Ochrání síť anténa z obyčejné plechovky?

Software pro kontrolu integrity souborů konečně pomáhá zabezpečit firemní síť, ale díry vzniklé pirátskými bezdr


Software pro kontrolu integrity souborů konečně pomáhá zabezpečit firemní síť,
ale díry vzniklé pirátskými bezdrátovými přístupovými body ji dále ohrožují.
Ve svém posledním příspěvku jsem se zmiňoval o problémech se spoluprací
softwaru Tripwire a našeho podnikového systému pro zálohování dat. Nakonec jsme
je vyřešili a pokročili dále. Na své vyřešení však naopak stále čeká problém
nelegálních bezdrátových přístupových bodů.
Jen pro připomenutí: Nedávno jsme koupili software pro kontrolu integrity
souborů od společnosti Tripwire, který nám měl sloužit jako další bezpečnostní
vrstva poté, co spojení dvou IT infrastruktur naší firmy a společnosti, kterou
jsme koupili oslabilo naše celkové zabezpečení. Respektive přineslo především
problémy s nastavením našeho systému IDS (Intrusion Detection System, systém
pro detekci průniků do sítě). Problém s Tripwire pak spočíval v tom, že náš
zálohovací systém mění určité atributy souborů, které ovšem Tripwire sleduje.
Jakmile dojde k jejich změně, vyhlásí poplach. Takže jsme se najednou setkávali
s velkým množstvím falešných poplachů. Problém jsme vyřešili tím, že jsme
nastavili všechny naše konfigurační soubory tak, aby se neprováděla kontrola
příslušného atributu (Ctime) pro zálohované soubory. Jakmile jsme se zbavili
těchto potíží, zbýval před námi už jen úkol nainstalovat agenty Tripwire na
všechny naše servery. Abychom si celý proces usnadnili, vytvořil jsem web, na
kterém se nacházel instalační software i příslušné instrukce. Pro každou
distribuci jsem také vytvořil skript (pro unixový shell) nebo dávkový soubor
(pro Windows), který zautomatizoval instalační proces na našich unixových i
Windows NT serverech.
Nyní když chceme, aby systémoví administrátoři nainstalovali tyto aplikace na
systémy, které spravují, odkážeme je na tento web. Oni potom provedou download
příslušného souboru, rozbalí jej a spustí příslušný skript nebo dávkový soubor.
Software se poté již nainstaluje automaticky. Po dokončení instalace
administrátor kontaktuje správce systému SecurID nebo Tripwire, který přidá
nainstalovaného agenta jako nový zdroj informací do administrátorské konzole.

Bezdrátové hrozby
Instalace Tripwire tedy již bude, alespoň doufám, pokračovat samospádem. A já
se mezitím mohu zabývat otázkami budování naší bezdrátové LAN a eliminací
neautorizovaných přístupových bodů WLAN (Wireless LAN). Je to oblast, kde se
stále něco děje. Zatím stále hodnotím kvality jednotlivých dostupných produktů,
ale po pravdě řečeno, mám již poměrně stručný seznam vhodných kandidátů. Je na
něm hardware Aironet od Cisco Systems a software AMP (AirWave Management
Platform) od AirWave Wireless. Přístupové body od firmy Cisco ale bohužel
nepodporují detekci nelegálních přístupových bodů a její prodejci tvrdí, že se
situace v této oblasti může změnit až někdy v průběhu příštího roku. Když
uvážím všechny problémy, které jsme s nelegálními přístupovými body měli, musím
říci, že detekce těchto prvků je na mém seznamu priorit poměrně vysoko. Upřímně
řečeno rozhodl jsem se neschválit nákup žádné infrastruktury WLAN bez podpory
této vlastnosti. Jestliže se rozhodneme pro produkty společnosti Cisco, bude to
proto, jakou má tato firma tržní pozici. Je finančně stabilní, naše společnost
s ní naváza-la vztahy již před dlouhou dobou a jsme si jisti, že se na Cisco
můžeme spolehnout pokudjde o technickou podporu. Ostatní dodavatelé, které jsme
brali v úvahu, jsou oproti tomu malé společnosti a náš management se staví
proti variantě, že bychom od nich zařízení pro WLAN kupovali.

Pátrání pokračuje
Dokud nebudeme mít systém WLAN podporující detekci nelegálních přístupových
bodů, stále budu uvažovat o tom, jaký by byl vhodný alternativní systém jejich
zjištění. Všechny přístupové body, jejichž přítomnost jsem v našich budovách
detekoval, jsou zprovozněny s nulovým zabezpečením, a tak představují otevřenou
bránu do naší sítě. Jejich existenci jsem detekoval prostřednictvím svého iPaqu
vybaveného kartou AirMagnet a detekčním softwarem od stejnojmenné firmy. Jeho
prostřednictvím lze zjistit, že je někde signál, ale nedozvíte se, odkud přesně
se šíří. E-mail od našeho managementu, jehož vznik jsem inicioval a který naše
zaměstnance vyzýval k odstranění těchto zařízení ze sítě, měl, zdá se, spíše
opačný efekt.

Udělej si sám
Moje prvotní pokusy nalézt nepovolené bezdrátové přístupové body
prostřednictvím některých známých MAC (Media Access Control) adres byly
neúspěšné kvůli tomu, že nebyly k dispozici aktuální mapy rozvodů síťových
spojů od rozvaděčů. A tak jsem se rozhodl pokusit se ještě jednou najít
umístění přístupových bodů bezdrátově.
AirMagnet používá všesměrovou anténu. Já jsem ale k provedení svého plánu
potřeboval směrovou anténu, abych ji mohl postupně natáčet do různých směrů, a
tak zjistit, odkud signál přichází. Původně jsem chtěl anténu koupit, ale po
diskusi s několika zkušenými čtenáři amerického Computerworldu jsem se rozhodl
pro vlastní výrobu. Použil jsem k tomu informace, které jsem získal z weblogu
Roba Flickengera na adrese www.oreillynet.com/cs/weblog/view/wlg/448.
Flickenger ve svém projektu využívá plechovku od bramborových lupínků Pringles,
mně se ale osvědčila i plechovka, ve které se prodávají tenisové míčky. Přiznám
se, že tohle řešení také nemám ze své hlavy opět pochází z hlav zkušených
čtenářů amerického Computerworldu. Celé zařízení jsem zhotovil přesně podle
zmíněných pokynů, umístil do jedné nepoužívané kanceláře přístupový bod Cisco
Aironet AP1200 a zkusil prostřednictvím stvořeného zařízení nalézt zdroj
signálu. Získané výsledky byly velmi nekonzistentní. Možná bude přece jen lepší
investovat do profesionálního výrobku.

Po drátech
Mým dalším krokem tedy pravděpodobně bude koupě jednosměrové antény, ale možná
bude nakonec přece jen efektivnější najít přístupové body prostřednictvím
jejich LAN MAC adres a jejich sledování až do zásuvky ve zdi. Mělo by to
fungovat alespoň v těch z našich budov, ke kterým mám k dispozici přesné mapy
rozvodů. Jen je třeba vzít v úvahu, že přístupové body mají jak rádiovou
adresu, tak LAN MAC adresu, které jsou odlišné. A já dokážu detekovat pouze
rádiovou adresu. Potřebuji najít způsob, jak spárovat rádiovou adresu a LAN MAC
adresu, kterou mohu poté trasovat až k příslušnému přepínači.
Už jsem si myslel, že jsem našel řešení. První tři oktety (24 bitů) každé MAC
adresy tvoří tzv. OUI (Organizationally Unique Identifier). Vyhledáním tohoto
čísla ve webovém registru IEEE můžete určit jméno výrobce přístupového bodu. To
by mělo usnadnit zjištění MAC adresy. Jméno výrobce by totiž mělo být jak pro
rádiovou adresu, tak pro MAC adresu shodné a s velkou pravděpodobností se bude
lišit od výrobců, jejichž zařízení v naší síti používáme legálně.
Ukázalo se ale, že optimismus nebyl na místě. Zjistil jsem totiž, že výrobcem
může být někdo jiný, než ukazuje identifikátor OUI, a že se dokonce mohou lišit
údaje v OUI rádiové a MAC adresy. Experimentoval jsem s bezdrátovým přístupovým
bodem společnosti 3e Technologies International. Dotazem do databáze IEEE jsem
zjistil, že jeho rádiové OUI bylo registrováno na jednu tchajwanskou společnost
a LAN MAC OUI na jinou. Ani jedno z nich se nijak netýkalo 3e Technologies.
Máte někdo nějaký nápad, kudy dál?
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.