защита информации в беспроводных сетях на базе решений Cisco systems

Защита информации в беспроводных сетях на базе

решений Cisco Systems

www.USSC.ru

Кацапов СергейСистемный инженер[email protected]

Содержание

• Распространенные стандарты беспроводных сетей

• Проблемы, связанные с эксплуатацией беспроводных сетей

• Безопасность и надежность беспроводных сетей на основе

оборудования компании Cisco Systems

• Подход компании УЦСБ к созданию защищенных беспроводных

сетей

2

Краткая характеристика существующих стандартов

• 802.11 b/g – 1999 г./ 2003 г.

- 2.4 GHz (Общая полоса 83 МГц)

- Ширина канала 20 МГц

- Доступно всего три канала

связи (1,6,11)• 802.11 a/n – 1999г. / 2009 г.

- 5 GHz (Общая полоса 300 МГц)

- Ширина канала 20 МГц

- 802.11 n имеет возможность использования

канала 40 МГц

Важно: с 15 октября 2010 стандарт 802.11n разрешен на территории Российской Федерации.

http://www.rossvyaz.ru/press/news/news475.htm?print=1

3

Эффективное использование частот – 5GHz или 2.4GHz

• 5GHz рекомендован для 802.11n– Больше доступного спектра – большее количество

доступных каналов– Уменьшенная интерференция (нет Bluetooth,

микроволновых печей и т.п)– Максимальная пропускная способность с каналом в 40 MHz

Преимущества технологи 802.11n достигаются за счет MIMO и агрегации пакетов

4

Способы построения беспроводных сетей

5

I Тип II Тип

Автономные точки доступа

Управляемые точки доступа + Контроллер

Проблемы, связанные с эксплуатацией беспроводных сетей

6

7

Отказ в обслуживании

DENIAL OF SERVICE

Прерывание сервиса

Ad-hoc подключение

Несанкцион. одноранговые

ad-hoc подключения

HACKER

Возможные сценарии атак в беспроводных сетях

Rogue Access Points

Доступ в сеть с «черного хода»

HACKER

Evil TwinHACKER’S

AP

Подключение к Несанкцион. ТД

Разведка

Поиск уязвимостей в сети

HACKER

Cracking Tools

Прослушивание и перехват

HACKER

Атаки «On-Wire» Атаки «Over-the-Air»

8

Исторически используемые методы защиты информации в беспроводных сетях

• Сокрытие Service Set Identifier (SSID)– Единственный плюс: нет попыток подключения со стороны

случайных абонентов

• Использование устаревших стандартов криптографической защиты (WEP, WPA) – Уязвимость MIC используется как часть TKIP injection атак.

Эффект: возможность реализации DoS-атак (инструмент атаки: mdk3 - поддерживает различные технологии DoS)

– Оптимальное решение использовать WPA2+AES

• Использование метода аутентификации Pre-Shared Key– Как любой алгоритм с «общим ключом», уязвим к атакам со

словарем/подбору.

– Оптимальное решение использование механизмов аутентификации EAP-TLS, EAP-FAST

Проблемы, связанные с эксплуатацией беспроводных сетей

• Безопасность– Атаки злоумышленников– Невозможность физического контроля доступа к периметру

беспроводной сети– Проблема прослушивания передаваемой информации

• Надежность – Управление радиочастотными ресурсами– Проблемы из-за некорректного дизайна– Сложность управления радиочастотными ресурсами

необходимость привлечения средств и методов защиты информации, отличных от традиционных

9

Безопасность и надежность беспроводных сетей на основе оборудования компании

Cisco Systems

10

Посторонние устройства в беспроводных сетях

• Что относится к посторонним устройствам посторонним устройствам ?

–Любое WiFi-устройство, находящееся в зоне радио-видимости нашей сети, которым мы не управляем–Большинство ПУ устанавливаются авторизованными пользователями (низкая цена, удобство, безграмотность)

• Когда посторонние устройства опасны ?–Когда используют такой же SSID как ваша сеть–Когда они обнаруживаются в проводном сегменте ЛВС–Одноранговые (ad-hoc) сети ПУ тоже могут представлять угрозу–Когда установлены сторонними пользователями преднамеренно с целью злого умысла

• Что необходимо сделать?–Обнаружить [Detect]–Классифицировать (over-the-air и on-the-wire) [Classify]–Обезвредить (Shutdown, Contain, и т.д.) [Mitigate]

11

Этапы борьбы с посторонними устройствами

12

Обнаружение Классификация Обезвреживание

•Обнаружение не инфраструктурных точек доступа, клиентов и одноранговых подключений

•Обнаружение ПУ стандарта 802.11n

•Правила классификации ПУ, основанные на SSID, клиентах и т.д.

•Проверка нахождения ПУ в проводном сегменте ЛВС

•Switch port tracing

•Отключение (shutdown) порта на коммутаторе

•Обнаружение местоположения

•Изоляция (containment) нарушителей в радиоэфире

Алгоритмы обнаружения атак

13

Правила классификации ПУ

14Правила хранятся и выполняются на радиоконтроллере

ТД в режиме Rogue DetectorПринципиальная схема работы

15

(Rogue AP)ПУ

Авториз. ТД

L2 Switched Network

ТД в режиме Rogue Detector Отслеживает все ARP-запросы от ПУ и их

клиентов Контроллер запрашивает у Rogue Detector

информацию по обнаруженным ПУ клиентов в проводном сегменте ЛВС

Не работает, если ПУ настроено как NAT AP

Trunk Port

Rogue Detector

Client ARP

Rogue Location Discovery ProtocolПринципиальная схема работы

16

ПУ (Rogue AP)Наша ТД

RLDP (Rogue Location Discovery Protocol) Подключается к ПУ в качестве клиента Посылает пакет на IP-адрес контроллера Работает только для ПУ с open SSID

Контроллер

Routed/Switched NetworkПосылает

пакетна WLC

Подключается как клиент

17

Switchport Tracing

ПУ (Rogue AP)Наша ТД

WCS Switchport Tracing Определяет CDP Neighbors для ТД, которая

обнаружила ПУ Просматривает CAM-таблицы коммутаторов на

предмет наличия в них mac-адресов ПУ или ПУ-клиентов

Работает для ПУ с настройками Security и NAT

CAM таблица

CAM таблица

22

WCS

CAM таблица

CAM таблица

33

Show CDPNeighborsShow CDPNeighbors

11

Совпадение найдено

Сравнение механизмов обнаружения ПУ

18

Open APsSecured APsNAT APs

Open APsSecured APsNAT APs

SwitchportTracingSwitchportTracing

СредняяСредняя

RLDPRLDP

RogueDetectorRogueDetector

1. ТД «слышит» ПУ в радио-эфире2. ТД уведомляет о коммутаторах3. Проверка начинается с соседних

коммутаторов4. Результаты сообщаются в

порядке их вероятности5. Администратор может откл. порт

1. ТД «слышит» ПУ в радио-эфире2. ТД уведомляет о коммутаторах3. Проверка начинается с соседних

коммутаторов4. Результаты сообщаются в

порядке их вероятности5. Администратор может откл. порт

Как работаетКак работает Что обнаруживаетЧто обнаруживает ТочностьТочность

Open APsNAT APs

Open APsNAT APs

100%100%1. ТД «слышит» ПУ в радио-эфире2. ТД подключается к ПУ как клиент3. ТД посылает RLDP-пакет4. Если RLDP-пакет получен на

WLC, то ПУ имеет выход в КЛВС

1. ТД «слышит» ПУ в радио-эфире2. ТД подключается к ПУ как клиент3. ТД посылает RLDP-пакет4. Если RLDP-пакет получен на

WLC, то ПУ имеет выход в КЛВС

ХорошаяХорошая1. Подключить детектор транком2. Детектор получает набор mac-

адресов ПУ с WLC3. Детектор ищет mac-адреса ПУ в

ARP-запросах

1. Подключить детектор транком2. Детектор получает набор mac-

адресов ПУ с WLC3. Детектор ищет mac-адреса ПУ в

ARP-запросах

Open APsSecured APs

Open APsSecured APs

19

Изоляция ПУПринципиальная схема работы

ПУ

Авторизов. ТД

Изоляция посторонней точки доступа Посылка De-Authentication пакетов клиенту и ТД Возможность использования ТД в режимах Local

Mode, Monitor Mode Влияет на производительность ТД по обслуживанию

клиентов

ПУ-клиент

De-Auth пакет

Определение местоположения ПУ в БС

• Отслеживание множества ПУ в реальном времени

• Хранение журнала с историей перемещений

• Отслеживание местоположения клиентов ПУ

• Отслеживание местоположения одноранговых (ad-hoc) подключений

20WCS

Компоненты беспроводной сети

21

Мониторинг, Отчетность

Мониторинг, Отчетность

Over-the-Air Обнаруж.Over-the-Air Обнаруж.

Управление wIPS ТДУправление wIPS ТД

Комплексн. Анализ атак, Криминалистика, СобытийКомплексн. Анализ атак,

Криминалистика, Событий

APAP

Схема взаимодействия компонентов

22

MSE не на пути передачи данных

Большая часть функционала БЛВС реализована контроллером

Средство централизованной настройки и мониторинга БЛВС

Надежность – Radio Resource Management (RRM)

23

Мониторинг РЧ - ресурсовУправление мощностью

передатчиков точек доступа

Динамическое назначение частотных каналов

Обнаружение и коррекция пробелов в

радиопокрытии

Динамическое назначение частотных каналов

24

Обеспечивает оптимальное использование спектра

Достигается наилучшая пропускная способность

Управление мощностью передатчиков ТД

Назначает мощность передатчика на основе потерь

Как правило, уменьшает Тх на ТД

25

Обнаружение и коррекция пробелов в радиопокрытии

• Устраняет единые точки отказа

• Автоматизирует реагирование на отказы ТД, снижает эксплуатационные расходы и стоимость простоев

• Приближает доступность беспроводных соединений к проводным 26

Подход компании УЦСБ к созданию защищенных беспроводных сетей

27

Подход компании УЦСБ к созданию защищенных беспроводных сетей

28

№ Функции Безопасности

1 Усиленная аутентификация и контроль доступа

2 Криптографическая защита передаваемых данных

3 Обнаружение и предотвращение вторжений в беспроводной сети

4 Централизованное и защищенное управление компонентами беспроводной сети

5 Обеспечение непрерывности функционирования беспроводной сети

6 Периодический контроль защищенности беспроводной сети

Защита беспроводных сетей должна основываться на комплексном подходе, учитывающем

обоснованный выбор защитных мер

Классификация беспроводных сетей:-тип беспроводной сети;-категория информации;-назначение и ожидаемый размер БС;-уровень БС по степень надежности.

Система защиты беспроводной сети

29

Типовые стадии проектов по защите информации в беспроводных сетях

Мероприятия Создание защищенной беспроводной сети «с

нуля»

Создание системы защиты существующей

сети

Предпроектное обследование

«Радиоразведка», картирование

Анализ существующей беспроводной сети

Формирование требований к сети и

защите

Разработка технического задания

Разработка частного технического задания

Проектирование, внедрение

Разработка проектной документации, проведение пусконаладочных работ

Приемосдаточные испытания

Проведение испытаний, опытная эксплуатация, аттестация

Возможная архитектура защищенная беспроводная сети на базе оборудования

компании Cisco Systems

30

№ Функции Безопасности Средства реализации

1 Усиленная аутентификация и контроль доступа - Cisco Secure Access Control System- Встроенные функции точек доступа Cisco Aironet

2 Криптографическая защита передаваемых данных

- S-Terra CSP VPN Gate- Встроенные функции точек доступа Cisco Aironet

3 Обнаружение и предотвращение вторжений в беспроводной сети

- Cisco ASA 5500 c модулем АIP SSM- Cisco Wireless LAN Controller- Cisco Mobility Services Engine

4 Централизованное и защищенное управление компонентами беспроводной сети

- Cisco Wireless Control System- Cisco Wireless LAN Controller-Cisco Mobility Services Engine-Cisco Security Mananger

5 Обеспечение непрерывности функционирования беспроводной сети

- Встроенные функции точек доступа Cisco Aironet- Cisco Wireless LAN Controller- Cisco Wireless Control System

6 Периодический контроль защищенности беспроводной сети

Комплект бесплатных и коммерческих средств

ООО «УЦСБ»

620026, Екатеринбург, ул.Красноармейская, д.78Б, оф.902Тел.: +7 (343) 379-98-34Факс: +7 (343) 264-19-53

[email protected]