Today's event will focus on a solution for protecting wireless networks - Extreme AirDefense. AirDefense is a hardware and software complex consisting of specialized software and wireless access points operating in sensor mode. This complex not only provides effective protection for corporate wireless network users from various threats, but also provides additional tools for analyzing network operating modes to find and fix problems.
Сегодняшнее мероприятие будет посвящено решению для защиты беспроводных сетей связи - Extreme AirDefense. AirDefense это - программно-аппаратный комплекс, состоящий из специализированного программного обеспечения и точек беспроводного доступа, работающих в режиме сенсора. Данный комплекс не только обеспечивает эффективную защиту корпоративных пользователей беспроводной сети от различных угроз, но и предоставляет дополнительные инструменты для анализа режимов работы сети для поиска и устранения неисправностей.
Сегодня вы узнаете о:
- Основных уязвимостях и типах атак, встречающихся в беспроводных сетях;
- Возможностях AirDefense для защиты корпоративного беспроводного сегмента.
В случае использования проводного Интернета на границе сети привычно ставят межсетевой экран для защиты от потенциальных угроз. Для проводного сегмента есть четкие границы, здесь используется витая пара либо оптика. В случае беспроводного сегмента сети для передачи информации используется радиосреда.
Радиоволны могут распространяться за границы нашего здания в зависимости от того как спроектировано, построено и настроено сетевое оборудование. Достаточно часто редиосигнал корпоративной беспроводной сети попадает на соседние этажи здания и в соседние помещения.
Становится понятно, что периметр сети это уже не точка подключения к Интернету, а в случае беспроводного решения таких точек становится много, значит появляется множество потенциальных угроз.
Примеры угроз
Оценим основные примеры того, с чем сталкиваются корпоративные беспроводные системы, какие угрозы у них возникают.
Самое очевидное и самое частое, согласно отчетам различных западных аналитических компаний, – это использование нелегальной точки доступа. Кто-то из вашей компании принес и подключил свое беспроводное устройство к корпоративной проводной сети. Такие точки доступа доступны в широкой продаже, подключить ее сможет любой современный человек и не факт, что он сделает это правильно и безопасно. Кроме того, в своей системе возникает потенциальная точка утечки информации. Такая точка доступа может дать путь злоумышленнику в эту сеть.
Один из типовых векторов атак – это имитация публичной точки доступа. Атака заключается в том, что люди, использующие беспроводные точки доступа для подключения скорее всего используют ноутбук для своей работы и берут его с собой в командировки и личные поездки, подключаются в этих поездках к публичным точкам доступа. Операционная система ноутбука помнит практически все подключения и если она видит знакомую точку доступа, с которой она раньше была ассоциирована, то она попробует осуществить это подключение еще раз. Именно вокруг этой идеологии и выстроена такая атака, заключается она в том, что злоумышленник имитирует публичную точку доступа на своей точке доступа и создает SSID, которая используется известными публичными точками доступа. Например, публичная сеть Макдональдса.
После того, как клиент подключился к такой точке, потенциальный злоумышленник пропускает весь трафик клиента через себя и потом он может предпринимать какие-то нелегальные активности, начиная от кражи паролей до передачи зловредного кода на клиентское устройство.
Еще одна потенциальная угроза – это неправильная настройка корпоративной точки доступа. Это случается, когда, например, ИТ-департамент вынужден быстро создать новое подключение, сотрудником этого департамента берется любая точка, которая раньше, возможно стояла в лаборатории для проведения тестов. И по какой-то причине настраивают что-то неправильно, но эта точка подключена к корпоративной сетевой инфраструктуре, что создает потенциальную угрозу безопасности.
Еще один пример – случайное подключение к внешней точке. Корпоративный сотрудник, находясь в офисе, может случайно подключиться к какой-то внешней точке доступа. Пример: на первом этаже офиса у этого сотрудника есть Starbucks и работники могут случайно подключаться к этим точкам доступа, ноутбук, например, посчитает, что уровень сигнала там лучше, чем у корпоративной точки доступа.
Следующий вектор угроз – это одноранговые сети, подключение двух компьютеров между собой через специальные режимы, особенно когда один из них подключен к проводной корпоративной инфраструктуре.
В Интернете достаточно много публичных бесплатных инструментов, которые любой школьник может скачать, установить на свой ПК и попытаться чуть-чуть похулиганить.
На следующем слайде список таких инструментов, их можно просто скачать из Интернета.
Система, о которой мы сейчас говорим, распознает более 200 типов атак и умеет эффективно к ними бороться.
Категоризация устройств
Для того, чтобы обеспечить защиту периметра, нужно знать что мы защищаем. Первый шаг в работе такой системы – это категоризация устройств. Этот процесс достаточно непростой, особенно по разделению устройств на три категории: корпоративное устройство, устройство из соседней сети и устройство злоумышленника. Корпоративные устройства берутся прямо из корпоративной среды, оттуда же берутся подключения клиентов, в системе есть возможность по настройке неких правил по автоматической классификации. Например, можно написать правило, что любое беспроводное устройство, подключившееся к беспроводной инфраструктуре, является корпоративным клиентом и система должна его защищать, отслеживать его подключение к другим точкам доступа.
Помогает этой классификации различные алгоритмы, которые реализованы в системе и которые занимаются корреляцией событий и которые система видит в радиоинтерфейсе и проводном интерфейсе. За счет анализа этих событий и происходит обнаружение потенциальных угроз и их дальнейшая блокировка.
Еще одна немаловажная задача в рамках защиты беспроводной инфраструктуры – это мониторинг сети на соответствие политикам ИБ безопасности. Такие события нужно обнаруживать и о них уведомлять сетевую администрацию или сотрудника ИБ.
Еще одной задачей занимается система – устранение угроз. Система в этом плане умеет работать в двух режимах: автоматическое устранение угроз или устранение в ручном режиме на усмотрение сетевого администратора. Администратор получит уведомление о событии и будет сам волен решать что делать дольше.
Компоненты AirDefense
Прежде всего это сервер с ПО, он может поставляться в виде аппаратной платформы либо в виде виртуального аплайнса. Кроме того, есть сенсоры, которые контролируют радио- и проводную среду и поставляют информацию для корреляции событий на сервер, при этом сенсоры в классической системе – это точки доступа.
Сенсоры работают как в выделенном режиме, так и в разделяемом режиме. Есть в системе также корпоративные точки доступа и коммутаторы. Коммутаторы присутствуют не только потому что они связывают многие компоненты между собой, но они являются важным компонентом при работе системы предотвращения атак.
AirDefense – это система, которая имеет гибкие схемы интеграции с существующей корпоративной инфраструктурой. Коммутаторы могут быть любого производителя. Корпоративные точки доступа тоже могут быть от любого вендора, а вот сенсоры должны быть производства Extreme Networks.
Кроме того, система поддерживает ряд других функциональностей: это и анализ спектра, сбор различных блогов об активности клиента, которые используются для расследования инцидентов.
Сенсор AirDefense
Сенсор – это один из важнейших компонентов системы AirDefense, он одновременно является точкой доступа Extreme Networks.
Второй вариант, когда часть сенсоров беспроводной сети используется в разделяемом режиме, это значит, что такая точка доступа часть своего времени выполняет функции сенсора, а часть времени занимается обслуживанием клиентского трафика.
Сенсор в выделенном режиме сканирует весь частотный диапазон в районе 2,4 ГГц, а в диапазоне 5 ГГц он последовательно перебирает каждый канал по 1 секунде, его слушает и потом переключается на следующий канал. Понятно, что в таком режиме он скорее просканирует все каналы.
Сенсору в разделяемом режиме приходится комбинировать две роли. Понятно, что в таком режиме страдает качество. Если у этой точки нет сейчас задачи обслуживания клиентского трафика, она может отключиться от канала, и провести сканирование другого канала, она перебирает тот же самый список каналов, но делает это по очереди и делает это в интервалах, когда она свободна от обслуживания клиентов. Если угроза достаточно долговременная, то сенсор в таком режиме тоже обнаружит уязвимость.
Говоря про архитектуру AirDefense можно отметить классическое решение, когда это ПО устанавливается на отдельный сервер, кроме этого есть несколько путей инсталляции систем с AirDefense. Это возможность установки ПО AirDefense на Extreme Campus Controller.
Это решение поддерживает контейнерную архитектуру и в качестве одного из контейнеров может устанавливаться не совсем полный пакет Extreme AirDefense, это AirDefense Base, который не требует дополнительного лицензирования. Если этого функционала недостаточно, можно докупить полный пакет.
У Extreme Networks появилась новая облачная платформа – ExtremeCloud IQ, на которой поддерживается множество продуктов этого вендора. С ноября 2020 года там появились дополнительные компоненты, которые включены в базовую лицензию.
На следующем слайде представлены отличия AirDefense Base и AirDefense.
Теперь поговорим о том, как происходит анализ и блокировка. На следующем слайде в правой части представлен удаленный офис.
Здесь можно обеспечивать работу одного сервера с распределенной инфраструктурой, со множеством точек, расположенных в разных офисах. В чем заключается задача AirDefense? Она должна распознать свои устройства, свои корпоративные SSID, составить список корпоративных клиентов, которые имеют право подключаться к системе, Кроме того, она должна оценить соседей, например, в ручном режиме администратор может написать, что этих соседей не трогать. Далее происходит анализ событий, которые сенсоры слышат в радио- и проводном сегменте. Эта информация передается на сервер, где анализируется.
Блокирование
Большинство классических систем предотвращения вторжений в беспроводные сети имеют только одну компоненту, которая умеет интегрироваться с беспроводной сетью или сама является компонентой этой сети.
Для такого решения доступно только возможность работы с беспроводным сегментом и с различными беспроводными блокировками. К сожалению, это не всегда достаточно. AirDefense умеет интегрироваться и с проводной сетью. Что может сделать система, если она обнаружит, что корпоративный пользователь подключился к точке доступа соседей. Система AirDefense может такое событие отследить, уведомить об этом администратора, если настроено автоматическое таких событий, то сенсор вмешается и отключит клиента от точки доступа.
Бывают ситуации, когда система видит, что к ней подключаются какие-то «нелегальные» клиенты. Это может быть новый сотрудник, это может быть подключение которое система не видела раньше.
Система умеет составлять списки корпоративных клиентов, на начальном этапе эту систему можно включить в режиме обучения, а уже потом включить в работу новые правила, при которых системный администратор будет получать уведомления о любом новом клиенте. С такими подключениями система умеет бороться.
Последний пример интеграции с проводным сегментом. На следующем слайде изображена точка доступа, которая подключена к корпоративной инфраструктуре. AirDefense за счет интеграции с проводной частью сети отследит такую точку и найдет порт коммутатора, к которому эта точка подключена и заблокирует этот порт на коммутаторе. Таким образом точка доступа продолжит работу, а трафик через нее в корпоративную структуру не пойдет.
