Мы рассмотрим лишь технический аспект применения программно-аппаратных средств, нацеленных на обнаружение взломов WLAN и противодействие им.
К сожалению, повсеместная интеграция Wi-Fi-адаптеров и вычислительной техники приводит не только к облегчению жизни пользователей, но и к снижению уровня защищенности корпоративной сети. Фактически, беспроводные технологии являются «широковещательными», что дает дополнительные возможности взлома сети и хищения информации. Все воздействия злоумышленников на корпоративную беспроводную сеть можно разделить на две группы: пассивные (мониторинг, прослушивание, запись перехваченной информации) и активные (получение сведений за счет взлома систем безопасности, методов социальной инженерии, мошенничества).
При пассивном воздействии на WLAN злоумышленники ничем себя не выдают. Решения для мониторинга трафика совершенствуются, а их стоимость с каждым месяцем снижается, и они становятся доступными все более широкому кругу лиц. Кроме того, информация в беспроводных сетях выходит за пределы охраняемого периметра и может быть легко перехвачена. Противодействовать распространению сигналов удается лишь в очень ограниченных масштабах, и в таких ситуациях основная задача сотрудников отдела ИБ — максимально усложнить применение перехваченной информации во вред компании.
Активное воздействие на корпоративную WLAN равносильно объявлению войны, и в данном случае против хакеров следует задействовать весь арсенал средств обнаружения и противодействия. Компании, использующие беспроводные технологии и заботящиеся о собственной информационной безопасности, должны иметь в своем распоряжении инструменты со следующим минимумом функциональности (все остальное — дополнительные опции, которые сделают применение системы более удобным):
-
обнаружение и безошибочная автоматическая классификация активных одновременных множественных воздействий;
-
автоматическое противодействие множественным воздействиям с возможностями обнаружения и классификации новых разновидностей атак при сохранении уровня производительности собственной WLAN;
-
определение местонахождения (или, по крайней мере, направления расположения) оборудования злоумышленника, предпринимающего вмешательство в корпоративную сеть;
-
информирование обо всех инцидентах сотрудников, отвечающих за безопасность корпоративной сети передачи данных.
Третий пункт этого перечня требует пояснений. Представьте, что в офисе компании площадью 20 тыс. кв. м кто-то из сотрудников подключил к корпоративной сети собственную точку доступа Wi-Fi, которая из-за сохранения настроек «по умолчанию» стала точкой входа для злоумышленников. По некоторым косвенным признакам можно определить приблизительное местоположение злоумышленников, но площадь покрытия только одной точки доступа достигает 7 тыс. кв. м (а это больше размеров футбольного поля), и поиск злоумышленников оказывается весьма затруднительным.
Рассмотрим на конкретном примере, как реализуются перечисленные функции. Модуль HiGuard, интегрированный в систему управления беспроводными сетями Siemens HiPath Wireless Manager, представляет собой программно-аппаратное решение, которое работает под ОС Windows Server 2003 совместно с Siemens HiPath Wireless Manager. C помощью сенсоров HiGuard осуществляет мониторинг окружающего пространства. Роль сенсоров играют обычные точки беспроводного доступа AP2610 и AP2620. В случае необходимости можно переключить точку доступа из стандартного режима беспроводного доступа в режим сенсора, что обеспечит большую гибкость при оптимизации производительности и зоны покрытия беспроводной сети. Каждый сенсор способен одновременно противодействовать 20 атакам на беспроводную сеть и проводить непрерывный мониторинг.
HiGuard позволяет привязать каждую точку доступа (сенсор) к плану офисных помещений. Графическое отображение территории с цветовой кодировкой указания зон покрытия — очень удобный инструмент. Помимо того, что достаточно точно устанавливается местоположение авторизованных пользователей и злоумышленников, нетрудно определить «узкие места» корпоративной беспроводной сети и оптимально расположить точки доступа на основе текущих нужд. Это особенно важно для поддержки таких приложений, как передача голоса или видео через беспроводную сеть.
Программа распознает и фиксирует более 140 типов событий. Сообщения о них отображаются на панели управления HiGuard, направляются на e-mail администратора или, с помощью протокола SNMP, — в системы управления более высокого уровня.
Hipath Wireleess Manager HiGuard обнаруживает, классифицирует все известные ныне варианты угроз и эффективно им противодействует еще до нанесения вреда беспроводной сети. При этом можно задавать степень активного воздействия на устройства: от простого отслеживания деятельности внешних точек доступа и Wi-Fi-адаптеров клиентов компании до немедленной блокировки работы точек доступа или «враждебных» адаптеров. В базе данных HiGuard фиксируются доступные параметры «враждебных» точек доступа и адаптеров, а при последующем обнаружении сенсорами этих устройств меры противодействия предпринимаются автоматически. Такие меры не влияют на производительность корпоративной WLAN и не приводят к разрыву соединений авторизованных пользователей, поскольку модуль HiGuard управляет сенсорами напрямую, минуя контроллеры.
Hipath Wireleess Manager HiGuard удобен в использовании. Панель управления отображает необходимую информацию по всем точкам доступа и клиентским адаптерам, находящимся в зоне видимости сенсоров, и по всем событиям. Панель является и «отправным пунктом» для настроек более глубокого уровня. Остается добавить, что независимая тестирующая организация The Tolly Group провела сравнительное исследование нескольких систем обнаружения вторжений во WLAN, в том числе Hipath Wireleess Manager HiGuard. С результатами тестов можно ознакомиться на сайте этой компании.
Роман Смирнов (Roman.Smirnov@siemens.com) — ведущий специалист по продуктам Siemens Enterprise Communications