Ochrona przed wrogimi punktami bezprzewodowymi
- Kamil Folga,
- 12.10.2009
Dodatkowym zabezpieczeniem może być uwierzytelnianie mechanizmami mieszanymi, opartymi na algorytmie 802.1x (przykładowo EAP-TTLS, PEAP, Cisco LEAP). Algorytm będzie uwierzytelniał nie tylko użytkownika, lecz także punkt dostępowy. Jeżeli jest to wrogi punkt, użytkownicy nie będą mogli komunikować się za jego pośrednictwem, zarówno z siecią przewodową, jak i bezprzewodową.
Widać zatem, że standardowe mechanizmy, które powinny chronić przed omawianym ryzykiem, nie zawsze sprawdzają się. Poziom, przy którym będziemy potrzebowali dodatkowych zabezpieczeń przed wrogimi punktami dostępowymi, zależy od mocnych stron pozostałych elementów systemu bezpieczeństwa. Jeżeli zostaną wdrożone najnowsze rozwiązania do ochrony sieci oraz ze zrozumieniem zastosujemy dobre praktyki konfiguracji sieci bezprzewodowych, sieć będzie dobrze chroniona, a instalacja systemu wykrywania intruzów może okazać się zbędna.
W poszukiwaniu podejrzanych gości
Historycznie rzecz ujmując, jedyną drogą do wykrywania wrogich punktów dostępowych było manualne skanowanie sieci. Rozumiemy przez to pomiary wykonywane ręcznie przez pracowników działu IT, przy użyciu odpowiedniego oprogramowania lub specjalizowanych urządzeń. Naturalnie jest to dość kosztowny i czasochłonny proces. Poza tym taki pomiar nie zawsze jest efektywny.
Wykrywanie wrogich punktów dostępowych zawsze składa się z dwóch etapów. Pierwszy to wyszukiwanie obecności urządzeń w sieci przy użyciu następujących technik:
Skanowanie RF - najczęściej stosowana; polega na zatrudnieniu sensorów RF do wykrywania urządzeń pracujących w danym terenie oraz informowaniu administratora WLAN.
Skanowanie AP - technika wdrożona przez kilku dostawców, polegająca na automatycznym odkrywaniu punktów dostępowych pracujących na określonym terenie. W tym procesie punkty dostępowe posługują się m.in. wykrywaniem interfejsu webowego, badaniem baz MIB przy użyciu protokołu SNMP.
Skanowanie protokołów - często wykorzystywana opcja, polegająca na wykrywaniu urządzeń w LAN, poprzez sprawdzanie odpowiedzi na zapytania SNMP, TELNET, CDP itp.