Dva přístupy detekce narušení WLAN sítí

IDS (Intrusion Detection Systems) systémy se staly klíčovou částí bezpečnostní infrastruktury podnikových sítí a s ...


IDS (Intrusion Detection Systems) systémy se staly klíčovou částí bezpečnostní
infrastruktury podnikových sítí a s příchodem bezdrátových produktů samozřejmě
požadavky na tyto systémy vzrostly. V následujícím textu vás seznámíme s
výsledky testu dvojice IDS řešení pro bezdrátové sítě, které jsou svým pojetím
instalace a používání naprosto odlišné.
Prvním prověřovaným byl AirXone Managed Security Service, který je společností
VigilantMinds nabízen formou spravované služby a spojuje hardwarový senzor a
funkce vzdáleného monitorování na základě uzavřené smlouvy o poskytování
služeb. (Bohužel služba není v ČR dostupná, ale v textu jsme ji ponechali jako
zajímavou alternativu).
Druhý testovaný produkt AirMagnet Distributed 4.0 svěřuje možnosti kontroly do
vašich rukou, což předpokládá, že budete schopni sledovat a řídit ty
nejjemnější detaily rádiového prostoru své firmy. Detaily a kontrola je
ohromná, ale stejně tak velká je i odpovědnost za bezpečnost firemní bezdrátové
sítě.

VigilantMinds AirXone 2.0
Jedním z prvních kroků při nasazení AirXone je stanovení počtu proprietárních
senzorů; čím je jich více, tím vyšší je pochopitelně i cena. Zjistili jsme, že
jeden senzor pokrývá části tří poschodí kancelářské budovy, nicméně pokrytí se
může instalaci od instalace lišit. Senzor odhalil desítky přístupových bodů a
klientů včetně jednoho přístupového bodu mimo budovu, tři bloky daleko.
Systém ve svém dosahu zaznamenává přístupové body i klienty, včetně MAC (Media
Access Control) adres, identifikátorů SSID (Service Set IDentifiers) a
bezpečnostních funkcí všechny tyto údaje tedy můžete zkontrolovat. Každé ze
zjištěných zařízení může být kategorizováno podle svých oprávnění k využívání
sítě a stavu v rámci sítě.
V závislosti na tom, jak je vaše síť rozsáhlá, lze databázi povolených zařízení
naplnit buď ručně, nebo pomocí odkazů na autentizační databázi nebo na
inventářový systém. Během provozu systém udržuje spojení s dohledovým centrem
společnosti VigilantMinds. Jelikož se tak děje na nestandardním vysokém portu,
je potřeba upravit nastavení běžných síťových IDS systémů tak, aby je
bezdrátový IDS nezaplavil spoustou varování.
Užitečné je, že systém dokáže ignorovat určité zařízení, což se může hodit v
přeplněném městském prostředí, kde je například neustále detekována bezdrátová
síť v sousední firmě, která nepředstavuje žádné riziko. S pomocí konzultantů
dodavatele lze vytvořit enormní škálu pravidel, a dosáhnout tak stavu, po
kterém všechny firmy využívající IDS touží: skutečná rizika způsobují poplach,
ostatní aktivity jsou jednoduše zaznamenány nebo ignorovány.
Administrátoři mají přístup ke konzoli pro správu a mohou vytvářet pravidla a
kontrolovat stav systému. Nicméně při modelu, jakým funguje služba
VigilantMinds, se bude většina interakce se systémem odehrávat ve formě
varovných hlášení, která již zkontroloval řídící systém a konzultanti dříve,
než vám je předali.

AirMagnet Distributed 4.0
Nejsilnější stránkou samostatných notebookových systémů pro analýzu
bezdrátových sítí je pochopení rádiových charakteristik ze strany výrobce.
AirMagnet Distributed je právě takovým produktem.
Systém AirMagnet se skládá ze tří hlavních částí: senzoru, AirMagnet Management
serveru a AirMagnet konzoly. Senzor vypadá jako standardní přístupový bod
802.11, přičemž jeho nastavení je pouze záležitostí adresování a sdílení
citlivých informací se serverem. Konfigurace serveru je také poměrně
jednoduchá, i když problémy s firewallem a bezpečnostními funkcemi serveru
(zvláště zpracování certifikátů) mohou celý proces na chvíli zpomalit.
Jakmile je server nainstalován, můžete stáhnout software pro konzoli,
nainstalovat ho na větší počet systémů a využívat z několika míst. My jsme
server i konzolu nainstalovali na počítač s operačním systémem Windows XP
Professional. Výrobce tuto konfiguraci podporuje, nicméně poznamenává, že v
případech, kdy se využívá více než jen několik senzorů, by server měl využívat
operační systém Windows 2000 Server.
Pokud jste někdy využívali samostatnou verzi AirMagnetu, pak vám bude prostředí
distribuované konzole připadat povědomé, přestože zpřístupňuje daleko více
funkcí. Na síť se lze dívat z hlediska fyzického inventáře, porušení
bezpečnostních politik, bezpečnostních a výkonových událostí nebo celkového
výkonu sítě, přičemž každé okno lze omezit nebo rozšířit, a získat tak více či
méně podrobností. Zobrazit lze také dlouhodobé trendy nebo okamžitý stav
různých aspektů sítě. Pokud používáte software AirMagnet Distributed poprvé,
měli byste věnovat trochu času prozkoumání různých způsobů zobrazení síťových
statistik. Zvláště nás fascinovalo množství přístupových bodů a klientů, které
v naší síti neexistují a které žádný jiný detekční systém neodhalil (jednalo se
o jinou síť v areálu naší firmy).
Vytváření politik pro AirMagnet Distributed je jednoduše záležitostí
zaškrtávání okének a následně přepínačů pro nabídku širšího rozsahu parametrů.
AirMagnet vám při této činnosti pomáhá poskytnutím vysvětlení a návrhů v
případě, kdy procházíte zjištěná zranitelná místa.
Nepovolená zařízení například vyvolají alarm a lze je buď zaznamenat, nebo
zablokovat jejich přístup k síti. Pokud se oblast pokrytí jednotlivých senzorů
překrývá, AirMagnet umí analyzovat sílu signálu a vyhledat umístění
nepovoleného zařízení pomocí triangulace což přijde obzvláště vhod v případech,
kdy někdo umístí neautorizovaný přístupový bod ve finančním oddělení.
Nicméně, AirMagnet neumí vše, co byste potřebovali pro správu vlastní
bezdrátové sítě. Neumožňuje dekódování paketů sloužící k odhalení problémů
způsobených aplikacemi; stejně tak neumí poskytovat přihlašovací služby pro
rozsáhlou WLAN.
To, co opravdu umí, je kombinace IDS a nástroje pro analýzu výkonu bezdrátové
sítě, která je neocenitelná pro kohokoliv, kdo potřebuje detailním způsobem
kontrolovat bezdrátovou síť.

AirXone Managed Security Service 2.0
+snadná instalace, jde o službu, IDS vyhodnocuje tým odborníků výrobce
-vyšší cena
Prodejce: VigilantMinds, www.vigilantminds.com
Cena (bez DPH): cena služby se pohybuje od 500 do 1 500 dolarů měsíčně
Platformy: preferován je Internet Explorer
AirMagnet Distributed 4.0
+kombinace IDS nástroje a vynikající podrobné analýzy bezdrátové sítě
-problémy s firewallem
Prodejce: BlueCom, www.bluecom.cz
Cena (bez DPH): cena testované konfigurace se dvěma senzory stojí 6 495 dolarů
Platformy: preferován je Internet Explorer









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.