IPS systémy mohou spolehlivě ochránit i sítě Wi-Fi

Současné hrozby pro Wi-Fi se točí více okolo klientských zařízení a podvodných přístupových bodů. Odhalit je přitom lze obvykle jen prostřednictvím bezdrátových technologií.

IPS systémy mohou spolehlivě ochránit i sítě Wi-Fi


Standard zabezpečení bezdrátových sítí Wi-Fi 802.11i (také známý jako WPA2) sice odvádí dostatečně dobrou práci při autentizaci uživatelů v korporátní síti a šifruje autentizaci i data uživatelů přenášená vzduchem, ale mnoho nejnovějších bezpečnostních hrozeb pro sítě Wi-Fi nemá s autentizací žádnou souvislost.

Podniky potřebují způsoby pro odhalení a překažení nežádoucích pokusů o injektáž útoků DoS, lákání klientských zařízení Wi-Fi na záškodnické přístupové body, parazitování na již vytvořených bezdrátových připojeních atd.

Zjišťování všech těchto typů aktivit vyžaduje chytrý monitorovací systém, který prohledává kanály WLAN, oznamuje personálu podezřelé aktivity a někdy zjištěné aktivity automaticky blokuje.

Systémy WIPS (Wireless Intrusion Prevention Systems) jsou nejpopulárnějším a nejefektivnějším způsobem zabezpečení a monitoringu aktivní korporátní sítě WLAN. Využívají jednu ze tří základních odlišných architektur a každá nabízí různé kompromisy, které by měly být součástí každého vyhodnocení zabezpečení. Jaká se nejvíce hodí pro vaše účely, to bude záležet na individuálním důrazu na cenu, zabezpečení a vazbám k dodavateli.

 

Využití existujících produktů

Základní architektura WIPS využívá rádiovou část existujících přístupových bodů pro prohledávání. Jinými slovy přístupové body krátkodobě přecházejí od poskytování konektivity pro Wi-Fi klienty k vyhledávání narušení a poté zpět k poskytování.

Při tomto přístupu provádějí přístupové body Wi-Fi dvojí službu: Jako access point  přeposílají datové přenosy a jako bezpečnostní senzory hledají v prostředí anomálie.

Tento sdílený přístup je nazýván časovým vzorkováním (time slicing), protože WIPS modul získává velmi malé časové úseky (vzorky rádiového spektra) z rádiové části přístupového bodu, aby mohl provádět své bezpečnostní prohledávání.

Vliv časových vzorků WIPS na bezdrátovou službu klientům je minimální jak z hlediska výkonu, tak i infrastruktury, takže organizacím umožňuje implementovat funkce WIPS při minimálních nákladech. Hlavní výhodou tohoto přístupu jsou právě nízké výdaje na funkci WIPS. Tyto nízké náklady však mohou stát za vysokou cenou.

Časové vzorkování totiž využívá omezené prohledávání s využitím vzorků kratších než jedna sekunda každou minutu. Každý den je tedy 98 % (23 hodin a 36 minut) času bezpečnostní prohledávání neaktivní.

Následkem toho mohou konfigurace s časovým vzorkováním zachytit pouze problémy, které jsou zjevné a mohou být přesvědčivě identifikovány pomocí jednoho či dvou paketů – tedy situace, kterých je velmi málo. Samozřejmě existuje naděje, že bude exploit nebo útok zjištěn, protože zpravidla překrývá více časových vzorků.

Mnoho současných nebezpečných exploitů však využívá k útoku pouze krátké okamžiky a poté se zase skryjí, takže je takový způsob detekce a zabezpečení neúčinný. Z důvodu této slabiny hlavní dodavatelé infrastruktury WLAN upustili od proklamací, že je to dobré řešení WIPS, ačkoli je stále k dispozici z důvodu výhodné ceny.

 

Integrovaná řešení

Další, pokročilejší architektura WIPS je integrovaným řešením, kde je do přístupového bodu pro obsluhu klientů přidána vyhrazená rádiová část WIPS, která provádí prohledávání. Tato část umožňuje řešení WIPS stále prozkoumávat okolí a řeší omezení, které má metoda využívající časové vzorky.

Výhodou tohoto přístupu je, že veškerá funkcionalita WIPS může být podporována s nasazenými přístupovými body, což udržuje nízké náklady. Nevýhody jsou však zřetelné: Konsolidované funkce znamenají, že jeden přístupový bod slouží klientům a současně hlídá sám sebe.

Přístupové body nejsou dostatečně výkonné, aby dělaly dobře obě funkce, takže jejich konfigurace s duální činností bude mít za následek nižší výkon WLAN, méně efektivní monitoring zabezpečení nebo možná obojí dohromady. To vytváří místo schopné způsobit selhání a oboje představuje bezpečnostní riziko a reprezentuje porušení modelu zabezpečení s využitím vrstev.

Tato architektura také určuje, že infrastruktura WLAN musí být od stejného dodavatele jako WIPS a má obvyklá omezení daná jedním dodavatelem. Co se stane, když budete chtít opustit takového konkrétního dodavatele? V heterogenních infrastrukturách od více dodavatelů je toto uspořádání obvykle nefunkční.

Vyhrazené senzory

Třetí architekturou WIPS je překryvné řešení s nasazením vyhrazených senzorů WIPS. Ty poskytují nepřetržité prohledávání potřebné pro nekompromisní zabezpečení a jsou zcela nezávislé na službách bezdrátovým klientům.

Vyhrazené překryvné WIPS jsou nabízeny nezávislými dodavateli. Podniky tak musí zvládnout vztah s dalším dodavatelem. Výhodou však je separace mezi infrastrukturou WLAN a architekturou WIPS.

Tyto systémy byly navrženy specificky pro boj s narušením a hrozbami pro bezdrátovou síť a jsou vybaveny lepšími funkcemi a důkladností zabezpečení. Nabízejí důmyslné funkce, které nejsou obecně dostupné v integrovaných řešeních, jako jsou vícekanálové nepřetržité skenování (24 x 7) a forenzní analýza. To umožňuje ortogonální implementace pro maximalizaci nezávislosti bezpečnostního řešení WIPS na infrastruktuře WLAN.

Překryvná architektura WIPS také organizacím umožňuje nezávisle si vybrat nejen nejlepší variantu WIPS, ale také ideální řešení infrastruktury WLAN.

Překryvné řešení je také jediným akceptovatelným přístupem, pokud má organizace nasazenou smíšenou infrastrukturu WLAN (nebo takovou kombinaci plánuje do budoucna). Díky oddělení bezpečnostní vrstvy od samotné sítě mohou správci na vyžádání snadno a bez rizika upgradu pro celou infrastrukturu aktualizovat bezpečnostní systém.

Nevýhodou tohoto přístupu jsou ale náklady, senzory totiž představují další investice. I když může být počáteční investice vyšší, má tento přístup z dlouhodobého hlediska potenciál pro snížení celkových nákladů na vlastnictví (TCO), a to díky omezení rizik.

Počet nástrojů a exploitů pro bezdrátové sítě však roste. Protože dodavatelé činí kompromisy kvůli zlepšení flexibility nebo snížení nákladů na bezdrátovou infrastrukturu, je důležité nechat si odstup, vyhodnotit bezpečnostní vliv na podnik a zeptat se sami sebe: Jak moc jsme ochotni dělat kompromisy?

Úvodní foto: Fotolia.com










Komentáře