…in the name of… Security

Ze względu na szyfrowanie, które ma miejsce w warstwie łącza danych i powyżej, system WIDS nie może kontrolować ruchu w warstwie danych. Większość zagrożeń bezprzewodowych wiąże się z wykorzystaniem luki w zabezpieczeniach, która istnieje w warstwie łącza danych, takiej jak sam protokół 802.11 lub następujących procesach uwierzytelniania i szyfrowania. . Podstawowa wartość WIDS polega na możliwości zapewnienia bezpieczeństwa kontroli bezprzewodowych poprzez weryfikację ich istnienia i ciągłe monitorowanie pod kątem nieautoryzowanych zmian. Dedykowany WIDS może świadczyć następujące usługi:

* Identyfikuj nieautoryzowane punkty dostępowe we wszystkich fizycznych lokalizacjach (nieuczciwe punkty dostępowe).

* Wykrywaj i blokuj korzystanie z różnych bezprzewodowych narzędzi hakerskich z możliwymi do zidentyfikowania sygnaturami warstwy 1/2.

* Identyfikuj i stale monitoruj mechanizmy szyfrowania lub uwierzytelniania poniżej klasy korporacyjnej w autoryzowanych punktach dostępu.

* Wykrywaj i blokuj nieautoryzowane połączenia z wewnętrznymi punktami dostępowymi od klientów z nieautoryzowanymi kartami bezprzewodowymi.

* Określ parametry konfiguracyjne suplikanta klienta, ponieważ odnoszą się one do przesyłania znanych sygnałów nawigacyjnych SSID.

Większość nowoczesnych infrastruktur WIDS można skonfigurować tak, aby wykorzystywać istniejące punkty dostępowe lub używać dedykowanych czujników do monitorowania ruchu 802.11. Dedykowane czujniki zapewniają znacznie większą funkcjonalność kosztem dodatkowych kosztów. Dedykowany czujnik ma czas i procesor na pozyskiwanie przydatnych danych od sąsiednich punktów dostępowych i klientów, podczas gdy istniejący punkt dostępowy typu korporacyjnego typu „thin” może przeznaczyć tylko część przetwarzania na te funkcje.

Bezprzewodowy system wykrywania włamań (WIDS) przeszedł długą drogę, aby stać się standardowym urządzeniem do monitorowania bezpieczeństwa sieci, stając się codziennym narzędziem do monitorowania bezpieczeństwa, podobnie jak tradycyjny przewodowy system IDS. WIDS jest w stanie monitorować fale radiowe 802.11 na łączu danych i warstwie MAC niezależnie od szyfrowania lub uwierzytelniania. Chociaż WIDS nie może być używany zamiast przewodowego IDS, może zapewnić wgląd w pochmurny segment krawędzi sieci. WIDS nie ogranicza się również do przedsiębiorstw, które wdrażają sieć bezprzewodową. WIDS może również stanowić wartość dla przedsiębiorstw, które nie wdrażają sieci bezprzewodowych, zabezpieczając przed nieautoryzowanym użyciem połączeń bezprzewodowych poprzez ciągłe monitorowanie fal radiowych i odpowiednie ostrzeganie o wewnętrznych nieuczciwych punktów dostępu. Wiele dużych naruszeń wynikało ze słabego zarządzania siecią bezprzewodową i widoczności. Jest to duży problem dla organizacji posiadających wiele fizycznych punktów sprzedaży detalicznej lub korporacyjnych. Ze względu na szerokie zastosowanie i łatwość instalacji SOHO AP uzyskanego z konsumenckiego punktu sprzedaży detalicznej, coraz ważniejsze staje się wykrywanie nieautoryzowanych rozszerzeń sieci korporacyjnej. Ponadto zwiększone uzależnienie od komunikacji bezprzewodowej w różnych przypadkach biznesowych (takich jak dostęp korporacyjny, urządzenia dostawców wymagające własnego punktu dostępowego lub urządzenia detaliczne wymagające dedykowanych punktów dostępowych z szyfrowaniem niskiej jakości ze względu na niski poziom mocy procesu) spowodowało większe trudności w inwentaryzacji autoryzowanych punktów dostępowych sieci i potwierdzanie prawidłowej segmentacji lub braku łączności wewnętrznej dla niekorporacyjnych punktów dostępowych. W przypadku, gdy przedsiębiorstwo może zarządzać wszystkimi znanymi punktami dostępowymi i inwentaryzować je, nie ma natywnego rozwiązania do szybkiego i dokładnego audytu wdrożenia standardowych poziomów uwierzytelniania i szyfrowania korporacyjnego ze zdalnej lokalizacji.

Konfiguracja klient-punkt końcowy jest kluczowym i często pomijanym elementem bezpiecznego wdrożenia sieci bezprzewodowej. Wdrożenie bezpiecznej sieci bezprzewodowej w przedsiębiorstwie chroni sieć wewnętrzną, ale większość wdrożeń zaniedbuje ocenę bezpieczeństwa punktów końcowych, które łączą się z nową siecią bezprzewodową.

Włączenie łączności bezprzewodowej na poziomie przedsiębiorstwa oznacza, że ​​laptopy, które są zabierane poza biuro, prawie zawsze będą miały włączone bezprzewodowe radio. Bezprzewodowa łączność radiowa nie jest nieodłącznym ryzykiem, ale w połączeniu z domyślnymi konfiguracjami systemu operacyjnego i sterowników takie niechronione urządzenia mogą z łatwością dostarczać stronom nasłuchującym wszelkiego rodzaju informacje o łączności. Większość domyślnych suplikantów klientów bezprzewodowych poddaje się pewnego rodzaju atakom, które mogą potencjalnie zagrozić punktowi końcowemu w zdalnej lokalizacji, takiej jak kawiarnia, i ponownie nawiązać łączność, gdy klient idzie do pracy i łączy zainfekowaną maszynę z przedsiębiorstwem Sieć bezprzewodowa. Pracownicy mogą latać, siedzieć w autobusie lub po prostu łapać coś do jedzenia – a jeśli odpowiednio długo siedzą w fizycznej lokalizacji, atakujący może zebrać mnóstwo informacji z niezabezpieczonej konfiguracji petentów. Informacje te mogą obejmować wstępnie udostępniony skrót klucza dla sieci domowej, zapamiętane identyfikatory SSID (np. bezprzewodowy identyfikator SSID przedsiębiorstwa), a nawet skróty haseł do uwierzytelniania opartego na katalogu przedsiębiorstwa. Poniżej przedstawiono zalecenia dotyczące zabezpieczania konfiguracji suplikanta punktu końcowego:

* Wyłącz żądania sondowania SSID: Wiele systemów operacyjnych i zewnętrznych suplikantów będzie stale sondować ostatnie znane identyfikatory SSID. Ten proces jest wykonywany w celu upewnienia się, że klient może połączyć się z punktem dostępowym, który może nie wysyłać ramek nawigacyjnych w celu identyfikacji lub jeśli klient przeoczył interwał sygnału nawigacyjnego punktu dostępowego. Interwał sygnału nawigacyjnego jest zdefiniowany w punkcie AP jako okres czasu między wysyłaniem ramek sygnału nawigacyjnego w celu identyfikacji siebie przez wszystkich nieskojarzonych klientów w zasięgu. Wyłączenie tej funkcji uniemożliwia atakującemu pasywne monitorowanie ruchu 802.11 i uzyskanie listy identyfikatorów SSID, z którymi dany klient próbuje się połączyć. Informacje te można następnie wykorzystać do zmuszenia klienta do połączenia się z nieuczciwym punktem dostępowym podszywającym się pod jeden ze zidentyfikowanych punktów dostępowych.36

* Profile sieci bezprzewodowej: Profile sieci bezprzewodowej należy skonfigurować tak, aby oddzielić profile firmowych punktów dostępu od profili punktów dostępu lub domowych punktów dostępu. Zewnętrzni suplikanci często zapewniają tę możliwość, aby zapobiec sytuacji, w której pracownik firmy korzysta z komputera w kawiarni, a jego sterownik sieci bezprzewodowej nieświadomie nadaje identyfikator SSID firmy, zachęcając w ten sposób atakującego do maskarady i potencjalnego przechwycenia klucza wstępnego WPA/WPA2 skrót lub skrót hasła oparty na katalogu odpowiedzi na wyzwanie. Korzystanie z różnych profili ogranicza możliwość, aby klient wiedział, jak połączyć się z punktami dostępowymi w sieci firmowej, gdy nie znajduje się w biurze.

* Konfiguracja bezpiecznego serwera uwierzytelniania

* Urząd certyfikacji: suplikant powinien akceptować tylko certyfikaty serwera uwierzytelniania, które zostały podpisane przez wyznaczony/pojedynczy główny urząd certyfikacji. Ta sytuacja uniemożliwia nawiązanie połączenia z punktem dostępu i bazowym serwerem uwierzytelniania, który wyświetla prawidłową/pasującą nazwę pospolitą podpisaną przez legalny, ale inny główny urząd certyfikacji.

* CertificateValidation: Użytkownicy nie powinni mieć możliwości nadpisywania i włączania korzystania z niezaufanego certyfikatu serwera podczas procesu uwierzytelniania. Domyślnie wielu suplikantów pyta użytkownika w przypadku wykrycia nieprawidłowego certyfikatu i udostępnia opcję zignorowania. Suplikant powinien być skonfigurowany tak, aby nie monitował użytkownika i usuwał wszelkie możliwości udanych prób uwierzytelnienia do punktu dostępowego z nieważnym lub niezaufanym certyfikatem.

* Nazwa pospolita (CN): Upewnij się, że w kliencie określono nazwę pospolitą lub CN serwera uwierzytelniania zaplecza. Zapobiegnie to połączeniu z punktem dostępowym i serwerem uwierzytelniania, które posiadają zaufany certyfikat (zakładając, że główny urząd certyfikacji nie jest specyficzny dla przedsiębiorstwa), ale używają nieprawidłowej nazwy hosta/FQDN.

Uwierzytelnianie oparte na certyfikatach między klientem a serwerem uwierzytelniania zaplecza jest de facto standardem uwierzytelniania bezprzewodowego. Certyfikaty X.509 są używane do uwierzytelniania serwera z klientem (RADIUS jako broker), klienta z serwerem uwierzytelniania lub obu. Wykorzystanie certyfikatów użytkowników końcowych i komputerów do uwierzytelniania zamiast uwierzytelniania opartego na hasłach katalogowych wymaga wdrożenia pełnej infrastruktury klucza publicznego (PKI). PKI jest niezbędne do dostarczania i regularnego aktualizowania/kojarzenia certyfikatów z urządzeniami końcowymi i podpisywania ich za pomocą głównego urzędu certyfikacji przedsiębiorstwa (CA) lub zewnętrznego głównego urzędu certyfikacji, takiego jak VeriSign. Poniżej przedstawiono trzy najczęstsze zastosowania certyfikatów punktów dostępowych lub klientów w nowoczesnych wdrożeniach bezprzewodowych w przedsiębiorstwach:

* Tylko certyfikaty serwera uwierzytelniania:

* Implementacja protokołu RSN EAP w wersji szkieletowej powinna wymagać co najmniej podpisanego certyfikatu serwera uwierzytelniania. Zapewnia to łączącym się klientom, że przeprowadzają uwierzytelnianie z zaufanym punktem dostępu i serwerem uwierzytelniania. W przypadku braku certyfikatu serwera klienci są podatni na ataki MITM, których można użyć do przechwycenia od klienta skrótów typu wyzwanie-odpowiedź EAP. Protokół RSN zapewnia, że ​​klient musi uwierzytelnić serwer uwierzytelniania przed uwierzytelnieniem się na serwerze. Ta sekwencja chroni przed atakami RADIUSimpersonation i nieuczciwymi punktami dostępowymi, jeśli jest poprawnie skonfigurowana.

* Implementacje bezprzewodowe, które wykorzystują certyfikaty serwera uwierzytelniania, ale nie wymuszają ich na poziomie suplikanta, rezygnują z wszelkich zabezpieczeń zapewnianych przez tę kontrolę. Atakujący może podszywać się pod prawdziwy serwer uwierzytelniania zaplecza za pomocą tego samego identyfikatora SSID i przejąć kontrolę nad procesem uwierzytelniania.

* Wzajemne uwierzytelnianie klienta i serwera oparte na certyfikatach: Każdy klient punktu końcowego otrzymuje certyfikat podpisany przez główny urząd przedsiębiorstwa i zainstalowany w magazynie certyfikatów systemu operacyjnego. Protokół EAP-TLS jest powszechnie używany w tego typu infrastrukturze PKI do uwierzytelniania certyfikatu serwera (jak w przypadku uwierzytelniania opartego na katalogach) oraz certyfikatu klienta poprzez weryfikację podpisu certyfikatu. Ten certyfikat klienta zawiera również informacje z pól służące do identyfikacji użytkownika oraz wszelkie inne odpowiednie informacje do wykorzystania przez serwer uwierzytelniania.

* Uwierzytelnianie oparte na kliencie i serwerze za pomocą zewnętrznych certyfikatów klienta: infrastruktura PKI może zapewnić jeszcze większe bezpieczeństwo w postaci „czegoś, co mam, czego nie mają inni”. Certyfikat klienta (klucz prywatny) może być przechowywany na karcie inteligentnej, co wymaga od użytkownika posiadania certyfikatu niezależnie od systemu operacyjnego w przypadku zgubienia lub kradzieży laptopa. Karta inteligentna musi być włożona do komputera przed próbą uwierzytelnienia.

Jak opisano, zarządzanie kluczami szyfrowania jest piętą achillesową poufności. Nowoczesne algorytmy szyfrowania dojrzały do ​​punktu perfekcji, podobnie jak AES, i są tak słabe, jak ich najsłabsze ogniwo, czyli dane wejściowe. Najlepsze funkcje zarządzania kluczami są dostępne tylko w najnowszych osiągnięciach technologii bezprzewodowych. AES/CCMP WPA2-Enterprise jest de facto standardem i powinien być minimalnym wymogiem dla każdej nowej implementacji. WEP, WPA i WPA-2 prezentują wiele metod zarządzania kluczami z udoskonaleniem w każdej generacji schematów uwierzytelniania/szyfrowania 802.11.

[wp_ad_camp_1

* Solidne zarządzanie kluczami uwierzytelniania jest niezbędne do zapewnienia bezpiecznej komunikacji kluczy, w przeciwieństwie do środowiska kluczy wstępnych, w którym klucze muszą być dystrybuowane za pośrednictwem mechanizmu pozapasmowego. Klucz może mieć postać kombinacji użytkownika/hasła, certyfikatu lub innego materiału identyfikującego, takiego jak RSA

Numer SecurID i PIN.

* Wykorzystaj istniejącą infrastrukturę opartą na katalogach używaną do uwierzytelniania użytkowników w systemach komputerowych w bezprzewodowej sieci LAN lub wdrażaj infrastrukturę PKI punktów końcowych. Wykorzystanie EAP i repozytorium użytkowników zaplecza do uwierzytelniania za pomocą protokołu RADIUS to srebrny standard metody uwierzytelniania. Infrastruktura PKI, która zapewnia klientowi publiczne/prywatne klucze do każdego bezprzewodowego punktu końcowego, skutecznie eliminuje możliwość przechwycenia przez atakującego odpowiedzi na wyzwanie haszowania hasła.

* Implementacje silnego protokołu EAP obejmują tunel TLS ustanowiony między klientem punktu końcowego a serwerem uwierzytelniania zaplecza (np. RADIUS) przed wymianą jakichkolwiek identyfikowalnych informacji.

Pełna obsługa RSN w wersji roboczej WPA2 i 802.11i w standardzie WPA jest niezbędny do zapewnienia poufności i integralności sieci bezprzewodowej. Aby wdrożyć RSN, wystarczy dowolny punkt dostępowy, który może przeprowadzić uwierzytelnianie 802.1X. Obsługa 802.1X w punkcie dostępowym to zwykle tylko kwestia zrozumienia protokołu EAPoL i zaakceptowania serwera RADIUS jako parametru konfiguracyjnego. AP nie musi być konfigurowany dla żadnego konkretnego typu EAP, ponieważ ten aspekt sieci jest całkowicie przezroczysty dla AP. W typowym środowisku bezprzewodowym działają dwie podstawowe funkcje zarządzania: zarządzanie uwierzytelnianiem użytkownika i zarządzanie kluczami do szyfrowania, początkowy materiał klucza i dystrybucja kluczy. W implementacji innej niż korporacyjna można łączyć funkcje zarządzania użytkownikami i kluczami. Fakt, że klient posiada poprawny klucz wstępny, uwierzytelnia go w punkcie dostępowym, a bity, które tworzą klucz wstępny, mogą być użyte w procesie szyfrowania w celu uzyskania parami kluczy przejściowych do szyfrowania ładunku 802.11.

Kontrola dostępu przewodowego pozostała stosunkowo stabilna wraz z pojawieniem się uwierzytelniania opartego na portach 802.1X, które jest obecnie standardem w większości nowoczesnych przełączników. Uwierzytelnianie oparte na portach 802.1X to zasadniczo ta sama funkcja uwierzytelniania, która jest wypiekana w standardzie zabezpieczeń WPA i połączona z protokołem TemporalKey Integrity Protocol (TKIP). WPA2 opiera się na protokole WPA, dodając jeszcze silniejsze szyfrowanie, które wymaga dedykowanego sprzętu do szyfrowania AES. Standard przewodowy 802.1X jest w pełni zaimplementowany w WPA i WPA2, ale zależy od konfiguracji, czy jest wykorzystywany, np. WPA-Personal, który wykorzystuje klucz wstępny, lub WPA-Enterprise, który korzysta z centralnego repozytorium uwierzytelniania.

Zastosowanie łączności bezprzewodowej do łączności z punktami końcowymi może zapewnić bezpieczeństwo, które może konkurować z tradycyjną architekturą przewodową dzięki łatwości administrowania i zarządzania środowiskiem punktów dostępowych klienta uproszczonego oraz dławikami sieci w celu monitorowania w bliskiej odległości od klientów inicjujących na najbardziej zewnętrznej krawędzi sieć.

W tej sekcji przedstawiono techniczne środki kontroli ryzyka klasy korporacyjnej, które należy oceniać w każdym rozwiązaniu bezprzewodowym, niezależnie od implementacji konkretnego dostawcy. . Te kontrolki odpowiadają na omówione wcześniej podstawowe problemy związane z bezpieczeństwem sieci bezprzewodowej i zapewniają warstwową ochronę w ramach bezpiecznego projektowania przedsiębiorstwa.