Bezprzewodowy system zapobiegania włamaniom

W informatyce bezprzewodowy system zapobiegania włamaniom ( WIPS) to urządzenie sieciowe , które monitoruje widmo radiowe pod kątem obecności nieautoryzowanych punktów dostępu (wykrywanie włamań) i może automatycznie podejmować środki zaradcze (zapobieganie włamaniom) .

Zamiar

Głównym celem WIPS jest zapobieganie nieautoryzowanemu dostępowi sieciowemu do sieci lokalnych i innych zasobów informacyjnych przez urządzenia bezprzewodowe. Systemy te są zwykle wdrażane jako nakładka na istniejącą bezprzewodowej sieci LAN , chociaż mogą być wdrażane samodzielnie w celu egzekwowania zasad braku łączności bezprzewodowej w organizacji. Niektóre zaawansowane infrastruktury bezprzewodowe mają zintegrowane funkcje WIPS.

Duże organizacje zatrudniające wielu pracowników są szczególnie narażone na naruszenia bezpieczeństwa spowodowane przez nielegalne punkty dostępowe . Jeśli pracownik (zaufany podmiot) w danej lokalizacji przyniesie łatwo dostępny router bezprzewodowy , cała sieć może zostać narażona na kontakt z każdym, kto znajdzie się w zasięgu sygnałów.

W lipcu 2009 r. Rada Standardów Bezpieczeństwa PCI opublikowała wytyczne dotyczące łączności bezprzewodowej dla PCI DSS , zalecając stosowanie WIPS do automatyzacji skanowania bezprzewodowego w dużych organizacjach.

Wykrywanie włamań

Bezprzewodowy . system wykrywania włamań (WIDS) monitoruje widmo radiowe pod kątem obecności nieautoryzowanych, nieuczciwych punktów dostępowych i użycia narzędzi do ataków bezprzewodowych System monitoruje widmo radiowe wykorzystywane przez bezprzewodowe sieci LAN i natychmiast powiadamia administratora systemu o wykryciu nielegalnego punktu dostępowego. Konwencjonalnie osiąga się to przez porównanie adresów MAC uczestniczących urządzeń bezprzewodowych.

Nieuczciwe urządzenia mogą sfałszować adres MAC autoryzowanego urządzenia sieciowego jako swój własny. Nowe badania wykorzystują odcisków palców w celu wyeliminowania urządzeń ze sfałszowanymi adresami MAC. Pomysł polega na porównaniu unikalnych sygnatur wykazywanych przez sygnały emitowane przez każde urządzenie bezprzewodowe ze znanymi sygnaturami wstępnie autoryzowanych, znanych urządzeń bezprzewodowych.

Zapobieganie włamaniu

Oprócz wykrywania włamań, WIPS zawiera również funkcje, które automatycznie zapobiegają zagrożeniom . Do automatycznej prewencji wymagane jest, aby WIPS był w stanie dokładnie wykryć i automatycznie sklasyfikować zagrożenie.

Dobry WIPS może zapobiec następującym rodzajom zagrożeń:

• Nieuczciwe punkty dostępowe – WIPS powinien rozumieć różnicę między nieuczciwymi punktami dostępowymi a zewnętrznymi (sąsiedzkimi) punktami dostępowymi
• Źle skonfigurowany punkt dostępowy
• Błędne powiązanie klienta
• Nieautoryzowane stowarzyszenie
• Atak typu man-in-the-middle
• Sieci ad hoc
• MAC fałszowanie
• Honeypot / atak złych bliźniaków
• Atak typu „odmowa usługi”.

Realizacja

Konfiguracje WIPS składają się z trzech komponentów:

• Czujniki — te urządzenia zawierają anteny i odbiorniki radiowe, które skanują widmo sieci bezprzewodowej w poszukiwaniu pakietów i są instalowane w chronionych obszarach
• Serwer — serwer WIPS centralnie analizuje pakiety przechwycone przez czujniki
• Konsola — Konsola zapewnia podstawowy interfejs użytkownika w systemie do administrowania i raportowania

Prostym systemem wykrywania włamań może być pojedynczy komputer podłączony do bezprzewodowego urządzenia przetwarzającego sygnał oraz anteny rozmieszczone w całym obiekcie. W przypadku dużych organizacji Multi Network Controller zapewnia centralne sterowanie wieloma serwerami WIPS, podczas gdy dla SOHO lub SMB cała funkcjonalność WIPS jest dostępna w jednym urządzeniu.

W implementacji WIPS użytkownicy najpierw definiują zasady działania sieci bezprzewodowej w WIPS. Czujniki WIPS następnie analizują ruch w powietrzu i wysyłają te informacje do serwera WIPS. Serwer WIPS koreluje informacje, weryfikuje je pod kątem zdefiniowanych zasad i klasyfikuje, czy stanowią zagrożenie. O zagrożeniu zostaje powiadomiony administrator WIPS lub, jeśli została ustalona odpowiednia polityka, WIPS automatycznie podejmuje działania ochronne.

WIPS jest skonfigurowany jako implementacja sieciowa lub implementacja hostowana.

Implementacja sieci

W sieciowej implementacji WIPS serwer, czujniki i konsola są umieszczone w sieci prywatnej i nie są dostępne z Internetu.

Czujniki komunikują się z serwerem przez prywatną sieć za pomocą prywatnego portu. Ponieważ serwer znajduje się w sieci prywatnej, użytkownicy mogą uzyskiwać dostęp do konsoli tylko z poziomu sieci prywatnej.

Implementacja sieciowa jest odpowiednia dla organizacji, w których wszystkie lokalizacje znajdują się w sieci prywatnej.

Implementacja hostowana

W hostowanej implementacji WIPS czujniki są instalowane w sieci prywatnej. Jednak serwer jest hostowany w bezpiecznym centrum danych i jest dostępny w Internecie. Użytkownicy mogą uzyskać dostęp do konsoli WIPS z dowolnego miejsca w Internecie. Hostowana implementacja WIPS jest tak samo bezpieczna jak implementacja sieciowa, ponieważ przepływ danych jest szyfrowany między czujnikami a serwerem, a także między serwerem a konsolą. Hostowana implementacja WIPS wymaga bardzo niewielkiej konfiguracji, ponieważ czujniki są zaprogramowane do automatycznego wyszukiwania serwera w Internecie za pośrednictwem bezpiecznego połączenia TLS .

W przypadku dużej organizacji z lokalizacjami, które nie są częścią sieci prywatnej, hostowana implementacja WIPS znacznie upraszcza wdrożenie, ponieważ czujniki łączą się z serwerem przez Internet bez konieczności specjalnej konfiguracji. Ponadto do konsoli można uzyskać bezpieczny dostęp z dowolnego miejsca w Internecie.

Hostowane implementacje WIPS są dostępne w oprogramowaniu na żądanie opartym na subskrypcji jako model usługowy. Hostowane implementacje mogą być odpowiednie dla organizacji, które chcą spełnić minimalne wymagania PCI DSS dotyczące skanowania.

Zobacz też

• Jazda wojenna
• Bezpieczeństwo bezprzewodowej sieci LAN
• Oprogramowanie reklamowe tyfusu