Artykuły
Wybieramy rozwiązanie do ochrony WLAN
6 września 2010,
Patryk Królikowski
O tym, że do bezpieczeństwa sieci WLAN trzeba podchodzić równie poważnie jak do sieci przewodowych - nie trzeba chyba nikogo przekonywać. Tym razem nie będziemy skupiać się na bezpiecznej konfiguracji sieci (stosowanie WPA2 Enterprise, 802.1x, 802.11i itp.), lecz postaramy się pokazać wybrane narzędzia do monitorowania jej zabezpieczeń. Przybliżymy także nowe zagrożenie, które od kilkunastu tygodni straszy WLAN-y.
Nie sposób nie wspomnieć także o tworzeniu reguł i raportowaniu. WIPS powinien dać nam szansę dość wiernego odwzorowania polityki bezpieczeństwa. Dobrze jest, jeżeli przy tym dostarcza szablony, dzięki którym wpasujemy się w odpowiednią regulację. Wreszcie wszelkie naruszenia muszą zostać odpowiednio zaraportowane w czytelnej (także dla menedżerów) formie. Nie zaszkodzi, jeżeli producent pomyślał o wprowadzeniu mechanizmów, które sprawią, że zebrane dane będą mogły być wykorzystane w procesie computer forensics.
Na koniec dwie uwagi. Po pierwsze, pamiętajmy, że WIPS musi nadążać za technologią. Ostrożnie należy podchodzić do produktów niewspierających jeszcze dekodowania transmisji 802.11n, szczególnie w trybie Greenfield, w którym - w celu zwiększenia wydajności - wyłączona jest wsteczna kompatybilność z 802.11a/b/g. A po drugie, jeżeli chcemy mieć WIPS-a, a nie znajdujemy zrozumienia w kręgach decyzyjnych ( przy tym działamy w sektorze finansowym), zawsze możemy podeprzeć się jednym z punktów wymagań regulacji PCI DSS. Punkt 11.4 mówi o konieczności IPS-a, który monitoruje cały ruch, zatem także bezprzewodowy.
Nie zawsze kombajn
Zakup narzędzia kompleksowego nie zawsze jest możliwy. Trudno też od razu określić wszystkie potrzeby, jakie będą musiały być zaadresowane. Dlatego też budując rozwiązanie do zabezpieczania sieci WLAN, możemy skompletować wiele małych narzędzi. Pomogą one w zrealizowaniu podstawowych zadań oraz określeniu wymagań wobec większego systemu.
Z rozwiązań sprzętowych warte uwagi są wszelkie narzędzia przenośne, np. AirCheck (Fluke)Z rozwiązań sprzętowych warte uwagi są wszelkie narzędzia przenośne, np. AirCheck (Fluke). Dzięki nim będziemy w stanie zobaczyć i zlokalizować sieci Wi-Fi (wykorzystując dodatkową antenę kierunkową) w najbliższym otoczeniu, czy zidentyfikować wykorzystywane algorytmy szyfrowania. Pomagają zatem przede wszystkim w znalezieniu nieautoryzowanych urządzeń w naszej przestrzeni (również z ukrytym SSID) oraz potwierdzeniu jednolitości technologii stosowanych przez własne punkty dostępowe. Sprawdzimy też hałaśliwość punktów dostępowych, co pomoże w dostrojeniu siły sygnału i optymalizacji pokrycia. Poza bezpieczeństwem, będziemy mieli możliwość sprawdzenia zagęszczenia na każdym kanale, obecności interferencji itp.
Można też skorzystać z typowo programowych rozwiązań. Na przykład z mniej zaawansowanego, ale bezpłatnego rozwiązania AiroSuite (www.divideconcept.net), które przeznaczone jest do instalacji na komórkach z Windows Mobile. Podobnie jak narzędzie Fluke’a jest w stanie pokazać wszystkie sieci WLAN w okolicy i zidentyfikować stosowane przez nie protokoły zabezpieczeń. AiroSuite pozwala użyć GPS-a i zlokalizować AP na mapie. Ta ostatnia funkcja w pomieszczeniach będzie raczej mało przydatna. Natomiast ważne jest, że odnaleziony przez program AP możemy uwzględnić w prostym raporcie, co pozwoli usystematyzować zebrane dane.
W podręcznym zestawie narzędzi nie powinno także zabraknąć tych do testowana jakości zabezpieczeń naszej sieci. Jednym z najbardziej popularnych jest pakiet Aircrack-ng, na który składa się kilkanaście małych programów realizujących takie zadania, jak przeprowadzanie ataków na klientów sieci WLAN, przełamywanie WEP/WPA-PSK, deautentykacja klientów, tworzenie zmodyfikowanych pakietów, a następnie ich wstrzykiwanie. Przyda się także Metasploit (w szczególności Karmetasploit), za pomocą którego będziemy w stanie testować podatność naszej sieci.
Przedstawione powyżej rozwiązania to zaledwie początek. Coraz większą popularność zyskują narzędzia łączące wspomniane funkcje z modułem Network Access Control, co w przypadku eliminowania punktów nieautoryzowanych ma niebagatelne znaczenie. Należy się także spodziewać, że lada moment producenci dostrzegą potencjał drzemiący w urządzeniach mobilnych i oprócz sieci Wi-Fi zaczną dodawać wsparcie dla urządzeń LTE czy Bluetooth.
Wojciech Krypiak Technical Sales Architect Motorola Enterprise Mobility Solutions
Z punktu widzenia bezpieczeństwa sieci bezprzewodowych kluczowe w transmisji sieciowej są poufność i integralność danych. Pierwsza cecha daje gwarancję, że dane przesyłane w sieci nie są czytelne/zrozumiałe przez nikogo, poza wysyłającym i odbierającym takie dane. Druga zapewnia, że dane po drodze nie zostały przez nikogo zmodyfikowane. Gwarancje takie możemy osiągnąć, stosując najnowsze dostępne mechanizmy autoryzacji oraz szyfrowania danych.Jednym z poważniejszych zagrożeń w sieciach bezprzewodowych jest tzw. podszywanie, dzięki któremu użytkownik mobilny może wysyłać dane do intruza zamiast do zaufanego punktu dostępowego.Niemniej, nawet nie mając bezpośredniego dostępu do sieci bezprzewodowej, intruz może przeprowadzić atak DoS (Denial of Service). Nie powoduje on co prawda wycieku danych na zewnątrz sieci, ale skutecznie unieruchamia usługi w niej dostępne.Dlatego przy wdrażaniu sieci bezprzewodowych ważne jest nie tylko używanie mechanizmów uwierzytelniania oraz szyfrowania, ale także analiza ruchu w sieci oraz skuteczna detekcja i neutralizacja zagrożeń. Jest to możliwe dzięki zastosowaniu takich mechanizmów, jak Wireless IDS (Intrusion Detection System) oraz Wireless IPS (Intrusion Protection System), które skutecznie eliminują zagrożenia charakterystyczne dla sieci WLAN.Komentarze (0)
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...