站點有各種不同的規模與規劃,無論是大型校園、教育、醫療、零售,還是工業應用,又譬如公用事業分支、製造或倉儲設施,以及運輸樞紐;CyberScope是一款便攜的網路安全分析儀,專為評估站點的安全性而設計,特別是在存取層 (access layer) ——也就是最後100米,網路存取層(Access Layer)通常位於整個網路架構的最底層,為資料從網路裝置(如交換機或路由器)到最終使用者裝置(如電腦、手機或其他終端裝置)的傳輸路徑,這一段路徑往往被認為是網路中最容易受到攻擊或存在風險的地方,因為它最接近實際的使用者裝置;儘管網路存取層 (access layer) 的動態特性使網路變得多功能、可擴展和有韌性,但也帶來了出現暴露或配置錯誤的攻擊面,這一層需要能夠應對不斷變化的網路環境,包括新裝置的加入、流量的變化以及可能的問題和攻擊。
CyberScope的便攜性和可從實際站點展開測試的優勢,使得進行全面的物理站點評估變得輕而易舉,這範圍包括:確保正確的網路分割,了解網路上的每個裝置以及它們的連接位置,這是中央監控解決方案所無法實現的;CyberScope具有多個Wi-Fi和銅纜/光纖測試介面,可全面了解您的網路中有哪些裝置和資源,無論傳輸媒介為何,包括關鍵的伺服器、基礎設施交換機、AP和所有連接網路的端點裝置;儘管有多種應用CyberScope的方法,包括頻譜分析和資料封包捕捉,但執行站點評估主要包括三個主要元素。
存取分割驗證
網路邊緣,不管是有線還是無線的,都相當複雜,要驗證集中式的基礎結構配置和分割是否正確部署,而不是在存取點(APs)模擬真實終端裝置在存取點(APs)的行為,這是相當困難的;使用CyberScope,您可以輕鬆執行自動化測試,只需點擊一個按鈕,而不需要過多的技術知識,這些測試可以檢查所有不同的存取技術,包括每個無線網路的配置以及相關的許可權,還包括特定的虛擬區域域網(VLAN);CyberScope的測試不僅可以確保您可以正確地連接到網路(可達性),還可以確保您無法連接到不應該連接的部分(非可達性),這有助於確保網路的設置在每個方面都是正確的。
網路盤點
Discovery功能可以找出您網路中的所有裝置和端點,無論是有線還是Wi-Fi,並顯示它們的連接方式,然後它會對每個元素進行分類,包括名稱、服務、位址和設定等訊息;它還整合了Nmap技術,可以根據每個服務或裝置的需求進行深入的自定義探測,這些結果可以在分析儀上即時查看,也可以雲端的資料控制台(NetAlly的Link-Live平台)上進行更深入的分析、報告以及團隊協作。(延伸閱讀:揭開神秘面紗:現場網路分析儀在網路安全評估中的關鍵作用)
站點的無線/射頻裝置映射
無線 (wireless) 站點調查用於了解並定位Wi-Fi存取點(APs)、用戶端和藍牙裝置,只需簡單的周邊巡視就足以檢測所有的無線活動,以及端點和APs之間的互動方式,並收集後續位置三角量測所需的情報,強大的熱度圖分析可用於分析和記錄站點上的所有無線活動。
存取分割驗證
適當的網路分割對於網路安全非常重要,因為它能夠隔離不同的網路功能,使駭客更難橫向移動並進入敏感資料的區域,使用CyberScope的AutoTest功能,只需點擊一個按鈕,就可以確保您的有線或無線存取網路得到正確設定,並確保SSID、VLAN、防火牆設定、以及IT/OT跨區域存取之間的隔離,這有助於確保您的網路保持安全性和完整性。(延伸閱讀:為什麼應該為 Wi-Fi 6/6E 裝置部署新的網路名稱 (SSID))
有線網路的分割
有線網路分割是透過使用虛擬區域網路(VLAN)來隔離不同的網路應用,即使它們實際上共享同一個物理網路,在這種情況下,CyberScope 允許建立AutoTest配置文件,每個配置文件都有易於識別的名稱,可以選擇作為本地配置(未標記的)或者配置成加入特定的 VLAN;同時,有線配置還支援 MAC 地址欺騙(MAC Address Spoofing)這表示可以修改或者偽造裝置的 MAC 地址,以及包括14種不同EAP類型的802.1X身份驗證方法,以確保網路存取的安全性和合法性。
WI-FI 網路
在 Wi-Fi 網路的存取中,每個 SSID 代表不同的網路,通常對應到自己的 VLAN,Wi-Fi 配置文件允許您指定 SSID 和相關的身份驗證,包括新的 6GHz 頻段、Wi-Fi 6E 和 WPA3,以及傳統的身份驗證方式,如 WEP 和 WPA;此外,Wi-Fi 配置文件還支援進一步的 SSID 驗證,可以根據不同的頻段(2.4GHz、5GHz、6GHz)和 BSSID 導向來設定;這表示您可以強制連接到特定的頻段,並使用不同的身份驗證方式(例如,在 2.4GHz 和 5GHz 頻段使用 WPA-2,而在 6GHz 頻段使用 WPA-3)來驗證相同 SSID 的身份。(延伸閱讀:Wi-Fi 6所使用的技術、與無線網路測試有哪些突破性的改變?)
一鍵測試即可驗證多重網路
可以將多個測試組合在一起,以簡化對複雜分段的網路進行全面存取測試,只需按下一個按鈕,即可獲得通過、未通過、或警告的結果,這樣能夠更輕鬆地進行存取驗證,舉例來說:在醫院中,可能會有不同的SSID,分別用於患者監測、醫療記錄、隨身輕量型語音通訊裝置 (voice badges)、輸液幫浦、和訪客等特定功能,配置文件組可以逐個連接到每個SSID,並執行一系列測試,以確保某些網路資源和服務僅能從其指定的網路存取,一鍵式驗證,讓存取測試變得更加簡便。
CyberScope的AutoTest整合了Nmap,可進行更深入的網路存取測試,包括檢查開放的TCP/UDP埠、防火牆是否阻擋或屏蔽了特定的網路流量或連線,以及檢測廣播服務,如Alexa®、Googlecast®、AirPnP® 或Spotify® 等;Nmap的輸出會自動進行評分,以實現可重複的通過/失敗評估。
網路盤點
Discovery功能詳細呈現您的網路基礎架構和拓撲結構,顯示所有有線或 Wi-Fi,包括 6E 的終端裝置 (如電腦、手機、伺服器等);CyberScope 透過其多個有線、Wi-Fi 和 BLE 介面自動探測網路裝置。
可進一步設定擴展範圍,允許您探查企業網路額外的非本地子網段,或者限制探查不應該探測的網路範圍和裝置;CyberScope將Nmap添加到其探查過程中,允許獲得額外更詳細的訊息,如:主機上的服務、版本、和作業系統檢測;您可以進一步使用路徑分析(第2層和第3層)、封包捕捉、透過更深入的Nmap查詢來檢查感興趣的任何個別裝置,或者透過使用者名稱和授權類型進行分類(紫色的“懸浮的操作按鈕”可快速操作一系列針對特定裝置的分析工具),探查到的裝置將根據預先配置的MAC位址列表進行審核,包括:萬用字元(wildcards),以自動分類為授權、未授權、鄰居...,並在檢測到時發出警報(例如偵測到不需要的 Raspberry Pi 裝置時會觸發警報)。
CyberScope擁有獨特的功能,可以透過空中監測和主動探測來識別Wi-Fi裝置,提供比僅僅MAC位址更深入的Wi-Fi客戶端訊息,例如裝置的型號、製造商、Wi-Fi標準(如Wi-Fi 6E、WPA3等)、連接狀態、IP等;其自動問題檢測以及互動式的篩選和排序功能,讓您可以在手持式CyberScope上輕鬆查看整個網路資源和裝置清單,當需要進行文件編輯和協作時,Link-Live可以讓您從任何地方進行遠端存取,並提供網路拓樸圖和表格的分析。
站點的無線/射頻裝置映射
Wi-Fi是一個重要的威脅,因為它不受有線限制,要應對各種Wi-Fi攻擊,我們需要了解每個Wi-Fi裝置,包括存取點(APs)或用戶端,還有BLE裝置的性質。
我們有多種方法可以找到這些射頻(RF)裝置,如果只需查找單個裝置,CyberScope的定位功能可使用內建的全向天線或外接定向天線,如果CyberScope連接到網路,它還可以執行路徑分析,顯示所有基礎裝置(L2、L3)以及您和裝置之間的精確連接路徑。
此外,AirMapper™ 站點調查可以透過樓層平面熱圖來繪製裝置位置的地圖。
AIRMAPPER 站點調查
任何樓層平面的PDF文件或圖檔,都可以快速轉換為詳細的站點RF調查,利用內建混雜模式掃描無線電 (promiscuous scanning radio),它能夠主動掃描和監聽無線訊號,而不僅僅是傳輸或接收數據,這種模式允許裝置主動收集周圍所有無線裝置的數據,然後將您站點上Wi-Fi和BLE的位置標示在您的站點平面圖上,無論是 AP 還是客戶端裝置;透過將其第二無線電連接到網路,CyberScope能夠同時執行多項任務,它可以同時探查網路拓撲並對偵測到的裝置執行Nmap調查;這種連接還允許同時遠端控制,使資深的工程師能夠指導遠端的“小幫手”協助進行調查。
這些帶有特定位置資料,包含了詳盡的Wi-Fi分析,其中包括所有SSID、BSSID、AP通道之間的關係映射。
整合 NMAP
Nmap技術完全整合在CyberScope中,它提供了探查網路裝置的功能,能夠傳回有關服務版本、操作系統檢測等重要資訊,內建功能是可擴充的,擁有超過600個腳本,可以深入了解每個服務或裝置的詳細資訊。CyberScope善用Nmap的強大功能,同時簡化了操作,使複雜的指令列得到簡化,並附上容易辨識的名稱,超過600個腳本的清單可以輕鬆搜尋,測試文件的輸出經過優化,可分類為警告或錯誤;Nmap測試可對特定裝置執行,以探查和驗證設定的正確性,或者自動應用於所有已探測到的裝置,使CyberScope的探測 (discovery) 功能更加強大且深入。
總結:簡化站點評估
站點評估的主要目標是確保您的網路在各個方面的運作都能正常,這包括有線和Wi-Fi存取的分割是否正確,網路上所有裝置的清單,以及無線裝置的位置;為了實現這些目標,我們使用了一系列工具和技術,例如Wi-Fi和BLE掃描、Nmap技術等等,這些工具可以幫助我們深入了解您的網路。
AutoTest: 是用來連接到各種網路,並在存取點 (APs) 驗證有線和Wi-Fi網路是否正確分割和配置的工具,只需按下一個按鈕,就可以清楚地顯示通過或失敗的結果。
Discovery 和Wi-Fi 應用程式: 可立即提供所有網路裝置的視圖,從而可以完整記錄您網路中的每個裝置,即有線或無線的每個裝置;Discovery還包括基礎架構的拓撲和路徑分析,清楚的呈現了每個端點的連接方式,裝置上的搜尋、排序和篩選功能,使您能夠輕鬆識別異常情況,並對元素進行標記和分類;所有結果都可在分析控制台(Link-Live)上進行拓撲或以表格來進行分析、比較、共享和製作報告。
最後,AirMapper可用於建立一個無線站點RF研究,無論是存取點 (APs)、客戶端、還是BLE,產生的樓層平面熱圖可以隨時查看,以查找不良客戶端、流氓AP、熱點、或其他未知的RF裝置,例如打印機上的Wi-Fi存取被打開了。
這三種研究方法將幫助您發現站點的安全問題,同時確認資產和設定管理是否正確,不管是現場使用還是遠端操作,我們收集的所有數據都可以傳送到Link-Live,這是NetAlly的雲端數據平台,您也可以選擇以私有方式部署,在那裡,您可以進行深入的分析、協作和報告。
CyberScope以其堅固的便攜式設計和多功能性,能夠快速提供實用的分析,幫助您深入了解站點的網路存取狀態,擴大您的覆蓋範圍,並彌補其他網路安全工具無法處理的關鍵可見性缺陷。
延伸閱讀
NMAP 函式庫、指令與參數 > 為加速資安人員透過 NMAP 進行各種漏洞管理,翔宇科技特別針對 NMAP 函式庫、各種指令與參數、及其用法進行翻譯整理,並持續更新。