Bezdrátové sítě standardu Wi-Fi jsou dnes běžnou součástí síťové infrastruktury podniků. Wi-Fi přináší mobilitu pro uživatele notebooků, PDA i specializovaných mobilních terminálů. Zcela jasná výhoda, kterou je možnost pracovat kdekoliv v dosahu bezdrátové sítě, však na druhé straně znamená bezpečnostní hrozbu, která by se dala přirovnat k umístění veřejně přístupné aktivní datové zásuvky na parkovišti před domem. Zdaleka ne všichni IT manažeři a síťoví administrátoři si tyto hrozby plně uvědomují a aktivně proti nim bojují.
Příkladem může být stále vysoké procento sítí zabezpečených nedostatečným šifrováním WEP (klíč lze prolomit v řádu minut), používání access pointů v továrním nastavení, nedostatečná síla šifrovacích klíčů, která umožní slovníkové útoky, ale i selhání zaměstnanců, kteří prozradí své autentizační údaje. Proto se některé společnosti, typicky z bankovního sektoru, rozhodly bezdrátové sítě vůbec nepoužívat.
Ale je to řešením? Nespolehlivý zaměstnanec může celkem snadno přijít k datové zásuvce a připojit si do ní svůj access point nebo vytvořit ad-hoc síť na svém notebooku. Nemusí v tom být ani špatný úmysl, jen snaha o ulehčení práce. Bohužel v takovém případě dochází také ke kompromitaci bezpečnosti síťového prostředí s možností vytvoření snadné cesty pro útočníkovo vniknutí do sítě.
Je tedy zřejmé, že zabezpečení bezdrátového prostředí se týká jak společností, které bezdrátové sítě používají, tak i společností, které prosazují nulovou bezdrátovou politiku.
Přichází WIPS
Jak tedy minimalizovat nebo zcela eliminovat nebezpečí? Řešení je podobné jako u klasických drátových sítí - použití systému IDS/IPS, tj. Intrusion Detection System/Intrusion Protection System. Již delší dobu je na trhu k dispozici Wireless Intrusion Protection System neboli WIPS vyvinutý původně společností AirDefense, kterou v minulém roce koupila společnost Motorola. WIPS je určený pro maximální zabezpečení bezdrátových sítí po 24 hodin 7 dnů v týdnu.
Administrátoři mohou snadno identifikovat podvodná zařízení, tedy access pointy i mobilní jednotky, útoky na síť a místa zranitelnosti sítě, a to v reálném čase. Kromě funkcionality detekce útoků (IDS) mohou být podvodná zařízení od pevné či bezdrátové sítě odpojena tak, aby jim byla znemožněna komunikace (IPS). WIPS pracuje se systémem politik, které dovolují mimo jiné definovat automatickou klasifikaci zařízení.
To napomáhá rychlé implementaci systému i interpretaci výsledků. Při narušení pravidel politiky je generována notifikace, která může upozornit na slabá místa zabezpečení sítě nebo špatně zkonfigurovaná zařízení. Podporovány jsou notifikace e-mailem, do syslogu nebo prostřednictvím SNMP trapů. Lokalizace zařízení založená na triangulaci umožňuje administrátorům rychle a přesně lokalizovat narušitele a odstranit hrozbu. Sestavy generované systémem splňují mezinárodní standardy PCI, HIPAA, Sarbanes-Oxley, GLBA, FDIC a DOD.
Komponenty WIPSu
Základem systému Motorola WIPS je server s operačním systémem Linux a vlastním programovým vybavením. Administrátor přistupuje k serveru prostřednictvím specializované klientské aplikace dostupné ve verzi pro Windows nebo Linux. Pro hlídání prostředí se používají duální senzory pro současné skenování kanálů 802.11b/g i 802.11a. Senzory rovněž pomáhají při terminaci konektivity podvodných zařízení.
Oproti tradičním IPS využívajícím "silné" senzory, které zvyšují náklady na systém, využívá Motorola WIPS centralizovanou architekturu. "Tenké" senzory v ní předávají nezpracovaná data do serveru. Výsledkem je pak vyšší kapacita systému.
Architektura systému WIPS nabízí to nejlepší z obou pojetí - analýza dat je rozložena mezi senzory a server. Monitorovaná data jsou v senzorech filtrována a ke zpracování do serveru jsou v šifrované formě předány pouze informace týkající se bezpečnosti. Tato architektura poskytuje výbornou škálovatelnost pro distribuovaná prostředí, kde je vyžadována vysoká přesnost, účinnost a bezpečnost monitorovacího systému.
Flexibilitu i cenovou výhodnost instalace systému Motorola WIPS umožňuje fakt, že jako senzory mohou být použity standardní access porty Motorola AP300. Jednoduchou záměnou firmwaru lze AP300 zkonvertovat na senzor a zpět do role běžného access portu. Při využití některého z bezdrátových přepínačů Motorola ve spojitosti s AP300 je tedy možné pro vytvoření WLAN i monitorovacího systému použít jednotnou hardwarovou platformu. Motorola WIPS podporuje rovněž klasické silné přístupové body Motorola AP-5131. Duální access point AP-5131 může být konfigurován jako senzor pouze na jednom z rádií. Skenováno přitom bude jak pásmo 2,4 GHz, tak i 5 GHz. Druhé rádio může sloužit pro asociaci mobilních klientů.
Závěrem
Motorola WIPS sbírá velké množství dat, která slouží pro pokročilou forenzní analýzu. Její časové období lze nastavit v rozmezí 1 hodiny až 1 měsíce. Grafická reprezentace forenzních dat napomáhá rychlému pochopení informací. Systém může rovněž uchovávat historii trasy, po níž se pohybovala mobilní zařízení a vykreslit ji v mapě. To poslouží například ke zjištění poslední známé lokace ztraceného zařízení nebo k monitorování produktivity pracovníků. Další užitečnou funkcí je tzv. Live View – náhled na veškerou rádiovou aktivitu v reálném čase.
WIPS obsahuje řadu předdefinovaných tiskových sestav a rovněž generátor sestav pro přípravu vlastních tiskových výstupů.
Systém Motorola WIPS nalezne uplatnění ve všech podnicích, kde bezpečnost WLAN hraje prvořadou úlohu, dále tam kde je potřeba vynutit prostředí bez použití bezdrátových sítí a všude tam, kde je potřeba zajistit kompatibilitu se standardem PCI DSS pro bezpečnost platebních karet.
Tento článek vyšel v tištěném SecurityWorldu 1/2009.