Wiadomości
Obrona z obu stron: Wi-Fi i Ethernetu
Nie sposób nie zgodzić się ze stwierdzeniem, że w świecie idealnym administratorzy sieci powinni zarządzać bezprzewodowym i przewodowym LAN z jednego okna na ekranie. Jednak cel ten staje się wyzwaniem, kiedy protokoły każdej sieci są rożne, takie jak Wi-Fi i Ethernet.
Podobnie jak multicast czy QoS (Quality of Service), funkcja wykrywania i zapobiegania wtargnięciom (IDS/IPS) działa inaczej po stronie przewodowej i bezprzewodowej korporacyjnego przełącznika Ethernet.
Systemy wykrywania i zapobiegania wtargnięciom w środowisku bezprzewodowym (WIDS/WIPS) mają wgląd w warstwę 2 klienta Wi-Fi i punktów dostępowych (AP). Identyfikują nieautoryzowane urządzenia podejmujące próbę podłączenia się do sieci i stanowią punkt obserwacyjny dla możliwych ataków na protokół Wi-Fi.
Takie ataki mogą obejmować próby "instruowania" klienta w celu rozłączenie się z AP lub połączenia się z wrogim AP. Ponieważ nie ma tu fizycznego kabla łączącego, zakłócenie transmisji może pojawić się na poziomie fizycznym połączenia radiowego (poziom 1) i może być zamierzone lub nie. I tak np. zakłócenia częstotliwości radiowej mogą powodować całkowitą odmowę usługi (DoS). Inne zakłócenia, pochodzące np. z kuchenek mikrofalowych, bezprzewodowych kamer wideo, telefonów bezprzewodowych, zakłóceń międzykanałowych itp. - mogą stanowić mniejsze utrapienie, nie wpływające na wydajność, ale mogą również powodować zablokowania WLAN.
Monitorowanie i klasyfikacja urządzeń zakłócających na poziomie 1 jest nazywana ogólnie "analizą widma", a nie WIPS. Analiza widma jest funkcją kontroli wydajności i lokalizowania problemów, a nie typową funkcją ochronną.
Po stronie przewodowej Ethernet, tradycyjne IDS/IPS działają w wyższej warstwie sieciowej, skupiając się na bezpieczeństwie. Wyszukują ataki na protokół IP, aplikacje i system operacyjny. Oprogramowanie antywirusowe na laptopach może pracować w połączeniu z oprogramowaniem IDS/IPS w routerach dostępowych WAN, i może być w innych miejscach sieci przewodowych, monitorując przepływ ruchu w sieci przewodowej pod kątem malware lub podejrzanych sygnatur ruchu. Z chwilą znalezienia takiej sygnatury, ten fragment ruchu może być poddany kwarantannie lub odfiltrowany z ruchu.
Wniosek z tego wszystkiego jest taki, że chociaż funkcje IDS/IPS są podobnie nazwane, różnią się w zależności od tego, czy są wykonywane po "radiowej" stronie sieci, czy po ethernetowej. Na dzisiaj oznacza to, że muszą być konfigurowane i utrzymywane oddzielnie, i to na ogół z różnych ekranów zarządzania.
Systemy wykrywania i zapobiegania wtargnięciom w środowisku bezprzewodowym (WIDS/WIPS) mają wgląd w warstwę 2 klienta Wi-Fi i punktów dostępowych (AP). Identyfikują nieautoryzowane urządzenia podejmujące próbę podłączenia się do sieci i stanowią punkt obserwacyjny dla możliwych ataków na protokół Wi-Fi.
Takie ataki mogą obejmować próby "instruowania" klienta w celu rozłączenie się z AP lub połączenia się z wrogim AP. Ponieważ nie ma tu fizycznego kabla łączącego, zakłócenie transmisji może pojawić się na poziomie fizycznym połączenia radiowego (poziom 1) i może być zamierzone lub nie. I tak np. zakłócenia częstotliwości radiowej mogą powodować całkowitą odmowę usługi (DoS). Inne zakłócenia, pochodzące np. z kuchenek mikrofalowych, bezprzewodowych kamer wideo, telefonów bezprzewodowych, zakłóceń międzykanałowych itp. - mogą stanowić mniejsze utrapienie, nie wpływające na wydajność, ale mogą również powodować zablokowania WLAN.
Monitorowanie i klasyfikacja urządzeń zakłócających na poziomie 1 jest nazywana ogólnie "analizą widma", a nie WIPS. Analiza widma jest funkcją kontroli wydajności i lokalizowania problemów, a nie typową funkcją ochronną.
Po stronie przewodowej Ethernet, tradycyjne IDS/IPS działają w wyższej warstwie sieciowej, skupiając się na bezpieczeństwie. Wyszukują ataki na protokół IP, aplikacje i system operacyjny. Oprogramowanie antywirusowe na laptopach może pracować w połączeniu z oprogramowaniem IDS/IPS w routerach dostępowych WAN, i może być w innych miejscach sieci przewodowych, monitorując przepływ ruchu w sieci przewodowej pod kątem malware lub podejrzanych sygnatur ruchu. Z chwilą znalezienia takiej sygnatury, ten fragment ruchu może być poddany kwarantannie lub odfiltrowany z ruchu.
Wniosek z tego wszystkiego jest taki, że chociaż funkcje IDS/IPS są podobnie nazwane, różnią się w zależności od tego, czy są wykonywane po "radiowej" stronie sieci, czy po ethernetowej. Na dzisiaj oznacza to, że muszą być konfigurowane i utrzymywane oddzielnie, i to na ogół z różnych ekranów zarządzania.
Komentarze (0)
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...