifitseerimiseks. Kui ''token'' on omandatud, kuvatakse teade "token omandatud" või vastasel juhul "token omandamata". Seejärel ilmub nähtavale nupp "tiri fotosetid". Sellele klikkides kuvatakse thumbnailidena kasutaja fotokomplektid.<br />
*'''Piltide üleslaadimine''': Kõigepealt tuleb omandada ''frob'' ja ''token'', nagu eelnevas punktis kirjeldatud. Seejärel saab kasutaja üles laadida oma pilte arvutist ''OpenFileDialogi'' abil. Seejärel saab sisestada pildile tiitli ehk nime, kirjelduse ja ''tagi'', mida aga ei pea tegema (Flickr samuti ei nõua nende atribuutide olemasolu). Olles salvestanud atribuudid ilmneb nupp "lae üles". Sellele vajutades laetakse pilt kasutaja üldpiltide sekka üles.<br />
<br />
Klient, installer ja lähtekood:<br />
[http://enos.itcollege.ee/~jhannus/VRII/FlickrWPF.zip Download]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=Meeskond_%22n%C3%A4ljased%22&diff=10249Meeskond "näljased"2010-05-17T18:10:01Z<p>Jhannus: /* 3. Flickr API */</p>
<hr />
<div>== 1. XML ==<br />
XML-i tegime menüü kohta. XSLT faile on kaks: üks teeb XML-i HTML-i ning teine vahetab elementide ja atribuutide kohtad. XML faili kohta on olemas ka kirjeldav schema. Raskeimaks osaks oli elementidest atribuutide tegemine, asi küll toimis, kuid vormistus oli kole ning auklik. Schema vajas ka veidi harjumist, kuid kui asi käppa sai, siis läks imelihtsaks. <br />
[[Media:XML]]<br />
<br />
== 2. Teenus ==<br />
Võimalused alajaotuste kaupa: <br />
*Kasutajagrupid:Hetkel on 3 kasutajagruppi: admin (saab teha kõike), müüja (saab teha kõike peale kasutajate ja kasutajagruppide loomise) ning tavakasutajad. On olemas eraldi funktsioon ka kasutajagruppide loomiseks. Iga meetodi käivitamisel kontrollitakse kasutajaõigusi. Ühel kasutajal saab olla mitu kasutajagruppi. <br />
*Kasutajad. Kasutajate loomiseks on 2 funktsiooni: üks tavakasutajate tegemiseks, mis ei eelda sisselogimist ning teine, mida saab teostada vaid administraator (ja lisada müüjaid või teisi administraatoreid). Kasutajate loomisel kontrollitakse seda, kas kasutajanimi on juba kasutusel. Kasutaja id ning roll sisestatakse ka tabelisse kasutajaRollis, mis näitab kasutajatel olevaid rolle. Kasutajate kustutamine käib otse andmebaasist. Kasutaja loomisel salvestatakse andmebaasi kasutaja parool hashitud kujul (algoritmiks sha1) <br />
*Tooted. Kasutajatel (hetkel müüjal) on võimalus lisada ja kustutada tooteid toodete kategooriaid, hindu jms. <br />
*Sessioonid. Kasutaja edukal sisselogimisel luuakse unikaalne juhuslik sessiooni võti, mille olemasolu kontrollitakse iga sisselogimist eeldava meetodi käivitamisel. Session_key salvestatakse andmebaasis vastavas väljas. Eraldi on funktsioonid sessiooni olemasolu kontrollimiseks ning uuendamiseks. Hetkel on timeoudiks 10 minutit. Sessiooni kehtivust kontrollitakse ka kasutajaõiguste kontrollimisel. <br />
* Logimine. Võrreldakse sisestatud kasjutajanime ning sisestatud parooli hashi andmebaasis olevatega. Kui need ühtivad, siis sisselogimine on edukas ning luuakse unikaalne session key, mis salvestatakse andmebaasi. Sisselogimine ning sessiooni olemasolu on eelduseks meetodite käivitamiseks. Kui sessioon aegub, siis toimub kasutaja väljalogimine. Väljalogimisfunktsioon kirjutab üle sessiooni aegumise aja, pannes selleks hetkelise kellaaja. <br />
Lisaks on veel hunnik abifunktsioone, näiteks parooli hashimine, väärtuste tagastamine jms. <br />
<br />
Klient on kirjutatud WPF-is ning hetkel on võimalik kuvada tooteid, kasutajaid, gruppe ning kasutajagruppe.<br />
<br />
== 3. Flickr API ==<br />
Võimalused alajaotuste kaupa:<br />
*'''Pildiotsing''': Kasutajal on võimalus otsida otsingusõna järgi pilte Flickri pildibaasist. Pilte otsitakse kasutajate galeriidest, pildikomplektidest ja niisama üles laetud piltidest, mis on ''publicud'' ehk avalikud. Kui kasutaja sisestab vähem kui 2 tähte, kuvatakse veateade. See on Flickri poolt samuti kinni keeratud, et ühetähe otsinguid ei teostataks. Üldjoontes ei oleks sellel ka mingisugust mõtet. Otsingusõna sisestamisel kuvatakse paremale aknasse 5 pildi ''thumbnaili'', mis on kõige värskemad. ''Thumbnailidest'' vasakul all nurgas kuvatakse, mitu lehekülge pilte leiti ja mitmendal leheküljel parasjagu ollakse. Olles esimesel lehel ja/või teostades esimest otsingut, nuppu "eelmine" ei kuvata. Seejärel saab kasutaja hakata navigeerima lehekülgedel "eelmine" ja "järgmine" nuppudega. Valides thumbnaili välja ja klikkides selle peale, kuvatakse pilt suurena, laiusega 380 pikslit ja kõrgusega 380 pikslit. Kui suur pilt on kuvatud, avaneb ka võimalus vajutada nuppu "Ava kasutaja profiil". Sellega pääseb API kasutaja ligi suure pildi kasutaja profiilile. See on sobilik näiteks kui API kasutajale hakkas huvi pakkuma pildi üles laadinud kasutaja, ning soovib tema teisigi pilte sirvida.<br />
*'''Inimese otsing''': Kasutajal on võimalus otsida emaili järgi Flickri kasutajaid. Otsingulahtrisse mitte millegi sisestamisel või jättes sisestamata "@" sümbol, kuvatakse veateade. Vastasel korral kuvatakse kas kasutaja Flickri kasutajanimi, pärisnimi (kui see on tal määratud) ja tema profiili URL. Kui kasutaja on leitud, kuvatakse ka nuppu "Ava veebisait", millega pääseb kasutaja ligi ka tema profiilile, kirjutamata ise midagi veebibrauseri aknasse. Kui kasutajat ei leitud, antakse ka vastav veateade.<br />
*'''Fotokomplektide kuvamine''': Kasutaja saab vaadata oma fotokomplekte. Selleks tuleb kõigepealt vastava nupuga omandad ''frob'', mis on Flickri API ajutine kood (kehtib ühe tunni). Kui ''frob'' on omandatud, avaneb kasutajale nupp "omanda token". ''Tokeniga'' on Flickri poolne frobi teisendus ''tokeniks'', mida kasutatakse edaspidi kasutaja identifitseerimiseks. Kui ''token'' on omandatud, kuvatakse teade "token omandatud" või vastasel juhul "token omandamata". Seejärel ilmub nähtavale nupp "tiri fotosetid". Sellele klikkides kuvatakse thumbnailidena kasutaja fotokomplektid.<br />
*'''Piltide üleslaadimine''': Kõigepealt tuleb omandada ''frob'' ja ''token'', nagu eelnevas punktis kirjeldatud. Seejärel saab kasutaja üles laadida oma pilte arvutist ''OpenFileDialogi'' abil. Seejärel saab sisestada pildile tiitli ehk nime, kirjelduse ja ''tagi'', mida aga ei pea tegema (Flickr samuti ei nõua nende atribuutide olemasolu). Olles salvestanud atribuudid ilmneb nupp "lae üles". Sellele vajutades laetakse pilt kasutaja üldpiltide sekka üles.<br />
<br />
Klient, installer ja lähtekood:<br />
[http://enos.itcollege.ee/~jhannus/VRII/FlickrWPF.zip Download]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=Meeskond_%22n%C3%A4ljased%22&diff=10248Meeskond "näljased"2010-05-17T18:09:34Z<p>Jhannus: /* 3. Flickr API */</p>
<hr />
<div>== 1. XML ==<br />
XML-i tegime menüü kohta. XSLT faile on kaks: üks teeb XML-i HTML-i ning teine vahetab elementide ja atribuutide kohtad. XML faili kohta on olemas ka kirjeldav schema. Raskeimaks osaks oli elementidest atribuutide tegemine, asi küll toimis, kuid vormistus oli kole ning auklik. Schema vajas ka veidi harjumist, kuid kui asi käppa sai, siis läks imelihtsaks. <br />
[[Media:XML]]<br />
<br />
== 2. Teenus ==<br />
Võimalused alajaotuste kaupa: <br />
*Kasutajagrupid:Hetkel on 3 kasutajagruppi: admin (saab teha kõike), müüja (saab teha kõike peale kasutajate ja kasutajagruppide loomise) ning tavakasutajad. On olemas eraldi funktsioon ka kasutajagruppide loomiseks. Iga meetodi käivitamisel kontrollitakse kasutajaõigusi. Ühel kasutajal saab olla mitu kasutajagruppi. <br />
*Kasutajad. Kasutajate loomiseks on 2 funktsiooni: üks tavakasutajate tegemiseks, mis ei eelda sisselogimist ning teine, mida saab teostada vaid administraator (ja lisada müüjaid või teisi administraatoreid). Kasutajate loomisel kontrollitakse seda, kas kasutajanimi on juba kasutusel. Kasutaja id ning roll sisestatakse ka tabelisse kasutajaRollis, mis näitab kasutajatel olevaid rolle. Kasutajate kustutamine käib otse andmebaasist. Kasutaja loomisel salvestatakse andmebaasi kasutaja parool hashitud kujul (algoritmiks sha1) <br />
*Tooted. Kasutajatel (hetkel müüjal) on võimalus lisada ja kustutada tooteid toodete kategooriaid, hindu jms. <br />
*Sessioonid. Kasutaja edukal sisselogimisel luuakse unikaalne juhuslik sessiooni võti, mille olemasolu kontrollitakse iga sisselogimist eeldava meetodi käivitamisel. Session_key salvestatakse andmebaasis vastavas väljas. Eraldi on funktsioonid sessiooni olemasolu kontrollimiseks ning uuendamiseks. Hetkel on timeoudiks 10 minutit. Sessiooni kehtivust kontrollitakse ka kasutajaõiguste kontrollimisel. <br />
* Logimine. Võrreldakse sisestatud kasjutajanime ning sisestatud parooli hashi andmebaasis olevatega. Kui need ühtivad, siis sisselogimine on edukas ning luuakse unikaalne session key, mis salvestatakse andmebaasi. Sisselogimine ning sessiooni olemasolu on eelduseks meetodite käivitamiseks. Kui sessioon aegub, siis toimub kasutaja väljalogimine. Väljalogimisfunktsioon kirjutab üle sessiooni aegumise aja, pannes selleks hetkelise kellaaja. <br />
Lisaks on veel hunnik abifunktsioone, näiteks parooli hashimine, väärtuste tagastamine jms. <br />
<br />
Klient on kirjutatud WPF-is ning hetkel on võimalik kuvada tooteid, kasutajaid, gruppe ning kasutajagruppe.<br />
<br />
== 3. Flickr API ==<br />
Võimalused alajaotuste kaupa:<br />
*'''Pildiotsing''': Kasutajal on võimalus otsida otsingusõna järgi pilte Flickri pildibaasist. Pilte otsitakse kasutajate galeriidest, pildikomplektidest ja niisama üles laetud piltidest, mis on ''publicud'' ehk avalikud. Kui kasutaja sisestab vähem kui 2 tähte, kuvatakse veateade. See on Flickri poolt samuti kinni keeratud, et ühetähe otsinguid ei teostataks. Üldjoontes ei oleks sellel ka mingisugust mõtet. Otsingusõna sisestamisel kuvatakse paremale aknasse 5 pildi ''thumbnaili'', mis on kõige värskemad. ''Thumbnailidest'' vasakul all nurgas kuvatakse, mitu lehekülge pilte leiti ja mitmendal leheküljel parasjagu ollakse. Olles esimesel lehel ja/või teostades esimest otsingut, nuppu "eelmine" ei kuvata. Seejärel saab kasutaja hakata navigeerima lehekülgedel "eelmine" ja "järgmine" nuppudega. Valides thumbnaili välja ja klikkides selle peale, kuvatakse pilt suurena, laiusega 380 pikslit ja kõrgusega 380 pikslit. Kui suur pilt on kuvatud, avaneb ka võimalus vajutada nuppu "Ava kasutaja profiil". Sellega pääseb API kasutaja ligi suure pildi kasutaja profiilile. See on sobilik näiteks kui API kasutajale hakkas huvi pakkuma pildi üles laadinud kasutaja, ning soovib tema teisigi pilte sirvida.<br />
*'''Inimese otsing''': Kasutajal on võimalus otsida emaili järgi Flickri kasutajaid. Otsingulahtrisse mitte millegi sisestamisel või jättes sisestamata "@" sümbol, kuvatakse veateade. Vastasel korral kuvatakse kas kasutaja Flickri kasutajanimi, pärisnimi (kui see on tal määratud) ja tema profiili URL. Kui kasutaja on leitud, kuvatakse ka nuppu "Ava veebisait", millega pääseb kasutaja ligi ka tema profiilile, kirjutamata ise midagi veebibrauseri aknasse. Kui kasutajat ei leitud, antakse ka vastav veateade.<br />
*'''Fotokomplektide kuvamine''': Kasutaja saab vaadata oma fotokomplekte. Selleks tuleb kõigepealt vastava nupuga omandad ''frob'', mis on Flickri API ajutine kood (kehtib ühe tunni). Kui ''frob'' on omandatud, avaneb kasutajale nupp "omanda token". ''Tokeniga'' on Flickri poolne frobi teisendus ''tokeniks'', mida kasutatakse edaspidi kasutaja identifitseerimiseks. Kui ''token'' on omandatud, kuvatakse teade "token omandatud" või vastasel juhul "token omandamata". Seejärel ilmub nähtavale nupp "tiri fotosetid". Sellele klikkides kuvatakse thumbnailidena kasutaja fotokomplektid.<br />
*'''Piltide üleslaadimine''': Kõigepealt tuleb omandada ''frob'' ja ''token'', nagu eelnevas punktis kirjeldatud. Seejärel saab kasutaja üles laadida oma pilte arvutist ''OpenFileDialogi'' abil. Seejärel saab sisestada pildile tiitli ehk nime, kirjelduse ja ''tagi'', mida aga ei pea tegema (Flickr samuti ei nõua nende atribuutide olemasolu). Olles salvestanud atribuudid ilmneb nupp "lae üles". Sellele vajutades laetakse pilt kasutaja üldpiltide sekka üles.<br />
<br />
Klient, installer ja lähtekood:<br />
[http://enos.itcollege.ee/~jhannus/VRII/FlickrAPI.zip Download]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=Meeskond_%22n%C3%A4ljased%22&diff=10247Meeskond "näljased"2010-05-17T18:08:37Z<p>Jhannus: /* 3. Flickr API */</p>
<hr />
<div>== 1. XML ==<br />
XML-i tegime menüü kohta. XSLT faile on kaks: üks teeb XML-i HTML-i ning teine vahetab elementide ja atribuutide kohtad. XML faili kohta on olemas ka kirjeldav schema. Raskeimaks osaks oli elementidest atribuutide tegemine, asi küll toimis, kuid vormistus oli kole ning auklik. Schema vajas ka veidi harjumist, kuid kui asi käppa sai, siis läks imelihtsaks. <br />
[[Media:XML]]<br />
<br />
== 2. Teenus ==<br />
Võimalused alajaotuste kaupa: <br />
*Kasutajagrupid:Hetkel on 3 kasutajagruppi: admin (saab teha kõike), müüja (saab teha kõike peale kasutajate ja kasutajagruppide loomise) ning tavakasutajad. On olemas eraldi funktsioon ka kasutajagruppide loomiseks. Iga meetodi käivitamisel kontrollitakse kasutajaõigusi. Ühel kasutajal saab olla mitu kasutajagruppi. <br />
*Kasutajad. Kasutajate loomiseks on 2 funktsiooni: üks tavakasutajate tegemiseks, mis ei eelda sisselogimist ning teine, mida saab teostada vaid administraator (ja lisada müüjaid või teisi administraatoreid). Kasutajate loomisel kontrollitakse seda, kas kasutajanimi on juba kasutusel. Kasutaja id ning roll sisestatakse ka tabelisse kasutajaRollis, mis näitab kasutajatel olevaid rolle. Kasutajate kustutamine käib otse andmebaasist. Kasutaja loomisel salvestatakse andmebaasi kasutaja parool hashitud kujul (algoritmiks sha1) <br />
*Tooted. Kasutajatel (hetkel müüjal) on võimalus lisada ja kustutada tooteid toodete kategooriaid, hindu jms. <br />
*Sessioonid. Kasutaja edukal sisselogimisel luuakse unikaalne juhuslik sessiooni võti, mille olemasolu kontrollitakse iga sisselogimist eeldava meetodi käivitamisel. Session_key salvestatakse andmebaasis vastavas väljas. Eraldi on funktsioonid sessiooni olemasolu kontrollimiseks ning uuendamiseks. Hetkel on timeoudiks 10 minutit. Sessiooni kehtivust kontrollitakse ka kasutajaõiguste kontrollimisel. <br />
* Logimine. Võrreldakse sisestatud kasjutajanime ning sisestatud parooli hashi andmebaasis olevatega. Kui need ühtivad, siis sisselogimine on edukas ning luuakse unikaalne session key, mis salvestatakse andmebaasi. Sisselogimine ning sessiooni olemasolu on eelduseks meetodite käivitamiseks. Kui sessioon aegub, siis toimub kasutaja väljalogimine. Väljalogimisfunktsioon kirjutab üle sessiooni aegumise aja, pannes selleks hetkelise kellaaja. <br />
Lisaks on veel hunnik abifunktsioone, näiteks parooli hashimine, väärtuste tagastamine jms. <br />
<br />
Klient on kirjutatud WPF-is ning hetkel on võimalik kuvada tooteid, kasutajaid, gruppe ning kasutajagruppe.<br />
<br />
== 3. Flickr API ==<br />
Võimalused alajaotuste kaupa:<br />
*'''Pildiotsing''': Kasutajal on võimalus otsida otsingusõna järgi pilte Flickri pildibaasist. Pilte otsitakse kasutajate galeriidest, pildikomplektidest ja niisama üles laetud piltidest, mis on ''publicud'' ehk avalikud. Kui kasutaja sisestab vähem kui 2 tähte, kuvatakse veateade. See on Flickri poolt samuti kinni keeratud, et ühetähe otsinguid ei teostataks. Üldjoontes ei oleks sellel ka mingisugust mõtet. Otsingusõna sisestamisel kuvatakse paremale aknasse 5 pildi ''thumbnaili'', mis on kõige värskemad. ''Thumbnailidest'' vasakul all nurgas kuvatakse, mitu lehekülge pilte leiti ja mitmendal leheküljel parasjagu ollakse. Olles esimesel lehel ja/või teostades esimest otsingut, nuppu "eelmine" ei kuvata. Seejärel saab kasutaja hakata navigeerima lehekülgedel "eelmine" ja "järgmine" nuppudega. Valides thumbnaili välja ja klikkides selle peale, kuvatakse pilt suurena, laiusega 380 pikslit ja kõrgusega 380 pikslit. Kui suur pilt on kuvatud, avaneb ka võimalus vajutada nuppu "Ava kasutaja profiil". Sellega pääseb API kasutaja ligi suure pildi kasutaja profiilile. See on sobilik näiteks kui API kasutajale hakkas huvi pakkuma pildi üles laadinud kasutaja, ning soovib tema teisigi pilte sirvida.<br />
*'''Inimese otsing''': Kasutajal on võimalus otsida emaili järgi Flickri kasutajaid. Otsingulahtrisse mitte millegi sisestamisel või jättes sisestamata "@" sümbol, kuvatakse veateade. Vastasel korral kuvatakse kas kasutaja Flickri kasutajanimi, pärisnimi (kui see on tal määratud) ja tema profiili URL. Kui kasutaja on leitud, kuvatakse ka nuppu "Ava veebisait", millega pääseb kasutaja ligi ka tema profiilile, kirjutamata ise midagi veebibrauseri aknasse. Kui kasutajat ei leitud, antakse ka vastav veateade.<br />
*'''Fotokomplektide kuvamine''': Kasutaja saab vaadata oma fotokomplekte. Selleks tuleb kõigepealt vastava nupuga omandad ''frob'', mis on Flickri API ajutine kood (kehtib ühe tunni). Kui ''frob'' on omandatud, avaneb kasutajale nupp "omanda token". ''Tokeniga'' on Flickri poolne frobi teisendus ''tokeniks'', mida kasutatakse edaspidi kasutaja identifitseerimiseks. Kui ''token'' on omandatud, kuvatakse teade "token omandatud" või vastasel juhul "token omandamata". Seejärel ilmub nähtavale nupp "tiri fotosetid". Sellele klikkides kuvatakse thumbnailidena kasutaja fotokomplektid.<br />
*'''Piltide üleslaadimine''': Kõigepealt tuleb omandada ''frob'' ja ''token'', nagu eelnevas punktis kirjeldatud. Seejärel saab kasutaja üles laadida oma pilte arvutist ''OpenFileDialogi'' abil. Seejärel saab sisestada pildile tiitli ehk nime, kirjelduse ja ''tagi'', mida aga ei pea tegema (Flickr samuti ei nõua nende atribuutide olemasolu). Olles salvestanud atribuudid ilmneb nupp "lae üles". Sellele vajutades laetakse pilt kasutaja üldpiltide sekka üles.<br />
<br />
Klient, installer ja lähtekood:<br />
[http://enos.itcollege.ee/~jhannus/VRII/FlickrAPI Download]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=Meeskond_%22n%C3%A4ljased%22&diff=10246Meeskond "näljased"2010-05-17T18:07:22Z<p>Jhannus: /* 2. Teenus */</p>
<hr />
<div>== 1. XML ==<br />
XML-i tegime menüü kohta. XSLT faile on kaks: üks teeb XML-i HTML-i ning teine vahetab elementide ja atribuutide kohtad. XML faili kohta on olemas ka kirjeldav schema. Raskeimaks osaks oli elementidest atribuutide tegemine, asi küll toimis, kuid vormistus oli kole ning auklik. Schema vajas ka veidi harjumist, kuid kui asi käppa sai, siis läks imelihtsaks. <br />
[[Media:XML]]<br />
<br />
== 2. Teenus ==<br />
Võimalused alajaotuste kaupa: <br />
*Kasutajagrupid:Hetkel on 3 kasutajagruppi: admin (saab teha kõike), müüja (saab teha kõike peale kasutajate ja kasutajagruppide loomise) ning tavakasutajad. On olemas eraldi funktsioon ka kasutajagruppide loomiseks. Iga meetodi käivitamisel kontrollitakse kasutajaõigusi. Ühel kasutajal saab olla mitu kasutajagruppi. <br />
*Kasutajad. Kasutajate loomiseks on 2 funktsiooni: üks tavakasutajate tegemiseks, mis ei eelda sisselogimist ning teine, mida saab teostada vaid administraator (ja lisada müüjaid või teisi administraatoreid). Kasutajate loomisel kontrollitakse seda, kas kasutajanimi on juba kasutusel. Kasutaja id ning roll sisestatakse ka tabelisse kasutajaRollis, mis näitab kasutajatel olevaid rolle. Kasutajate kustutamine käib otse andmebaasist. Kasutaja loomisel salvestatakse andmebaasi kasutaja parool hashitud kujul (algoritmiks sha1) <br />
*Tooted. Kasutajatel (hetkel müüjal) on võimalus lisada ja kustutada tooteid toodete kategooriaid, hindu jms. <br />
*Sessioonid. Kasutaja edukal sisselogimisel luuakse unikaalne juhuslik sessiooni võti, mille olemasolu kontrollitakse iga sisselogimist eeldava meetodi käivitamisel. Session_key salvestatakse andmebaasis vastavas väljas. Eraldi on funktsioonid sessiooni olemasolu kontrollimiseks ning uuendamiseks. Hetkel on timeoudiks 10 minutit. Sessiooni kehtivust kontrollitakse ka kasutajaõiguste kontrollimisel. <br />
* Logimine. Võrreldakse sisestatud kasjutajanime ning sisestatud parooli hashi andmebaasis olevatega. Kui need ühtivad, siis sisselogimine on edukas ning luuakse unikaalne session key, mis salvestatakse andmebaasi. Sisselogimine ning sessiooni olemasolu on eelduseks meetodite käivitamiseks. Kui sessioon aegub, siis toimub kasutaja väljalogimine. Väljalogimisfunktsioon kirjutab üle sessiooni aegumise aja, pannes selleks hetkelise kellaaja. <br />
Lisaks on veel hunnik abifunktsioone, näiteks parooli hashimine, väärtuste tagastamine jms. <br />
<br />
Klient on kirjutatud WPF-is ning hetkel on võimalik kuvada tooteid, kasutajaid, gruppe ning kasutajagruppe.<br />
<br />
== 3. Flickr API ==<br />
Võimalused alajaotuste kaupa:<br />
*'''Pildiotsing''': Kasutajal on võimalus otsida otsingusõna järgi pilte Flickri pildibaasist. Pilte otsitakse kasutajate galeriidest, pildikomplektidest ja niisama üles laetud piltidest, mis on ''publicud'' ehk avalikud. Kui kasutaja sisestab vähem kui 2 tähte, kuvatakse veateade. See on Flickri poolt samuti kinni keeratud, et ühetähe otsinguid ei teostataks. Üldjoontes ei oleks sellel ka mingisugust mõtet. Otsingusõna sisestamisel kuvatakse paremale aknasse 5 pildi ''thumbnaili'', mis on kõige värskemad. ''Thumbnailidest'' vasakul all nurgas kuvatakse, mitu lehekülge pilte leiti ja mitmendal leheküljel parasjagu ollakse. Olles esimesel lehel ja/või teostades esimest otsingut, nuppu "eelmine" ei kuvata. Seejärel saab kasutaja hakata navigeerima lehekülgedel "eelmine" ja "järgmine" nuppudega. Valides thumbnaili välja ja klikkides selle peale, kuvatakse pilt suurena, laiusega 380 pikslit ja kõrgusega 380 pikslit. Kui suur pilt on kuvatud, avaneb ka võimalus vajutada nuppu "Ava kasutaja profiil". Sellega pääseb API kasutaja ligi suure pildi kasutaja profiilile. See on sobilik näiteks kui API kasutajale hakkas huvi pakkuma pildi üles laadinud kasutaja, ning soovib tema teisigi pilte sirvida.<br />
*'''Inimese otsing''': Kasutajal on võimalus otsida emaili järgi Flickri kasutajaid. Otsingulahtrisse mitte millegi sisestamisel või jättes sisestamata "@" sümbol, kuvatakse veateade. Vastasel korral kuvatakse kas kasutaja Flickri kasutajanimi, pärisnimi (kui see on tal määratud) ja tema profiili URL. Kui kasutaja on leitud, kuvatakse ka nuppu "Ava veebisait", millega pääseb kasutaja ligi ka tema profiilile, kirjutamata ise midagi veebibrauseri aknasse. Kui kasutajat ei leitud, antakse ka vastav veateade.<br />
*'''Fotokomplektide kuvamine''': Kasutaja saab vaadata oma fotokomplekte. Selleks tuleb kõigepealt vastava nupuga omandad ''frob'', mis on Flickri API ajutine kood (kehtib ühe tunni). Kui ''frob'' on omandatud, avaneb kasutajale nupp "omanda token". ''Tokeniga'' on Flickri poolne frobi teisendus ''tokeniks'', mida kasutatakse edaspidi kasutaja identifitseerimiseks. Kui ''token'' on omandatud, kuvatakse teade "token omandatud" või vastasel juhul "token omandamata". Seejärel ilmub nähtavale nupp "tiri fotosetid". Sellele klikkides kuvatakse thumbnailidena kasutaja fotokomplektid.<br />
*'''Piltide üleslaadimine''': Kõigepealt tuleb omandada ''frob'' ja ''token'', nagu eelnevas punktis kirjeldatud. Seejärel saab kasutaja üles laadida oma pilte arvutist ''OpenFileDialogi'' abil. Seejärel saab sisestada pildile tiitli ehk nime, kirjelduse ja ''tagi'', mida aga ei pea tegema (Flickr samuti ei nõua nende atribuutide olemasolu). Olles salvestanud atribuudid ilmneb nupp "lae üles". Sellele vajutades laetakse pilt kasutaja üldpiltide sekka üles.</div>Jhannushttps://wiki.itcollege.ee/index.php?title=Meeskond_%22n%C3%A4ljased%22&diff=10245Meeskond "näljased"2010-05-17T18:07:01Z<p>Jhannus: /* 3. Flickr API */</p>
<hr />
<div>== 1. XML ==<br />
XML-i tegime menüü kohta. XSLT faile on kaks: üks teeb XML-i HTML-i ning teine vahetab elementide ja atribuutide kohtad. XML faili kohta on olemas ka kirjeldav schema. Raskeimaks osaks oli elementidest atribuutide tegemine, asi küll toimis, kuid vormistus oli kole ning auklik. Schema vajas ka veidi harjumist, kuid kui asi käppa sai, siis läks imelihtsaks. <br />
[[Media:XML]]<br />
<br />
== 2. Teenus ==<br />
Teenuseks on menüü. Võimalused alajaotuste kaupa: <br />
*Kasutajagrupid:Hetkel on 3 kasutajagruppi: admin (saab teha kõike), müüja (saab teha kõike peale kasutajate ja kasutajagruppide loomise) ning tavakasutajad. On olemas eraldi funktsioon ka kasutajagruppide loomiseks. Iga meetodi käivitamisel kontrollitakse kasutajaõigusi. Ühel kasutajal saab olla mitu kasutajagruppi. <br />
*Kasutajad. Kasutajate loomiseks on 2 funktsiooni: üks tavakasutajate tegemiseks, mis ei eelda sisselogimist ning teine, mida saab teostada vaid administraator (ja lisada müüjaid või teisi administraatoreid). Kasutajate loomisel kontrollitakse seda, kas kasutajanimi on juba kasutusel. Kasutaja id ning roll sisestatakse ka tabelisse kasutajaRollis, mis näitab kasutajatel olevaid rolle. Kasutajate kustutamine käib otse andmebaasist. Kasutaja loomisel salvestatakse andmebaasi kasutaja parool hashitud kujul (algoritmiks sha1) <br />
*Tooted. Kasutajatel (hetkel müüjal) on võimalus lisada ja kustutada tooteid toodete kategooriaid, hindu jms. <br />
*Sessioonid. Kasutaja edukal sisselogimisel luuakse unikaalne juhuslik sessiooni võti, mille olemasolu kontrollitakse iga sisselogimist eeldava meetodi käivitamisel. Session_key salvestatakse andmebaasis vastavas väljas. Eraldi on funktsioonid sessiooni olemasolu kontrollimiseks ning uuendamiseks. Hetkel on timeoudiks 10 minutit. Sessiooni kehtivust kontrollitakse ka kasutajaõiguste kontrollimisel. <br />
* Logimine. Võrreldakse sisestatud kasjutajanime ning sisestatud parooli hashi andmebaasis olevatega. Kui need ühtivad, siis sisselogimine on edukas ning luuakse unikaalne session key, mis salvestatakse andmebaasi. Sisselogimine ning sessiooni olemasolu on eelduseks meetodite käivitamiseks. Kui sessioon aegub, siis toimub kasutaja väljalogimine. Väljalogimisfunktsioon kirjutab üle sessiooni aegumise aja, pannes selleks hetkelise kellaaja. <br />
Lisaks on veel hunnik abifunktsioone, näiteks parooli hashimine, väärtuste tagastamine jms. <br />
<br />
Klient on kirjutatud WPF-is ning hetkel on võimalik kuvada tooteid, kasutajaid, gruppe ning kasutajagruppe.<br />
<br />
== 3. Flickr API ==<br />
Võimalused alajaotuste kaupa:<br />
*'''Pildiotsing''': Kasutajal on võimalus otsida otsingusõna järgi pilte Flickri pildibaasist. Pilte otsitakse kasutajate galeriidest, pildikomplektidest ja niisama üles laetud piltidest, mis on ''publicud'' ehk avalikud. Kui kasutaja sisestab vähem kui 2 tähte, kuvatakse veateade. See on Flickri poolt samuti kinni keeratud, et ühetähe otsinguid ei teostataks. Üldjoontes ei oleks sellel ka mingisugust mõtet. Otsingusõna sisestamisel kuvatakse paremale aknasse 5 pildi ''thumbnaili'', mis on kõige värskemad. ''Thumbnailidest'' vasakul all nurgas kuvatakse, mitu lehekülge pilte leiti ja mitmendal leheküljel parasjagu ollakse. Olles esimesel lehel ja/või teostades esimest otsingut, nuppu "eelmine" ei kuvata. Seejärel saab kasutaja hakata navigeerima lehekülgedel "eelmine" ja "järgmine" nuppudega. Valides thumbnaili välja ja klikkides selle peale, kuvatakse pilt suurena, laiusega 380 pikslit ja kõrgusega 380 pikslit. Kui suur pilt on kuvatud, avaneb ka võimalus vajutada nuppu "Ava kasutaja profiil". Sellega pääseb API kasutaja ligi suure pildi kasutaja profiilile. See on sobilik näiteks kui API kasutajale hakkas huvi pakkuma pildi üles laadinud kasutaja, ning soovib tema teisigi pilte sirvida.<br />
*'''Inimese otsing''': Kasutajal on võimalus otsida emaili järgi Flickri kasutajaid. Otsingulahtrisse mitte millegi sisestamisel või jättes sisestamata "@" sümbol, kuvatakse veateade. Vastasel korral kuvatakse kas kasutaja Flickri kasutajanimi, pärisnimi (kui see on tal määratud) ja tema profiili URL. Kui kasutaja on leitud, kuvatakse ka nuppu "Ava veebisait", millega pääseb kasutaja ligi ka tema profiilile, kirjutamata ise midagi veebibrauseri aknasse. Kui kasutajat ei leitud, antakse ka vastav veateade.<br />
*'''Fotokomplektide kuvamine''': Kasutaja saab vaadata oma fotokomplekte. Selleks tuleb kõigepealt vastava nupuga omandad ''frob'', mis on Flickri API ajutine kood (kehtib ühe tunni). Kui ''frob'' on omandatud, avaneb kasutajale nupp "omanda token". ''Tokeniga'' on Flickri poolne frobi teisendus ''tokeniks'', mida kasutatakse edaspidi kasutaja identifitseerimiseks. Kui ''token'' on omandatud, kuvatakse teade "token omandatud" või vastasel juhul "token omandamata". Seejärel ilmub nähtavale nupp "tiri fotosetid". Sellele klikkides kuvatakse thumbnailidena kasutaja fotokomplektid.<br />
*'''Piltide üleslaadimine''': Kõigepealt tuleb omandada ''frob'' ja ''token'', nagu eelnevas punktis kirjeldatud. Seejärel saab kasutaja üles laadida oma pilte arvutist ''OpenFileDialogi'' abil. Seejärel saab sisestada pildile tiitli ehk nime, kirjelduse ja ''tagi'', mida aga ei pea tegema (Flickr samuti ei nõua nende atribuutide olemasolu). Olles salvestanud atribuudid ilmneb nupp "lae üles". Sellele vajutades laetakse pilt kasutaja üldpiltide sekka üles.</div>Jhannushttps://wiki.itcollege.ee/index.php?title=Meeskond_%22n%C3%A4ljased%22&diff=10244Meeskond "näljased"2010-05-17T18:06:21Z<p>Jhannus: /* 3. Flickr API */</p>
<hr />
<div>== 1. XML ==<br />
XML-i tegime menüü kohta. XSLT faile on kaks: üks teeb XML-i HTML-i ning teine vahetab elementide ja atribuutide kohtad. XML faili kohta on olemas ka kirjeldav schema. Raskeimaks osaks oli elementidest atribuutide tegemine, asi küll toimis, kuid vormistus oli kole ning auklik. Schema vajas ka veidi harjumist, kuid kui asi käppa sai, siis läks imelihtsaks. <br />
[[Media:XML]]<br />
<br />
== 2. Teenus ==<br />
Teenuseks on menüü. Võimalused alajaotuste kaupa: <br />
*Kasutajagrupid:Hetkel on 3 kasutajagruppi: admin (saab teha kõike), müüja (saab teha kõike peale kasutajate ja kasutajagruppide loomise) ning tavakasutajad. On olemas eraldi funktsioon ka kasutajagruppide loomiseks. Iga meetodi käivitamisel kontrollitakse kasutajaõigusi. Ühel kasutajal saab olla mitu kasutajagruppi. <br />
*Kasutajad. Kasutajate loomiseks on 2 funktsiooni: üks tavakasutajate tegemiseks, mis ei eelda sisselogimist ning teine, mida saab teostada vaid administraator (ja lisada müüjaid või teisi administraatoreid). Kasutajate loomisel kontrollitakse seda, kas kasutajanimi on juba kasutusel. Kasutaja id ning roll sisestatakse ka tabelisse kasutajaRollis, mis näitab kasutajatel olevaid rolle. Kasutajate kustutamine käib otse andmebaasist. Kasutaja loomisel salvestatakse andmebaasi kasutaja parool hashitud kujul (algoritmiks sha1) <br />
*Tooted. Kasutajatel (hetkel müüjal) on võimalus lisada ja kustutada tooteid toodete kategooriaid, hindu jms. <br />
*Sessioonid. Kasutaja edukal sisselogimisel luuakse unikaalne juhuslik sessiooni võti, mille olemasolu kontrollitakse iga sisselogimist eeldava meetodi käivitamisel. Session_key salvestatakse andmebaasis vastavas väljas. Eraldi on funktsioonid sessiooni olemasolu kontrollimiseks ning uuendamiseks. Hetkel on timeoudiks 10 minutit. Sessiooni kehtivust kontrollitakse ka kasutajaõiguste kontrollimisel. <br />
* Logimine. Võrreldakse sisestatud kasjutajanime ning sisestatud parooli hashi andmebaasis olevatega. Kui need ühtivad, siis sisselogimine on edukas ning luuakse unikaalne session key, mis salvestatakse andmebaasi. Sisselogimine ning sessiooni olemasolu on eelduseks meetodite käivitamiseks. Kui sessioon aegub, siis toimub kasutaja väljalogimine. Väljalogimisfunktsioon kirjutab üle sessiooni aegumise aja, pannes selleks hetkelise kellaaja. <br />
Lisaks on veel hunnik abifunktsioone, näiteks parooli hashimine, väärtuste tagastamine jms. <br />
<br />
Klient on kirjutatud WPF-is ning hetkel on võimalik kuvada tooteid, kasutajaid, gruppe ning kasutajagruppe.<br />
<br />
== 3. Flickr API ==<br />
Võimalused alajaotuste kaupa:<br />
*'''Pildiotsing''': Kasutajal on võimalus otsida otsingusõna järgi pilte Flickri pildibaasist. Pilte otsitakse kasutajate galeriidest, pildikomplektidest ja niisama üles laetud piltidest, mis on ''publicud'' ehk avalikud. Kui kasutaja sisestab vähem kui 2 tähte, kuvatakse veateade. See on Flickri poolt samuti kinni keeratud, et ühetähe otsinguid ei teostataks. Üldjoontes ei oleks sellel ka mingisugust mõtet. Otsingusõna sisestamisel kuvatakse paremale aknasse 5 pildi ''thumbnaili'', mis on kõige värskemad. ''Thumbnailidest'' vasakul all nurgas kuvatakse, mitu lehekülge pilte leiti ja mitmendal leheküljel parasjagu ollakse. Olles esimesel lehel ja/või teostades esimest otsingut, nuppu "eelmine" ei kuvata. Seejärel saab kasutaja hakata navigeerima lehekülgedel "eelmine" ja "järgmine" nuppudega. Valides thumbnaili välja ja klikkides selle peale, kuvatakse pilt suurena, laiusega 380 pikslit ja kõrgusega 380 pikslit. Kui suur pilt on kuvatud, avaneb ka võimalus vajutada nuppu "Ava kasutaja profiil". Sellega pääseb API kasutaja ligi suure pildi kasutaja profiilile. See on sobilik näiteks kui API kasutajale hakkas huvi pakkuma pildi üles laadinud kasutaja, ning soovib tema teisigi pilte sirvida.<br />
*'''Inimese otsing''': Kasutajal on võimalus otsida emaili järgi Flickri kasutajaid. Otsingulahtrisse mitte millegi sisestamisel või jättes sisestamata "@" sümbol, kuvatakse veateade. Vastasel korral kuvatakse kas kasutaja Flickri kasutajanimi, pärisnimi (kui see on tal määratud) ja tema profiili URL. Kui kasutaja on leitud, kuvatakse ka nuppu "Ava veebisait", millega pääseb kasutaja ligi ka tema profiilile, kirjutamata ise midagi veebibrauseri aknasse. Kui kasutajat ei leitud, antakse ka vastav veateade.<br />
*'''Fotokomplektide kuvamine''': Kasutaja saab vaadata oma fotokomplekte. Selleks tuleb kõigepealt vastava nupuga omandad ''frob'', mis on Flickri API ajutine kood (kehtib ühe tunni). Kui ''frob'' on omandatud, avaneb kasutajale nupp "omanda token". ''Tokeniga'' on Flickri poolne frobi teisendus ''tokeniks'', mida kasutatakse edaspidi kasutaja identifitseerimiseks. Kui ''token'' on omandatud, kuvatakse teade "token omandatud" või vastasel juhul "token omandamata". Seejärel ilmub nähtavale nupp "tiri fotosetid". Sellele klikkides kuvatakse thumbnailidena kasutaja fotokomplektid.<br />
*'''Piltide üleslaadimine''': Kõigepealt tuleb omandada ''frob'' ja ''token'', nagu eelnevas punktis kirjeldatud. Seejärel saab kasutaja üles laadida oma pilte arvutist ''OpenFileDialog'''i abil. Seejärel saab sisestada pildile tiitli ehk nime, kirjelduse ja ''tagi'', mida aga ei pea tegema (Flickr samuti ei nõua nende atribuutide olemasolu). Olles salvestanud atribuudid ilmneb nupp "lae üles". Sellele vajutades laetakse pilt kasutaja üldpiltide sekka üles.</div>Jhannushttps://wiki.itcollege.ee/index.php?title=Meeskond_%22n%C3%A4ljased%22&diff=10243Meeskond "näljased"2010-05-17T18:06:02Z<p>Jhannus: /* 3. Flickr API */</p>
<hr />
<div>== 1. XML ==<br />
XML-i tegime menüü kohta. XSLT faile on kaks: üks teeb XML-i HTML-i ning teine vahetab elementide ja atribuutide kohtad. XML faili kohta on olemas ka kirjeldav schema. Raskeimaks osaks oli elementidest atribuutide tegemine, asi küll toimis, kuid vormistus oli kole ning auklik. Schema vajas ka veidi harjumist, kuid kui asi käppa sai, siis läks imelihtsaks. <br />
[[Media:XML]]<br />
<br />
== 2. Teenus ==<br />
Teenuseks on menüü. Võimalused alajaotuste kaupa: <br />
*Kasutajagrupid:Hetkel on 3 kasutajagruppi: admin (saab teha kõike), müüja (saab teha kõike peale kasutajate ja kasutajagruppide loomise) ning tavakasutajad. On olemas eraldi funktsioon ka kasutajagruppide loomiseks. Iga meetodi käivitamisel kontrollitakse kasutajaõigusi. Ühel kasutajal saab olla mitu kasutajagruppi. <br />
*Kasutajad. Kasutajate loomiseks on 2 funktsiooni: üks tavakasutajate tegemiseks, mis ei eelda sisselogimist ning teine, mida saab teostada vaid administraator (ja lisada müüjaid või teisi administraatoreid). Kasutajate loomisel kontrollitakse seda, kas kasutajanimi on juba kasutusel. Kasutaja id ning roll sisestatakse ka tabelisse kasutajaRollis, mis näitab kasutajatel olevaid rolle. Kasutajate kustutamine käib otse andmebaasist. Kasutaja loomisel salvestatakse andmebaasi kasutaja parool hashitud kujul (algoritmiks sha1) <br />
*Tooted. Kasutajatel (hetkel müüjal) on võimalus lisada ja kustutada tooteid toodete kategooriaid, hindu jms. <br />
*Sessioonid. Kasutaja edukal sisselogimisel luuakse unikaalne juhuslik sessiooni võti, mille olemasolu kontrollitakse iga sisselogimist eeldava meetodi käivitamisel. Session_key salvestatakse andmebaasis vastavas väljas. Eraldi on funktsioonid sessiooni olemasolu kontrollimiseks ning uuendamiseks. Hetkel on timeoudiks 10 minutit. Sessiooni kehtivust kontrollitakse ka kasutajaõiguste kontrollimisel. <br />
* Logimine. Võrreldakse sisestatud kasjutajanime ning sisestatud parooli hashi andmebaasis olevatega. Kui need ühtivad, siis sisselogimine on edukas ning luuakse unikaalne session key, mis salvestatakse andmebaasi. Sisselogimine ning sessiooni olemasolu on eelduseks meetodite käivitamiseks. Kui sessioon aegub, siis toimub kasutaja väljalogimine. Väljalogimisfunktsioon kirjutab üle sessiooni aegumise aja, pannes selleks hetkelise kellaaja. <br />
Lisaks on veel hunnik abifunktsioone, näiteks parooli hashimine, väärtuste tagastamine jms. <br />
<br />
Klient on kirjutatud WPF-is ning hetkel on võimalik kuvada tooteid, kasutajaid, gruppe ning kasutajagruppe.<br />
<br />
== 3. Flickr API ==<br />
Võimalused alajaotuste kaupa:<br />
*'''Pildiotsing''': Kasutajal on võimalus otsida otsingusõna järgi pilte Flickri pildibaasist. Pilte otsitakse kasutajate galeriidest, pildikomplektidest ja niisama üles laetud piltidest, mis on ''public'''ud ehk avalikud. Kui kasutaja sisestab vähem kui 2 tähte, kuvatakse veateade. See on Flickri poolt samuti kinni keeratud, et ühetähe otsinguid ei teostataks. Üldjoontes ei oleks sellel ka mingisugust mõtet. Otsingusõna sisestamisel kuvatakse paremale aknasse 5 pildi ''thumbnaili'', mis on kõige värskemad. ''Thumbnailidest'' vasakul all nurgas kuvatakse, mitu lehekülge pilte leiti ja mitmendal leheküljel parasjagu ollakse. Olles esimesel lehel ja/või teostades esimest otsingut, nuppu "eelmine" ei kuvata. Seejärel saab kasutaja hakata navigeerima lehekülgedel "eelmine" ja "järgmine" nuppudega. Valides thumbnaili välja ja klikkides selle peale, kuvatakse pilt suurena, laiusega 380 pikslit ja kõrgusega 380 pikslit. Kui suur pilt on kuvatud, avaneb ka võimalus vajutada nuppu "Ava kasutaja profiil". Sellega pääseb API kasutaja ligi suure pildi kasutaja profiilile. See on sobilik näiteks kui API kasutajale hakkas huvi pakkuma pildi üles laadinud kasutaja, ning soovib tema teisigi pilte sirvida.<br />
*'''Inimese otsing''': Kasutajal on võimalus otsida emaili järgi Flickri kasutajaid. Otsingulahtrisse mitte millegi sisestamisel või jättes sisestamata "@" sümbol, kuvatakse veateade. Vastasel korral kuvatakse kas kasutaja Flickri kasutajanimi, pärisnimi (kui see on tal määratud) ja tema profiili URL. Kui kasutaja on leitud, kuvatakse ka nuppu "Ava veebisait", millega pääseb kasutaja ligi ka tema profiilile, kirjutamata ise midagi veebibrauseri aknasse. Kui kasutajat ei leitud, antakse ka vastav veateade.<br />
*'''Fotokomplektide kuvamine''': Kasutaja saab vaadata oma fotokomplekte. Selleks tuleb kõigepealt vastava nupuga omandad ''frob'', mis on Flickri API ajutine kood (kehtib ühe tunni). Kui ''frob'' on omandatud, avaneb kasutajale nupp "omanda token". ''Tokeniga'' on Flickri poolne frobi teisendus ''tokeniks'', mida kasutatakse edaspidi kasutaja identifitseerimiseks. Kui ''token'' on omandatud, kuvatakse teade "token omandatud" või vastasel juhul "token omandamata". Seejärel ilmub nähtavale nupp "tiri fotosetid". Sellele klikkides kuvatakse thumbnailidena kasutaja fotokomplektid.<br />
*'''Piltide üleslaadimine''': Kõigepealt tuleb omandada ''frob'' ja ''token'', nagu eelnevas punktis kirjeldatud. Seejärel saab kasutaja üles laadida oma pilte arvutist ''OpenFileDialog'''i abil. Seejärel saab sisestada pildile tiitli ehk nime, kirjelduse ja ''tagi'', mida aga ei pea tegema (Flickr samuti ei nõua nende atribuutide olemasolu). Olles salvestanud atribuudid ilmneb nupp "lae üles". Sellele vajutades laetakse pilt kasutaja üldpiltide sekka üles.</div>Jhannushttps://wiki.itcollege.ee/index.php?title=Meeskond_%22n%C3%A4ljased%22&diff=10242Meeskond "näljased"2010-05-17T18:05:13Z<p>Jhannus: </p>
<hr />
<div>== 1. XML ==<br />
XML-i tegime menüü kohta. XSLT faile on kaks: üks teeb XML-i HTML-i ning teine vahetab elementide ja atribuutide kohtad. XML faili kohta on olemas ka kirjeldav schema. Raskeimaks osaks oli elementidest atribuutide tegemine, asi küll toimis, kuid vormistus oli kole ning auklik. Schema vajas ka veidi harjumist, kuid kui asi käppa sai, siis läks imelihtsaks. <br />
[[Media:XML]]<br />
<br />
== 2. Teenus ==<br />
Teenuseks on menüü. Võimalused alajaotuste kaupa: <br />
*Kasutajagrupid:Hetkel on 3 kasutajagruppi: admin (saab teha kõike), müüja (saab teha kõike peale kasutajate ja kasutajagruppide loomise) ning tavakasutajad. On olemas eraldi funktsioon ka kasutajagruppide loomiseks. Iga meetodi käivitamisel kontrollitakse kasutajaõigusi. Ühel kasutajal saab olla mitu kasutajagruppi. <br />
*Kasutajad. Kasutajate loomiseks on 2 funktsiooni: üks tavakasutajate tegemiseks, mis ei eelda sisselogimist ning teine, mida saab teostada vaid administraator (ja lisada müüjaid või teisi administraatoreid). Kasutajate loomisel kontrollitakse seda, kas kasutajanimi on juba kasutusel. Kasutaja id ning roll sisestatakse ka tabelisse kasutajaRollis, mis näitab kasutajatel olevaid rolle. Kasutajate kustutamine käib otse andmebaasist. Kasutaja loomisel salvestatakse andmebaasi kasutaja parool hashitud kujul (algoritmiks sha1) <br />
*Tooted. Kasutajatel (hetkel müüjal) on võimalus lisada ja kustutada tooteid toodete kategooriaid, hindu jms. <br />
*Sessioonid. Kasutaja edukal sisselogimisel luuakse unikaalne juhuslik sessiooni võti, mille olemasolu kontrollitakse iga sisselogimist eeldava meetodi käivitamisel. Session_key salvestatakse andmebaasis vastavas väljas. Eraldi on funktsioonid sessiooni olemasolu kontrollimiseks ning uuendamiseks. Hetkel on timeoudiks 10 minutit. Sessiooni kehtivust kontrollitakse ka kasutajaõiguste kontrollimisel. <br />
* Logimine. Võrreldakse sisestatud kasjutajanime ning sisestatud parooli hashi andmebaasis olevatega. Kui need ühtivad, siis sisselogimine on edukas ning luuakse unikaalne session key, mis salvestatakse andmebaasi. Sisselogimine ning sessiooni olemasolu on eelduseks meetodite käivitamiseks. Kui sessioon aegub, siis toimub kasutaja väljalogimine. Väljalogimisfunktsioon kirjutab üle sessiooni aegumise aja, pannes selleks hetkelise kellaaja. <br />
Lisaks on veel hunnik abifunktsioone, näiteks parooli hashimine, väärtuste tagastamine jms. <br />
<br />
Klient on kirjutatud WPF-is ning hetkel on võimalik kuvada tooteid, kasutajaid, gruppe ning kasutajagruppe.<br />
<br />
== 3. Flickr API ==<br />
Võimalused alajaotuste kaupa:<br />
*Pildiotsing: Kasutajal on võimalus otsida otsingusõna järgi pilte Flickri pildibaasist. Pilte otsitakse kasutajate galeriidest, pildikomplektidest ja niisama üles laetud piltidest, mis on ''public'''ud ehk avalikud. Kui kasutaja sisestab vähem kui 2 tähte, kuvatakse veateade. See on Flickri poolt samuti kinni keeratud, et ühetähe otsinguid ei teostataks. Üldjoontes ei oleks sellel ka mingisugust mõtet. Otsingusõna sisestamisel kuvatakse paremale aknasse 5 pildi ''thumbnaili'', mis on kõige värskemad. ''Thumbnailidest'' vasakul all nurgas kuvatakse, mitu lehekülge pilte leiti ja mitmendal leheküljel parasjagu ollakse. Olles esimesel lehel ja/või teostades esimest otsingut, nuppu "eelmine" ei kuvata. Seejärel saab kasutaja hakata navigeerima lehekülgedel "eelmine" ja "järgmine" nuppudega. Valides thumbnaili välja ja klikkides selle peale, kuvatakse pilt suurena, laiusega 380 pikslit ja kõrgusega 380 pikslit. Kui suur pilt on kuvatud, avaneb ka võimalus vajutada nuppu "Ava kasutaja profiil". Sellega pääseb API kasutaja ligi suure pildi kasutaja profiilile. See on sobilik näiteks kui API kasutajale hakkas huvi pakkuma pildi üles laadinud kasutaja, ning soovib tema teisigi pilte sirvida.<br />
*Inimese otsing: Kasutajal on võimalus otsida emaili järgi Flickri kasutajaid. Otsingulahtrisse mitte millegi sisestamisel või jättes sisestamata "@" sümbol, kuvatakse veateade. Vastasel korral kuvatakse kas kasutaja Flickri kasutajanimi, pärisnimi (kui see on tal määratud) ja tema profiili URL. Kui kasutaja on leitud, kuvatakse ka nuppu "Ava veebisait", millega pääseb kasutaja ligi ka tema profiilile, kirjutamata ise midagi veebibrauseri aknasse. Kui kasutajat ei leitud, antakse ka vastav veateade.<br />
*Fotosettide kuvamine: Kasutaja saab vaadata oma fotokomplekte. Selleks tuleb kõigepealt vastava nupuga omandad ''frob'', mis on Flickri API ajutine kood (kehtib ühe tunni). Kui ''frob'' on omandatud, avaneb kasutajale nupp "omanda token". ''Tokeniga'' on Flickri poolne frobi teisendus ''tokeniks'', mida kasutatakse edaspidi kasutaja identifitseerimiseks. Kui ''token'' on omandatud, kuvatakse teade "token omandatud" või vastasel juhul "token omandamata". Seejärel ilmub nähtavale nupp "tiri fotosetid". Sellele klikkides kuvatakse thumbnailidena kasutaja fotokomplektid.<br />
*Piltide üleslaadimine: Kõigepealt tuleb omandada ''frob'' ja ''token'', nagu eelnevas punktis kirjeldatud. Seejärel saab kasutaja üles laadida oma pilte arvutist ''OpenFileDialog'''i abil. Seejärel saab sisestada pildile tiitli ehk nime, kirjelduse ja ''tagi'', mida aga ei pea tegema (Flickr samuti ei nõua nende atribuutide olemasolu). Olles salvestanud atribuudid ilmneb nupp "lae üles". Sellele vajutades laetakse pilt kasutaja üldpiltide sekka üles.</div>Jhannushttps://wiki.itcollege.ee/index.php?title=Meeskond_%22n%C3%A4ljased%22&diff=10241Meeskond "näljased"2010-05-17T18:02:53Z<p>Jhannus: </p>
<hr />
<div>== 1. XML ==<br />
XML-i tegime menüü kohta. XSLT faile on kaks: üks teeb XML-i HTML-i ning teine vahetab elementide ja atribuutide kohtad. XML faili kohta on olemas ka kirjeldav schema. Raskeimaks osaks oli elementidest atribuutide tegemine, asi küll toimis, kuid vormistus oli kole ning auklik. Schema vajas ka veidi harjumist, kuid kui asi käppa sai, siis läks imelihtsaks. <br />
[[Media:XML]]<br />
<br />
== 2. Teenus ==<br />
Teenuseks on menüü. Võimalused alajaotuste kaupa: <br />
*Kasutajagrupid:Hetkel on 3 kasutajagruppi: admin (saab teha kõike), müüja (saab teha kõike peale kasutajate ja kasutajagruppide loomise) ning tavakasutajad. On olemas eraldi funktsioon ka kasutajagruppide loomiseks. Iga meetodi käivitamisel kontrollitakse kasutajaõigusi. Ühel kasutajal saab olla mitu kasutajagruppi. <br />
*Kasutajad. Kasutajate loomiseks on 2 funktsiooni: üks tavakasutajate tegemiseks, mis ei eelda sisselogimist ning teine, mida saab teostada vaid administraator (ja lisada müüjaid või teisi administraatoreid). Kasutajate loomisel kontrollitakse seda, kas kasutajanimi on juba kasutusel. Kasutaja id ning roll sisestatakse ka tabelisse kasutajaRollis, mis näitab kasutajatel olevaid rolle. Kasutajate kustutamine käib otse andmebaasist. Kasutaja loomisel salvestatakse andmebaasi kasutaja parool hashitud kujul (algoritmiks sha1) <br />
*Tooted. Kasutajatel (hetkel müüjal) on võimalus lisada ja kustutada tooteid toodete kategooriaid, hindu jms. <br />
*Sessioonid. Kasutaja edukal sisselogimisel luuakse unikaalne juhuslik sessiooni võti, mille olemasolu kontrollitakse iga sisselogimist eeldava meetodi käivitamisel. Session_key salvestatakse andmebaasis vastavas väljas. Eraldi on funktsioonid sessiooni olemasolu kontrollimiseks ning uuendamiseks. Hetkel on timeoudiks 10 minutit. Sessiooni kehtivust kontrollitakse ka kasutajaõiguste kontrollimisel. <br />
* Logimine. Võrreldakse sisestatud kasjutajanime ning sisestatud parooli hashi andmebaasis olevatega. Kui need ühtivad, siis sisselogimine on edukas ning luuakse unikaalne session key, mis salvestatakse andmebaasi. Sisselogimine ning sessiooni olemasolu on eelduseks meetodite käivitamiseks. Kui sessioon aegub, siis toimub kasutaja väljalogimine. Väljalogimisfunktsioon kirjutab üle sessiooni aegumise aja, pannes selleks hetkelise kellaaja. <br />
Lisaks on veel hunnik abifunktsioone, näiteks parooli hashimine, väärtuste tagastamine jms. <br />
<br />
Klient on kirjutatud WPF-is ning hetkel on võimalik kuvada tooteid, kasutajaid, gruppe ning kasutajagruppe.<br />
<br />
== 3. Flickr API ==<br />
Võimalused alajaotuste kaupa:<br />
*Pildiotsing: Kasutajal on võimalus otsida otsingusõna järgi pilte Flickri pildibaasist. Pilte otsitakse kasutajate galeriidest, pildikomplektidest ja niisama üles laetud piltidest, mis on ''public'''ud ehk avalikud. Kui kasutaja sisestab vähem kui 2 tähte, kuvatakse veateade. See on Flickri poolt samuti kinni keeratud, et ühetähe otsinguid ei teostataks. Üldjoontes ei oleks sellel ka mingisugust mõtet. Otsingusõna sisestamisel kuvatakse paremale aknasse 5 pildi ''thumbnaili'', mis on kõige värskemad. ''Thumbnailidest'' vasakul all nurgas kuvatakse, mitu lehekülge pilte leiti ja mitmendal leheküljel parasjagu ollakse. Olles esimesel lehel ja/või teostades esimest otsingut, nuppu "eelmine" ei kuvata. Seejärel saab kasutaja hakata navigeerima lehekülgedel "eelmine" ja "järgmine" nuppudega. Valides thumbnaili välja ja klikkides selle peale, kuvatakse pilt suurena, laiusega 380 pikslit ja kõrgusega 380 pikslit. Kui suur pilt on kuvatud, avaneb ka võimalus vajutada nuppu "Ava kasutaja profiil". Sellega pääseb API kasutaja ligi suure pildi kasutaja profiilile. See on sobilik näiteks kui API kasutajale hakkas huvi pakkuma pildi üles laadinud kasutaja, ning soovib tema teisigi pilte sirvida.<br />
*Inimese otsing: Kasutajal on võimalus otsida emaili järgi Flickri kasutajaid. Otsingulahtrisse mitte millegi sisestamisel või jättes sisestamata "@" sümbol, kuvatakse veateade. Vastasel korral kuvatakse kas kasutaja Flickri kasutajanimi, pärisnimi (kui see on tal määratud) ja tema profiili URL. Kui kasutaja on leitud, kuvatakse ka nuppu "Ava veebisait", millega pääseb kasutaja ligi ka tema profiilile, kirjutamata ise midagi veebibrauseri aknasse. Kui kasutajat ei leitud, antakse ka vastav veateade.<br />
*Fotosettide kuvamine: Kasutaja saab vaadata oma fotokomplekte. Selleks tuleb kõigepealt vastava nupuga omandad ''frob'', mis on Flickri API ajutine kood (kehtib ühe tunni). Kui ''frob'' on omandatud, avaneb kasutajale nupp "omanda token". ''Tokeniga'' on Flickri poolne frobi teisendus ''tokeniks'', mida kasutatakse edaspidi kasutaja identifitseerimiseks. Kui ''token'' on omandatud, kuvatakse teade "token omandatud" või vastasel juhul "token omandamata". Seejärel ilmub nähtavale nupp "tiri fotosetid". Sellele klikkides kuvatakse thumbnailidena kasutaja fotokomplektid.<br />
*Piltide üleslaadimine: Kasutaja saab üles laadima oma pilte arvutist ''OpenFileDialog'''i abil. Seejärel tuleb omandada ''frob'' ja ''token'', nagu eelnevas punktis kirjeldatud.</div>Jhannushttps://wiki.itcollege.ee/index.php?title=Meeskond_%22n%C3%A4ljased%22&diff=10240Meeskond "näljased"2010-05-17T17:47:44Z<p>Jhannus: </p>
<hr />
<div>kokkuvõte meie tööst (täpsem kirjeldus kõige kohta on olemas meie blogis):<br />
<br />
1. XML-i tegime menüü kohta. XSLT faile on kaks: üks teeb XML-i HTML-i ning teine vahetab elementide ja atribuutide kohtad. XML faili kohta on olemas ka kirjeldav schema. Raskeimaks osaks oli elementidest atribuutide tegemine, asi küll toimis, kuid vormistus oli kole ning auklik. Schema vajas ka veidi harjumist, kuid kui asi käppa sai, siis läks imelihtsaks. <br />
[[Media:XML]]<br />
<br />
2. Teenuseks on menüü. Võimalused alajaotuste kaupa: <br />
*Kasutajagrupid:Hetkel on 3 kasutajagruppi: admin (saab teha kõike), müüja (saab teha kõike peale kasutajate ja kasutajagruppide loomise) ning tavakasutajad. On olemas eraldi funktsioon ka kasutajagruppide loomiseks. Iga meetodi käivitamisel kontrollitakse kasutajaõigusi. Ühel kasutajal saab olla mitu kasutajagruppi. <br />
*Kasutajad. Kasutajate loomiseks on 2 funktsiooni: üks tavakasutajate tegemiseks, mis ei eelda sisselogimist ning teine, mida saab teostada vaid administraator (ja lisada müüjaid või teisi administraatoreid). Kasutajate loomisel kontrollitakse seda, kas kasutajanimi on juba kasutusel. Kasutaja id ning roll sisestatakse ka tabelisse kasutajaRollis, mis näitab kasutajatel olevaid rolle. Kasutajate kustutamine käib otse andmebaasist. Kasutaja loomisel salvestatakse andmebaasi kasutaja parool hashitud kujul (algoritmiks sha1) <br />
*Tooted. Kasutajatel (hetkel müüjal) on võimalus lisada ja kustutada tooteid toodete kategooriaid, hindu jms. <br />
*Sessioonid. Kasutaja edukal sisselogimisel luuakse unikaalne juhuslik sessiooni võti, mille olemasolu kontrollitakse iga sisselogimist eeldava meetodi käivitamisel. Session_key salvestatakse andmebaasis vastavas väljas. Eraldi on funktsioonid sessiooni olemasolu kontrollimiseks ning uuendamiseks. Hetkel on timeoudiks 10 minutit. Sessiooni kehtivust kontrollitakse ka kasutajaõiguste kontrollimisel. <br />
* Logimine. Võrreldakse sisestatud kasjutajanime ning sisestatud parooli hashi andmebaasis olevatega. Kui need ühtivad, siis sisselogimine on edukas ning luuakse unikaalne session key, mis salvestatakse andmebaasi. Sisselogimine ning sessiooni olemasolu on eelduseks meetodite käivitamiseks. Kui sessioon aegub, siis toimub kasutaja väljalogimine. Väljalogimisfunktsioon kirjutab üle sessiooni aegumise aja, pannes selleks hetkelise kellaaja. <br />
Lisaks on veel hunnik abifunktsioone, näiteks parooli hashimine, väärtuste tagastamine jms. <br />
<br />
Klient on kirjutatud WPF-is ning hetkel on võimalik kuvada tooteid, kasutajaid, gruppe ning kasutajagruppe.<br />
<br />
<br />
3. <br />
== Flickr API ==<br />
Võimalused alajaotuste kaupa:<br />
*Pildiotsing: Kasutajal on võimalus otsida otsingusõna järgi pilte Flickri pildibaasist. Pilte otsitakse kasutajate galeriidest, pildikomplektidest ja niisama üles laetud piltidest, mis on ''public'''ud ehk avalikud. Kui kasutaja sisestab vähem kui 2 tähte, kuvatakse veateade. See on Flickri poolt samuti kinni keeratud, et ühetähe otsinguid ei teostataks. Üldjoontes ei oleks sellel ka mingisugust mõtet. Otsingusõna sisestamisel kuvatakse paremale aknasse 5 pildi ''thumbnaili'', mis on kõige värskemad. ''Thumbnailidest'' vasakul all nurgas kuvatakse, mitu lehekülge pilte leiti ja mitmendal leheküljel parasjagu ollakse. Olles esimesel lehel ja/või teostades esimest otsingut, nuppu "eelmine" ei kuvata. Seejärel saab kasutaja hakata navigeerima lehekülgedel "eelmine" ja "järgmine" nuppudega. Valides thumbnaili välja ja klikkides selle peale, kuvatakse pilt suurena, laiusega 380 pikslit ja kõrgusega 380 pikslit. Kui suur pilt on kuvatud, avaneb ka võimalus vajutada nuppu "Ava kasutaja profiil". Sellega pääseb API kasutaja ligi suure pildi kasutaja profiilile. See on sobilik näiteks kui API kasutajale hakkas huvi pakkuma pildi üles laadinud kasutaja, ning soovib tema teisigi pilte sirvida.<br />
*</div>Jhannushttps://wiki.itcollege.ee/index.php?title=Kodut%C3%B6%C3%B6_aines_%22V%C3%B5rgurakendused_II:_hajuss%C3%BCsteemide_ehitamine%22_2011&diff=10228Kodutöö aines "Võrgurakendused II: hajussüsteemide ehitamine" 20112010-05-17T11:54:42Z<p>Jhannus: /* Teema */</p>
<hr />
<div>=Kodutöö aines "Võrgurakendused II: hajussüsteemide ehitamine"=<br />
==Eesmärk==<br />
Saada praktiline kogemus hajussüsteemide ehitamisest XML veebiteenus ja vastava kliendi loomise abil ning süvendada meeskonnatööoskust. Kaugem eesmärk on loomulikult hinne :).<br />
<br />
==Reeglid==<br />
''' Kodutöö koosneb kolmest eraldiseisvast ülesandest:'''<br />
* Luua XML fail vabalt valitud andmete edastamiseks,selle faili skeemifail ning XSL fail(id) erinevate transformatsioonide tarvis (soovitavalt vähemalt andmete HTML ja XML kujul kuvamiseks)<br />
* Luua veebiteenus, mis võimaldaks pakkuda teenust, eristada kasutajaid ning näidata teenuse kasutamise statistikat kasutajate ja tegevuste lõikes<br />
* Luua klientrakendus mõnele olemasolevale või endaloodud veebiteenusele<br />
<br />
Ühte projektimeeskonda kuulub 3..5 tudengit (erandjuhul ka 2) ning ühel teemal teostab projekti üks meeskond.<br />
Töö käiku kajastatakse ajaveebis (blogis) või http://wiki.itcollege.ee keskkonnas. Ajaveebi pidamise eesmärke on kaks: nii on võimalik kirja panna kõik mõtted ja ideed (ning nendest jääb jälg) ning õppejõul on hiljem võimalik saada ülevaade iga projektimeeskonna liikme panusest. Ajaveebi loob ja ajaveebi haldab projektimeeskond vabalt valitud (avalikus) keskkonnas.<br />
<br />
==Tähtaeg==<br />
Teema ning meeskonna koosseis peab olema õppejõuga kooskõlastatud hiljemalt 12. aprill 2010.<br />
Üldjuhul on kõige hilisem projekti esitamise/kaitsmise tähtaeg 12. mai 2010.<br />
<br />
==Hindamine==<br />
Iga kolmest alamülesandest hinnatakse eraldi. Meeskonnal tuleb teha oma lahenduste esitlemine, mis toimuvad semestri viimastes loengutes ja praktikumides. '''Kui esitlust ei toimu, siis on maksimaalne hinne "2"'''.<br />
<br />
===Üldised kriteeriumid===<br />
<br />
Teostatuks loetakse projekt juhul, kui lähteülesanne on realiseeritud, lahendus on töötav, kuid esineb suuremaid vigu ning piirsituatsioonidega ei ole arvestatud.<br />
<br />
Maksimumtulemuse saavutamiseks peab projekt olema teostatud tehniliselt veatult ning varustatud dokumentatsiooniga, milles sisaldub arendusprotsessi kirjeldus (peab selguma ka iga rühmaliikme panus projekti teostamisel), kasutajajuhend ning lahenduse kirjeldus. <br />
Tehnilisi ja vormistuslike puudujääke on võimalik korvata lisavõimaluste realiseerimisega.<br />
<br />
'''Lisapunkte annab:'''<br />
<br />
* Majanduslik mõtlemine (kas loodav rakendus oleks kasutatav ka ärilistel eesmärkidel)<br />
* AJAX / Silverlight<br />
* Kasutajamugavus<br />
* Läbimõeldud töökorraldus<br />
* Lisavõimaluste realiseerimine (vt näidisteemad)<br />
<br />
<br />
===XML andmefail===<br />
Ülesande täitmiseks tuleb luua XML fail andmete edastamiseks, selle XML faili skeemifail ning paar kolm sobivat XSL faili loodud XML failis olevate andmete transformeerimiseks HTML formaati ja XML faili formaadi muutmiseks.<br />
<br />
===Veebiteenus===<br />
Loodav veebiteenus peab võimaldama:<br />
* Teenuse pakkumist<br />
* '''Teenuse kasutajate tuvastamist ning haldamist'''<br />
* Teenuse kasutajate ja kasutusstatistika üle arve pidamist kasutajate lõikes<br />
<br />
Soovitav on luua teenus (FE) ja teenuse seadistamiseks ning kasutajate haldamiseks mõeldud rakendus (BE).<br />
<br />
===Klientrakendus===<br />
Klientrakendus mõnele olemasolevale veebiteenusele, võib olla teostatud veebirakendusena, Silverlight, WPF või vormirakendusena.<br />
<br />
Variant1: teha klientrakendus enda loodud veebiteenusele <br />
<br />
Variant2: teha klientrakendus mõnele levinud veebiteenusele.<br />
Näiteks: <br />
* http://www.bing.com/developer<br />
* http://www.flickr.com/services/api/response.soap.html<br />
* http://developer.ebay.com/developercenter/windows/<br />
* http://apiwiki.twitter.com/Getting-Started<br />
<br />
==Konsultatsioonid==<br />
Igal projektimeeskonnal on piiramatu õigus saada õppejõu käest konsultatsiooni ja juhendamist oma<br />
töö tegemiseks, kas harjutuste ajal või pärast harjutusi ja loenguid. Eriaegade suhtes saab sõlmida<br />
õppejõuga kokkuleppeid kontaktidel +372 56 957 000 või heiki.tahis [ät] eesti.ee<br />
(teksti originaalautor Priit Raspel)<br />
<br />
=Teemad 2010 kevad=<br />
''' Kodutöö koosneb kolmest eraldiseisvast ülesandest:'''<br />
* Luua XML fail vabalt valitud andmete edastamiseks,selle faili skeemifail ning XSL fail(id) erinevate transformatsioonide tarvis (soovitavalt vähemalt andmete HTML ja XML kujul kuvamiseks)<br />
* Luua veebiteenus, mis võimaldaks pakkuda teenust, eristada kasutajaid ning näidata teenuse kasutamise statistikat kasutajate ja tegevuste lõikes<br />
* Luua klientrakendus mõnele olemasolevale või endaloodud veebiteenusele<br />
<br />
<br />
<br />
==Näidisteemad==<br />
<br />
===Nimede pakkumise teenus===<br />
Mõte selles, et luua nimede baas, mille abil pakkuda rakenduse loojale sobiva algusega nimesid. Reaalne rakendus: ''autocompleter'' tarvis teenuse pakkumine<br />
<br />
====Ülesanne====<br />
Luua sobiva alguse järgi nimede pakkumise teenus:<br />
* alates kahetähelisetest algustest pakkuda sobivad nimesid<br />
* luua võimalus kasutajatel nimesid lisada<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua kontroll, et nimi lisatakse baasi alles siis, kui seda nime on pakkunud vähemalt kaks erinevat kasutajat<br />
* luua roll-back'i võimalus juhuks, kui mõni kasutaja on tegelenud spämmimisega<br />
<br />
===Külastusstatistika teenus===<br />
Mõte selles, et pakkuda teenust, kus kasutajal on võimalik registreerida külastused ning küsida oma külastusstatistikat.<br />
<br />
====Ülesanne====<br />
Luua külastusstatistika teenus:<br />
* kasutaja saab teenuses registreerida külastusi<br />
* kasutaja saab küsida külastusstatistikat päevade/kuude/kogu perioodi lõikes<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua võimalus registreerida alamlehtede külastusstatistikat<br />
* luua võimalus külastusstatistikale lisaparameetrite lisamiseks (ip aadress, sirviku versioon jne)<br />
<br />
===Telefoniraamatu teenus===<br />
Mõte selles, et kasutaja saab teenuse abil salvestada kontakte ja nende seast otsida<br />
<br />
====Ülesanne====<br />
Luua telefoniraamatu teenus:<br />
* kasutaja saab teenuses kontakte lisada ja kustutada<br />
* kasutaja saab kontaktide nime/telefoninumbri jne abil otsida<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua võimalus kasutajatel oma kontaktibaase omavahel jagada<br />
* luua võimalus pakkuda kontaktibaasis leiduvate nimede järgi sobivaid nimesid<br />
<br />
===RSS voogude kogumise ja uudiste kuvamise teenus===<br />
Mõte selles, et kasutaja saab teenuse abil salvestada talle huvipakkuvaid RSS vooge ja nendelt voogudelt uudiseid lugeda<br />
<br />
====Ülesanne====<br />
Luua RSS voogude haldusteenus:<br />
* kasutaja saab teenuses RSS vooge lisada ja kustudada<br />
* kasutaja saab pärida talle huvipakkuvate voogude viimaseid uudiseid<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua võimalus kasutajatel erinevaid vooge grupeerida<br />
* luua võimalus voogudes leiduvate uudiste puhverdamiseks (voogude lugemine võtab enamasti üsna palju aega)<br />
<br />
= Meeskonnad 2010=<br />
<br />
<br />
<br />
<br />
==[[Meeskond "Jõrru"]]==<br />
===Teema===<br />
Telefoniraamat<br />
[http://jorru.tumblr.com/ ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Aram Sahradyan,<br />
Kristel Viidik,<br />
Henri Veidenbaum,<br />
<br />
==[[Meeskond "Heiki Mis?"]]==<br />
===Teema===<br />
Nimede pakkumise teenus<br />
[http://nimeteenus.blogspot.com/]<br />
<br />
===Liikmed===<br />
Arno Kender,<br />
Arto Vaas,<br />
Erki Veiko,<br />
Lili-Ann Polluks,<br />
Olavi Soosaar,<br />
<br />
==[[Meeskond "RSS"]]==<br />
[[RSS voogude värskete uudiste korjamise rakendus]]. Kasutaja koostab RSS voogude jada, rakendus võttab välja nimekiri viimastest uudistest...<br />
===Liikmed===<br />
Aleksandr Jastremski IA27<br />
<br />
==[[Meeskond "Juutuub"]]==<br />
===Teema===<br />
juutuubi playlisti generaator<br />
[ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Markus Lausmaa,<br />
Marko Väljaots,<br />
Valdar Kallasmaa,<br />
Jaagup Toome,<br />
Margus Klaamann<br />
<br />
==[[Meeskond "The TuX's"]]==<br />
===Teema===<br />
Näljaste teejuht - kohviku menüü<br />
[ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Tiia Tänav,<br />
Tiina Laast<br />
<br />
==[[Meeskond "näljased"]]==<br />
===Teema===<br />
Menüü. Meie projekti eesmärk on siis ehitada loengus arutletud menüü, mida ehk ka hiljem reaalselt töösse lasta. Nimelt siis veebis töötav menüü, kuhu klienditeenindaja saab lisada asju, muuta ja märkida "otsas" ning kuhu tudengid saavad kasutajaid teha ja anda oma hinnanguid, tagasisidet.<br />
<br />
Flickr. Meie projekti kolmas osa on Flickri API, mis võimaldab otsida kasutajad emaili järgi, otsida suvalisi pilte, uploadida pilte ja vaadata oma pildisette.<br />
<br />
[http://naljased.blogspot.com Blogi]<br />
<br />
===Liikmed===<br />
Hannes Karask,<br />
Jürgen Hannus,<br />
Liisa Jõgiste,<br />
Kristjan Karri<br />
<br />
==[[Meeskond "Liivimaa keskmised"]]==<br />
===Teema===<br />
Menüühaldus.<br />
<br />
Kiire ülevaade meie lahendusest. On olemas teenus, mis võimaldab näha valitud kohviku menüüd. Samuti pakub teenus menüü muutmise ja lisamise võimalust. Täpsem teenuse funktsionaalsuse kirjeldus asub meie meeskonna lehel - [[Meeskond "Liivimaa keskmised"]]. Kui kõik läheb hästi, siis valmib ka samale teenusele rakendus, mis jookseb Windows Phone 7 Series peal.<br />
<br />
===Liikmed===<br />
Indrek Ots,<br />
Joosep Püüa,<br />
Mait Poska,<br />
Madis Vellamäe,<br />
Toomas Talviste<br />
<br />
==[[Meeskond "X"]]==<br />
===Teema===<br />
Ladu<br />
<br />
===Liikmed===<br />
Sergei Rumjantsev,<br />
Martin Hallang,<br />
Rauno Pihlak<br />
<br />
==[[Meeskond "Põhi lax!"]]==<br />
===Teema===<br />
Veebi meediaplayer<br />
<br />
===Liikmed===<br />
Sergei Podust<br />
Jüri-Joonas Kerem,<br />
Urmas Sepp,<br />
Tiit Ojamets,<br />
Indrek Eiche,<br />
Silver Kuusik,<br />
Alar Järvesoo<br />
<br />
==[[Meeskond "Valmis!"]]==<br />
===Teema===<br />
Message service<br />
<br />
===Liikmed===<br />
Artur Šarõpin, Leonid Dikušin, Marko Kurm<br />
<br />
==[[Meeskond "One Man Army"]]==<br />
===Teema===<br />
* Desktop rakendus Flickr kliendile<br />
* Provisioning API<br />
===Liige===<br />
Margus Kerma<br />
<br />
[[Category: Võrgurakendused II: hajussüsteemide ehitamine]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=Kodut%C3%B6%C3%B6_aines_%22V%C3%B5rgurakendused_II:_hajuss%C3%BCsteemide_ehitamine%22_2011&diff=10226Kodutöö aines "Võrgurakendused II: hajussüsteemide ehitamine" 20112010-05-17T11:53:11Z<p>Jhannus: /* Teema */</p>
<hr />
<div>=Kodutöö aines "Võrgurakendused II: hajussüsteemide ehitamine"=<br />
==Eesmärk==<br />
Saada praktiline kogemus hajussüsteemide ehitamisest XML veebiteenus ja vastava kliendi loomise abil ning süvendada meeskonnatööoskust. Kaugem eesmärk on loomulikult hinne :).<br />
<br />
==Reeglid==<br />
''' Kodutöö koosneb kolmest eraldiseisvast ülesandest:'''<br />
* Luua XML fail vabalt valitud andmete edastamiseks,selle faili skeemifail ning XSL fail(id) erinevate transformatsioonide tarvis (soovitavalt vähemalt andmete HTML ja XML kujul kuvamiseks)<br />
* Luua veebiteenus, mis võimaldaks pakkuda teenust, eristada kasutajaid ning näidata teenuse kasutamise statistikat kasutajate ja tegevuste lõikes<br />
* Luua klientrakendus mõnele olemasolevale või endaloodud veebiteenusele<br />
<br />
Ühte projektimeeskonda kuulub 3..5 tudengit (erandjuhul ka 2) ning ühel teemal teostab projekti üks meeskond.<br />
Töö käiku kajastatakse ajaveebis (blogis) või http://wiki.itcollege.ee keskkonnas. Ajaveebi pidamise eesmärke on kaks: nii on võimalik kirja panna kõik mõtted ja ideed (ning nendest jääb jälg) ning õppejõul on hiljem võimalik saada ülevaade iga projektimeeskonna liikme panusest. Ajaveebi loob ja ajaveebi haldab projektimeeskond vabalt valitud (avalikus) keskkonnas.<br />
<br />
==Tähtaeg==<br />
Teema ning meeskonna koosseis peab olema õppejõuga kooskõlastatud hiljemalt 12. aprill 2010.<br />
Üldjuhul on kõige hilisem projekti esitamise/kaitsmise tähtaeg 12. mai 2010.<br />
<br />
==Hindamine==<br />
Iga kolmest alamülesandest hinnatakse eraldi. Meeskonnal tuleb teha oma lahenduste esitlemine, mis toimuvad semestri viimastes loengutes ja praktikumides. '''Kui esitlust ei toimu, siis on maksimaalne hinne "2"'''.<br />
<br />
===Üldised kriteeriumid===<br />
<br />
Teostatuks loetakse projekt juhul, kui lähteülesanne on realiseeritud, lahendus on töötav, kuid esineb suuremaid vigu ning piirsituatsioonidega ei ole arvestatud.<br />
<br />
Maksimumtulemuse saavutamiseks peab projekt olema teostatud tehniliselt veatult ning varustatud dokumentatsiooniga, milles sisaldub arendusprotsessi kirjeldus (peab selguma ka iga rühmaliikme panus projekti teostamisel), kasutajajuhend ning lahenduse kirjeldus. <br />
Tehnilisi ja vormistuslike puudujääke on võimalik korvata lisavõimaluste realiseerimisega.<br />
<br />
'''Lisapunkte annab:'''<br />
<br />
* Majanduslik mõtlemine (kas loodav rakendus oleks kasutatav ka ärilistel eesmärkidel)<br />
* AJAX / Silverlight<br />
* Kasutajamugavus<br />
* Läbimõeldud töökorraldus<br />
* Lisavõimaluste realiseerimine (vt näidisteemad)<br />
<br />
<br />
===XML andmefail===<br />
Ülesande täitmiseks tuleb luua XML fail andmete edastamiseks, selle XML faili skeemifail ning paar kolm sobivat XSL faili loodud XML failis olevate andmete transformeerimiseks HTML formaati ja XML faili formaadi muutmiseks.<br />
<br />
===Veebiteenus===<br />
Loodav veebiteenus peab võimaldama:<br />
* Teenuse pakkumist<br />
* '''Teenuse kasutajate tuvastamist ning haldamist'''<br />
* Teenuse kasutajate ja kasutusstatistika üle arve pidamist kasutajate lõikes<br />
<br />
Soovitav on luua teenus (FE) ja teenuse seadistamiseks ning kasutajate haldamiseks mõeldud rakendus (BE).<br />
<br />
===Klientrakendus===<br />
Klientrakendus mõnele olemasolevale veebiteenusele, võib olla teostatud veebirakendusena, Silverlight, WPF või vormirakendusena.<br />
<br />
Variant1: teha klientrakendus enda loodud veebiteenusele <br />
<br />
Variant2: teha klientrakendus mõnele levinud veebiteenusele.<br />
Näiteks: <br />
* http://www.bing.com/developer<br />
* http://www.flickr.com/services/api/response.soap.html<br />
* http://developer.ebay.com/developercenter/windows/<br />
* http://apiwiki.twitter.com/Getting-Started<br />
<br />
==Konsultatsioonid==<br />
Igal projektimeeskonnal on piiramatu õigus saada õppejõu käest konsultatsiooni ja juhendamist oma<br />
töö tegemiseks, kas harjutuste ajal või pärast harjutusi ja loenguid. Eriaegade suhtes saab sõlmida<br />
õppejõuga kokkuleppeid kontaktidel +372 56 957 000 või heiki.tahis [ät] eesti.ee<br />
(teksti originaalautor Priit Raspel)<br />
<br />
=Teemad 2010 kevad=<br />
''' Kodutöö koosneb kolmest eraldiseisvast ülesandest:'''<br />
* Luua XML fail vabalt valitud andmete edastamiseks,selle faili skeemifail ning XSL fail(id) erinevate transformatsioonide tarvis (soovitavalt vähemalt andmete HTML ja XML kujul kuvamiseks)<br />
* Luua veebiteenus, mis võimaldaks pakkuda teenust, eristada kasutajaid ning näidata teenuse kasutamise statistikat kasutajate ja tegevuste lõikes<br />
* Luua klientrakendus mõnele olemasolevale või endaloodud veebiteenusele<br />
<br />
<br />
<br />
==Näidisteemad==<br />
<br />
===Nimede pakkumise teenus===<br />
Mõte selles, et luua nimede baas, mille abil pakkuda rakenduse loojale sobiva algusega nimesid. Reaalne rakendus: ''autocompleter'' tarvis teenuse pakkumine<br />
<br />
====Ülesanne====<br />
Luua sobiva alguse järgi nimede pakkumise teenus:<br />
* alates kahetähelisetest algustest pakkuda sobivad nimesid<br />
* luua võimalus kasutajatel nimesid lisada<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua kontroll, et nimi lisatakse baasi alles siis, kui seda nime on pakkunud vähemalt kaks erinevat kasutajat<br />
* luua roll-back'i võimalus juhuks, kui mõni kasutaja on tegelenud spämmimisega<br />
<br />
===Külastusstatistika teenus===<br />
Mõte selles, et pakkuda teenust, kus kasutajal on võimalik registreerida külastused ning küsida oma külastusstatistikat.<br />
<br />
====Ülesanne====<br />
Luua külastusstatistika teenus:<br />
* kasutaja saab teenuses registreerida külastusi<br />
* kasutaja saab küsida külastusstatistikat päevade/kuude/kogu perioodi lõikes<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua võimalus registreerida alamlehtede külastusstatistikat<br />
* luua võimalus külastusstatistikale lisaparameetrite lisamiseks (ip aadress, sirviku versioon jne)<br />
<br />
===Telefoniraamatu teenus===<br />
Mõte selles, et kasutaja saab teenuse abil salvestada kontakte ja nende seast otsida<br />
<br />
====Ülesanne====<br />
Luua telefoniraamatu teenus:<br />
* kasutaja saab teenuses kontakte lisada ja kustutada<br />
* kasutaja saab kontaktide nime/telefoninumbri jne abil otsida<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua võimalus kasutajatel oma kontaktibaase omavahel jagada<br />
* luua võimalus pakkuda kontaktibaasis leiduvate nimede järgi sobivaid nimesid<br />
<br />
===RSS voogude kogumise ja uudiste kuvamise teenus===<br />
Mõte selles, et kasutaja saab teenuse abil salvestada talle huvipakkuvaid RSS vooge ja nendelt voogudelt uudiseid lugeda<br />
<br />
====Ülesanne====<br />
Luua RSS voogude haldusteenus:<br />
* kasutaja saab teenuses RSS vooge lisada ja kustudada<br />
* kasutaja saab pärida talle huvipakkuvate voogude viimaseid uudiseid<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua võimalus kasutajatel erinevaid vooge grupeerida<br />
* luua võimalus voogudes leiduvate uudiste puhverdamiseks (voogude lugemine võtab enamasti üsna palju aega)<br />
<br />
= Meeskonnad 2010=<br />
<br />
<br />
<br />
<br />
==[[Meeskond "Jõrru"]]==<br />
===Teema===<br />
Telefoniraamat<br />
[http://jorru.tumblr.com/ ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Aram Sahradyan,<br />
Kristel Viidik,<br />
Henri Veidenbaum,<br />
<br />
==[[Meeskond "Heiki Mis?"]]==<br />
===Teema===<br />
Nimede pakkumise teenus<br />
[http://nimeteenus.blogspot.com/]<br />
<br />
===Liikmed===<br />
Arno Kender,<br />
Arto Vaas,<br />
Erki Veiko,<br />
Lili-Ann Polluks,<br />
Olavi Soosaar,<br />
<br />
==[[Meeskond "RSS"]]==<br />
[[RSS voogude värskete uudiste korjamise rakendus]]. Kasutaja koostab RSS voogude jada, rakendus võttab välja nimekiri viimastest uudistest...<br />
===Liikmed===<br />
Aleksandr Jastremski IA27<br />
<br />
==[[Meeskond "Juutuub"]]==<br />
===Teema===<br />
juutuubi playlisti generaator<br />
[ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Markus Lausmaa,<br />
Marko Väljaots,<br />
Valdar Kallasmaa,<br />
Jaagup Toome,<br />
Margus Klaamann<br />
<br />
==[[Meeskond "The TuX's"]]==<br />
===Teema===<br />
Näljaste teejuht - kohviku menüü<br />
[ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Tiia Tänav,<br />
Tiina Laast<br />
<br />
==[[Meeskond "näljased"]]==<br />
===Teema===<br />
Menüü. Meie projekti eesmärk on siis ehitada loengus arutletud menüü, mida ehk ka hiljem reaalselt töösse lasta. Nimelt siis veebis töötav menüü, kuhu klienditeenindaja saab lisada asju, muuta ja märkida "otsas" ning kuhu tudengid saavad kasutajaid teha ja anda oma hinnanguid, tagasisidet.<br />
<br />
Flickr. Meie projekti kolmas osa on Flickri API, mis võimaldab otsida kasutajad emaili järgi, otsida suvalisi pilte, uploadida pilte ja vaadata oma pildisette. Kättesaadav aadressilt: [http://enos.itcollege.ee/~jhannus/VRII/FlickrWPF.zip FlickrAPI + Installer]<br />
<br />
[http://naljased.blogspot.com Blogi]<br />
<br />
===Liikmed===<br />
Hannes Karask,<br />
Jürgen Hannus,<br />
Liisa Jõgiste,<br />
Kristjan Karri<br />
<br />
==[[Meeskond "Liivimaa keskmised"]]==<br />
===Teema===<br />
Menüühaldus.<br />
<br />
Kiire ülevaade meie lahendusest. On olemas teenus, mis võimaldab näha valitud kohviku menüüd. Samuti pakub teenus menüü muutmise ja lisamise võimalust. Täpsem teenuse funktsionaalsuse kirjeldus asub meie meeskonna lehel - [[Meeskond "Liivimaa keskmised"]]. Kui kõik läheb hästi, siis valmib ka samale teenusele rakendus, mis jookseb Windows Phone 7 Series peal.<br />
<br />
===Liikmed===<br />
Indrek Ots,<br />
Joosep Püüa,<br />
Mait Poska,<br />
Madis Vellamäe,<br />
Toomas Talviste<br />
<br />
==[[Meeskond "X"]]==<br />
===Teema===<br />
Ladu<br />
<br />
===Liikmed===<br />
Sergei Rumjantsev,<br />
Martin Hallang,<br />
Rauno Pihlak<br />
<br />
==[[Meeskond "Põhi lax!"]]==<br />
===Teema===<br />
Veebi meediaplayer<br />
<br />
===Liikmed===<br />
Sergei Podust<br />
Jüri-Joonas Kerem,<br />
Urmas Sepp,<br />
Tiit Ojamets,<br />
Indrek Eiche,<br />
Silver Kuusik,<br />
Alar Järvesoo<br />
<br />
==[[Meeskond "Valmis!"]]==<br />
===Teema===<br />
Message service<br />
<br />
===Liikmed===<br />
Artur Šarõpin, Leonid Dikušin, Marko Kurm<br />
<br />
==[[Meeskond "One Man Army"]]==<br />
===Teema===<br />
* Desktop rakendus Flickr kliendile<br />
* Provisioning API<br />
===Liige===<br />
Margus Kerma<br />
<br />
[[Category: Võrgurakendused II: hajussüsteemide ehitamine]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=Meeskond_%22n%C3%A4ljased%22&diff=10130Meeskond "näljased"2010-05-15T22:52:42Z<p>Jhannus: </p>
<hr />
<div>kokkuvõte meie tööst (täpsem kirjeldus kõige kohta on olemas meie blogis):<br />
<br />
1. XML-i tegime menüü kohta. XSLT faile on kaks: üks teeb XML-i HTML-i ning teine vahetab elementide ja atribuutide kohtad. XML faili kohta on olemas ka kirjeldav schema. Raskeimaks osaks oli elementidest atribuutide tegemine, asi küll toimis, kuid vormistus oli kole ning auklik. Schema vajas ka veidi harjumist, kuid kui asi käppa sai, siis läks imelihtsaks. <br />
<br />
2. Teenuseks on menüü. Võimalused alajaotuste kaupa: <br />
*Kasutajagrupid:Hetkel on 3 kasutajagruppi: admin (saab teha kõike), müüja (saab teha kõike peale kasutajate ja kasutajagruppide loomise) ning tavakasutajad. On olemas eraldi funktsioon ka kasutajagruppide loomiseks. Iga meetodi käivitamisel kontrollitakse kasutajaõigusi. Ühel kasutajal saab olla mitu kasutajagruppi. <br />
*Kasutajad. Kasutajate loomiseks on 2 funktsiooni: üks tavakasutajate tegemiseks, mis ei eelda sisselogimist ning teine, mida saab teostada vaid administraator (ja lisada müüjaid või teisi administraatoreid). Kasutajate loomisel kontrollitakse seda, kas kasutajanimi on juba kasutusel. Kasutaja id ning roll sisestatakse ka tabelisse kasutajaRollis, mis näitab kasutajatel olevaid rolle. Kasutajate kustutamine käib otse andmebaasist. Kasutaja loomisel salvestatakse andmebaasi kasutaja parool hashitud kujul (algoritmiks sha1) <br />
*Tooted. Kasutajatel (hetkel müüjal) on võimalus lisada ja kustutada tooteid toodete kategooriaid, hindu jms. <br />
*Sessioonid. Kasutaja edukal sisselogimisel luuakse unikaalne juhuslik sessiooni võti, mille olemasolu kontrollitakse iga sisselogimist eeldava meetodi käivitamisel. Session_key salvestatakse andmebaasis vastavas väljas. Eraldi on funktsioonid sessiooni olemasolu kontrollimiseks ning uuendamiseks. Hetkel on timeoudiks 10 minutit. Sessiooni kehtivust kontrollitakse ka kasutajaõiguste kontrollimisel. <br />
* Logimine. Võrreldakse sisestatud kasjutajanime ning sisestatud parooli hashi andmebaasis olevatega. Kui need ühtivad, siis sisselogimine on edukas ning luuakse unikaalne session key, mis salvestatakse andmebaasi. Sisselogimine ning sessiooni olemasolu on eelduseks meetodite käivitamiseks. Kui sessioon aegub, siis toimub kasutaja väljalogimine. Väljalogimisfunktsioon kirjutab üle sessiooni aegumise aja, pannes selleks hetkelise kellaaja. <br />
Lisaks on veel hunnik abifunktsioone, näiteks parooli hashimine, väärtuste tagastamine jms. <br />
<br />
Klient on kirjutatud WPF-is ning hetkel on võimalik kuvada tooteid, kasutajaid, gruppe ning kasutajagruppe.<br />
<br />
<br />
3. API-iks tegi Jürgen Flickri API, mis võimaldab otsida kasutajad emaili järgi, otsida suvalisi pilte, uploadida pilte ja vaadata oma pildisette. Rakendusel on olemas ka oma installer.</div>Jhannushttps://wiki.itcollege.ee/index.php?title=Kodut%C3%B6%C3%B6_aines_%22V%C3%B5rgurakendused_II:_hajuss%C3%BCsteemide_ehitamine%22_2011&diff=10118Kodutöö aines "Võrgurakendused II: hajussüsteemide ehitamine" 20112010-05-15T22:08:26Z<p>Jhannus: /* Teema */</p>
<hr />
<div>=Kodutöö aines "Võrgurakendused II: hajussüsteemide ehitamine"=<br />
==Eesmärk==<br />
Saada praktiline kogemus hajussüsteemide ehitamisest XML veebiteenus ja vastava kliendi loomise abil ning süvendada meeskonnatööoskust. Kaugem eesmärk on loomulikult hinne :).<br />
<br />
==Reeglid==<br />
''' Kodutöö koosneb kolmest eraldiseisvast ülesandest:'''<br />
* Luua XML fail vabalt valitud andmete edastamiseks,selle faili skeemifail ning XSL fail(id) erinevate transformatsioonide tarvis (soovitavalt vähemalt andmete HTML ja XML kujul kuvamiseks)<br />
* Luua veebiteenus, mis võimaldaks pakkuda teenust, eristada kasutajaid ning näidata teenuse kasutamise statistikat kasutajate ja tegevuste lõikes<br />
* Luua klientrakendus mõnele olemasolevale või endaloodud veebiteenusele<br />
<br />
Ühte projektimeeskonda kuulub 3..5 tudengit (erandjuhul ka 2) ning ühel teemal teostab projekti üks meeskond.<br />
Töö käiku kajastatakse ajaveebis (blogis) või http://wiki.itcollege.ee keskkonnas. Ajaveebi pidamise eesmärke on kaks: nii on võimalik kirja panna kõik mõtted ja ideed (ning nendest jääb jälg) ning õppejõul on hiljem võimalik saada ülevaade iga projektimeeskonna liikme panusest. Ajaveebi loob ja ajaveebi haldab projektimeeskond vabalt valitud (avalikus) keskkonnas.<br />
<br />
==Tähtaeg==<br />
Teema ning meeskonna koosseis peab olema õppejõuga kooskõlastatud hiljemalt 12. aprill 2010.<br />
Üldjuhul on kõige hilisem projekti esitamise/kaitsmise tähtaeg 12. mai 2010.<br />
<br />
==Hindamine==<br />
Iga kolmest alamülesandest hinnatakse eraldi. Meeskonnal tuleb teha oma lahenduste esitlemine, mis toimuvad semestri viimastes loengutes ja praktikumides. '''Kui esitlust ei toimu, siis on maksimaalne hinne "2"'''.<br />
<br />
===Üldised kriteeriumid===<br />
<br />
Teostatuks loetakse projekt juhul, kui lähteülesanne on realiseeritud, lahendus on töötav, kuid esineb suuremaid vigu ning piirsituatsioonidega ei ole arvestatud.<br />
<br />
Maksimumtulemuse saavutamiseks peab projekt olema teostatud tehniliselt veatult ning varustatud dokumentatsiooniga, milles sisaldub arendusprotsessi kirjeldus (peab selguma ka iga rühmaliikme panus projekti teostamisel), kasutajajuhend ning lahenduse kirjeldus. <br />
Tehnilisi ja vormistuslike puudujääke on võimalik korvata lisavõimaluste realiseerimisega.<br />
<br />
'''Lisapunkte annab:'''<br />
<br />
* Majanduslik mõtlemine (kas loodav rakendus oleks kasutatav ka ärilistel eesmärkidel)<br />
* AJAX / Silverlight<br />
* Kasutajamugavus<br />
* Läbimõeldud töökorraldus<br />
* Lisavõimaluste realiseerimine (vt näidisteemad)<br />
<br />
<br />
===XML andmefail===<br />
Ülesande täitmiseks tuleb luua XML fail andmete edastamiseks, selle XML faili skeemifail ning paar kolm sobivat XSL faili loodud XML failis olevate andmete transformeerimiseks HTML formaati ja XML faili formaadi muutmiseks.<br />
<br />
===Veebiteenus===<br />
Loodav veebiteenus peab võimaldama:<br />
* Teenuse pakkumist<br />
* '''Teenuse kasutajate tuvastamist ning haldamist'''<br />
* Teenuse kasutajate ja kasutusstatistika üle arve pidamist kasutajate lõikes<br />
<br />
Soovitav on luua teenus (FE) ja teenuse seadistamiseks ning kasutajate haldamiseks mõeldud rakendus (BE).<br />
<br />
===Klientrakendus===<br />
Klientrakendus mõnele olemasolevale veebiteenusele, võib olla teostatud veebirakendusena, Silverlight, WPF või vormirakendusena.<br />
<br />
Variant1: teha klientrakendus enda loodud veebiteenusele <br />
<br />
Variant2: teha klientrakendus mõnele levinud veebiteenusele.<br />
Näiteks: <br />
* http://www.bing.com/developer<br />
* http://www.flickr.com/services/api/response.soap.html<br />
* http://developer.ebay.com/developercenter/windows/<br />
* http://apiwiki.twitter.com/Getting-Started<br />
<br />
==Konsultatsioonid==<br />
Igal projektimeeskonnal on piiramatu õigus saada õppejõu käest konsultatsiooni ja juhendamist oma<br />
töö tegemiseks, kas harjutuste ajal või pärast harjutusi ja loenguid. Eriaegade suhtes saab sõlmida<br />
õppejõuga kokkuleppeid kontaktidel +372 56 957 000 või heiki.tahis [ät] eesti.ee<br />
(teksti originaalautor Priit Raspel)<br />
<br />
=Teemad 2010 kevad=<br />
''' Kodutöö koosneb kolmest eraldiseisvast ülesandest:'''<br />
* Luua XML fail vabalt valitud andmete edastamiseks,selle faili skeemifail ning XSL fail(id) erinevate transformatsioonide tarvis (soovitavalt vähemalt andmete HTML ja XML kujul kuvamiseks)<br />
* Luua veebiteenus, mis võimaldaks pakkuda teenust, eristada kasutajaid ning näidata teenuse kasutamise statistikat kasutajate ja tegevuste lõikes<br />
* Luua klientrakendus mõnele olemasolevale või endaloodud veebiteenusele<br />
<br />
<br />
<br />
==Näidisteemad==<br />
<br />
===Nimede pakkumise teenus===<br />
Mõte selles, et luua nimede baas, mille abil pakkuda rakenduse loojale sobiva algusega nimesid. Reaalne rakendus: ''autocompleter'' tarvis teenuse pakkumine<br />
<br />
====Ülesanne====<br />
Luua sobiva alguse järgi nimede pakkumise teenus:<br />
* alates kahetähelisetest algustest pakkuda sobivad nimesid<br />
* luua võimalus kasutajatel nimesid lisada<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua kontroll, et nimi lisatakse baasi alles siis, kui seda nime on pakkunud vähemalt kaks erinevat kasutajat<br />
* luua roll-back'i võimalus juhuks, kui mõni kasutaja on tegelenud spämmimisega<br />
<br />
===Külastusstatistika teenus===<br />
Mõte selles, et pakkuda teenust, kus kasutajal on võimalik registreerida külastused ning küsida oma külastusstatistikat.<br />
<br />
====Ülesanne====<br />
Luua külastusstatistika teenus:<br />
* kasutaja saab teenuses registreerida külastusi<br />
* kasutaja saab küsida külastusstatistikat päevade/kuude/kogu perioodi lõikes<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua võimalus registreerida alamlehtede külastusstatistikat<br />
* luua võimalus külastusstatistikale lisaparameetrite lisamiseks (ip aadress, sirviku versioon jne)<br />
<br />
===Telefoniraamatu teenus===<br />
Mõte selles, et kasutaja saab teenuse abil salvestada kontakte ja nende seast otsida<br />
<br />
====Ülesanne====<br />
Luua telefoniraamatu teenus:<br />
* kasutaja saab teenuses kontakte lisada ja kustutada<br />
* kasutaja saab kontaktide nime/telefoninumbri jne abil otsida<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua võimalus kasutajatel oma kontaktibaase omavahel jagada<br />
* luua võimalus pakkuda kontaktibaasis leiduvate nimede järgi sobivaid nimesid<br />
<br />
===RSS voogude kogumise ja uudiste kuvamise teenus===<br />
Mõte selles, et kasutaja saab teenuse abil salvestada talle huvipakkuvaid RSS vooge ja nendelt voogudelt uudiseid lugeda<br />
<br />
====Ülesanne====<br />
Luua RSS voogude haldusteenus:<br />
* kasutaja saab teenuses RSS vooge lisada ja kustudada<br />
* kasutaja saab pärida talle huvipakkuvate voogude viimaseid uudiseid<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua võimalus kasutajatel erinevaid vooge grupeerida<br />
* luua võimalus voogudes leiduvate uudiste puhverdamiseks (voogude lugemine võtab enamasti üsna palju aega)<br />
<br />
= Meeskonnad 2010=<br />
<br />
<br />
<br />
<br />
==[[Meeskond "Jõrru"]]==<br />
===Teema===<br />
Telefoniraamat<br />
[http://jorru.tumblr.com/ ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Aram Sahradyan,<br />
Kristel Viidik,<br />
Henri Veidenbaum,<br />
<br />
==[[Meeskond "Heiki Mis?"]]==<br />
===Teema===<br />
Nimede pakkumise teenus<br />
[http://nimeteenus.blogspot.com/]<br />
<br />
===Liikmed===<br />
Arno Kender,<br />
Arto Vaas,<br />
Erki Veiko,<br />
Lili-Ann Polluks,<br />
Olavi Soosaar,<br />
<br />
==[[Meeskond "RSS"]]==<br />
[[RSS voogude värskete uudiste korjamise rakendus]]. Kasutaja koostab RSS voogude jada, rakendus võttab välja nimekiri viimastest uudistest...<br />
===Liikmed===<br />
Aleksandr Jastremski IA27<br />
<br />
==[[Meeskond "Juutuub"]]==<br />
===Teema===<br />
juutuubi playlisti generaator<br />
[ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Markus Lausmaa,<br />
Marko Väljaots,<br />
Valdar Kallasmaa,<br />
Jaagup Toome,<br />
Margus Klaamann<br />
<br />
==[[Meeskond "The TuX's"]]==<br />
===Teema===<br />
Näljaste teejuht - kohviku menüü<br />
[ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Tiia Tänav,<br />
Tiina Laast<br />
<br />
==[[Meeskond "näljased"]]==<br />
===Teema===<br />
Menüü. Meie projekti eesmärk on siis ehitada loengus arutletud menüü, mida ehk ka hiljem reaalselt töösse lasta. Nimelt siis veebis töötav menüü, kuhu klienditeenindaja saab lisada asju, muuta ja märkida "otsas" ning kuhu tudengid saavad kasutajaid teha ja anda oma hinnanguid, tagasisidet.<br />
<br />
Flickr. Meie projekti kolmas osa on Flickri API, mis võimaldab otsida kasutajad emaili järgi, otsida suvalisi pilte, uploadida pilte ja vaadata oma pildisette. Täpsem progress, nutt ja hala on blogis -><br />
<br />
[http://naljased.blogspot.com Blogi]<br />
<br />
===Liikmed===<br />
Hannes Karask,<br />
Jürgen Hannus,<br />
Liisa Jõgiste,<br />
Kristjan Karri<br />
<br />
==[[Meeskond "Liivimaa keskmised"]]==<br />
===Teema===<br />
Menüühaldus.<br />
<br />
Kiire ülevaade meie lahendusest. On olemas teenus, mis võimaldab näha valitud kohviku menüüd. Samuti pakub teenus menüü muutmise ja lisamise võimalust. Täpsem teenuse funktsionaalsuse kirjeldus asub meie meeskonna lehel - [[Meeskond "Liivimaa keskmised"]]. Kui kõik läheb hästi, siis valmib ka samale teenusele rakendus, mis jookseb Windows Phone 7 Series peal.<br />
<br />
===Liikmed===<br />
Indrek Ots,<br />
Joosep Püüa,<br />
Mait Poska,<br />
Madis Vellamäe,<br />
Toomas Talviste<br />
<br />
==[[Meeskond "X"]]==<br />
===Teema===<br />
Ladu<br />
<br />
===Liikmed===<br />
Sergei Rumjantsev,<br />
Martin Hallang,<br />
Rauno Pihlak<br />
<br />
==[[Meeskond "Põhi lax!"]]==<br />
===Teema===<br />
Veebi meediaplayer<br />
<br />
===Liikmed===<br />
Sergei Podust<br />
Jüri-Joonas Kerem,<br />
Urmas Sepp,<br />
Tiit Ojamets,<br />
Indrek Eiche,<br />
Silver Kuusik,<br />
Alar Järvesoo<br />
<br />
==[[Meeskond "Valmis!"]]==<br />
===Teema===<br />
Message service<br />
<br />
===Liikmed===<br />
Artur Šarõpin, Leonid Dikušin, Marko Kurm<br />
<br />
==[[Meeskond "One Man Army"]]==<br />
===Teema===<br />
* Desktop rakendus Flickr kliendile<br />
* Provisioning API<br />
===Liige===<br />
Margus Kerma<br />
<br />
[[Category: Võrgurakendused II: hajussüsteemide ehitamine]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=Kodut%C3%B6%C3%B6_aines_%22V%C3%B5rgurakendused_II:_hajuss%C3%BCsteemide_ehitamine%22_2011&diff=9737Kodutöö aines "Võrgurakendused II: hajussüsteemide ehitamine" 20112010-05-10T23:21:15Z<p>Jhannus: /* Teema */</p>
<hr />
<div>=Kodutöö aines "Võrgurakendused II: hajussüsteemide ehitamine"=<br />
==Eesmärk==<br />
Saada praktiline kogemus hajussüsteemide ehitamisest XML veebiteenus ja vastava kliendi loomise abil ning süvendada meeskonnatööoskust. Kaugem eesmärk on loomulikult hinne :).<br />
<br />
==Reeglid==<br />
''' Kodutöö koosneb kolmest eraldiseisvast ülesandest:'''<br />
* Luua XML fail vabalt valitud andmete edastamiseks,selle faili skeemifail ning XSL fail(id) erinevate transformatsioonide tarvis (soovitavalt vähemalt andmete HTML ja XML kujul kuvamiseks)<br />
* Luua veebiteenus, mis võimaldaks pakkuda teenust, eristada kasutajaid ning näidata teenuse kasutamise statistikat kasutajate ja tegevuste lõikes<br />
* Luua klientrakendus mõnele olemasolevale või endaloodud veebiteenusele<br />
<br />
Ühte projektimeeskonda kuulub 3..5 tudengit (erandjuhul ka 2) ning ühel teemal teostab projekti üks meeskond.<br />
Töö käiku kajastatakse ajaveebis (blogis) või http://wiki.itcollege.ee keskkonnas. Ajaveebi pidamise eesmärke on kaks: nii on võimalik kirja panna kõik mõtted ja ideed (ning nendest jääb jälg) ning õppejõul on hiljem võimalik saada ülevaade iga projektimeeskonna liikme panusest. Ajaveebi loob ja ajaveebi haldab projektimeeskond vabalt valitud (avalikus) keskkonnas.<br />
<br />
==Tähtaeg==<br />
Teema ning meeskonna koosseis peab olema õppejõuga kooskõlastatud hiljemalt 12. aprill 2010.<br />
Üldjuhul on kõige hilisem projekti esitamise/kaitsmise tähtaeg 12. mai 2010.<br />
<br />
==Hindamine==<br />
Iga kolmest alamülesandest hinnatakse eraldi. Meeskonnal tuleb teha oma lahenduste esitlemine, mis toimuvad semestri viimastes loengutes ja praktikumides. '''Kui esitlust ei toimu, siis on maksimaalne hinne "2"'''.<br />
<br />
===Üldised kriteeriumid===<br />
<br />
Teostatuks loetakse projekt juhul, kui lähteülesanne on realiseeritud, lahendus on töötav, kuid esineb suuremaid vigu ning piirsituatsioonidega ei ole arvestatud.<br />
<br />
Maksimumtulemuse saavutamiseks peab projekt olema teostatud tehniliselt veatult ning varustatud dokumentatsiooniga, milles sisaldub arendusprotsessi kirjeldus (peab selguma ka iga rühmaliikme panus projekti teostamisel), kasutajajuhend ning lahenduse kirjeldus. <br />
Tehnilisi ja vormistuslike puudujääke on võimalik korvata lisavõimaluste realiseerimisega.<br />
<br />
'''Lisapunkte annab:'''<br />
<br />
* Majanduslik mõtlemine (kas loodav rakendus oleks kasutatav ka ärilistel eesmärkidel)<br />
* AJAX / Silverlight<br />
* Kasutajamugavus<br />
* Läbimõeldud töökorraldus<br />
* Lisavõimaluste realiseerimine (vt näidisteemad)<br />
<br />
<br />
===XML andmefail===<br />
Ülesande täitmiseks tuleb luua XML fail andmete edastamiseks, selle XML faili skeemifail ning paar kolm sobivat XSL faili loodud XML failis olevate andmete transformeerimiseks HTML formaati ja XML faili formaadi muutmiseks.<br />
<br />
===Veebiteenus===<br />
Loodav veebiteenus peab võimaldama:<br />
* Teenuse pakkumist<br />
* '''Teenuse kasutajate tuvastamist ning haldamist'''<br />
* Teenuse kasutajate ja kasutusstatistika üle arve pidamist kasutajate lõikes<br />
<br />
Soovitav on luua teenus (FE) ja teenuse seadistamiseks ning kasutajate haldamiseks mõeldud rakendus (BE).<br />
<br />
===Klientrakendus===<br />
Klientrakendus mõnele olemasolevale veebiteenusele, võib olla teostatud veebirakendusena, Silverlight, WPF või vormirakendusena.<br />
<br />
Variant1: teha klientrakendus enda loodud veebiteenusele <br />
<br />
Variant2: teha klientrakendus mõnele levinud veebiteenusele.<br />
Näiteks: <br />
* http://www.bing.com/developer<br />
* http://www.flickr.com/services/api/response.soap.html<br />
* http://developer.ebay.com/developercenter/windows/<br />
* http://apiwiki.twitter.com/Getting-Started<br />
<br />
==Konsultatsioonid==<br />
Igal projektimeeskonnal on piiramatu õigus saada õppejõu käest konsultatsiooni ja juhendamist oma<br />
töö tegemiseks, kas harjutuste ajal või pärast harjutusi ja loenguid. Eriaegade suhtes saab sõlmida<br />
õppejõuga kokkuleppeid kontaktidel +372 56 957 000 või heiki.tahis [ät] eesti.ee<br />
(teksti originaalautor Priit Raspel)<br />
<br />
=Teemad 2010 kevad=<br />
''' Kodutöö koosneb kolmest eraldiseisvast ülesandest:'''<br />
* Luua XML fail vabalt valitud andmete edastamiseks,selle faili skeemifail ning XSL fail(id) erinevate transformatsioonide tarvis (soovitavalt vähemalt andmete HTML ja XML kujul kuvamiseks)<br />
* Luua veebiteenus, mis võimaldaks pakkuda teenust, eristada kasutajaid ning näidata teenuse kasutamise statistikat kasutajate ja tegevuste lõikes<br />
* Luua klientrakendus mõnele olemasolevale või endaloodud veebiteenusele<br />
<br />
<br />
<br />
==Näidisteemad==<br />
<br />
===Nimede pakkumise teenus===<br />
Mõte selles, et luua nimede baas, mille abil pakkuda rakenduse loojale sobiva algusega nimesid. Reaalne rakendus: ''autocompleter'' tarvis teenuse pakkumine<br />
<br />
====Ülesanne====<br />
Luua sobiva alguse järgi nimede pakkumise teenus:<br />
* alates kahetähelisetest algustest pakkuda sobivad nimesid<br />
* luua võimalus kasutajatel nimesid lisada<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua kontroll, et nimi lisatakse baasi alles siis, kui seda nime on pakkunud vähemalt kaks erinevat kasutajat<br />
* luua roll-back'i võimalus juhuks, kui mõni kasutaja on tegelenud spämmimisega<br />
<br />
===Külastusstatistika teenus===<br />
Mõte selles, et pakkuda teenust, kus kasutajal on võimalik registreerida külastused ning küsida oma külastusstatistikat.<br />
<br />
====Ülesanne====<br />
Luua külastusstatistika teenus:<br />
* kasutaja saab teenuses registreerida külastusi<br />
* kasutaja saab küsida külastusstatistikat päevade/kuude/kogu perioodi lõikes<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua võimalus registreerida alamlehtede külastusstatistikat<br />
* luua võimalus külastusstatistikale lisaparameetrite lisamiseks (ip aadress, sirviku versioon jne)<br />
<br />
===Telefoniraamatu teenus===<br />
Mõte selles, et kasutaja saab teenuse abil salvestada kontakte ja nende seast otsida<br />
<br />
====Ülesanne====<br />
Luua telefoniraamatu teenus:<br />
* kasutaja saab teenuses kontakte lisada ja kustutada<br />
* kasutaja saab kontaktide nime/telefoninumbri jne abil otsida<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua võimalus kasutajatel oma kontaktibaase omavahel jagada<br />
* luua võimalus pakkuda kontaktibaasis leiduvate nimede järgi sobivaid nimesid<br />
<br />
===RSS voogude kogumise ja uudiste kuvamise teenus===<br />
Mõte selles, et kasutaja saab teenuse abil salvestada talle huvipakkuvaid RSS vooge ja nendelt voogudelt uudiseid lugeda<br />
<br />
====Ülesanne====<br />
Luua RSS voogude haldusteenus:<br />
* kasutaja saab teenuses RSS vooge lisada ja kustudada<br />
* kasutaja saab pärida talle huvipakkuvate voogude viimaseid uudiseid<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua võimalus kasutajatel erinevaid vooge grupeerida<br />
* luua võimalus voogudes leiduvate uudiste puhverdamiseks (voogude lugemine võtab enamasti üsna palju aega)<br />
<br />
= Meeskonnad 2010=<br />
<br />
<br />
<br />
<br />
==[[Meeskond "Jõrru"]]==<br />
===Teema===<br />
Telefoniraamat<br />
[http://jorru.tumblr.com/ ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Aram Sahradyan,<br />
Kristel Viidik,<br />
Henri Veidenbaum,<br />
<br />
==[[Meeskond "Heiki Mis?"]]==<br />
===Teema===<br />
Nimede pakkumise teenus<br />
[http://nimeteenus.blogspot.com/]<br />
<br />
===Liikmed===<br />
Arno Kender,<br />
Arto Vaas,<br />
Erki Veiko,<br />
Lili-Ann Polluks,<br />
Olavi Soosaar,<br />
<br />
==[[Meeskond "RSS"]]==<br />
[[RSS voogude värskete uudiste korjamise rakendus]]. Kasutaja koostab RSS voogude jada, rakendus võttab välja nimekiri viimastest uudistest...<br />
===Liikmed===<br />
Aleksandr Jastremski IA27<br />
<br />
==[[Meeskond "Juutuub"]]==<br />
===Teema===<br />
juutuubi playlisti generaator<br />
[ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Markus Lausmaa,<br />
Marko Väljaots,<br />
Valdar Kallasmaa,<br />
Jaagup Toome,<br />
Margus Klaamann<br />
<br />
==[[Meeskond "The TuX's"]]==<br />
===Teema===<br />
Näljaste teejuht - kohviku menüü<br />
[ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Tiia Tänav,<br />
Tiina Laast<br />
<br />
==[[Meeskond "näljased"]]==<br />
===Teema===<br />
Menüü. Meie projekti eesmärk on siis ehitada loengus arutletud menüü, mida ehk ka hiljem reaalselt töösse lasta. Nimelt siis veebis töötav menüü, kuhu klienditeenindaja saab lisada asju, muuta ja märkida "otsas" ning kuhu tudengid saavad kasutajaid teha ja anda oma hinnanguid, tagasisidet.<br />
<br />
Flickr. Meie projekti kolmas osa on Flickri API, mis võimaldab otsida kasutajad emaili järgi, otsida suvalisi pilte, uploadida pilte ja vaadata oma pildisette.<br />
<br />
[http://naljased.blogspot.com Blogi]<br />
<br />
===Liikmed===<br />
Hannes Karask,<br />
Jürgen Hannus,<br />
Liisa Jõgiste,<br />
Kristjan Karri<br />
<br />
==[[Meeskond "Liivimaa keskmised"]]==<br />
===Teema===<br />
Menüühaldus.<br />
<br />
Kiire ülevaade meie lahendusest. On olemas teenus, mis võimaldab näha valitud kohviku menüüd. Samuti pakub teenus menüü muutmise ja lisamise võimalust. Täpsem teenuse funktsionaalsuse kirjeldus asub meie meeskonna lehel - [[Meeskond "Liivimaa keskmised"]]. Kui kõik läheb hästi, siis valmib ka samale teenusele rakendus, mis jookseb Windows Phone 7 Series peal.<br />
<br />
===Liikmed===<br />
Indrek Ots,<br />
Joosep Püüa,<br />
Mait Poska,<br />
Madis Vellamäe,<br />
Toomas Talviste<br />
<br />
==[[Meeskond "X"]]==<br />
===Teema===<br />
Ladu<br />
<br />
===Liikmed===<br />
Sergei Rumjantsev,<br />
Martin Hallang,<br />
Rauno Pihlak<br />
<br />
==[[Meeskond "Põhi lax!"]]==<br />
===Teema===<br />
Veebi meediaplayer<br />
<br />
===Liikmed===<br />
Sergei Podust<br />
Jüri-Joonas Kerem,<br />
Urmas Sepp,<br />
Tiit Ojamets,<br />
Indrek Eiche,<br />
Silver Kuusik,<br />
Alar Järvesoo<br />
<br />
==[[Meeskond "Valmis!"]]==<br />
===Teema===<br />
Message service<br />
<br />
===Liikmed===<br />
Artur Šarõpin, Leonid Dikušin, Marko Kurm<br />
<br />
==[[Meeskond "One Man Army"]]==<br />
===Teema===<br />
* Desktop rakendus Flickr kliendile<br />
* Provisioning API<br />
===Liige===<br />
Margus Kerma<br />
<br />
[[Category: Võrgurakendused II: hajussüsteemide ehitamine]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=Kodut%C3%B6%C3%B6_aines_%22V%C3%B5rgurakendused_II:_hajuss%C3%BCsteemide_ehitamine%22_2011&diff=9608Kodutöö aines "Võrgurakendused II: hajussüsteemide ehitamine" 20112010-05-10T16:58:26Z<p>Jhannus: /* Teema */</p>
<hr />
<div>=Kodutöö aines "Võrgurakendused II: hajussüsteemide ehitamine"=<br />
==Eesmärk==<br />
Saada praktiline kogemus hajussüsteemide ehitamisest XML veebiteenus ja vastava kliendi loomise abil ning süvendada meeskonnatööoskust. Kaugem eesmärk on loomulikult hinne :).<br />
<br />
==Reeglid==<br />
''' Kodutöö koosneb kolmest eraldiseisvast ülesandest:'''<br />
* Luua XML fail vabalt valitud andmete edastamiseks,selle faili skeemifail ning XSL fail(id) erinevate transformatsioonide tarvis (soovitavalt vähemalt andmete HTML ja XML kujul kuvamiseks)<br />
* Luua veebiteenus, mis võimaldaks pakkuda teenust, eristada kasutajaid ning näidata teenuse kasutamise statistikat kasutajate ja tegevuste lõikes<br />
* Luua klientrakendus mõnele olemasolevale või endaloodud veebiteenusele<br />
<br />
Ühte projektimeeskonda kuulub 3..5 tudengit (erandjuhul ka 2) ning ühel teemal teostab projekti üks meeskond.<br />
Töö käiku kajastatakse ajaveebis (blogis) või http://wiki.itcollege.ee keskkonnas. Ajaveebi pidamise eesmärke on kaks: nii on võimalik kirja panna kõik mõtted ja ideed (ning nendest jääb jälg) ning õppejõul on hiljem võimalik saada ülevaade iga projektimeeskonna liikme panusest. Ajaveebi loob ja ajaveebi haldab projektimeeskond vabalt valitud (avalikus) keskkonnas.<br />
<br />
==Tähtaeg==<br />
Teema ning meeskonna koosseis peab olema õppejõuga kooskõlastatud hiljemalt 12. aprill 2010.<br />
Üldjuhul on kõige hilisem projekti esitamise/kaitsmise tähtaeg 12. mai 2010.<br />
<br />
==Hindamine==<br />
Iga kolmest alamülesandest hinnatakse eraldi. Meeskonnal tuleb teha oma lahenduste esitlemine, mis toimuvad semestri viimastes loengutes ja praktikumides. '''Kui esitlust ei toimu, siis on maksimaalne hinne "2"'''.<br />
<br />
===Üldised kriteeriumid===<br />
<br />
Teostatuks loetakse projekt juhul, kui lähteülesanne on realiseeritud, lahendus on töötav, kuid esineb suuremaid vigu ning piirsituatsioonidega ei ole arvestatud.<br />
<br />
Maksimumtulemuse saavutamiseks peab projekt olema teostatud tehniliselt veatult ning varustatud dokumentatsiooniga, milles sisaldub arendusprotsessi kirjeldus (peab selguma ka iga rühmaliikme panus projekti teostamisel), kasutajajuhend ning lahenduse kirjeldus. <br />
Tehnilisi ja vormistuslike puudujääke on võimalik korvata lisavõimaluste realiseerimisega.<br />
<br />
'''Lisapunkte annab:'''<br />
<br />
* Majanduslik mõtlemine (kas loodav rakendus oleks kasutatav ka ärilistel eesmärkidel)<br />
* AJAX / Silverlight<br />
* Kasutajamugavus<br />
* Läbimõeldud töökorraldus<br />
* Lisavõimaluste realiseerimine (vt näidisteemad)<br />
<br />
<br />
===XML andmefail===<br />
Ülesande täitmiseks tuleb luua XML fail andmete edastamiseks, selle XML faili skeemifail ning paar kolm sobivat XSL faili loodud XML failis olevate andmete transformeerimiseks HTML formaati ja XML faili formaadi muutmiseks.<br />
<br />
===Veebiteenus===<br />
Loodav veebiteenus peab võimaldama:<br />
* Teenuse pakkumist<br />
* '''Teenuse kasutajate tuvastamist ning haldamist'''<br />
* Teenuse kasutajate ja kasutusstatistika üle arve pidamist kasutajate lõikes<br />
<br />
Soovitav on luua teenus (FE) ja teenuse seadistamiseks ning kasutajate haldamiseks mõeldud rakendus (BE).<br />
<br />
===Klientrakendus===<br />
Klientrakendus mõnele olemasolevale veebiteenusele, võib olla teostatud veebirakendusena, Silverlight, WPF või vormirakendusena.<br />
<br />
Variant1: teha klientrakendus enda loodud veebiteenusele <br />
<br />
Variant2: teha klientrakendus mõnele levinud veebiteenusele.<br />
Näiteks: <br />
* http://www.bing.com/developer<br />
* http://www.flickr.com/services/api/response.soap.html<br />
* http://developer.ebay.com/developercenter/windows/<br />
* http://apiwiki.twitter.com/Getting-Started<br />
<br />
==Konsultatsioonid==<br />
Igal projektimeeskonnal on piiramatu õigus saada õppejõu käest konsultatsiooni ja juhendamist oma<br />
töö tegemiseks, kas harjutuste ajal või pärast harjutusi ja loenguid. Eriaegade suhtes saab sõlmida<br />
õppejõuga kokkuleppeid kontaktidel +372 56 957 000 või heiki.tahis [ät] eesti.ee<br />
(teksti originaalautor Priit Raspel)<br />
<br />
=Teemad 2010 kevad=<br />
''' Kodutöö koosneb kolmest eraldiseisvast ülesandest:'''<br />
* Luua XML fail vabalt valitud andmete edastamiseks,selle faili skeemifail ning XSL fail(id) erinevate transformatsioonide tarvis (soovitavalt vähemalt andmete HTML ja XML kujul kuvamiseks)<br />
* Luua veebiteenus, mis võimaldaks pakkuda teenust, eristada kasutajaid ning näidata teenuse kasutamise statistikat kasutajate ja tegevuste lõikes<br />
* Luua klientrakendus mõnele olemasolevale või endaloodud veebiteenusele<br />
<br />
<br />
<br />
==Näidisteemad==<br />
<br />
===Nimede pakkumise teenus===<br />
Mõte selles, et luua nimede baas, mille abil pakkuda rakenduse loojale sobiva algusega nimesid. Reaalne rakendus: ''autocompleter'' tarvis teenuse pakkumine<br />
<br />
====Ülesanne====<br />
Luua sobiva alguse järgi nimede pakkumise teenus:<br />
* alates kahetähelisetest algustest pakkuda sobivad nimesid<br />
* luua võimalus kasutajatel nimesid lisada<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua kontroll, et nimi lisatakse baasi alles siis, kui seda nime on pakkunud vähemalt kaks erinevat kasutajat<br />
* luua roll-back'i võimalus juhuks, kui mõni kasutaja on tegelenud spämmimisega<br />
<br />
===Külastusstatistika teenus===<br />
Mõte selles, et pakkuda teenust, kus kasutajal on võimalik registreerida külastused ning küsida oma külastusstatistikat.<br />
<br />
====Ülesanne====<br />
Luua külastusstatistika teenus:<br />
* kasutaja saab teenuses registreerida külastusi<br />
* kasutaja saab küsida külastusstatistikat päevade/kuude/kogu perioodi lõikes<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua võimalus registreerida alamlehtede külastusstatistikat<br />
* luua võimalus külastusstatistikale lisaparameetrite lisamiseks (ip aadress, sirviku versioon jne)<br />
<br />
===Telefoniraamatu teenus===<br />
Mõte selles, et kasutaja saab teenuse abil salvestada kontakte ja nende seast otsida<br />
<br />
====Ülesanne====<br />
Luua telefoniraamatu teenus:<br />
* kasutaja saab teenuses kontakte lisada ja kustutada<br />
* kasutaja saab kontaktide nime/telefoninumbri jne abil otsida<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua võimalus kasutajatel oma kontaktibaase omavahel jagada<br />
* luua võimalus pakkuda kontaktibaasis leiduvate nimede järgi sobivaid nimesid<br />
<br />
===RSS voogude kogumise ja uudiste kuvamise teenus===<br />
Mõte selles, et kasutaja saab teenuse abil salvestada talle huvipakkuvaid RSS vooge ja nendelt voogudelt uudiseid lugeda<br />
<br />
====Ülesanne====<br />
Luua RSS voogude haldusteenus:<br />
* kasutaja saab teenuses RSS vooge lisada ja kustudada<br />
* kasutaja saab pärida talle huvipakkuvate voogude viimaseid uudiseid<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua võimalus kasutajatel erinevaid vooge grupeerida<br />
* luua võimalus voogudes leiduvate uudiste puhverdamiseks (voogude lugemine võtab enamasti üsna palju aega)<br />
<br />
= Meeskonnad 2010=<br />
<br />
<br />
<br />
<br />
==[[Meeskond "Jõrru"]]==<br />
===Teema===<br />
Telefoniraamat<br />
[http://jorru.tumblr.com/ ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Aram Sahradyan,<br />
Kristel Viidik,<br />
Henri Veidenbaum,<br />
<br />
==[[Meeskond "Heiki Mis?"]]==<br />
===Teema===<br />
Nimede pakkumise teenus<br />
[http://nimeteenus.blogspot.com/]<br />
<br />
===Liikmed===<br />
Arno Kender,<br />
Arto Vaas,<br />
Erki Veiko,<br />
Lili-Ann Polluks,<br />
Olavi Soosaar,<br />
<br />
==[[Meeskond "RSS"]]==<br />
[[RSS voogude värskete uudiste korjamise rakendus]]. Kasutaja koostab RSS voogude jada, rakendus võttab välja nimekiri viimastest uudistest...<br />
===Liikmed===<br />
Aleksandr Jastremski IA27<br />
<br />
==[[Meeskond "Juutuub"]]==<br />
===Teema===<br />
juutuubi playlisti generaator<br />
[ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Markus Lausmaa,<br />
Marko Väljaots,<br />
Valdar Kallasmaa,<br />
Jaagup Toome,<br />
Margus Klaamann<br />
<br />
==[[Meeskond "The TuX's"]]==<br />
===Teema===<br />
Näljaste teejuht - kohviku menüü<br />
[ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Tiia Tänav,<br />
Tiina Laast<br />
<br />
==[[Meeskond "näljased"]]==<br />
===Teema===<br />
Menüü. Meie projekti eesmärk on siis ehitada loengus arutletud menüü, mida ehk ka hiljem reaalselt töösse lasta. Nimelt siis veebis töötav menüü, kuhu klienditeenindaja saab lisada asju, muuta ja märkida "otsas" ning kuhu tudengid saavad kasutajaid teha ja anda oma hinnanguid, tagasisidet.<br />
<br />
Flickr. Meie projekti kolmas osa on Flickri API, mis võimaldab otsida kasutajad emaili järgi, otsida suvalisi pilte, uploadida pilte ja vaadata oma pildisette.<br />
[http://naljased.blogspot.com Blogi]<br />
<br />
===Liikmed===<br />
Hannes Karask,<br />
Jürgen Hannus,<br />
Liisa Jõgiste,<br />
Kristjan Karri<br />
<br />
==[[Meeskond "Liivimaa keskmised"]]==<br />
===Teema===<br />
Menüühaldus.<br />
<br />
Kiire ülevaade meie lahendusest. On olemas teenus, mis võimaldab näha valitud kohviku menüüd. Samuti pakub teenus menüü muutmise ja lisamise võimalust. Täpsem teenuse funktsionaalsuse kirjeldus asub meie meeskonna lehel - [[Meeskond "Liivimaa keskmised"]]. Kui kõik läheb hästi, siis valmib ka samale teenusele rakendus, mis jookseb Windows Phone 7 Series peal.<br />
<br />
===Liikmed===<br />
Indrek Ots,<br />
Joosep Püüa,<br />
Mait Poska,<br />
Madis Vellamäe,<br />
Toomas Talviste<br />
<br />
==[[Meeskond "X"]]==<br />
===Teema===<br />
Ladu<br />
<br />
===Liikmed===<br />
Sergei Rumjantsev,<br />
Martin Hallang,<br />
Rauno Pihlak<br />
<br />
==[[Meeskond "Põhi lax!"]]==<br />
===Teema===<br />
Veebi meediaplayer<br />
<br />
===Liikmed===<br />
Sergei Podust<br />
Jüri-Joonas Kerem,<br />
Urmas Sepp,<br />
Tiit Ojamets,<br />
Indrek Eiche,<br />
Silver Kuusik,<br />
Alar Järvesoo<br />
<br />
==[[Meeskond "Valmis!"]]==<br />
===Teema===<br />
Message service<br />
<br />
===Liikmed===<br />
Artur Šarõpin, Leonid Dikušin, Marko Kurm<br />
<br />
==[[Meeskond "One Man Army"]]==<br />
===Teema===<br />
* Desktop rakendus Flickr kliendile<br />
* Provisioning API<br />
===Liige===<br />
Margus Kerma<br />
<br />
[[Category: Võrgurakendused II: hajussüsteemide ehitamine]]</div>Jhannushttps://wiki.itcollege.ee/index.php?title=Kodut%C3%B6%C3%B6_aines_%22V%C3%B5rgurakendused_II:_hajuss%C3%BCsteemide_ehitamine%22_2011&diff=7069Kodutöö aines "Võrgurakendused II: hajussüsteemide ehitamine" 20112010-04-19T10:03:13Z<p>Jhannus: /* Teema */</p>
<hr />
<div>=Kodutöö aines "Võrgurakendused II: hajussüsteemide ehitamine"=<br />
==Eesmärk==<br />
Saada praktiline kogemus hajussüsteemide ehitamisest XML veebiteenus ja vastava kliendi loomise abil ning süvendada meeskonnatööoskust. Kaugem eesmärk on loomulikult hinne :).<br />
<br />
==Reeglid==<br />
''' Kodutöö koosneb kolmest eraldiseisvast ülesandest:'''<br />
* Luua XML fail vabalt valitud andmete edastamiseks,selle faili skeemifail ning XSL fail(id) erinevate transformatsioonide tarvis (soovitavalt vähemalt andmete HTML ja XML kujul kuvamiseks)<br />
* Luua veebiteenus, mis võimaldaks pakkuda teenust, eristada kasutajaid ning näidata teenuse kasutamise statistikat kasutajate ja tegevuste lõikes<br />
* Luua klientrakendus mõnele olemasolevale või endaloodud veebiteenusele<br />
<br />
Ühte projektimeeskonda kuulub 3..5 tudengit (erandjuhul ka 2) ning ühel teemal teostab projekti üks meeskond.<br />
Töö käiku kajastatakse ajaveebis (blogis) või http://wiki.itcollege.ee keskkonnas. Ajaveebi pidamise eesmärke on kaks: nii on võimalik kirja panna kõik mõtted ja ideed (ning nendest jääb jälg) ning õppejõul on hiljem võimalik saada ülevaade iga projektimeeskonna liikme panusest. Ajaveebi loob ja ajaveebi haldab projektimeeskond vabalt valitud (avalikus) keskkonnas.<br />
<br />
==Tähtaeg==<br />
Teema ning meeskonna koosseis peab olema õppejõuga kooskõlastatud hiljemalt 12. aprill 2010.<br />
Üldjuhul on kõige hilisem projekti esitamise/kaitsmise tähtaeg 12. mai 2010.<br />
<br />
==Hindamine==<br />
Iga kolmest alamülesandest hinnatakse eraldi. Meeskonnal tuleb teha oma lahenduste esitlemine, mis toimuvad semestri viimastes loengutes ja praktikumides. '''Kui esitlust ei toimu, siis on maksimaalne hinne "2"'''.<br />
<br />
===Üldised kriteeriumid===<br />
<br />
Teostatuks loetakse projekt juhul, kui lähteülesanne on realiseeritud, lahendus on töötav, kuid esineb suuremaid vigu ning piirsituatsioonidega ei ole arvestatud.<br />
<br />
Maksimumtulemuse saavutamiseks peab projekt olema teostatud tehniliselt veatult ning varustatud dokumentatsiooniga, milles sisaldub arendusprotsessi kirjeldus (peab selguma ka iga rühmaliikme panus projekti teostamisel), kasutajajuhend ning lahenduse kirjeldus. <br />
Tehnilisi ja vormistuslike puudujääke on võimalik korvata lisavõimaluste realiseerimisega.<br />
<br />
'''Lisapunkte annab:'''<br />
<br />
* Majanduslik mõtlemine (kas loodav rakendus oleks kasutatav ka ärilistel eesmärkidel)<br />
* AJAX / Silverlight<br />
* Kasutajamugavus<br />
* Läbimõeldud töökorraldus<br />
* Lisavõimaluste realiseerimine (vt näidisteemad)<br />
<br />
<br />
===XML andmefail===<br />
Ülesande täitmiseks tuleb luua XML fail andmete edastamiseks, selle XML faili skeemifail ning paar kolm sobivat XSL faili loodud XML failis olevate andmete transformeerimiseks HTML formaati ja XML faili formaadi muutmiseks.<br />
<br />
===Veebiteenus===<br />
Loodav veebiteenus peab võimaldama:<br />
* Teenuse pakkumist<br />
* '''Teenuse kasutajate tuvastamist ning haldamist'''<br />
* Teenuse kasutajate ja kasutusstatistika üle arve pidamist kasutajate lõikes<br />
<br />
Soovitav on luua teenus (FE) ja teenuse seadistamiseks ning kasutajate haldamiseks mõeldud rakendus (BE).<br />
<br />
===Klientrakendus===<br />
Klientrakendus mõnele olemasolevale veebiteenusele, võib olla teostatud veebirakendusena, Silverlight, WPF või vormirakendusena.<br />
<br />
Variant1: teha klientrakendus enda loodud veebiteenusele <br />
<br />
Variant2: teha klientrakendus mõnele levinud veebiteenusele.<br />
Näiteks: <br />
* http://www.bing.com/developer<br />
* http://www.flickr.com/services/api/response.soap.html<br />
* http://developer.ebay.com/developercenter/windows/<br />
* http://apiwiki.twitter.com/Getting-Started<br />
<br />
==Konsultatsioonid==<br />
Igal projektimeeskonnal on piiramatu õigus saada õppejõu käest konsultatsiooni ja juhendamist oma<br />
töö tegemiseks, kas harjutuste ajal või pärast harjutusi ja loenguid. Eriaegade suhtes saab sõlmida<br />
õppejõuga kokkuleppeid kontaktidel +372 56 957 000 või heiki.tahis [ät] eesti.ee<br />
(teksti originaalautor Priit Raspel)<br />
<br />
=Teemad 2010 kevad=<br />
''' Kodutöö koosneb kolmest eraldiseisvast ülesandest:'''<br />
* Luua XML fail vabalt valitud andmete edastamiseks,selle faili skeemifail ning XSL fail(id) erinevate transformatsioonide tarvis (soovitavalt vähemalt andmete HTML ja XML kujul kuvamiseks)<br />
* Luua veebiteenus, mis võimaldaks pakkuda teenust, eristada kasutajaid ning näidata teenuse kasutamise statistikat kasutajate ja tegevuste lõikes<br />
* Luua klientrakendus mõnele olemasolevale või endaloodud veebiteenusele<br />
<br />
<br />
<br />
==Näidisteemad==<br />
<br />
===Nimede pakkumise teenus===<br />
Mõte selles, et luua nimede baas, mille abil pakkuda rakenduse loojale sobiva algusega nimesid. Reaalne rakendus: ''autocompleter'' tarvis teenuse pakkumine<br />
<br />
====Ülesanne====<br />
Luua sobiva alguse järgi nimede pakkumise teenus:<br />
* alates kahetähelisetest algustest pakkuda sobivad nimesid<br />
* luua võimalus kasutajatel nimesid lisada<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua kontroll, et nimi lisatakse baasi alles siis, kui seda nime on pakkunud vähemalt kaks erinevat kasutajat<br />
* luua roll-back'i võimalus juhuks, kui mõni kasutaja on tegelenud spämmimisega<br />
<br />
===Külastusstatistika teenus===<br />
Mõte selles, et pakkuda teenust, kus kasutajal on võimalik registreerida külastused ning küsida oma külastusstatistikat.<br />
<br />
====Ülesanne====<br />
Luua külastusstatistika teenus:<br />
* kasutaja saab teenuses registreerida külastusi<br />
* kasutaja saab küsida külastusstatistikat päevade/kuude/kogu perioodi lõikes<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua võimalus registreerida alamlehtede külastusstatistikat<br />
* luua võimalus külastusstatistikale lisaparameetrite lisamiseks (ip aadress, sirviku versioon jne)<br />
<br />
===Telefoniraamatu teenus===<br />
Mõte selles, et kasutaja saab teenuse abil salvestada kontakte ja nende seast otsida<br />
<br />
====Ülesanne====<br />
Luua telefoniraamatu teenus:<br />
* kasutaja saab teenuses kontakte lisada ja kustutada<br />
* kasutaja saab kontaktide nime/telefoninumbri jne abil otsida<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua võimalus kasutajatel oma kontaktibaase omavahel jagada<br />
* luua võimalus pakkuda kontaktibaasis leiduvate nimede järgi sobivaid nimesid<br />
<br />
===RSS voogude kogumise ja uudiste kuvamise teenus===<br />
Mõte selles, et kasutaja saab teenuse abil salvestada talle huvipakkuvaid RSS vooge ja nendelt voogudelt uudiseid lugeda<br />
<br />
====Ülesanne====<br />
Luua RSS voogude haldusteenus:<br />
* kasutaja saab teenuses RSS vooge lisada ja kustudada<br />
* kasutaja saab pärida talle huvipakkuvate voogude viimaseid uudiseid<br />
* luua võimalus ühele kasutajale (või erinevatele kasutajagruppidele) maksimumpäringute hulga määramiseks<br />
<br />
Lisavõimalused:<br />
* luua võimalus kasutajatel erinevaid vooge grupeerida<br />
* luua võimalus voogudes leiduvate uudiste puhverdamiseks (voogude lugemine võtab enamasti üsna palju aega)<br />
<br />
= Meeskonnad 2010=<br />
<br />
<br />
<br />
<br />
==[[Meeskond "Jõrru"]]==<br />
===Teema===<br />
Telefoniraamat<br />
[http://jorru.tumblr.com/ ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Aram Sahradyan,<br />
Kristel Viidik,<br />
Henri Veidenbaum,<br />
<br />
==[[Meeskond "Heiki Mis?"]]==<br />
===Teema===<br />
Nimede pakkumise teenus<br />
[ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Arno Kender,<br />
Arto Vaas,<br />
Erki Veiko,<br />
Lili-Ann Polluks,<br />
Olavi Soosaar,<br />
<br />
==[[Meeskond "RSS"]]==<br />
[[RSS voogude värskete uudiste korjamise rakendus]]. Kasutaja koostab RSS voogude jada, rakendus võttab välja nimekiri viimastest uudistest...<br />
===Liikmed===<br />
Aleksandr Jastremski IA27<br />
<br />
==[[Meeskond "Juutuub"]]==<br />
===Teema===<br />
juutuubi playlisti generaator<br />
[ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Markus Lausmaa,<br />
Marko Väljaots<br />
<br />
==[[Meeskond "2tornot2t"]]==<br />
===Teema===<br />
Näljaste teejuht - kohviku menüü<br />
[ajaveebi aadress:]<br />
<br />
===Liikmed===<br />
Tiia Tänav,<br />
Tiina Laast<br />
<br />
<br />
==[[Meeskond "näljased"]]==<br />
===Teema===<br />
Menüü. Meie projekti eesmärk on siis ehitada loengus arutletud menüü, mida ehk ka hiljem reaalselt töösse lasta. Nimelt siis veebis töötav menüü, kuhu klienditeenindaja saab lisada asju, muuta ja märkida "otsas" ning kuhu tudengid saavad kasutajaid teha ja anda oma hinnanguid, tagasisidet.<br />
<br />
[http://naljased.blogspot.com Blogi]<br />
<br />
===Liikmed===<br />
Hannes Karask,<br />
Jürgen Hannus,<br />
Liisa Jõgiste,<br />
Kristjan Karri<br />
<br />
==[[Meeskond "Liivimaa keskmised"]]==<br />
===Teema===<br />
Menüühaldus. <br />
<br />
===Liikmed===<br />
Indrek Ots,<br />
Joosep Püüa,<br />
Mait Poska,<br />
Madis Vellamäe,<br />
Toomas Talviste<br />
<br />
==[[Meeskond "X"]]==<br />
===Teema===<br />
Ladu<br />
<br />
===Liikmed===<br />
Sergei Rumjantsev,<br />
Martin Hallang,<br />
Rauno Pihlak<br />
<br />
==[[Meeskond "Põhi lax!"]]==<br />
===Teema===<br />
Veebi meediaplayer<br />
<br />
===Liikmed===<br />
Sergei Podust<br />
Jüri-Joonas Kerem,<br />
Urmas Sepp,<br />
Tiit Ojamets,<br />
Indrek Eiche,<br />
Silver Kuusik,<br />
Alar Järvesoo<br />
<br />
==[[Meeskond "Valmis!"]]==<br />
===Teema===<br />
Varsti tulemas...<br />
<br />
===Liikmed===<br />
Artur Šarõpin, Leonid Dikušin<br />
<br />
[[Category: Võrgurakendused II: hajussüsteemide ehitamine]]</div>Jhannus