Intruz w sieci bezprzewodowej
- Kamil Folga,
- 09.12.2013
Zagrożenia sieci bezprzewodowych ewoluują. Coraz więcej urządzeń klienckich Wi-Fi oraz punktów dostępowych w sieciach jest narażonych na niebezpieczeństwo. Skuteczna detekcja zagrożeń wymaga systemu monitorowania środowiska Wi-Fi, informującego o podejrzanej aktywności, ale także reagującego na wykrywane zdarzenia. Tego typu systemem jest WIPS (Wireless Intruse Prevention System), a także WIDS (Wireless Intruse Detection System).
Bezprzewodowy system detekcji i prewencji działa odmiennie od systemów przewodowych. Tradycyjny system IDS/IPS skupia się na warstwie 3 modelu sieciowego OSI/ISO oraz warstwach wyższych. Wynika to z założenia, że zabezpieczenia warstwy 1 i 2 modelu sieciowego OSI/ISO są trudniejsze do złamania w sieciach przewodowych (wymagany jest dostęp do fizycznego okablowania lub urządzeń sieciowych). Także sieci bezprzewodowe są narażone na identyczne zagrożenia w warstwach 3 i wyższych. W przypadku sieci bezprzewodowych pracujących w standardach 802.11, pojawia się dodatkowo zupełnie inny problem. Infrastruktura działająca zgodnie z 802.11 jest wrażliwa na szereg zagrożeń pojawiających się w warstwie 1 i 2. Każdy, kto ma dostęp do środowiska RF danej sieci bezprzewodowej, ma możliwość jej nadużycia. Zwiększa to specjalne wymagania wobec bezprzewodowych systemów wykrywania i prewencji włamań – WIDS/WIPS.
Jak działa WIDS/WIPS?
Systemy WIDS/WIPS to zazwyczaj scentralizowane oprogramowanie, które proaktywnie chroni sieć Wi-Fi oraz jej użytkowników przed zagrożeniami. System WIDS/WIPS wspiera infrastrukturę w osiąganiu maksymalnej wydajności. W momencie, gdy pojawia się zagrożenie, powinien szybko poinformować o jego źródle oraz sposobie rozwiązania problemu.
Niezależny sprzęt pracujący jako sensor – punkt dostępowy i sensor sprzętowy stanowią niezależny sprzęt. Rozwiązanie zapewnia lepszą optymalizację rozmieszczenia punktów dostępowych oraz sensorów.
Punkt dostępowy i sensor zintegrowane w jednym urządzeniu – w tej konfiguracji jeden moduł radiowy realizuje zadania sensora, natomiast kolejny pracuje jako punkt dostępowy. Rozwiązanie stosowane w przypadku, gdy nie jest wymagana wysoka gęstość sieci, a oba nie muszą być wykorzystywane na potrzeby punktu dostępowego. Istnieje także możliwość przydzielenia obu modułów radiowych tylko do jednej funkcjonalności.
WIDS powiadamia o potencjalnych atakach, natomiast WIPS dodatkowo chroni sieć bezprzewodową przed atakami i niweluje skutki zaistniałych. WIDS/WIPS potrafi wykryć obce punkty dostępowe, nieautoryzowanych klientów, pakiety deautentykacji, wrogie skanowanie sieci, niepoprawne numery sekwencyjne pakietów w sieci bezprzewodowej, brak szyfrowania danych, domyślne SSID oraz ich zmiany, podmienione MAC adresy klientów i punktów dostępowych, podszywanie się pod nazwę sieci BSSID.