Предотвращение вторжений по системе AirTight

БЕЗОПАСНОСТЬ

Программное обеспечение SpectraGuard Enterprise 5.0 обогащает новыми функциями и без того впечатляющие возможности предотвращения вторжений в беспроводные сети платформы, разработанной компанией AirTight Networks. Проведенные в лаборатории eWeek Labs испытания этого продукта показывают, что некоторые его новые функции нуждаются в усовершенствовании, однако он заслуживает внимания компаний, придающих значение обеспечению безопасности и стремящихся оградить свои сети Wi-Fi от непрошеных гостей.

Мы тестировали SpectraGuard Enterprise 5.0 с использованием устройства AirTight Standard Server. Его цена по каталогу составляет 9995 долл. (более совершенная модель с двумя процессорами, увеличенными объемом памяти и дисковым пространством стоит 12 995 долл.). Наш тестовый стенд имел пять датчиков (по 795 долл. за каждый). Такое количество рекомендуется для пространства внутри здания, которое мы намеревались защищать от вторжений.

Сильной стороной SpectraGuard Enterprise 5.0 являются процедуры автоматической классификации. Как только продукт обнаруживает неизвестную точку беспроводного доступа (Access Point, AP), клиента или временную сеть, он автоматически начинает распределять эти устройства по уровням риска, который они представляют для корпоративной сети. Например, SpectraGuard быстро выявил, что мы подключили к нашей защищенной проводной сети неавторизованную (неисправную) точку доступа и одновременно классифицировал идентичную точку, которую мы подключили к другой сети как внешнюю (принадлежащую соседней сети). SpectraGuard автоматически поместил неисправную точку в карантин, отключая всех клиентов, пытавшихся к ней подсоединиться, пока она не была выведена из эксплуатации. Но в отношении устройства, подключенного к соседней сети, он не предпринимал никаких автоматических действий.

Поскольку план нашей площадки был составлен неправильно, заложенный в SpectraGuard сложный метод

определения местоположения дал ошибочный результат на экране в левом верхнем углу крестик обозначает действительное

положение точки), но более старые алгоритмы AirTight по-прежнему неплохо работают (экран в правом нижнем углу)

Деревья решений, лежащие в основе этих процедур классификации, хорошо описаны для администраторов беспроводных сетей в файлах справки SpectraGuard Enterprise 5.0. Там приводится и множество других данных, которые доступно объясняют и иллюстрируют различные концепции.

SpectraGuard предлагает четыре варианта предотвращения вторжений в беспроводные сети: блокирование (block), создание помех (disrupt), прерывание (interrupt) или понижение статуса (degrade). Различные уровни представляют собой компромисс между помехоустойчивостью сервиса и количеством радиоканалов, работу которых может прервать отдельный датчик одномоментно.

Мы обнаружили, что используемый по умолчанию режим - создание помех - вполне успешно не позволяет клиентам взаимодействовать с точками доступа. Хотя наши тестовые клиенты смогли получать адрес DHCP (Dynamic Host Configuration Protocol) из беспроводной сети, нам никогда не удавалось передать ни одного пакета ICMP (Internet Control Message Protocol) через карантинную зону.

В ходе испытаний SpectraGuard Enterprise 5.0 помог нам также выявить авторизованных клиентов, подключавшихся к незарегистрированным (unapproved) сетям, атаки типа DoS (отказ в обслуживании), зондирование с помощью старых версий NetStumbler с целью подготовки к вторжению, а также факторы, способные снизить пропускную способность беспроводных сетей (в частности, влияние посторонних устройств и нелегальное использование канала связи на частоте 2,4 ГГц).

Онлайновая справка SpectraGuard выполняется на очень высоком уровне. В ней приводятся многочисленные

практические примеры и блок-схемы, показывающие, как программа принимает решения

Используя разработанные в AirTight механизмы определения местонахождения, мы получили широкий разброс результатов.

SpectraGuard предлагает два способа определения местонахождения. Один использует измерение величины сигнала для нахождения расстояний между датчиками и обнаруженными устройствами. Другой связан с более сложными вычислениями. При этом предпринимается попытка учесть влияние различных строительных материалов - стен или объектов - на затухание радиосигнала. Последний метод несколько напоминает тот, который применяется в ПО планирования сети RingMaster компании Trapeze Networks.

Сначала мы попытались использовать метод моделирования радиосигнала, но добились лишь незначительного успеха. Мы связались со службой планирования AirTight (цена ее услуг составляет 500 долл. за одну площадку), чтобы преобразовать файл с планом нашего офиса, подготовленный в системе CAD, в шаблон SpectraGuard. (Любители делать все самостоятельно могут использовать ПО SpectraGuard Planner 3.1, цены на которое начинаются с 2495 долл.) Служба планирования порекомендовала нам также оптимальное количество датчиков и места их размещения.

К сожалению, мы допустили некоторые ошибки, определяя строительные материалы своих помещений, что превратило наш шаблон в не имеющий ничего общего с реальностью. Это не позволило нам правильно задать свойства окружающей среды и весьма затруднило определение местоположения. Когда мы попытались найти, где находятся нелегальные точки доступа, погрешность иногда достигала 50 футов.

Гораздо большего успеха мы добились, применяя менее сложный метод, при котором точки наносятся на план этажа в простом графическом формате JPEG или GIF. Используя его, мы получили самое точное расположение точек, какое только наблюдали у схожих продуктов, успешно локализовав при этом десятки устройств, разбросанных по нашим помещениям. Погрешность, как правило, не превышала 10 футов (с учетом того, что выбиралось среднее значение).

Руководители AirTight признали, что при более сложных методах определения местоположения у них возникали серьезные трудности.

Мы рекомендуем администраторам системы, прежде чем применять сложные способы определения местонахождения, убедиться в том, что их поэтажные планы соответствуют действительности, отражают все изменения вплоть до самых последних и содержат сведения об использованных строительных материалах.

Что нового

SpectraGuard Enterprise версии 5.0 обеспечивает масштабное управление для очень крупных организаций, поддерживая несколько серверов SpectraGuard Enterprise с помощью нового устройства под названием SpectraGuard MNC (Managed Network Console - управляемая сетевая консоль). В настоящее время MNC, которая стоит 19 995 долл. и может поддерживать до 25 серверов SpectraGuard, способна только собирать данные и готовить отчеты. Эту консоль нельзя использовать для создания и распространения правил управления.

Оценка основных характеристик

С помощью MNC администраторы распределяют серверы SpectraGuard по организационным единицам и узлам. После этого они получают возможность просматривать тревожные сообщения, события или “приборные доски” на любом уровне созданной ими иерархии. Администраторы могут также составлять отчеты по любому узлу “дерева” в одной из заданных производителем форм.

Однако в настоящее время MNC не может использоваться для разработки общей политики или политики в масштабах организации. Руководители AirTight ожидают поступления отзывов от начавших применять MNC пользователей, чтобы обеспечить наилучшие способы реализации такой возможности. Правила должны определяться непосредственно на каждом сервере SpectraGuard, а в MNC имеется кнопка для подключения к каждому управляемому с ее помощью серверу.

AirTight поддерживает однократную аутентификацию (SSO) при доступе к отдельным серверам SpectraGuard через MNC. Однако в SpectraGuard Enterprise 5.0 и MNC отсутствует централизованная авторизация пользователей, поэтому администраторам необходимо предварительно вручную распределять их учетные записи между узлами.

Сейчас как сервер SpectraGuard, так и MNC поддерживают четыре уровня учетных записей для администрирования, предоставляя полномочия в диапазоне от “сверхпользователь” до “только чтение”. Новой является возможность проведения аудита и отслеживания использования системы в административных целях, мониторинга входа и выхода администраторов из системы SpectraGuard Enterprise 5.0, а также внесенных ими изменений.

Кроме того, теперь SpectraGuard поддерживает обнаружение и рассылку тревожных сообщений для сетей в стандартах, предшествовавших появлению 802.11n. Правда, мы выяснили, что в настоящее время данная функция имеет слишком узкую направленность, чтобы быть полезной.

Используй SAFE или пожалеешь

Беспроводные клиенты легко могут оказаться незащищенными. И по мере того как все больше людей широко используют беспроводной доступ, уязвимость растет экспоненциально.

Поскольку гораздо эффективнее оградить беспроводных клиентов от нарушающих требования безопасности действий, чем пытаться наводить порядок уже после того, как они их совершили, компания AirTight Networks интегрировала средства обеспечения безопасности конечных точек в свою платформу SpectraGuard Enterprise 5.0 в виде SpectraGuard SAFE 2.0 (Security Assurance for Endpoints - обеспечение безопасности конечных точек). Однако, хотя такая возможность и является многообещающей, предстоит проделать большую работу, прежде чем она будет полностью реализована.

SAFE позволяет администраторам определять правила, которые диктуют сетям, к какой из них может подключаться клиент, минимальный уровень шифрования и допустимость одновременной активизации проводного соединения (или использования мостов между сетями). Кроме того, SAFE дает администраторам возможность посредством задания правил полностью заблокировать использование Wi-Fi.

“Приборная доска” клиента показывает, все ли в порядке с текущими настройками средств обеспечения безопасности беспроводной связи его компьютера. Эта информация передается на сервер SpectraGuard. Она позволяет администраторам быстро оценить надежность (или ненадежность) устройства.

Из управляющей консоли SpectraGuard Enterprise 5.0 мы задали политики с различными настройками для каждого места - работы, дома и др. Когда новый клиент SAFE обращается к серверу SpectraGuard (клиент должен знать IP-адрес сервера SpectraGuard и совместно используемый ключ), SpectraGuard автоматически применяет к нему заданную по умолчанию политику. Позднее администратор может объединить клиентов SAFE в группы, чтобы расширить спектр используемых политик.

Хотя большинство имеющихся в SAFE средств обеспечения безопасности можно реализовать, соответствующим образом настроив с помощью политики клиентское ПО беспроводной связи (будь то сервис Wireless Zero Configuration из состава Microsoft Windows XP или ПО другой фирмы, например Odyssey Access Client от Juniper Networks), особая привлекательность SAFE связана с тем, что данный пакет передает информацию непосредственно системе предотвращения вторжений в беспроводные сети. Это позволяет администраторам понять, как именно собирался конкретный сотрудник использовать свое беспроводное соединение в общем контексте событий в беспроводной сети.

Несмотря на сказанное, SAFE и SpectraGuard Enterprise пока работают так, как описано выше. Хотя нам удалось, действуя из закладки “Администрирование” консоли SpectraGuard Enterprise 5.0, заставить SAFE подготовить отчеты по отдельным клиентам, эти данные еще не интегрированы в базу данных SpectraGuard Enterprise, чтобы можно было проводить анализ по группам пользователей или выявлять тенденции. Для сбора этих данных клиент SAFE должен опрашиваться непосредственно в тот момент, когда запрашивается отчет. Так что, если клиент не подключен к сети, отчета вы не получите.

Дополнение SpectraGuard Enterprise 5.0 с поддержкой SAFE стоит 4995 долл. (стоимость лицензии на ПО). В эту первоначальную лицензию входят лицензии на 100 клиентов SAFE. Цены на каждую дополнительную клиентскую лицензию начинаются от 20 долл. В зависимости от числа приобретаемых лицензий могут предоставляться скидки.