Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

защита информации в беспроводных сетях на базе решений Cisco systems

Download as PPT, PDF
Masha Rudnichenko
Masha Rudnichenko
1 of 31
Защита информации в беспроводных сетях на базе решений Cisco Systems www.USSC.ru Кацапов Сергей Системный инженер [email_address]
Содержание Распространенные стандарты беспроводных сетей Проблемы, связанные с эксплуатацией беспроводных сетей Безопасность и надежность беспроводных сетей на основе оборудования компании Cisco Systems Подход компании УЦСБ к созданию защищенных беспроводных сетей
Краткая характеристика существующих стандартов 802.11 b/g – 1999 г. / 2003 г. - 2.4 GHz ( Общая полоса 83 МГц ) - Ширина канала 20 МГц - Доступно всего три канала связи (1,6,11) 802.11 a/n – 1999г. / 2009 г. - 5 GHz ( Общая полоса 300 МГц ) - Ширина канала 20 МГц - 802.11 n имеет возможность использования канала 40 МГц Важно: с 15 октября 2010 стандарт 802.11n разрешен на территории Российской Федерации. http://www.rossvyaz.ru/press/news/news475.htm?print=1
Эффективное использование частот – 5 GHz или 2.4GHz 5GHz рекомендован для 802.11 n Больше доступного спектра – большее количество доступных каналов Уменьшенная интерференция (нет Bluetooth, микроволновых печей и т.п) Максимальная пропускная способность с каналом в 40 MHz Преимущества технологи 802.11 n достигаются за счет MIMO и агрегации пакетов
Способы построения беспроводных сетей I Тип II Тип Автономные точки доступа Управляемые точки доступа + Контроллер
Проблемы, связанные с эксплуатацией беспроводных сетей
Возможные сценарии атак в беспроводных сетях Атаки « On-Wire » Атаки « Over-the-Air » Отказ в обслуживании DENIAL OF SERVICE Прерывание сервиса Ad-hoc подключение Несанкцион. одноранговые ad-hoc подключения HACKER Rogue Access Points Доступ в сеть с «черного хода» HACKER Evil Twin HACKER’S AP Подключение к Несанкцион. ТД Разведка Поиск уязвимостей в сети HACKER Cracking Tools Прослушивание и перехват HACKER
Исторически используемые методы защиты информации в беспроводных сетях Сокрытие Service Set Identifier ( SSID ) Единственный плюс : нет попыток подключения со стороны случайных абонентов Использование устаревших стандартов криптографической защиты ( WEP, WPA ) Уязвимость MIC используется как часть TKIP injection атак. Эффект: возможность реализации DoS- атак ( инструмент атаки: mdk3 - поддерживает различные технологии DoS ) Оптимальное решение использовать WPA2+AES Использование метода аутентификации Pre-Shared Key Как любой алгоритм с «общим ключом», уязвим к атакам со словарем/подбору . Оптимальное решение использование механизмов аутентификации EAP-TLS, EAP-FAST
Проблемы, связанные с эксплуатацией беспроводных сетей Безопасность Атаки злоумышленников Невозможность физического контроля доступа к периметру беспроводной сети Проблема прослушивания передаваемой информации Надежность – Управление радиочастотными ресурсами Проблемы из-за некорректного дизайна Сложность управления радиочастотными ресурсами необходимость привлечения средств и методов защиты информации, отличных от традиционных
Безопасность и надежность беспроводных сетей на основе оборудования компании Cisco Systems
Посторонние устройства в беспроводных сетях Что относится к посторонним устройствам посторонним устройствам ? Любое WiFi- устройство, находящееся в зоне радио-видимости нашей сети, которым мы не управляем Большинство ПУ устанавливаются авторизованными пользователями ( низкая цена , удобство , безграмотность ) Когда посторонние устройства опасны ? Когда используют такой же SSID как ваша сеть Когда они обнаруживаются в проводном сегменте ЛВС Одноранговые ( ad-hoc ) сети ПУ тоже могут представлять угрозу Когда установлены сторонними пользователями преднамеренно с целью злого умысла Что необходимо сделать ? Обнаружить [Detect] Классифицировать (over-the-air и on-the-wire) [Classify] Обезвредить (Shutdown, Contain, и т.д. ) [Mitigate]
Этапы борьбы с посторонними устройствами Обнаружение Классификация Обезвреживание Обнаружение не инфраструктурных точек доступа, клиентов и одноранговых подключений Обнаружение ПУ стандарта 802.11 n Правила классификации ПУ, основанные на SSID, клиентах и т.д. Проверка нахождения ПУ в проводном сегменте ЛВС Switch port tracing Отключение ( shutdown ) порта на коммутаторе Обнаружение местоположения Изоляция ( containment ) нарушителей в радиоэфире
Алгоритмы обнаружения атак
Правила классификации ПУ Правила хранятся и выполняются на радиоконтроллере
ТД в режиме Rogue Detector Принципиальная схема работы ( Rogue AP ) ПУ Авториз. ТД L2 Switched Network ТД в режиме Rogue Detector Отслеживает все ARP- запросы от ПУ и их клиентов Контроллер запрашивает у Rogue Detector информацию по обнаруженным ПУ клиентов в проводном сегменте ЛВС Не работает, если ПУ настроено как NAT AP Trunk Port Rogue Detector Client ARP
Rogue Location Discovery Protocol Принципиальная схема работы ПУ ( Rogue AP ) Наша ТД RLDP (Rogue Location Discovery Protocol) Подключается к ПУ в качестве клиента Посылает пакет на IP- адрес контроллера Работает только для ПУ с open SSID Контроллер Routed/Switched Network Посылает пакет на WLC Подключается как клиент
Switchport Tracing ПУ ( Rogue AP ) Наша ТД WCS Switchport Tracing Определяет CDP Neighbors для ТД, которая обнаружила ПУ Просматривает CAM- таблицы коммутаторов на предмет наличия в них mac- адресов ПУ или ПУ-клиентов Работает для ПУ с настройками Security и NAT CAM таблица WCS CAM таблица Show CDP Neighbors Совпадение найдено 2 3 1
Сравнение механизмов обнаружения ПУ Open APs Secured APs NAT APs Switchport Tracing Средняя RLDP Rogue Detector ТД «слышит» ПУ в радио-эфире ТД уведомляет о коммутаторах Проверка начинается с соседних коммутаторов Результаты сообщаются в порядке их вероятности Администратор может откл. порт Как работает Что обнаруживает Точность Open APs NAT APs 100% ТД «слышит» ПУ в радио-эфире ТД подключается к ПУ как клиент ТД посылает RLDP -пакет Если RLDP -пакет получен на WLC, то ПУ имеет выход в КЛВС Хорошая Подключить детектор транком Детектор получает набор mac- адресов ПУ с WLC Детектор ищет mac- адреса ПУ в ARP- запросах Open APs Secured APs
Изоляция ПУ Принципиальная схема работы ПУ Авторизов. ТД Изоляция посторонней точки доступа Посылка De-Authentication пакетов клиенту и ТД Возможность использования ТД в режимах Local Mode, Monitor Mode Влияет на производительность ТД по обслуживанию клиентов ПУ-клиент De-Auth пакет
Определение местоположения ПУ в БС Отслеживание множества ПУ в реальном времени Хранение журнала с историей перемещений Отслеживание местоположения клиентов ПУ Отслеживание местоположения одноранговых ( ad-hoc ) подключений WCS
Компоненты беспроводной сети Мониторинг , Отчетность Over-the-Air Обнаруж . Управление wIPS ТД Комплексн. Анализ атак , Криминалистика , Событий AP
Схема взаимодействия компонентов MSE не на пути передачи данных Большая часть функционала БЛВС реализована контроллером Средство централизованной настройки и мониторинга БЛВС
Надежность – Radio Resource Management (RRM) Мониторинг РЧ - ресурсов Управление мощностью передатчиков точек доступа Динамическое назначение частотных каналов Обнаружение и коррекция пробелов в радиопокрытии
Динамическое назначение частотных каналов Обеспечивает оптимальное использование спектра Достигается наилучшая пропускная способность
Управление мощностью передатчиков ТД Назначает мощность передатчика на основе потерь Как правило, уменьшает Тх на ТД
Обнаружение и коррекция пробелов в радиопокрытии Устраняет единые точки отказа Автоматизирует реагирование на отказы ТД, снижает эксплуатационные расходы и стоимость простоев Приближает доступность беспроводных соединений к проводным
Подход компании УЦСБ к созданию защищенных беспроводных сетей
Подход компании УЦСБ к созданию защищенных беспроводных сетей Защита беспроводных сетей должна основываться на комплексном подходе, учитывающем обоснованный выбор защитных мер Классификация беспроводных сетей: тип беспроводной сети; категория информации; назначение и ожидаемый размер БС; уровень БС по степень надежности. Система защиты беспроводной сети № Функции Безопасности 1 Усиленная аутентификация и контроль доступа 2 Криптографическая защита передаваемых данных 3 Обнаружение и предотвращение вторжений в беспроводной сети 4 Централизованное и защищенное управление компонентами беспроводной сети 5 Обеспечение непрерывности функционирования беспроводной сети 6 Периодический контроль защищенности беспроводной сети
Типовые стадии проектов по защите информации в беспроводных сетях Мероприятия Создание защищенной беспроводной сети «с нуля» Создание системы защиты существующей сети Предпроектное обследование «Радиоразведка», картирование Анализ существующей беспроводной сети Формирование требований к сети и защите Разработка технического задания Разработка частного технического задания Проектирование, внедрение Разработка проектной документации, проведение пусконаладочных работ Приемосдаточные испытания Проведение испытаний, опытная эксплуатация, аттестация
Возможная архитектура защищенная беспроводная сети на базе оборудования компании Cisco Systems № Функции Безопасности Средства реализации 1 Усиленная аутентификация и контроль доступа - Cisco Secure Access Control S ystem - Встроенные функции точек доступа Cisco Aironet 2 Криптографическая защита передаваемых данных - S-Terra CSP VPN Gate - Встроенные функции точек доступа Cisco Aironet 3 Обнаружение и предотвращение вторжений в беспроводной сети - Cisco ASA 5500 c модулем АIP SSM - Cisco Wireless LAN Controller - Cisco Mobility Services Engine 4 Централизованное и защищенное управление компонентами беспроводной сети - Cisco Wireless Control System - Cisco Wireless LAN Controller Cisco Mobility Services Engine Cisco Security Mananger 5 Обеспечение непрерывности функционирования беспроводной сети Встроенные функции точек доступа Cisco Aironet Cisco Wireless LAN Controller Cisco Wireless Control System 6 Периодический контроль защищенности беспроводной сети Комплект бесплатных и коммерческих средств
ООО «УЦСБ» 620026, Екатеринбург, ул.Красноармейская, д.78Б, оф.902 Тел.: +7 (343) 379-98-34 Факс: +7 (343) 264-19-53 [email_address] www.USSC.ru

More Related Content

защита информации в беспроводных сетях на базе решений Cisco systems

  • 1. Защита информации в беспроводных сетях на базе решений Cisco Systems www.USSC.ru Кацапов Сергей Системный инженер [email_address]
  • 2. Содержание Распространенные стандарты беспроводных сетей Проблемы, связанные с эксплуатацией беспроводных сетей Безопасность и надежность беспроводных сетей на основе оборудования компании Cisco Systems Подход компании УЦСБ к созданию защищенных беспроводных сетей
  • 3. Краткая характеристика существующих стандартов 802.11 b/g – 1999 г. / 2003 г. - 2.4 GHz ( Общая полоса 83 МГц ) - Ширина канала 20 МГц - Доступно всего три канала связи (1,6,11) 802.11 a/n – 1999г. / 2009 г. - 5 GHz ( Общая полоса 300 МГц ) - Ширина канала 20 МГц - 802.11 n имеет возможность использования канала 40 МГц Важно: с 15 октября 2010 стандарт 802.11n разрешен на территории Российской Федерации. http://www.rossvyaz.ru/press/news/news475.htm?print=1
  • 4. Эффективное использование частот – 5 GHz или 2.4GHz 5GHz рекомендован для 802.11 n Больше доступного спектра – большее количество доступных каналов Уменьшенная интерференция (нет Bluetooth, микроволновых печей и т.п) Максимальная пропускная способность с каналом в 40 MHz Преимущества технологи 802.11 n достигаются за счет MIMO и агрегации пакетов
  • 5. Способы построения беспроводных сетей I Тип II Тип Автономные точки доступа Управляемые точки доступа + Контроллер
  • 6. Проблемы, связанные с эксплуатацией беспроводных сетей
  • 7. Возможные сценарии атак в беспроводных сетях Атаки « On-Wire » Атаки « Over-the-Air » Отказ в обслуживании DENIAL OF SERVICE Прерывание сервиса Ad-hoc подключение Несанкцион. одноранговые ad-hoc подключения HACKER Rogue Access Points Доступ в сеть с «черного хода» HACKER Evil Twin HACKER’S AP Подключение к Несанкцион. ТД Разведка Поиск уязвимостей в сети HACKER Cracking Tools Прослушивание и перехват HACKER
  • 8. Исторически используемые методы защиты информации в беспроводных сетях Сокрытие Service Set Identifier ( SSID ) Единственный плюс : нет попыток подключения со стороны случайных абонентов Использование устаревших стандартов криптографической защиты ( WEP, WPA ) Уязвимость MIC используется как часть TKIP injection атак. Эффект: возможность реализации DoS- атак ( инструмент атаки: mdk3 - поддерживает различные технологии DoS ) Оптимальное решение использовать WPA2+AES Использование метода аутентификации Pre-Shared Key Как любой алгоритм с «общим ключом», уязвим к атакам со словарем/подбору . Оптимальное решение использование механизмов аутентификации EAP-TLS, EAP-FAST
  • 9. Проблемы, связанные с эксплуатацией беспроводных сетей Безопасность Атаки злоумышленников Невозможность физического контроля доступа к периметру беспроводной сети Проблема прослушивания передаваемой информации Надежность – Управление радиочастотными ресурсами Проблемы из-за некорректного дизайна Сложность управления радиочастотными ресурсами необходимость привлечения средств и методов защиты информации, отличных от традиционных
  • 10. Безопасность и надежность беспроводных сетей на основе оборудования компании Cisco Systems
  • 11. Посторонние устройства в беспроводных сетях Что относится к посторонним устройствам посторонним устройствам ? Любое WiFi- устройство, находящееся в зоне радио-видимости нашей сети, которым мы не управляем Большинство ПУ устанавливаются авторизованными пользователями ( низкая цена , удобство , безграмотность ) Когда посторонние устройства опасны ? Когда используют такой же SSID как ваша сеть Когда они обнаруживаются в проводном сегменте ЛВС Одноранговые ( ad-hoc ) сети ПУ тоже могут представлять угрозу Когда установлены сторонними пользователями преднамеренно с целью злого умысла Что необходимо сделать ? Обнаружить [Detect] Классифицировать (over-the-air и on-the-wire) [Classify] Обезвредить (Shutdown, Contain, и т.д. ) [Mitigate]
  • 12. Этапы борьбы с посторонними устройствами Обнаружение Классификация Обезвреживание Обнаружение не инфраструктурных точек доступа, клиентов и одноранговых подключений Обнаружение ПУ стандарта 802.11 n Правила классификации ПУ, основанные на SSID, клиентах и т.д. Проверка нахождения ПУ в проводном сегменте ЛВС Switch port tracing Отключение ( shutdown ) порта на коммутаторе Обнаружение местоположения Изоляция ( containment ) нарушителей в радиоэфире
  • 14. Правила классификации ПУ Правила хранятся и выполняются на радиоконтроллере
  • 15. ТД в режиме Rogue Detector Принципиальная схема работы ( Rogue AP ) ПУ Авториз. ТД L2 Switched Network ТД в режиме Rogue Detector Отслеживает все ARP- запросы от ПУ и их клиентов Контроллер запрашивает у Rogue Detector информацию по обнаруженным ПУ клиентов в проводном сегменте ЛВС Не работает, если ПУ настроено как NAT AP Trunk Port Rogue Detector Client ARP
  • 16. Rogue Location Discovery Protocol Принципиальная схема работы ПУ ( Rogue AP ) Наша ТД RLDP (Rogue Location Discovery Protocol) Подключается к ПУ в качестве клиента Посылает пакет на IP- адрес контроллера Работает только для ПУ с open SSID Контроллер Routed/Switched Network Посылает пакет на WLC Подключается как клиент
  • 17. Switchport Tracing ПУ ( Rogue AP ) Наша ТД WCS Switchport Tracing Определяет CDP Neighbors для ТД, которая обнаружила ПУ Просматривает CAM- таблицы коммутаторов на предмет наличия в них mac- адресов ПУ или ПУ-клиентов Работает для ПУ с настройками Security и NAT CAM таблица WCS CAM таблица Show CDP Neighbors Совпадение найдено 2 3 1
  • 18. Сравнение механизмов обнаружения ПУ Open APs Secured APs NAT APs Switchport Tracing Средняя RLDP Rogue Detector ТД «слышит» ПУ в радио-эфире ТД уведомляет о коммутаторах Проверка начинается с соседних коммутаторов Результаты сообщаются в порядке их вероятности Администратор может откл. порт Как работает Что обнаруживает Точность Open APs NAT APs 100% ТД «слышит» ПУ в радио-эфире ТД подключается к ПУ как клиент ТД посылает RLDP -пакет Если RLDP -пакет получен на WLC, то ПУ имеет выход в КЛВС Хорошая Подключить детектор транком Детектор получает набор mac- адресов ПУ с WLC Детектор ищет mac- адреса ПУ в ARP- запросах Open APs Secured APs
  • 19. Изоляция ПУ Принципиальная схема работы ПУ Авторизов. ТД Изоляция посторонней точки доступа Посылка De-Authentication пакетов клиенту и ТД Возможность использования ТД в режимах Local Mode, Monitor Mode Влияет на производительность ТД по обслуживанию клиентов ПУ-клиент De-Auth пакет
  • 20. Определение местоположения ПУ в БС Отслеживание множества ПУ в реальном времени Хранение журнала с историей перемещений Отслеживание местоположения клиентов ПУ Отслеживание местоположения одноранговых ( ad-hoc ) подключений WCS
  • 21. Компоненты беспроводной сети Мониторинг , Отчетность Over-the-Air Обнаруж . Управление wIPS ТД Комплексн. Анализ атак , Криминалистика , Событий AP
  • 22. Схема взаимодействия компонентов MSE не на пути передачи данных Большая часть функционала БЛВС реализована контроллером Средство централизованной настройки и мониторинга БЛВС
  • 23. Надежность – Radio Resource Management (RRM) Мониторинг РЧ - ресурсов Управление мощностью передатчиков точек доступа Динамическое назначение частотных каналов Обнаружение и коррекция пробелов в радиопокрытии
  • 24. Динамическое назначение частотных каналов Обеспечивает оптимальное использование спектра Достигается наилучшая пропускная способность
  • 25. Управление мощностью передатчиков ТД Назначает мощность передатчика на основе потерь Как правило, уменьшает Тх на ТД
  • 26. Обнаружение и коррекция пробелов в радиопокрытии Устраняет единые точки отказа Автоматизирует реагирование на отказы ТД, снижает эксплуатационные расходы и стоимость простоев Приближает доступность беспроводных соединений к проводным
  • 27. Подход компании УЦСБ к созданию защищенных беспроводных сетей
  • 28. Подход компании УЦСБ к созданию защищенных беспроводных сетей Защита беспроводных сетей должна основываться на комплексном подходе, учитывающем обоснованный выбор защитных мер Классификация беспроводных сетей: тип беспроводной сети; категория информации; назначение и ожидаемый размер БС; уровень БС по степень надежности. Система защиты беспроводной сети № Функции Безопасности 1 Усиленная аутентификация и контроль доступа 2 Криптографическая защита передаваемых данных 3 Обнаружение и предотвращение вторжений в беспроводной сети 4 Централизованное и защищенное управление компонентами беспроводной сети 5 Обеспечение непрерывности функционирования беспроводной сети 6 Периодический контроль защищенности беспроводной сети
  • 29. Типовые стадии проектов по защите информации в беспроводных сетях Мероприятия Создание защищенной беспроводной сети «с нуля» Создание системы защиты существующей сети Предпроектное обследование «Радиоразведка», картирование Анализ существующей беспроводной сети Формирование требований к сети и защите Разработка технического задания Разработка частного технического задания Проектирование, внедрение Разработка проектной документации, проведение пусконаладочных работ Приемосдаточные испытания Проведение испытаний, опытная эксплуатация, аттестация
  • 30. Возможная архитектура защищенная беспроводная сети на базе оборудования компании Cisco Systems № Функции Безопасности Средства реализации 1 Усиленная аутентификация и контроль доступа - Cisco Secure Access Control S ystem - Встроенные функции точек доступа Cisco Aironet 2 Криптографическая защита передаваемых данных - S-Terra CSP VPN Gate - Встроенные функции точек доступа Cisco Aironet 3 Обнаружение и предотвращение вторжений в беспроводной сети - Cisco ASA 5500 c модулем АIP SSM - Cisco Wireless LAN Controller - Cisco Mobility Services Engine 4 Централизованное и защищенное управление компонентами беспроводной сети - Cisco Wireless Control System - Cisco Wireless LAN Controller Cisco Mobility Services Engine Cisco Security Mananger 5 Обеспечение непрерывности функционирования беспроводной сети Встроенные функции точек доступа Cisco Aironet Cisco Wireless LAN Controller Cisco Wireless Control System 6 Периодический контроль защищенности беспроводной сети Комплект бесплатных и коммерческих средств
  • 31. ООО «УЦСБ» 620026, Екатеринбург, ул.Красноармейская, д.78Б, оф.902 Тел.: +7 (343) 379-98-34 Факс: +7 (343) 264-19-53 [email_address] www.USSC.ru