Wireless Detective 802.11 a/b/g/n 無線網路封包鑑識

 


 
E-Detective 802.11 a/b/g/n無線網路通訊監察設備共計有二個主要功能,系統依二個主要功能建製成二個子模組。這二個單元主要包含了位於前端第一個子模組無線網路封包偵測與擷取模組,本模組具有無線網路偵測器(Wireless LAN Detector) 及探嗅器(Sniffer)兩大功用,該子模組功能為負責偵測802.11b/g網路通訊第二層(Layer 2)之無線區網的基地台(Access Point,簡稱為AP)以及偵測與該基地台通訊的通訊戶(Station,簡稱為STA)及將無線網路區域內進行傳輸無線網路封包側錄下來。第二個模組為還原解析鑑識模組功能是將擷取到的網路封包電磁紀錄依特性加以分類,依先後次序還原封包排列及儲存,同時並將分類後的封包依所知的規則 (Protocol),予以解譯成明碼儲存在資料庫中,隨時供使用者查核。
 

 
 
以下針對這二個模組功能分別作規格說明:
 

 
一、 802.11a/b/g/n無線網路封包偵測器(Wireless LAN Detector)及探嗅器(Sniffer)模組

模組主要功能是偵測本偵測器可觸及範圍內所有802.11無線網路之通訊,並在偵測到的無線網路區域內,偵測出有那一些無線區網的基地台(AP)及與此基地台通訊的通訊戶(STA)。本偵測器可進一步地結合全球衛星定位系統(簡稱為GPS),並利用電子地圖找出所偵測到的APs或STAs的大概地理位置,若為了作更精確之STA或AP之定位,可將三台E- Detective Wireless Detector設備利用網路聯線起來配合更高靈敏度天線及訊號放大器,利用數學上三角定位原理計算出監聽對象所在位置,通常可能精確到十公尺以內之定位。遠距離側錄則依天氣,地形,干擾等因素而定,最遠有可能監聽距離到達二公里至四公里遠,甚至於五公里以上之距離。但由於地殼為圓弧形的原故,因此監聽距離最多不可能超過十公里遠。
 

為達成側錄之完整性,探嗅器可以建立以下各種組態(Configuration)及功能。

 

可以偵測到的無線區網的基地台(AP)相關資訊包含如下:

  • AP的BBSID(MAC位址)。
  • 所使用的頻道。
  • 有多少個STAs。
  • 有多少個加密encrypt封包。
  • 有多少個資料封包。
  • AP的一些額外資訊(依AP品牌,必須AP IC元件製造商己經過國際註冊認證者)。
  • 雜訊強度(noise level)及訊號強度。
  • SSID or ESSID。
  • 無線網路的形態:Probe, Ad-hoc, Infra。
  • WEP(wired equivalent privacy protocol)狀態。
  • 無線區網內封包傳輸總數量。
  • 其他。

 

可以偵測到通訊戶(STA)的相關資訊如下:
有多少個加密的封包進出這個STA。
  • 總共有多少個封包進出這個STA。
  • 這個STA的IP位址(IP Address)。
  • 這個STA的MAC位址。
  • 這個STA的製造商(己經過國際註冊認證者)。
  • 這個STA的最大傳輸速率。
  • 這個STA的雜訊和訊號強度。
  • 這個STA的種類(Established, To-DS, From-DS)。
  • 其他。

 
 


 探嗅器(Sniffer)側錄功能如下:
 可以架設多個探嗅器分散式地側錄,並可透過網路聯線將各個探嗅器側錄到的資料集中處理分析。

  • 每個探嗅器可以裝上至少二張無線網卡,每張無線網卡可同時進行二個頻道的鎖定側錄。
  • 每張無線網卡可以跳頻道地或鎖定某頻道的方式去側錄。
  • 側錄下來的802.11資料封包可以進一步用E-Detective作應用層(Application Layer)的處理,並儲存到資料庫作日後的分析運用。
  • 其他。
二、還原解析鑑識Forensics及資料伺服器模組
後端還原解析鑑識模組將擷取到的網路封包依所知的規則 (Protocol),予以解譯成明碼儲存在資料伺服器之資料庫中,隨時供使用者查核,其功能如下:
 
1. 
 		 Email紀錄:

1.1 POP3: POP3清單可記錄每封收到 email的詳細相關資訊,包括收信日期、時間、寄件者、收件者、副本、主旨、大小和附加檔。並包含下列功能:刪除資料、設定每頁顯示的資料筆數、可以依照所設定的條件進行搜尋、可直接觀看信件內容及開啟附加檔、可設定忽略規則,可將符合忽略規則的資料刪除。設定之忽略規則包含寄件者、收件者、副本、主旨和檔案大小等於或比設定值小時,所設定之資料便不會顯示在畫面上。

1.2 SMTP:記錄了每封所寄出 email的基本資訊,包括寄件者、收件者、副本、密件副本、主旨、日期、時間、大小和附加檔。並包含下列功能:刪除資料、設定每頁顯示的資料筆數、進階搜尋功能,可以依照所設定的條件及關鍵字進行搜尋、直接觀看信件內容及開啟附加檔。

1.3 信件轉送:提供過濾 email 的功能,可依照需求設定一些條件及關鍵字,系統會紀錄符合條件及關鍵字的 email,並複製一份給您所指定的人員。

1.4 Email統計:提供下列資訊:
1.4.1 每天的email 總數量
1.4.2 每天email 總容量
1.4.3 每天有多少 email 有附加檔
1.4.4 特定使用者的email總數量
1.4.5 特定使用者的email 總容量
1.4.6 特定使用者的email 有多少附加檔

 
2.
 		 FTP 紀錄:可記錄日期、時間、使用者電腦的 IP、使用者名稱、密碼、上傳或下載的檔案等等。並包含下列功能:FTP 紀錄、刪除資料、設定每頁顯示的資料筆數。

3.
 		 TELNET紀錄:各類Telnet 連線登入及登出行為紀錄及原文播放式呈現。

 
4.
 		 Instant Message紀錄:

4.1 可記錄日期、時間、使用者代號、IP、對談者和對談內容及附加檔案。

4.2 可選擇依照 [日期]或 [IP] 顯示使用狀況統計圖表。

4.3 可記錄MSN、ICQ、AOL、Yahoo Message、QQ(不含附加檔案,Client 需配合設定)等之即時通訊訊息。

 
5.
 		 Website 紀錄:紀錄使用者瀏覽過的網址和網頁郵件的內容。

5.1 網址的紀錄:包括日期、時間、使用者IP(或使用者名稱)和網址。

5.2 網頁郵件的紀錄:送出的網頁郵件紀錄包含日期、時間、寄件者、收件者、副本、密件副本、主旨、附加檔案、由那個Web mail server寄出。

5.3 可記錄利用網頁接收支援的Web mail內容。

5.4 可記錄 Hinet、Hotmail、PCHome、Yahoo、URL、Giga、Yam、Sina、 Seednet、mail.tom.com、mail.163.com、Sohu.com、Maildozy(Thailand)等12種(含)以上之 Web mail server。

 
6.
 		 系統控制:

6.1 可透過瀏覽器遠端更改網路設定、DNS設定、對應IP、通訊埠、進行關機控制。

6.2 顯示出硬碟使用的資訊,包括硬碟大小、使用空間、剩餘空間和使用百分比。在硬碟容量使用達到80%時,顯示警告訊息。

 
7.
 		 使用者清單管理:可編輯使用者 IP 及 Domain Name,顯示出目前人員電腦的使用狀態。

8.
 		 系統使用者帳戶管理:可設定使用者帳號、密碼、群組、權限。
9.
 		 Web 管理介面:支援https以及SSH,提供資料保密及最佳安全性。
10.
 		 安全管理: 內建防火牆及群組限制,提供系統資料保密及最佳安全性保障。
11.
 		 資料備份及匯出功能: 提供光碟機及資料備份及匯入匯出功能、便於証據資料保存及處理。

12.
 		 統計圖表: 可依需求產生各式彈性統計圖表。
13.
 		 彈性客制能力: 定興強大RD群可依客戶需求彈性客制新功能。
14. 
 		 大量資料儲存: 支援網路檔案伺服器,可以即時儲存備大量資料。

© 2010 Decision Group