04.01.2004

Разработка политики в беспроводных сетях (вторая часть)

Итак, перед Вами вторая часть статьи про разработку политики в беспроводных сетях. В первой части мы говорили о потребности в беспроводной политике, рассмотрели некоторые типичные угрозы, так же в ней были представлены некоторые основные компоненты беспроводной политики. Во второй и заключительной статье мы продолжим разговор об основных компонентах для развития политики и остановимся на некоторых нюансах, о которых следует обязательно упомянуть. Вместе же эти две статьи помогут создать основу беспроводной политики, которая увеличит безопасность и работоспособность беспроводных сетей.

Vollter, по материалам SecurityFocus

Итак, перед Вами вторая часть статьи про разработку политики в беспроводных сетях. В первой части мы говорили о потребности в беспроводной политике, рассмотрели некоторые типичные угрозы, так же в ней были представлены некоторые основные компоненты беспроводной политики. Во второй и заключительной статье мы продолжим разговор об основных компонентах для развития политики и остановимся на некоторых нюансах, о которых следует обязательно упомянуть. Вместе же эти две статьи помогут создать основу беспроводной политики, которая увеличит безопасность и работоспособность беспроводных сетей.

Основные компоненты беспроводной политики (продолжение)

Ведение лог файлов и учёт деятельности

Ведение лог файлов и учёт деятельности непременно должны быть упомянуты в политике. Ведение лог файлов и учёт деятельности помогут Вам отслеживать деятельность пользователей и, в случае нарушений, применять соответствующие санкции.

Политика должна включать в себя такой учёт деятельности, чтобы ни одна мелочь не ускользнула из Вашего внимания. Такой службой может быть, например RADIUS.

Ведение лог файлов – один из наиболее важных компонентов. Ведение лог файлов должно упоминаться в политике по нескольким причинам:

  • Улучшения контроля за пользователями
  • Упрощение процесса отладки в случае неисправностей
  • Упрощение вынесения ответственности в случае нарушения правил

Лог файлы могут помочь идентифицировать и проследить путь взломщика в случае проникновения в сеть, помочь в устранении проблемы, и предоставить множество другой информации. Лог файлы должны вестись на WAP (Wireless Access Point – Беспроводная Точка Доступа), брандмауэре, которые отделяет простые и беспроводные сети, серверах аутентификации и даже беспроводных клиентах.

В политике также должна быть определена частота, с которой будут просматриваться лог файлы. Чтобы обеспечить максимальную эффективность, следует постоянно просматривать и обрабатывать лог файлы.

Защита беспроводной точки доступа (WAP)

В беспроводной политике должна быть регламентирована, как логическая, так и физическая защита WAP. Точки доступа должны быть расположены в физически защищенных областях. Эти устройства необходимо настроить так, чтобы только администраторы смогли изменять конфигурацию. Большинство WAP, после сброса, возвращаются к заданному по умолчанию (небезопасному) режиму. Если же WAP находится в незащищенной области, то злоумышленник сможет легко управлять точкой доступа, выключить WAP для вызова отказа в обслуживании, или перезагрузить, чтобы вернуть её к заданной по умолчанию конфигурации. Беспроводные точки доступа следует настроить так, чтобы неавторизованные пользователи не смогли бы подключиться к WAP и управлять настройками безопасности. Большинство WAP позволяют создавать учетные записи пользователей. Такие учетные записи необходимо создавать, чтобы уменьшить риск несанкционированного доступа к WAP.

В политике следует описать то, каким пользователям разрешается подключаться и управлять доступом, следует указать, из каких систем администратор может соединиться с WAP. Политика должна также требовать, чтобы WAP были расположены в физически защищенных местах.

Защита на стороне клиента

Беспроводная политика должна диктовать меры защиты, которыми обязаны пользоваться беспроводные клиенты. Иногда беспроводные клиенты не используют каких-либо мер защиты и, в конечном итоге, это приводит к тому, что из-за них страдает вся сеть.

Беспроводные клиенты должны быть оборудованы (как минимум) персональным брандмауэром и антивирусным программным обеспечением. Часто из-за слабой защиты беспроводные клиенты становятся объектом для нападения и затем, однажды скомпрометированные, они используются как «базы» для последующих нападений. Хакеры могут использовать различные типы нападений, направленные на беспроводных клиентов, поэтому беспроводная политика может и должна определять использование персональных брандмауэров и антивирусного программного обеспечения на клиентских устройствах. Политика должна также запрещать прямые (ad-hoc) беспроводные соединения.

Брандмауэры. Политика должна требовать использования брандмауэров. Персональный брандмауэр уменьшит риск взлома для беспроводного клиента. Брандмауэр будет отклонять любой сетевой трафик, который не будет соответствовать установленным правилам. Регистрацию беспроводной деятельности следует проводить с помощью брандмауэров.

Антивирус. Политика должна требовать использования антивирусного программного обеспечения и обязательного обновления антивирусных баз. Антивирусное программное обеспечение поможет защитить беспроводного клиента от разнообразных угроз. Известно, что вирусы могут не только уничтожить критические данные, но есть и такие вирусы, которые после выполнения, создают backdoor. Если система клиента скомпрометирована вирусом, то нападающий может получить привилегии законного беспроводного пользователя и поэтому может напасть на других беспроводных клиентов или даже использовать свои привилегии, для нападения на обычную сеть. Антивирусное программное обеспечение найдёт вирусную угрозу, и после обнаружения сможет устранить её. Хотя антивирусное программное обеспечение улучшает защиту беспроводного клиента, но без постоянных обновлений антивирусной базы, оно просто окажется бесполезным. Поэтому, политика должна определить частоту, с которой антивирусная база должна обновляться.

Ad-Hoc соединения. Политика должна запрещать беспроводным клиентам осуществлять ad-hoc соединения. Такие сети позволяют двум или более станциям подключаться непосредственно друг к другу, минуя точки доступа, маршрутизирующие их трафик.

Хакеры могут использовать несколько типов атак на системы, использующие ad-hoc соединения. Первичная проблема с ad-hoc сетями - недостаток идентификации. Эти сети могут позволить хакеру провести атаки man in the middle, отказ в обслуживании (DoS), и/или скомпрометировать системы.

Если хакер смог скомпрометировать одного беспроводного клиента, то он может использовать скомпрометированную систему, для атак на других пользователей в сети. Если беспроводные клиенты не могут связаться друг с другом напрямую (с использованием ad-hoc связи), то нападение или сбор информации о сети становится для хакера трудной задачей.

Беспроводное сканирование

Политика должна определить инструменты для выполнения беспроводного сканирования, а также указать частоту выполнения. Беспроводное сканирование поможет определить местонахождение неправомочных точек доступа.

Незаконные точки доступа могут быть установлены как сотрудниками самой организации, так и кем-то еще и представляют собой значительную угрозу безопасности. Такие точки доступа могут создать backdoor, приглашая хакеров эксплуатировать сеть. Даже, если незаконные точки доступа установлены с хорошими намерениями (продвинутый пользователь хочет улучшить доступ, например чтобы увеличить производительность), то они также могут быть обнаружены хакерам и это приведёт к потере безопасности. Наличие этих точек доступа представляют огромную потенциальную угрозу сети. Политика должна предпринять меры для того, чтобы избавиться от таких точек доступа.

Сканирования должны проводиться не менее чем один раз в неделю или, в крайнем случае, раз в месяц. В политике должны содержаться руководство для сканирования и устранения незаконных точек доступа.

Образование и понимание

Политика должна включать процедуру повышения у всех пользователей понимания того, что защита очень важна для сети. Знакомить пользователей, администраторов и менеджеров с основными положениями о безопасности в сети. Если сетевые пользователи, администраторы и менеджеры знают о проблемах защиты, они будут более склонными предпринять шаги, направленные на ограничения действий, которые ставят сеть под угрозу (например, они не будут использовать важные логины/пароли во время незашифрованных беспроводных сеансов). Лучший пример этого – пословица: "Дайте человеку рыбу, и он будет сыт в течение дня. Научите человека ловить рыбу, и он будет сыт в течение целой жизни".

Политика должна учитывать образование пользователей и определять специальные меры для увеличения понимания в сетевой защите.

Другие нюансы

Теперь давайте обратимся к некоторым другим нюансам, которые будут дополнять основные компоненты, описанные выше.

Статическая ARP адресация

Если политика будет требовать статической ARP адресации, то это усилит защиту, но при этом и увеличит затраты времени на администрирование. Статическая ARP адресация поможет защитить сеть против ARP-спуфинга (можно манипулировать ARP, перенаправляя весь трафик на злонамеренный хост). Даная задача может быть очень трудоёмкой для администраторов в больших сетях.

Проверка MAC адреса

Беспроводная политика может требовать использовать проверку MAC адреса только тогда, когда время, затраченное на администрирование, не очень важно. Проверка Media Access Control (MAC) адреса на точке доступа обеспечит улучшенный уровень идентификации для беспроводных пользователей. Проверка MAC адреса позволит только зарегистрированному MAC адресу входить в сеть. Естественно, данная технология является весьма трудоёмкой для администрирования в больших сетях. Но у этой технологии есть и другой недостаток. Хакер может подделать MAC адрес и обойти эти ограничения.

Статическая IP адресация

Подобно проверке MAC адреса, добавление этой меры защиты в политику должно производиться только тогда, когда время, затраченное на администрирование, не очень важно. Прежде чем войти в сеть у каждого пользователя проверяется легитимность его IP адреса. Эта методика не позволяет использовать DHCP (Dynamic Host Configuration Protocol – Протокол Динамической Конфигурации Узла) для выдачи IP адресов подключающимся клиентам. Статическая адресация вынуждает хакера знать схему адресации в сети, что узнать, не так уж сложно, так что данная мера защиты слабо влияет на защищенность беспроводной сети.

Именование SSID

Политика должна определить схему SSID именования и требовать, чтобы все беспроводные сети идентифицировались соответственно. Service Set Identifier (SSID) – это беспроводный сетевой идентификатор, который может использоваться как пароль, когда мобильное устройство пробует соединяться с WLAN и выключено SSID широковещание. SSID позволяют хакерам легко сфокусировать усилия по нападению на определенную сеть. Например, если хакер хочет атаковать бухгалтерскую программу организации и SSID офиса называется 'Accounting_Dept', то для хакера будет очень лёгкой задачей найти нужную сеть.

Трансляция SSID

Беспроводная политика может запретить трансляцию SSID, с целью усложнить идентификацию точек доступа. Традиционно, точки доступа транслируют о себе информацию всем беспроводным клиентам. Во многих случаях, эта функция может быть выключена, так как она раскрывает наличие беспроводной сети, помогая хакеру.

Существует множество инструментов, которые могут идентифицировать точки доступа даже при выключенной трансляции, но все же лучше трансляцию отключить.

Беспроводная IDS

Обязательно рассмотрите возможность включения в политику беспроводных систем обнаружения вторжения (IDS - Intrusion Detection System). Беспроводная IDS может повысить защиту несколькими способами, включая обнаружение незаконной беспроводной деятельности/нападения и помогая реализации политики. Существуют некоторые уникальные проблемы при реализации беспроводной IDS, связанные с характеристикой распространения беспроводного сигнала и потенциально большой географической площади, которую может занимать WLAN. В настоящее время распространяются как коммерческие IDS, так и IDS с открытым исходным кодом, которые смогут контролировать 802.11 передачи.

Политика должна описывать как разработку и внедрение, так и IDS устройство (или программное обеспечение). Политика должна также требовать просмотра журналов регистрации на регулярной основе.

Исполнение политики

Как только политика составлена, она должна исполняться! Если политику не исполнять, то от неё будет очень мало толка. Каждый сотрудник в организации должен знать о существовании политики и следовать ей. Все сетевые операции и разработки должны соотетствовать установленным в политике правилам. Исполнение политики является чрезвычайно важным для использования сети, и безопасности в ней.

Заключение

Беспроводные сети обеспечивают пользователей огромным количеством свободы. Они не только удобны, но и тяжелы в настройке. К сожалению, мало кто осведомлен об огромном количестве недостатков безопасности, которые имеет эта технология. Хуже того, чтобы облегчить установку, почти все беспроводные продавцы аппаратного/программного обеспечения распространяют продукты с небезопасными параметрами настройки по умолчанию. Вот почему, радиосети просты в установке, но относительно трудны в обеспечении защиты.

К счастью, если предпринять некоторые шаги, то можно добиться защиты 802.11 технологий. Сеть будет в безопасности, если создана крепкая политика, которая будет выполняться всеми пользователями сети.

или введите имя

CAPTCHA