Защита беспроводной среды Wi-Fi предприятия от НСД

Андрей Комаров, директор компании "ITDEFENCE"

Внедрение WIDS

В местах, где стратегическая мобильность сотрудников по роли деятельности предельно важна, выгода от инвестиций в создание беспроводных инфраструктур очевидна. Нарушение корректной работы таких сетей заметно скажется на развитии бизнеса любого предприятия, поэтому целесообразным является организация надежной защиты, способствующей непрерывности всех критически важных процессов связных сетей, происходящих внутри доверенного радиопокрытия. Шаблонные методы безопасности могут быть легко преодолены опытным взломщиком путем анализа эфира с помощью метода инверсного сканирования или режима мониторинга, поэтому дополнительным комплексом технических действий для обеспечения безопасности беспроводной сети может стать внедрение WIDS.

WIDS (Wireless Intrusion Detection System) - это система, занимающаяся анализом эфира путем радиочастотного мониторинга (RF monitoring) на предмет аномалий и сигнализированием о них. Во избежание путаницы термин WIPS (Wireless Intrusion Prevention System) рекомендуется применять к клиентской части, а именно: к персональным беспроводным МЭ (SpectraGuard Free, StreetWise). Первостепенная задача последних состоит в ограничении возможности "случайных" подключений встроенного механизма беспроводной самонастройки (АБС) к несанкционированным хотспотам с целью предотвращения атак "Ewil-Twin/Rogue AP", направленных на клонирование идентификатора легитимной точки доступа под сэмулированную злоумышленником. Различают:

• Overlay. Роль WIDS-overlay системы в интегральной ЗИ состоит в том, что, будучи внедренной в беспроводной сектор, она будет обнаруживать абсолютно все точки доступа и клиентов на всех каналах. Этот процесс производится с использованием пассивных сенсоров эфира, как правило базирующихся на энергосберегательных стандартах. Полученные данные передаются на сервер централизации, где в читабельном виде их может изучить аналитик.
• Embedded. Система использует собственные точки доступа для мониторинга (monitor only). Это значительно снижает расходы на дополнительное оборудование, хотя и прибавляет нагрузку при обслуживании собственных клиентов. При определенных вендорских функциональных особенностях можно произвести синтез в распределенную overlay.
• Handled. Как правило, это один или несколько портативных компьютеров, агентов безопасности, использующих специальное ПО. В качестве последнего могут быть использованы Open-Source-решения, позволяющие захватывать фреймы протокола IEEE 802.11. К ним можно отнести: Kismet-based, scapy-based, tcp-dump, AirPcap-based IDS. К раскрытию полного функционирования открытых решений придется привлекать разработчиков, но даже при грамотном подходе по своему функционалу они будут явными аутсайдерами при сравнении с коммерческими.

Полученная сила сигнала и время фиксируются, вычисляется расположение источника, результаты передаются на средство для отображения полученной информации на отка-либрованной карте в заданном масштабе. Это позволяет практически моментально реагировать на инцидент, а также выявлять возможные угрозы. Классическими "поводами" для тревоги могут являться: активный стамблинг, размещение несанкционированной точки доступа, "откат" (стремление к нулю) номера кадра MAC, дублирование SSID и т.д. Из событий, характеризующих начало Denial Of Service, можно выделить волны RTS/CTS - фреймов или деаутентификацион-ных пакетов. Рекомендуется устанавливать пассивные сенсоры мониторинга в тех местах, где пользование беспроводными устройствами запрещено. В соответствии с функциональностью предпроцессо-ров WIDS будет различать доверенные устройства от несанкционированных, определять попытки взлома и предотвращать их. Обнаружив несанкционированное устройство в эфире, система генерирует пакеты деавторизации, производя целевую атаку на клиентское устройство. К этому моменту следует подходить с аккуратностью, так как при неграмотной настройке системы могут пострадать собственные сотрудники, которые решили переподключиться на другую точку доступа. Немаловажным фактором является диагностика использования алгоритма шифрования в сети, так как естественной опасностью для беспроводной среды является радиоперехват.

Модели обнаружения злоумышленников

Следует понимать, что "вар-драйвер" современности может заняться сетевой разведкой в любой удобный момент с КПК, лэптопа или смартфона с модулем Wi-Fi. В этом плане отделу И Б требуется подумать не столько о защите сети, сколько о методике обнаружения злоумышленников в реальном времени, чтобы вовремя реагировать на инцидент, имея явную доказательную базу об источнике атаки.

В абстрактном беспроводном окружении вычислить злоумышленника достаточно сложно. Для этого применяются Wireless Real-Time Location Systems (WRLTS), задача которых состоит в визуальном отображении передвижения всех мобильных клиентов и расположения точек доступа в пределах сот, оборудованных датчиками контроля уровня сигнала. В основе таких систем лежит триангуляционная модель вычисления злоумышленника. Из планиметрических норм следует, что 1 точка фиксирует окружность, 2 точки - отрезок в условиях пересечения, 3 -определенную точку. Каждый из сенсоров определяет псевдовектор ("псевдовектор" имеет только два возможных направления в заданной системе координат) направления движения злоумышленника, который в совокупности с остальными сенсорными результатами ставит нас в один из геометрических постулатов. Исчисляемой величиной каждого псевдовектора будет являться сила сигнала радиопередатчика (RSSI). Система определяет местонахождение необходимого устройства и расстояние между ним и каждой точкой доступа за счет вычисления времени отклика терминала на посылаемые точками, связанными в сеть с расстоянием между узлами 100-200 м, сигналы. Для достаточно точного местоположения терминала, таким образом, достаточно всего трех точек доступа. Точность определения координат объекта составляет 1-3 м, что несколько точнее, чем аналогичная характеристика GPS-систем.

По исследованию Gartner установлено, что каждый десятый переносной компьютер попадает в руки инсайдеров. На каждый компьютер устанавливается датчик движения, и все перемещения отслеживаются администратором CWSP/CWNA (специалист по беспроводке) или MSSP (аут-сорсер ИБ, Managed Security Service Proffesional). Технологии WIDS/WRLTS в полном своем масштабе могут быть доступны только отраслевым и высокобюджетным предприятиям, которые не видят дальнейшей работы без поддержания беспроводной инфраструктуры. Значение ROI на их внедрение в такой сфере достаточно высоко и полностью оправдывает стратегические цели организации, так как доля ожидаемых потерь без системы гораздо выше затрат на ее внедрение.