Udržení bezdrátových záškodníků na uzdě

Po měsících testování a s přihlédnutím k omezenému rozpočtu přichází náš bezpečnostní manažer se strategií ...


Po měsících testování a s přihlédnutím k omezenému rozpočtu přichází náš
bezpečnostní manažer se strategií pro bezdrátový provoz.

Konečně jsem se rozhodl pro strategii bezpečnosti bezdrátových spojení. Když se
v naší podnikové síti začaly objevovat bezdrátové přístupové body, nastavili
jsme na nich protokol LEAP (Lightweight Extensible Access Protocol) od firmy
Cisco. Tento protokol nutí uživatele, aby se u přístupových bodů autentizovali
prostřednictvím svého celopodnikového certifikátu stejného, jakého využívají
pro přístup do virtuální privátní sítě (VPN) a také pro takové služby, jako
jsou formuláře pro výplatní listiny či pro e-mailový systém na serveru
Microsoft Exchange. Tento postup je nutný kvůli tomu, že používáme centrální
adresář provázaný s většinou našich základních aplikací, díky němuž se
zaměstnanci mohou všude přihlašovat prostřednictvím jediného hesla. Přestože
LEAP funguje dobře, nechtěli jsme připustit žádnou případnou kompromitaci
tohoto celopodnikového certifikačního systému v případě, že by se někdo
naboural do bezdrátové sítě. Proto jsem se rozhodl nasadit řešení, které
využívá protokol PEAP (Protected Extensible Access Protocol) spolu s
autentizací pomocí tokenu RSA SecurID. Tato kombinace vyžaduje od uživatele
pracujícího přes bezdrátové připojení jen zadání přihlašovacího jména a kódu
vygenerovaného tokenem SecurID. Tento kód se skládá z osobního čísla
následovaného sekvencí číslic, jež je měněna každých 60 sekund. I kdyby došlo k
nabourání protokolu PEAP a k prozrazení uživatelského jména, je zaručeno, že
případný hacker by k získání přístupu potřeboval navíc ještě zmiňovaný kód
SecurID.
Již dříve jsem poznamenal, že jsme museli toto uspořádání rozsáhle otestovat.
Naším současným podnikovým pravidlem je vydávat uživatelům pouze ty laptopy
Dell, jež mají nainstalovanou klientskou část programu TruMobile. Testy
ukázaly, že klient TruMobile spolu s protokolem PEAP, tokeny SecurID i s
přístupovými body od firmy Cisco spolupracuje velmi dobře. Pro malou skupinu
našich linuxových uživatelů bude zřejmě třeba pořídit jiného klienta, například
Aegis od firmy Meetinghouse Data Communications, který podporuje obě položky,
PEAP i Linux.
Jinou záležitostí je však kapacita, protože počet klientů, kteří se mohou k
jednomu přístupovému bodu připojit, je omezen. Dokud svou infrastrukturu
neposílíme, hodláme omezit bezdrátový přístup pouze na ty uživatele, kteří
prokáží, že jej pro svou práci potřebují. Když nějaký pracovník získá souhlas
vedení, pošleme mu token SecurID spolu s dalšími instrukcemi, jak svého klienta
nastavit.
Když jsem dokončil práci týkající se bezpečnostních pravidel okolo PEAP a
SecurID, zaměřil jsem se na experimentování s různými technologiemi detekce
rizikově nainstalovaných přístupových bodů. Moje rozhodování muselo zohlednit
hned několik faktorů, především však peníze. Naneštěstí se naše společnost
snaží ušetřit na investičních prostředcích, takže na vybavení každého
vzdáleného pracoviště detektory bezdrátových technologií není dostatek peněz.
Protože naše firma působí po celém světě, rozhodl jsem se pro odhalení
rizikových přístupových bodů využít jak bezdrátové, tak drátové postupy.
Na poli bezdrátových technologií bychom i nadále rádi využívali techniku od
firmy Cisco Systems. Ne proto, že má nejlepší bezdrátové detektory, ale kvůli
tomu, že už s ní máme vybudované těsné vztahy a také že provozujeme celou řadu
přístupových bodů od této firmy. Jsme také přesvědčeni, že nám Cisco poskytne
právě tu funkčnost, kterou opravdu hledáme. Navíc pokud budeme používat access
pointy firmy Cisco k detekci rizikových přístupových bodů, stále nám zůstává
možnost předělat nalezená zařízení tak, aby se začala chovat podle stanovených
pravidel.

Podnikové vyhledávání
Ve firmě však máme i vzdálená pracoviště, kde bezdrátové detektory nasadit
nemůžeme. Přesto bychom byli rádi, kdyby bylo možné přítomnost bezdrátových
přístupových bodů v klasické komunikační síti odhalit. Toho lze na podnikové
úrovni dosáhnout dvěma způsoby.
Za prvé vyhodnocovat MAC (Media Access Control) adresy na každém portu
přepínačů a díky tomu nalézt identifikaci bezdrátového zařízení (první tři
bajty MAC adresy). Není to však úplně stoprocetní, jelikož někteří výrobci
bezdrátových přístrojů vyrábějí vybavení i pro tradiční drátové sítě.
Například firma Cisco produkuje jak síťový hardware, tak bezdrátové přístupové
body. Pokud narazíme na MAC adresu, která by mohla patřit zařízením od Cisca,
můžeme tak dostat falešnou identifikaci bezdrátového prvku.
Dalším problémem této metody je to, že nemusíme mít přístup ke všem přepínačům
v naší síti. Každé technické oddělení naší firmy si totiž spravuje své vlastní
síťové vybavení samo.
Druhým způsobem detekce bezdrátových přístupových bodů v podnikové síti je
snímat všechny IP adresy a přitom se pokusit access pointy vyhledat na základě
odpovědí, které ze zařízení s příslušnou IP adresou dostaneme. Znáte-li
signaturu přístupového bodu, poznáte, když vaše sondování na takový produkt
narazí.
Problémem ale je jak ony signatury zjistit. Je celkem snadné vytvořit skript,
který by našemu detekovacímu systému Nessus umožnil signatury bezdrátových
zařízení vyhledávat. Protože však každý výrobce používá vlastní značení, museli
bychom si přístupový bod od každého z nich pořídit a testovat jej tak, abychom
správnou značku dostali. Bohužel nemáme tolik prostředků, abychom mohli začít
takovou úlohu řešit.
Avšak máme prostředky na to, abychom se obrátili na firmu AirWave Wireless.
Tato společnost kromě univerzálního nástroje pro centralizovanou správu
bezdrátových sítí zmiňovanou práci týkající se detekce identifikačních značek
jednotlivých access pointů už provedla a našla kódy pro více než 40
bezdrátových zařízení. Firma pak sestavila nástroj nazývaný Rapids, který kromě
jiných vlastností také prohledává síť a uvedené značky v ní hledá. Provedením
korelace s naskenovánými MAC adresami (to AirWave umí také provést) můžeme
určit, zda zařízení označené programem Rapids je skutečně bezpečnostním
rizikem, a pak jej vystopovat až na port přepínače, k němuž je připojeno.
Nejedná se sice o 100% účinné řešení, jak udržet rizikové přístupové body na
uzdě, mám však pocit, že námi zvolený kombinovaný bezdrátový i drátový přístup
by mohl být účinný asi z 90 %. V průběhu několika příštích měsíců tuto
technologii nasadíme do reálného provozu a já se pak přihlásím se zprávou o
použitelných výsledcích.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.