Monitorowanie i bezpieczeństwo korporacyjnej sieci WLAN
- Patryk Królikowski,
- 04.02.2008
Z tych prozaicznych przyczyn ważne jest poznanie i wdrożenie dodatkowych zabezpieczeń - zarówno proceduralnych, jak i technicznych. Zabezpieczenie proceduralne to przede wszystkim jasna i klarowna polityka bezpieczeństwa, opisująca nie tylko zasady korzystania z sieci bezprzewodowych, lecz także (a może zwłaszcza) konsekwencje ich naruszenia. Polityka bezpieczeństwa potrzebna jest w każdej organizacji, nie tylko w tych z rozbudowaną infrastrukturą.
Dodatkowe środki techniczne konieczne są w szczególności tam, gdzie sieć bezprzewodowa jest rozległa i trudna do opanowania. Do najprostszych (niezwiązanych bezpośrednio ze środowiskiem WLAN) zalicza się zastąpienie przełączników niezarządzanych poprzez zarządzane. W ten sposób zyskujemy funkcjonalność "port-based security", dzięki której możemy każdemu portowi przyporządkować urządzenie o określonym adresie MAC. Jest to jednak bardzo ograniczone i podstawowe zabezpieczenie. Podmiana adresu MAC jest przecież bardzo prosta. Poza tym nic nam nie przyjdzie z zarządzanego switcha, jeżeli nic do niego nie zostanie podłączone (np. punkt dostępowy uruchomiony przez włamywacza jako sniffer).
Stosuje się również dobrodziejstwa standardu 802.1Q - mechanizmy VLAN-ów i tagowania ruchu pochodzącego z sieci bezprzewodowych. To daje możliwość ograniczania dostępu z określonych segmentów sieci do poszczególnych zasobów. Zabezpieczenie to jest szczególnie użyteczne w przypadku udostępniania sieci bezprzewodowej zarówno gościom (nie potrzebują oni niczego innego poza dostępem do internetu), jak i pracownikom.
Ale i to nie stanowi wystarczającej ochrony. Dlatego też - jak mówią eksperci bezpieczeństwa - szczególnego znaczenia nabrały obecnie systemy WIPS (Wireless Intrussion Prevention System). Ich wdrożenie pomaga ograniczyć ryzyko biznesowe związane z wykorzystaniem sieci bezprzewodowych. Występują one teraz albo jako samoistne systemy, albo w postaci "zaszytych" w sprzęcie modułów. W ciągu ostatnich kilku miesięcy daje się zauważyć trend polegający na maksymalnej konsolidacji rozdzielonych do niedawna funkcjonalności.
Współczesne WIPS-y są tylko IPS-ami z nazwy, a ich możliwości wykraczają daleko poza te typowe dla narzędzi do powstrzymywania włamań. Są to więc także systemy zarządzania, rozbudowane korelatory zdarzeń, skanery urządzeń przenośnych połączone z funkcjami alterowania i raportowania, narzędzia do analizy powłamaniowej, itd. Widać przy tym wyraźnie tendencję do zacieśniania współpracy pomiędzy producentami sprzętu WLAN a dostawcami oprogramowania typu WIPS. Najlepiej ilustruje to przykład największych graczy na rynku systemów monitoringu sieci WLAN - AirDefense oraz AirMagnet. Ten pierwszy zawarł przymierze z firmami Motorola, Nortel, Enterasys oraz Trapeze, podczas gdy drugi porozumiał się z firmami Aruba i Divitas. Pomimo tej współpracy producenci sprzętu starają się również we własnym zakresie integrować w swoich rozwiązaniach zaawansowane funkcje ochronne. Każde z podejść ma zalety i wady.
Niebezpieczne punkty dostępowe
Czym powinno się więc charakteryzować dobre oprogramowanie monitorujące/zabezpieczające sieci WLAN? Przede wszystkim musi być w stanie wykrywać podłączane do sieci urządzenia bezprzewodowe, pozwalając w ten sposób na wykrycie głównie nieautoryzowanych punktów dostępowych (tzw. RAP - Rogue Access Point), ale także np. sieci typu ad hoc.
RAP-ami mogą stać się także nasze urządzenia dostępowe, które zostały niewłaściwie skonfigurowane i umożliwiają "wjazd" osobom nieuprawnionym. Zagrożenie stanowią również punkty dostępowe znajdujące się w bliskiej okolicy firmy - stacje klienckie mogą bez dodatkowych działań użytkownika automatycznie nawiązać z nimi połączenie. W ten sposób nieautoryzowane stacje klienckie jednej firmy łączą się z punktami dostępowymi drugiej i odwrotnie.
Takie samo zagrożenie niosą sieci ad hoc, gdzie brakuje mechanizmów bezpieczeństwa, a jest znacznie gorzej, jeżeli oprócz tego stacja kliencka równocześnie podłączona jest do sieci przewodowej.
Wreszcie nieautoryzowane punkty dostępowe świadomie umieszczone w pobliżu firmy przez włamywaczy. W większości przypadków emitują one silniejszy sygnał niż punkty autoryzowane. Posiadają przy tym takie samo ESSID jak punkt autoryzowany i w ten sposób "przyciągają" stacje klienckie. Stąd już tylko krok do ataków MITM (Man-In-The-Middle).