Narzędzia obrony

Do dyspozycji mamy nie tylko bądź co bądź kosztowne zabawki. Stary znajomy Nessus również (w niektórych sytuacjach) znakomicie sprawdzi się w prowadzeniu poszukiwań za sprawą plugina "Access Point Detection" (ID 11026). Nie jest to zadanie tak proste, jak w przypadku powyżej przedstawionych przykładów, ale nikt przecież nie mówił, że będzie łatwo. Dzięki Nessusowi możemy przeskanować "powietrze" zarówno aktywnie (wysyłając określone pakiety i oczekując odpowiedzi), jak i pasywnie (nasłuchiwanie). Dostępne są również inne, proste rozwiązania, np. opensource'owy RogueScannerhttp://www.paglo.com/opensource/roguescanner

Poszukując docelowego rozwiązania monitorującego, należy także zwrócić uwagę na to, czy jest ono w stanie właściwie rozpoznać urządzenia pracujące w standardzie 802.1n. Niektóre mylnie określają je jako nieautoryzowane.

Kolejną sprawą, na którą należy zwrócić uwagę, jest to, co dany system jest w stanie zrobić po wykryciu zagrożenia. Należy więc odpowiedzieć m.in. na następujące pytania: Czy domyślnie wszelkie podejrzane urządzenia są blokowane, czy wysyłany jest jedynie alert do administratora? (Bardziej zasadne, do czasu przeprowadzenia szczegółowej analizy, jest zezwalanie na komunikację, gdyż niechcący można zablokować "dobre" urządzenie). Czy istnieje możliwość zautomatyzowania działań obronnych - np. automatyczne odcięcie urządzenia, utrzymywanie blokady przez długi okres? Co zrobić w przypadku wykrycia urządzenia, które nie może zostać właściwie zidentyfikowane? Czy rozwiązanie potrafi prowadzić klasyfikację nie tylko punktów dostępowych, ale także stacji klienckich?

W związku z powyższymi uwagami, rozwiązanie takie powinno mieć możliwość przeprowadzenia analizy działań, jakie wrogie urządzenie podejmowało (zbadanie ilości przesłanych danych, sprawdzenie kto był do niego podłączony itp.). Dzięki temu możliwe będzie zebranie danych potrzebnych w procesie analizy powłamaniowej. Nie bez znaczenia jest też możliwość przeprowadzania testów podatności sieci. Dobry WIPS/WIDS powinien realizować funkcjonalność wynikającą ze swojej nazwy, a więc chronić przed samymi atakami typowymi dla sieci bezprzewodowych i to nie tylko w oparciu o sygnatury, ale również analizę behawioralną oraz badanie protokołów. Dodatkowo powinien korelować poszczególne zdarzenia, ułatwiając zrozumienie tego, co dzieje się w sieci i zmniejszając liczbę fałszywych rozpoznań. Ponadto powinien umożliwiać stworzenie polityki bezpieczeństwa zgodnej nie tylko z wewnętrznymi ustaleniami firmy, ale także z regulacjami, takimi jak SOX czy HIPAA, i raportować o wszelkich od nich odstępstwach. No i wreszcie raportowanie. Nawet najlepszy system będzie dla administratora mało użyteczny, jeżeli nie będzie potrafił w sposób czytelny przedstawić zebranych przez siebie informacji.

Jest jeszcze jeden element, o którym nie wolno zapominać - stacje klienckie. I one muszą zostać odpowiednio zabezpieczone. Oprócz tradycyjnych narzędzi, jak oprogramowanie antywirusowe czy osobista zapora, powinien pojawić się dodatkowy komponent dbający o to, żeby stacja podłączona do sieci przewodowej nie korzystała jednocześnie z interfejsu WLAN (przy okazji także z innych łączy, np. kart GSM). Przeoczenie takiego "szczegółu" to zostawienie otwartych na oścież drzwi włamywaczowi. Funkcjonalność ta na szczęście staje się powoli elementem zintegrowanych pakietów typu "endpoint protection" klasy enterprise (np. Symantec Endpoint Protection).

Podsumowanie

Zabezpieczenie sieci WLAN nie jest rzeczą prostą. Sieci te stawiają przed administratorami bezpieczeństwa zupełnie nowe zadania niespotykane w sieciach przewodowych. Niektórzy analitycy uważają, że coś takiego jak bezpieczeństwo w przypadku łączności bezprzewodowej jest mrzonką. Być może jest w tym stwierdzeniu odrobina prawdy. Sieci bezprzewodowe będą jednak nadal powstawały i rosły w siłę. Dlatego też tak dużego znaczenia nabiera nie tylko wdrożenie mechanizmów zabezpieczających, ale także objęcie WLAN-u stałym monitoringiem i prowadzenie regularnych audytów.