Технический анализ: не счесть средств защиты беспроводных систем

Эндрю Гарсиа

Любой корпорации, которая собирается развертывать беспроводную сеть или активно использовать уже имеющуюся, eWeek Labs настоятельно рекомендует не забывать о средствах обнаружения попыток радиовзлома. Сегодняшний рынок предлагает широчайший выбор продуктов, способных выявить множество проблем с безопасностью и производительностью беспроводных технологий.

Однако результаты тестирования изрядного количества подобных решений свидетельствуют: перед тем как вкладывать деньги в новые средства защиты, стоит внимательно разобраться, что именно нужно защищать в своей беспроводной инфраструктуре. Не исключено, что тех же целей можно добиться с помощью уже имеющихся средств.

Системы предупреждения взломов в беспроводных сетях бывают самые разные. Среди них можно встретить карманные устройства, позволяющие выявлять причины неполадок в конкретном месте и в конкретное время, встроенные функции точек доступа и управляемых коммутаторов, а также распределенные массивы датчиков, контролирующих защищаемую сеть 24 ч в сутки.

Как показала проведенная в eWeek Labs проверка, фирмы AirMagnet, AirDefense и Network Chemistry предлагают самую современную, лучшую в своем классе систему охраны сетевых рубежей. Их продукты продемонстрировали отличные функции обеспечения безопасности и мониторинга производительности, равно как и богатый выбор опций, помогающих администратору оперативно узнавать о неполадках.

AirDefense демонстрирует удобную логическую схему подключений беспроводных устройств

Современные средства сетевой защиты быстро пополняются все новыми функциями, способными не только уведомлять о происходящем, но и быстро изолировать и блокировать подозрительные подключения по проводам и без них. Кроме того, подобные продукты все чаще используют методы локации для принятия обоснованных решений.

Опасность в эфире

Недавно появился целый ряд сообщений о брешах в механизме аутентификации RADIUS (Remote Authentication Dial-In User Service - сервис дистанционной аутентификации пользователей по коммутируемым каналам), который лежит в основе стандарта 802.11i. Тем не менее нельзя не отметить, что последний прошел долгий путь развития и в определенной степени сумел довести безопасность беспроводных сетей до уровня старых добрых проводных. Этого удалось достичь за счет реализации в беспроводных сетях стойкой криптозащиты по стандарту AES (Advanced Encryption Standard - улучшенный стандарт шифрования) и применения аутентификации 802.1x по отдельным портам.

Где искать помощь

Сегодня предлагается множество продуктов, которые помогают администратору контролировать радиоэфир и управлять им. Среди них можно встретить и специализированные защитные сети, развертываемые поверх существующих сетей (так называемые оверлейные), и программы защиты от взломов в конкретное время и в конкретном месте. Все перечисленные ниже решения не только обнаруживают посторонние точки доступа и клиентские устройства, но и помогают администратору идентифицировать возникающие помехи, возможные атаки и нарушения правил работы в сети.

Оверлейные решения:

- AirDefense фирмы AirDefense;

- Distributed Wireless Solution фирмы AirMagnet;

- BlueSecure Intrusion Protection System фирмы Bluesocket;

- Rogue Detection System фирмы Highwall;

- RFprotect фирмы Network Chemistry;

- WiFi Watchdog фирмы Newbury Networks.

Интегрированные инфраструктурные решения:

- Wireless Protection System фирмы Airespace;

- AirOS Intrusion Detection фирмы Aruba;

- Wireless LAN Solution Engine фирмы Cisco Systems;

- Mobility Scan фирмы Trapeze Networks.

Решения на базе портативных ПК:

- Laptop Trio фирмы AirMagnet;

- Sniffer Wireless корпорации Network General;

- Observer фирмы Network Instruments;

- AiroPeek NX фирмы WildPackets.

И все же с целым рядом угроз стандарт 802.11i не может бороться по самой своей сути. В первую очередь это касается необслуживаемых точек доступа и клиентских узлов - они порой вообще находятся вне контроля со стороны отделов ИТ. Свою роль здесь играют также недостаточное внимание к конфигурации сети и несанкционированное пользование ею - все это не только снижает эффективность работы, но и способствует вторжениям исподтишка.

Сейчас много говорится об опасности нелегитимных точек доступа. Размещая их без ведома администратора в корпоративной сети, сотрудники прокладывают прямой путь для атак на свою ЛВС. Никакие сетевые экраны, установленные специалистами ИТ, никакие другие принимаемые ими защитные меры в этом случае не дают ни малейшего эффекта.

И все же главную опасность создают неправильно настроенные и незащищенные клиентские устройства. Широкое распространение хот-спотов и домашней беспроводной техники ведет к тому, что сотрудники привыкают пользоваться такой связью в самых разных местах. А чтобы сохранить свободу перемещения, они зачастую оставляют конфигурацию своих беспроводных сетевых устройств в исходном, а значит, незащищенном состоянии. При включении их компьютеры начинают искать открытые беспроводные ЛВС и могут без ведома владельца подключиться к ближайшей точке доступа, кому бы она ни принадлежала.

Все это учитывается при организации так называемых "посреднических" атак. Несложный анализ эфира позволяет вскрыть имя сети и получить информацию о канале связи, в результате хакеру не составляет труда установить собственную фальшивую точку доступа. После этого ему достаточно имитировать пакет о сбое аутентификации, чтобы беспроводной клиент прервал связь с легитимной точкой доступа. А когда это произошло, новый сеанс вполне может быть инициализирован уже с хакерской точкой, откуда нетрудно затем считать данные и пароли. Если же адаптер беспроводной ЛВС окажется еще и связанным с сетевой платой Ethernet, злоумышленник получит доступ в обе сети, успешно обойдя все периферийные рубежи обороны.

 Система Highwall не позволит импортировать план помещения даже администратору

В ходе тестирования были сделаны интересные наблюдения относительно того, что происходит на неправильно сконфигурированном клиенте, который подключен как к внутренней проводной сети, так и к неизвестной беспроводной. Мы наблюдали, как другие проводные клиенты получали свои адреса DHCP (Dynamic Host Configuration Protocol - протокол динамической конфигурации хост-компьютера) с удаленного сервера беспроводной сети. Отметили мы и то, что плохо настроенный клиент становился платформой для взлома защищенной сети.

Здесь на помощь приходят беспроводные средства обнаружения атак, которые эффективно выявляют неизвестные точки доступа и открытые клиентские подключения. А лучшие из них позволяют определять, подключен чужак к защищенной сети или просто действует в том же участке эфира. Стоит также обратить внимание на то, насколько детально можно задать правила идентификации легитимных подключений и предупреждения о нелегитимных.

Аппаратный разрыв сокращается

Результаты тестирования eWeek Labs наглядно продемонстрировали, что наилучшей функциональностью и наибольшим охватом обладают беспроводные оверлейные сети. В то же время такие производители, как фирма Aruba Wireless Networks, быстро устраняют этот разрыв, оснащая новыми функциями все свои средства доступа к инфраструктуре. Подобную тенденцию можно наблюдать и в точках доступа, и в коммутаторах ЛВС.

Чтобы сравнить возможности различных механизмов обнаружения взломов, мы попросили фирмы AirMagnet, AirDefense и Highwall Technologies предоставить нам свою продукцию. Как оказалось, с обнаружением имитируемых атак и выявлением посторонних устройств каждая из систем справляется неплохо, а вот в том, что касается датчиков, возможностей по выработке политики и средств уведомления, они различаются довольно сильно.

За атаками следят AirDefense, AirMagnet и Highwall

Тестовый центр eWeek Labs предложил нескольким производителям оверлейных беспроводных систем обнаружения атак представить свою продукцию для сравнительной оценки. Эта идея нашла поддержку у трех фирм. AirDefense предложила для тестирования свой комплект AirDefense 4.0 ценой 10 тыс. долл., состоящий из аппаратного сервера и пяти датчиков. От AirMagnet мы получили AirMagnet Distributed 4.0, начальный пакет которого, включающий серверное ПО, консоль управления и четыре сенсора, продается за 7995 долл. И наконец, фирма Highwall Technologies прислала систему Rogue Detection System 2.0, состоящую из ПО централизованного управления ценой 5000 долл., модуля датчиков Highwall Sentinel 1000 (1995 долл.) и дополнительной антенны Highwall Scout 2000 (1995 долл.), расширяющей зону обнаружения трансиверов 802.11b и 802.11g.

В продуктах AirMagnet и AirDefense применяются стандартные датчики, лицензию на которые фирмы приобрели у компании Senao International, однако используются они по-разному. В системе AirDefense датчики выделяют заголовки беспроводных пакетов и отправляют их на центральный сервер для обработки и корреляции. AirMagnet избрала другой путь: здесь обработка производится на периферийных устройствах, поэтому датчики сохраняют полную работоспособность даже после выхода из строя центрального сервера.

Фирма Highwall оснастила свою систему собственными датчиками и антеннами, что намного повысило дальность обнаружения. В результате даже одна-единственная пара Sentinel/Scout позволяет определять местоположение сетевых компонентов довольно эффективно.

В ходе тестирования каждый продукт должен был обнаруживать и идентифицировать неизвестные клиенты, периодически работающие сети и точки доступа. К тому же, учитывая местоположение нашего офиса (на верхних этажах небоскреба в центре Сан-Франциско), мы рассчитывали увидеть и множество "чужих" устройств. Таким образом, в центре внимания оказалась способность систем отслеживать беспроводные атаки типа "отказ в обслуживании" и потенциальную опасность со стороны посредников, с подачи которых управляемые клиенты пытаются соединиться с неизвестными сетями и устройствами.

Прежде всего по всему офису была развернута беспроводная сеть на базе точек доступа, Linksys WAP-55AG фирмы Cisco Systems, совместимых со стандартами 802.11a/b/g. Затем мы настроили сервер и точки доступа каждой системы обнаружения взломов беспроводных ЛВС на постоянный мониторинг сети. При этом в оверлейной системе были описаны все известные точки доступа, представленные в виде управляемых устройств. И наконец, наши специалисты установили постороннюю точку доступа, в конфигурации которой указали то же имя сети, но в саму сеть ее не включили.

Сделав все это, мы попытались блокировать аутентификацию управляемых клиентов своей сети, воспользовавшись для этого приложением с открытым кодом Void11 (его можно скачать с сервера www.wlsec.net) и драйверами Host AP для Linux-адаптеров на базе Prism2 (hostap.esitest.fi). Предполагалось, что проверяемые системы обнаружат атаку и мы увидим, как сетевые клиенты, получив отказ аутентификации в своей беспроводной сети, будут пытаться установить связь с чужой точкой доступа.

Постороннюю точку доступа и атаку типа "отказ в аутентификации" с рабочей станции Void11обнаружили все три проверяемых продукта, однако наиболее полную информацию нам представила AirMagnet Distributed 4.0. Эта система не только идентифицировала средства атаки, но и подробно описала возможные ее последствия (см. иллюстрацию).

А вот определить тот факт, что управляемый клиент ассоциировал себя с "чужой" точкой доступа, оказалось не так-то просто. Информация об этом затерялась среди множества других сведений и предупреждений, которые генерировал каждый из проверяемых продуктов. Чтобы получить полную отдачу от вложенных в эти системы средств, администраторам придется импортировать списки аппаратных адресов всех известных устройств. А ведь в условиях широкого распространения беспроводных клиентов на предприятии такая задача потребует прямо-таки титанических усилий.

     Эндрю Гарсиа

AirMagnet идентифицирует средства атаки и дает полезные советы

Впрочем, производители систем обнаружения беспроводных взломов сейчас чуть ли не наперегонки стремятся оснащать свою продукцию все новыми и новыми функциями. Уже этой осенью, скажем, мы рассчитываем увидеть существенное обновление систем AirDefense и AirMagnet. А быстрое совершенствование процессов обнаружения и корреляции дает пользователям основания надеяться на то, что следующие версии продуктов смогут лучше определять местоположение клиентских устройств и справляться с радиопомехами.

Особенно важно на данном этапе обеспечить эффективную локацию клиента, пока эта функция оставляет желать лучшего. При тестировании местоположение автоматически определялось лишь на расстоянии около 10 м, что соответствует площади охвата примерно 314 кв. м. За пределами этого участка мы вынуждены были переходить на ручной поиск.

Одна из проблем при использовании распределенных беспроводных оверлейных сетевых решений связана с тем, что для них требуется отдельная сеть с независимым управлением. Другими словами, ИТ-подразделениям приходится развертывать массу дополнительных датчиков, обеспечивать их энергией и следить за сетевыми подключениями. А поскольку многие беспроводные сети уже сейчас развернуты поверх проводной инфраструктуры, все это грозит привести к бесконтрольному умножению сетевых уровней.

Хорошую альтернативу здесь могут составить средства беспроводной инфраструктуры, быстро осваивающие функции обнаружения взломов. Интеграция датчиков в беспроводную инфраструктуру позволяет более гибко блокировать подозрительные подключения, используя "черные списки" и методы отказа в беспроводном обслуживании. Если цель корпоративного пользователя - заменить первые поколения беспроводного оборудования ради поддержки стандарта 802.11i, такой подход полностью удовлетворит его потребности и в обеспечении доступа, и в налаживании мониторинга сети.

Точки доступа таких производителей беспроводных коммутаторов, как Airespace или Trapeze Networks, через определенные промежутки времени самостоятельно сканируют все каналы, что предусмотрено самой программой их работы в обычном режиме. Это помогает находить "чужие" точки доступа, но эффективно выявлять сетевые атаки и следить за работой клиента не позволяет. По нашим прогнозам, примерно через год в той или иной мере обнаруживать посторонних смогут все точки доступа корпоративного класса. Такая функция, например, уже появилась в точке доступа Cisco Systems. Правда, возможности ее пока ограниченны, да и доступна она только при наличии механизма Wireless LAN Solution Engine этой же фирмы.

Несколько дальше пошла фирма Aruba, интегрировавшая обнаружение атак в свою инфраструктурную продукцию. Ее точки доступа можно не только настраивать на мониторинг одного канала, но и применять в качестве датчика для просмотра всего спектра частот.

Предлагаются также решения на базе карманных и портативных компьютеров. Но они позволяют получать данные лишь на момент проверки и поэтому для мониторинга безопасности не подходят, однако могут оказать неоценимую помощь в оперативном выявлении посторонних точек доступа и их блокировании. Это очень нужно хотя бы потому, что поиск оверлейными и инфраструктурными средствами зачастую дает большие ошибки.

По результатам тестирования лучшим решением в своем классе мы признали систему Laptop Trio фирмы AirMagnet, хотя AiroPeek NX фирмы WildPackets и Observer 10 фирмы Network Instruments также показали неплохие результаты.