Предотвращение вторжений в беспроводных сетях

Благодаря стандарту 802.11i безопасность беспроводных сетей повысилась. Однако он оставляет без внимания целый
ряд угроз.

Незащищенные беспроводные сети сегодня, как и прежде, относятся к наиболее крупным инфраструктурным рискам. Беспроводные архитектуры на базе контроллеров с центральной панелью управления обеспечивают простую интеграцию систем обнаружения и предотвращения вторжений, а значит, и эксплуатацию надежно защищенных беспроводных сетей.

Беспроводные сети на предприятиях доставляют все больше хлопот, и администраторам приходится постоянно трудиться над адаптацией структур обеспечения безопасности. При этом в результате утверждения и широкого использования стандарта 802.11i, где излагаются требования по обеспечению безопасности в беспроводных сетях, появилась уверенность, что компании смогут добиться всеобъемлющей защиты своих беспроводных сетей.

Однако стандарт все же имеет пробелы в системе обеспечения безопасности. Он включает лишь указания в отношении сеансов беспроводной связи (аутентификация/авторизация пользователей для доступа к сети) и определяет безопасность на уровне кадров (обеспечение конфиденциальности данных путем шифрования).

Однако есть еще один важный, третий компонент, не учтенный в 802.11i, а именно системы обнаружения и предотвращения вторжений (Intrusion Detection System, IDS; Intrusion Prevention System, IPS), с помощью которых производится активный мониторинг радиодиапазона. Если IDS распознает и классифицирует риски, то в случае опасности IPS по собственной инициативе принимает меры против неправомерного использования уязвимых мест.

В соответствии с указанными базовыми требованиями обеспечение безопасности должно быть как можно более прозрачным для пользователя и максимально дешевым для оператора сети. Это, среди прочего, требует интеграции клиентов, максимального удобства работы, наличия интегрированных функций управления, причем не только для безопасности, и т. п.

На этом фоне встает вопрос о том, от каких рисков, связанных с безопасностью и не охватываемых стандартом 802.11i, должно защищать себя предприятие. В целом они делятся на две категории: «общие», которые обычно возникают неумышленным образом и сравнительно часты, а также более редкие, но опасные «злонамеренные» атаки, когда хакеры умышленно пытаются создать или использовать слабое место.

ОБЩИЕ РИСКИ В БЕСПРОВОДНЫХ СЕТЕВЫХ СРЕДАХ

К общим рискам, связанным с безопасностью и требующим подробного рассмотрения, относятся, в частности, следующие.

Неправильно сконфигурированные точки доступа. Неавторизо-ванная, но известная точка доступа, подключенная к кабельной сети и не сконфигурированная надлежащим образом, может представлять собой такую же опасность, как и злонамеренно установленная, «неправомерная» точка доступа. Если,
к примеру, параметры обеспечения безопасности не были заданы, то она открывает доступ к сети всем желающим.

Беспроводные одноранговые сети. Некоторые операционные системы, к примеру Windows, позволяют строить сети, состоящие из нескольких беспроводных клиентов, без посредничества точки доступа. Если один из этих компьютеров настроен таким образом, что является членом одноранговой (ad hoc) сети и одновременно снабжен соединением с локальной сетью предприятия, то через него доступ в сеть могут получить неавторизованные пользователи.

Неправильное назначение клиента. Когда несколько предприятий находятся в непосредственной близости друг от друга, есть вероятность, что две беспроводные сети будут иметь одинаковую сетевую информацию. В этом случае беспроводной клиент свяжется с первой же точкой доступа, с которой установит контакт. Если она относится к соседней беспроводной сети, возникает риск, заключающийся в том, что пользователь передаст конфиденциальную информацию в сеть компании, принятой им за собственную.

«Мошеннические» точки доступа. Речь идет о неавторизованных точках доступа, связанных с проводной сетью. Они могут предоставить злонамеренным или неавторизованным пользователям открытый доступ к локальной сети. Инсталляция таких точек доступа — один из любимых приемов профессиональных взломщиков, которые, расположившись поблизости от здания компании, следят за происходящим в сети из автомобиля или из кафе на соседней улице.

АРСЕНАЛ ЗЛОНАМЕРЕННЫХ АТАК

К более редким, но потенциально еще более опасным рискам, связанным с безопасностью, относятся все преднамеренные атаки, производимые как извне, так и изнутри предприятия.

Точки доступа в качестве «приманки» (honeypot access point). При определенных обстоятельствах некоторые хакеры могут выявить конфигурацию беспроводной сети и установить в сетевой среде собственную точку доступа с такими же настройками. Из-за неправильного назначения клиенты станут связываться с подобными «приманками», поскольку исходят из того, что имеют дело с обычной точкой доступа. Ловкие хакеры используют это слабое место, связывая с указанной точкой доступа имитируемые сетевые ресурсы, к которым потом обращаются пользователи. Таким образом злоумышленнику удается перехватывать пароли и даже конфиденциальные документы.

Подделка (spoofing) МАС-адресов точек доступа. Клиентский компьютер с беспроводным соединением можно сконфигурировать таким образом, будто он является точкой доступа. Тогда лица, работающие во внутренней сети, а также внешние непрошеные гости смогут использовать собственный ПК в качестве «приманки».

Неавторизованный клиентский доступ. Открытые беспроводные сети представляют собой лакомый кусок для любого злоумышленника. Если в обнаруженной им сети установлена слабая система аутентификации пользователей или таковая вообще отсутствует, он легко может получить доступ к сети предприятия и похитить информацию или осуществить атаки на ресурсы с тем, чтобы вызвать отказы в сети.

Отказ в обслуживании (Denial of Service, DoS). Сетевые устройства в соответствии с принципом их работы должны отвечать на все запросы клиентов. Хакеры часто пользуются этим и направляют на сетевой ресурс такое количество запросов, что он не справляется с их обработкой. Распределенные атаки DoS усугубляют проблему, поскольку при помощи скрытого кода целый ряд компьютеров вносится в определенный список, после чего те без ведома хозяев начинают одновременно в большом количестве производить атаки с целью вызвать «отказ в обслуживании».

Атака «незаконный посредник». Если данные не защищены, хакер может перехватывать сообщения и изменять их содержание с тем, чтобы ввести в заблуждение участников коммуникации и создать у них впечатление, что он является одним из них.

РАЗНЫЕ ПОДХОДЫ К РЕШЕНИЯМ IDS/IPS

В настоящее время рынок предлагает два варианта решений для обнаружения и предотвращения вторжений. Первый — это реализация «перекрывающегося» решения. Речь идет о специальной сенсорной сети, полностью отделенной от беспроводной. Поскольку подобные решения предназначены лишь для одной цели и фокусируются на продуктах для обнаружения и предотвращения вторжений в беспроводные сети, в большинстве случаев они обладают очень высокой производительностью. Однако сложность и стоимость системы существенно возрастают, поскольку в результате приходится строить две беспроводные сети без интеграции системы управления и без экономии на аппаратных средствах.

Второй вариант — использование интегрированных решений, предлагаемых поставщиками беспроводного оборудования вместе со своими системами и предназначенных для обнаружения и предотвращения вторжений. В данном случае проблема заключается в том, что предлагаемое решение IDS/IPS в целом уступает перекрывающимся продуктам — если не в отношении функциональных характеристик, то уж точно в плане производительности.

Новые подходы объединяют в себе лучшие качества обоих вариантов и бесшовным образом интегрируют имеющиеся перекрывающиеся решения
в архитектуру беспроводной сети на базе контроллеров. Причем производительность и рабочие характеристики сравнимы с теми, что демонстрируют ведущие перекрывающиеся решения для обнаружения и предотвращения вторжений. Управление обеими составными частями остается интегрированным, чем улучшаются эксплуатационные характеристики сети, а ее работа оказывается более эффективной. Это особенно важно, когда беспроводная сеть растет и ее сложность повышается.

ПРОСТАЯ ИНТЕГРАЦИЯ В ИМЕЮЩИЕСЯ СРЕДЫ

В таком интегрированном решении беспроводные контроллеры должны автоматически передавать всю важную информацию в систему управления. Та поддерживает автоматическое конфигурирование и реализацию функции Plug-and-Play для всех компонентов в пределах беспроводной сети. При добавлении в сеть точек доступа их не нужно авторизовать вручную — они автоматически получают разрешение на работу в сети и после этого готовы к эксплуатации.

В такой среде требуется, чтобы все точки доступа в дополнение к стандартному режиму могли работать и в сенсорном режиме, для чего их необходимо сконфигурировать как сенсоры IDS/IPS, чтобы через оснащенные соответствующим образом беспроводные контроллеры предоставлять в распоряжение модуля обеспечения безопасности IDS/IPS всю информацию о сети.

В результате становится ненужной реализация отдельной перекрывающейся сенсорной сети. В идеальном случае должно обеспечиваться переключение точек доступа посредством централизованного изменения конфигурации с консоли управления из стандартного режима в сенсорный и обратно. И хотя планирование сети, проведение анализа филиалов и другие задачи рассматриваются как независимые от эксплуатации сети, интеграция выходных данных инструмента для планирования в платформу управления предлагает дополнительные преимущества, позволяя импортировать планы, информацию о структуре материалов и т. п. В противном случае эти инструменты пришлось бы создавать на платформе управления заново. Система управления пользуется данными, которые она собирает в режиме реального времени, для обновления рабочих моделей, создаваемых на основе исходных данных. Подобным образом можно получать постоянно обновляемый обзор радиочастотной среды.

ЭЛЕКТРОННАЯ ПАНЕЛЬ УПРАВЛЕНИЯ ОБЕСПЕЧИВАЕТ ПОЛНЫЙ ОБЗОР

В целом управление защищенной беспроводной сетью заметно упрощается, поскольку для всех функ-ций используется интегрирован-ный уровень управления, включая обеспечение безопасности, определение местоположения, работу с директивами, мониторинг сети, ее конфигурирование и т. д. (см. Рисунок 1). Всеобъемлющая платформа управления наряду с функциями IDS/IPS включает также планирование радиосреды, инструменты для оптимизации производительности, а также функции мониторинга и составления отчетов. К ним относится, в частности, централизованная приборная панель, или электронная панель управления, которая при регистрации дает администратору полный обзор состояния сети (см. Рисунки 2 и 3) с детальным представлением каждой области управления — неважно, идет ли речь о решении проблем, повышении производительности или составлении отчетов (см. Рисунок 4). Возможность создания отчетов с заранее определенным форматом приобретает особую ценность при выполнении официальных предписаний: скажем, Закона Сарбейнса-Оксли от 2002 г. или различных специфических законов, таких, как Акт по обеспечению переносимости и возможности учета для страхования в области здравоохранения от 1996 г. (Health Insurance Portability and Accountability Act, HIPAA).

ЗАКЛЮЧЕНИЕ

До сих пор обеспечение безопасности представляло собой важное требование и одно из главных препятствий для реализации беспроводных сетей. Принятие стандарта безопасности позволило выработать решения для некоторых аспектов этой проблемной области (к примеру, шифрования и защиты сеансов). Перекрывающиеся беспроводные решения обнаружения и предотвращения вторжений ликвидировали пробелы, не учтенные в стандарте (безопасность радиодиапазона), однако довольно сложно интегрировались в имеющиеся сети. Новые подходы облегчают подобную интеграцию как в инфраструктуру, так и в существующие системы управления и позволяют создавать беспроводные сети, которые просто, эффективно и, главное, надежно поддерживают все мобильные приложения на предприятии.

Маркус Биркль — директор по продажам решений HiPath Wireless компании Siemens Communications.

---

© AWi Verlag