Obrona z obu stron: Wi-Fi i Ethernetu

Nie sposób nie zgodzić się ze stwierdzeniem, że w świecie idealnym administratorzy sieci powinni zarządzać bezprzewodowym i przewodowym LAN z jednego okna na ekranie. Jednak cel ten staje się wyzwaniem, kiedy protokoły każdej sieci są rożne, takie jak Wi-Fi i Ethernet.

Podobnie jak multicast czy QoS (Quality of Service), funkcja wykrywania i zapobiegania wtargnięciom (IDS/IPS) działa inaczej po stronie przewodowej i bezprzewodowej korporacyjnego przełącznika Ethernet.

Systemy wykrywania i zapobiegania wtargnięciom w środowisku bezprzewodowym (WIDS/WIPS) mają wgląd w warstwę 2 klienta Wi-Fi i punktów dostępowych (AP). Identyfikują nieautoryzowane urządzenia podejmujące próbę podłączenia się do sieci i stanowią punkt obserwacyjny dla możliwych ataków na protokół Wi-Fi.

Zobacz również:

  • Netgear wkracza z Wi-Fi 7 dla klientów biznesowych
  • Najszybszy światłowód w Polsce - łącze 8 Gb/s od Orange

Takie ataki mogą obejmować próby "instruowania" klienta w celu rozłączenie się z AP lub połączenia się z wrogim AP. Ponieważ nie ma tu fizycznego kabla łączącego, zakłócenie transmisji może pojawić się na poziomie fizycznym połączenia radiowego (poziom 1) i może być zamierzone lub nie. I tak np. zakłócenia częstotliwości radiowej mogą powodować całkowitą odmowę usługi (DoS). Inne zakłócenia, pochodzące np. z kuchenek mikrofalowych, bezprzewodowych kamer wideo, telefonów bezprzewodowych, zakłóceń międzykanałowych itp. - mogą stanowić mniejsze utrapienie, nie wpływające na wydajność, ale mogą również powodować zablokowania WLAN.

Monitorowanie i klasyfikacja urządzeń zakłócających na poziomie 1 jest nazywana ogólnie "analizą widma", a nie WIPS. Analiza widma jest funkcją kontroli wydajności i lokalizowania problemów, a nie typową funkcją ochronną.

Po stronie przewodowej Ethernet, tradycyjne IDS/IPS działają w wyższej warstwie sieciowej, skupiając się na bezpieczeństwie. Wyszukują ataki na protokół IP, aplikacje i system operacyjny. Oprogramowanie antywirusowe na laptopach może pracować w połączeniu z oprogramowaniem IDS/IPS w routerach dostępowych WAN, i może być w innych miejscach sieci przewodowych, monitorując przepływ ruchu w sieci przewodowej pod kątem malware lub podejrzanych sygnatur ruchu. Z chwilą znalezienia takiej sygnatury, ten fragment ruchu może być poddany kwarantannie lub odfiltrowany z ruchu.

Wniosek z tego wszystkiego jest taki, że chociaż funkcje IDS/IPS są podobnie nazwane, różnią się w zależności od tego, czy są wykonywane po "radiowej" stronie sieci, czy po ethernetowej. Na dzisiaj oznacza to, że muszą być konfigurowane i utrzymywane oddzielnie, i to na ogół z różnych ekranów zarządzania.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200