Szczegółowe korzyści WIDS

Zgodność z przepisami. Regularne testy penetracji sieci bezprzewodowych i nieuczciwe audyty AP są niezbędną funkcją wielu certyfikatów regulacyjnych (takich jak Payment Card Industry [PCI]). Wykorzystanie zdalnego dedykowanego czujnika WIDS może być opłacalną alternatywą dla rozmieszczenia wykonawców lub pracowników wewnętrznych w każdej fizycznej lokalizacji w celu zbadania i oceny kontroli.

Wykrywanie nieuczciwych punktów dostępu. Nieuczciwe punkty dostępowe to problem numer jeden zagrażający bezpieczeństwu sieci bezprzewodowej.37 Nawet w obliczu kontroli dostępu do portów przełączników 802.1X, funkcja PAT (Port Address Translation) może zapewnić dostęp do sieci przewodowej wielu klientom bezprzewodowym poprzez współdzielenie jednego autoryzowanego adresu MAC. Pojedynczy niezarządzany punkt dostępowy może zapewnić nieograniczony dostęp do sieci wewnętrznej przez dłuższy czas. Metody wykrywania nieuczciwych punktów dostępu:

* Umieszczenie na białej liście firmowych punktów dostępu przez:

* Dostawca: Nieuczciwe punkty dostępowe można wykryć na podstawie niestandardowej marki/modelu, przeszukując część adresu MAC klienta bazowego OUI.

* SSID: Nieuczciwe punkty dostępowe można wykryć poprzez identyfikację przesyłanych sygnałów nawigacyjnych SSID zawierających niestandardowy identyfikator SSID przedsiębiorstwa (np. „Linksys” lub „Netgear”).

* Adres MAC: Statyczną listę adresów MAC autoryzowanych punktów dostępu można uzyskać za pośrednictwem protokołu SNMP lub innych środków i dostarczyć do systemu WIDS jako „znane dobre” punkty dostępowe.

* Stopień szyfrowania/uwierzytelniania: TheWIDScan próbuje połączyć się z potencjalnymi nieuczciwymi punktami dostępowymi i wyliczyć dostępne/żądane poziomy szyfrowania/uwierzytelniania. Niestandardowy poziom lub metoda wskazywałaby na nieuczciwy AP.

* Powiązani klienci

* WIDS może przeprowadzić analizę podłączonych klientów potencjalnego nieuczciwego punktu dostępowego, aby określić, czy klienci są dostarczani przez przedsiębiorstwa na podstawie OUI adresów MAC.

* Siła sygnału

* WIDS stale monitoruje fale radiowe i może ostrzegać o wykryciu anomalii nowego AP w bliskiej odległości od fizycznego czujnika/lokalizacji, określając siłę sygnału potencjalnego fałszywego AP mierzoną w dBm. Jeśli siła dBm spadnie w zakresie progu skonfigurowanego przez użytkownika, może zostać wyzwolony alert.

Potwierdzenie wewnętrznej łączności LAN:

* Łączność z urządzeniami wewnętrznymi: Zdalny czujnik WIDS może próbować połączyć się z nieuczciwą siecią bezprzewodową i pingować znane urządzenie wewnętrzne, aby potwierdzić łączność z siecią przedsiębiorstwa (przy założeniu braku uwierzytelniania).

* Wyliczanie tabel CAM (Simple Network Management Protocol) w pamięci adresowalnej zawartością: Tabele CAM wewnętrznego przełącznika sieciowego zawierają wszystkie adresy MAC, o których wie urządzenie i na którym porcie się znajdują. Ta technika wykrywania opiera się na fakcie, że bezprzewodowe punkty dostępowe posiadają dwie karty sieciowe. Jedna karta sieciowa znajduje się po przewodowej stronie punktu dostępowego, a druga po stronie bezprzewodowej/radiu. Obie te karty posiadają adresy MAC, które różnią się jedną lub dwiema wartościami. Czujnik WIDS może identyfikować adres MAC używany przez radio bezprzewodowe poprzez pasywne monitorowanie warstwy łącza danych i przeszukiwać wszystkie znane tabele przełączników CAM za pośrednictwem SNMP w celu znalezienia podobnego adresu MAC. Kontroler WIDS może być wyposażony w ciąg odczytu SNMP do środowiska przełączników w całym przedsiębiorstwie używanego przez zespół zarządzający siecią do różnych procesów monitorowania/odpytywania.

Przeciwdziałanie. W przypadku wykrycia nieuczciwego punktu dostępowego, system WIDS można skonfigurować tak, aby wyłączyć port przełącznika, na którym się on znajduje, za pomocą ciągów zapisu SNMP lub przechwycić alert na konsoli centralnej. Czujnik WIDS można również ustawić w trybie blokowania, który będzie wykorzystywał

sfałszowane pakiety deauthentication 802.11, aby uniemożliwić klientom pomyślne nawiązanie połączenia z fałszywym punktem dostępowym. Sfałszowane pakiety deauthentication zostały omówione wcześniej w Sekcji 33.5.3, Ramki zarządzania iw odpowiednich okolicznościach mogą być użyte do zwiększenia bezpieczeństwa. Działania te należy dokładnie przeanalizować przed ich wykonaniem, aby zminimalizować prawdopodobieństwo nieświadomego zaatakowania legalnej sąsiedniej firmy lub gospodarstwa domowego.

Obrona w głąb — podstawowe sterowanie. Opisane wcześniej formanty są najlepszymi praktykami, które mogą stworzyć lub złamać zabezpieczenia sieci bezprzewodowej w przedsiębiorstwie. Oprócz tych kontroli, istnieją pewne kontrole, które same w sobie nie zapewniają dużej ochrony, ale razem mogą zmniejszyć wskaźnik sukcesu atakującego. Bezpieczeństwo poprzez ukrywanie może być złym pomysłem, jeśli jest to jedyny środek bezpieczeństwa, ale w połączeniu z solidnymi kontrolami bezpieczeństwa, można potencjalnie ograniczyć uzasadnione ataki na podstawową kontrolę bezpieczeństwa (taką jak EAP-MS-CHAP-v2). Te kontrolki nazywamy kontrolkami script-kiddie; stawiają niewielki opór doświadczonemu napastnikowi, ale powodują, że przeciwnik podejmuje wiele kroków, zanim nawet ujawni swój cel.

*Ograniczenia oparte na adresie MAC: W zależności od możliwości każdego punktu dostępowego określonego producenta, może być możliwe ograniczenie powiązania do punktu dostępowego na podstawie adresu MAC, nawet w środowisku korporacyjnym. Istnieją metody dynamicznej aktualizacji mapowań adresów MAC w repozytorium zaplecza, podobne do przypisywania VLAN opartego na przewodowym MAC.

* Maskowanie SSID: Maskowanie SSID jest doskonałym przykładem zabezpieczenia poprzez ukrywanie. Obecność punktu dostępowego i identyfikatora BSSID można zidentyfikować za pomocą różnych narzędzi do testowania penetracji, które mogą analizować surowy ruch 802.11, ale zwykły domyślny system operacyjny lub suplikant klienta innej firmy nie wyświetlają obecności punktu dostępowego z nierozgłaszającym identyfikatorem SSID.

* Izolacja klienta: Izolacja klienta to kontrola specyficzna dla punktu dostępu, która monitoruje docelowy adres MAC ruchu przychodzącego. Jeśli ruch jest przeznaczony dla innego klienta w tym samym punkcie dostępowym lub identyfikatorze SSID w środowisku cienkiego klienta, dostęp do niego zostanie odrzucony. Celem tej kontroli jest ograniczenie możliwości komunikowania się złośliwego użytkownika z innymi urządzeniami podłączonymi do AP. Ta funkcja jest powszechna w publicznych punktach dostępowych, w których użytkownik końcowy niekoniecznie jest dobrze sprawdzony lub uwierzytelniony. W zależności od zastosowania w przedsiębiorstwie konkretnego identyfikatora SSID/VLAN, ta funkcja może być włączona, aby uniemożliwić dostęp do innych punktów końcowych w środowisku, w którym usługi są świadczone bezprzewodowo przez innych klientów bezprzewodowych, takich jak drukarka; należy przeprowadzić analizę, aby umożliwić tylko podzbiór komunikacji z tymi urządzeniami.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *