Ochrona przed wrogimi punktami bezprzewodowymi

Metody walki z wrogimi punktami dostępowymi

Wrogie punkty dostępowe mogą być wszędzie, a wypowiedzenie im wojny, oznacza długą i męczącą walkę. Możemy je zwalczać, a one i tak powracają. Jednak od jakiegoś czasu administratorzy mają narzędzia niezbędne do identyfikacji, lokalizacji, migracji i relokacji wrogich punktów każdego rodzaju. Przeważnie są to rozwiązania dość łatwe w konfiguracji, kompleksowo usuwające problem i niedrogie.

Wybierając system WIDP, warto rozważyć:
Pierwszym punktem na liście zadań powinna być mocna polityka bezpieczeństwa. Istnienie korporacyjnej strategii oraz architektury wykorzystania sprzętu bezprzewodowego, także może być mocną stroną każdego wdrożenia. Jednak najlepszym rozwiązaniem będzie systematyczna kontrola bezpieczeństwa sieciowego. Nie istnieje złoty środek, ale można wymienić kilka technik, które mogą zredukować liczbę nieznanych, wrogich punktów dostępowych. W połączeniu z odpowiednim poziomem zabezpieczeń serwerów oraz aplikacji wspomniane techniki mogą załatać niemal wszystkie dziury w systemie bezpieczeństwa. Kombinacja narzędzi wykrywania intruzów po stronie przewodowej i bezprzewodowej powinna umożliwić wykrywanie wszelkich objawów istnienia wrogich punktów dostępowych.

Krytyczną sprawą jest skanowanie częstotliwości 2,4 i 5 GHz w zakresie kanałów zawartych w standardach 802.11a/b/g. Zazwyczaj będziemy poszukiwali:

Nieautoryzowanych punktów dostępowych Wi-Fi, przyłączonych do naszej sieci.

Uwierzytelnionych urządzeń klienckich Wi-Fi, przyłączonych do nieautoryzowanych punktów dostępowych.

Nieautoryzowanych użytkowników sieci Wi-Fi, przyłączonych do uwierzytelnionych punktów dostępowych.

Gdy znajdziemy w sieci wrogi punkt dostępowy, najważniejszym krokiem jest oddzielenie tego urządzenia od korporacyjnej sieci. Istnieje kilka metod blokady, ale najpopularniejsze to atak DoS (Denial of Service) na wrogi punkt dostępowy, fizyczne odnalezienie i neutralizacja urządzenia oraz zablokowanie portu przełącznika, do którego przyłączone jest podejrzane urządzenie. W sieci możemy znaleźć także nieproszonych klientów. W tym przypadku rolą administratora WLAN jest możliwie szybkie i skuteczne odłączenie użytkownika od sieci. Najczęściej będzie to realizowane przez mechanizmy kontroli dostępu (ACL) na danym punkcie dostępowym.

Ochrona przed wrogimi punktami bezprzewodowymi

Deasocjacja nieautoryzowanego klienta Wi-Fi

Przy wykorzystaniu systemu wykrywania i prewencji intruzów WIDP (Wireless Intrusion Detection and Prevention) możemy zdefiniować wrogów, uwzględniając politykę bezpieczeństwa organizacji. Następnie możemy poinformować system, w jaki sposób traktować wrogów, gdy ich wykryje. Znane i dostępne systemy wykrywania intruzów (WIDP) potrafią rozpoznawać różnice pomiędzy urządzeniami komunikującymi się bezprzewodowo.

Większość systemów WIDP (czasami określanych też jako WIPS - Wireless Intrusion Prevention System) wykorzystuje architekturę rozproszonych, inteligentnych sensorów, które przetwarzają cały analizowany ruch lokalnie i przekazują wyniki do centralnego zarządcy systemu. Dzięki temu nie marnują cennej przepustowości na przekazywanie wszystkich danych. Druga popularna architektura polega na integracji. Takie systemy nie tylko znajdą wrogi punkt dostępowy, ale zablokują także port przełącznika, do którego jest przyłączone to urządzenie. W ten sposób system automatycznie odcina dostęp dla każdego, kto uzyska dostęp do sieci przewodowej poprzez nieautoryzowany punkt dostępowy. Dodatkiem jest zazwyczaj oprogramowanie lokalizacyjne, pozwalające ustalić pozycję wykrytego zagrożenia.

Zastosowanie 802.1x w infrastrukturze sieci Ethernet może być dobrym pomysłem, jeżeli mamy świadomość przyrostu administracji, problemów z systemami operacyjnymi komputerów biurowych i z ramkami Ethernet nieobsługującymi szyfrowania danych (802.1x jest jedynie mechanizmem uwierzytelniania). Bezprzewodowy system wykrywania intruzów jest nadal niezbędny do identyfikacji, lokalizacji oraz neutralizacji wrogich AP.

Co wybrać?

Skuteczność walki z wrogimi punktami dostępowymi zależy głównie od pomysłowości administratora. Wdrożenie najnowszych rozwiązań z zakresu bezpieczeństwa bezprzewodowego oraz mechanizmów ochrony sieci 802.1x z pewnością pozwoli na skuteczne, ale nie pełne przeciwstawienie się omawianym zagrożeniom. W niewielkiej sieci opisane mechanizmy, przy jednoczesnym użyciu manualnych technik wykrywania i neutralizacji urządzeń bezprzewodowych, mogą przynieść niezły efekt. W dużej sieci konieczne będzie zautomatyzowanie przedstawionych procesów i wykorzystanie systemu WIDP.


TOP 200