`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

HP ProCurve MSM Architecture

Статья опубликована в №12 (723) от 6 апреля

+22
голоса

Обеспечение защиты и безопасности беспроводных сетей встроено в архитектуру мультисервисных мобильных сетей, базирующихся на основе оборудования HP ProCurve MultiService Mobility (MSM) Architecture. Эта архитектура относится к новому, третьему по счету поколению решений для беспроводных корпоративных сетей (WLAN).

HP ProCurve MSM Architecture
Рис. 1. Трехуровневая MSM-архитектура

Дизайн архитектуры выделяет ресурсы для управления, контроля и передачи данных и переносит интеллект на границу WLAN, что свойственно проводным сетям (LAN) уже сегодня. Объединив оперативные преимущества централизованного управления и контроля с масштабируемостью, эффективностью и производительностью распределенных сетей, трехуровневая (triplane) MSM-архитектура (рис. 1) реализует улучшенную систему коммутации WLAN.

В центре решения на ключевом Уровне Контроля (Control Plane) находятся контроллеры HP ProCurve MSM серии 700, которые используются для централизованного управления и настройки всех сервисов WLAN. Осуществляя централизованный контроль над распределенным Уровнем Передачи Данных (Data Plane), Уровень Контроля обеспечивает постоянное предоставление сервисов и неукоснительное соблюдение политик QoS и безопасности во всей WLAN. При этом важно отметить, что непосредственная передача данных между источником и получателем осуществляется на Уровне Передачи Данных, и только незначительный управляющий трафик проходит через контроллер, что делает это решение высокомасштабированным и устраняет недостатки централизованных архитектур второго поколения WLAN.

HP ProCurve MSM Architecture
Рис. 2. Контроллеры MSM

В контексте безопасности при развертывании или масштабировании WLAN контроллеры и точки доступа (ТД) MSM взаимно обнаруживают друг друга и устанавливают между собой коммуникационный туннель GRE (Generic Routing Encapsulation) и TLS (Transport Layer Security) на третьем уровне эталонной модели OSI для обмена управляющей информацией. Взаимная аутентификация и шифрование данных по протоколу X.509 между ТД и контроллерами MSM устраняют любые угрозы безопасности, встраивают высокую доступность и отказоустойчивость в управляющий протокол при конфигурации и обеспечивают постоянное подключение между ТД и контроллерами MSM. В свою очередь MSM-контроллеры серий 760 и 765 (рис. 2) поддерживают функцию teaming, когда в одну отказоустойчивую группу можно объединить до пяти контролеров и обеспечить централизованное управление через один IP-интерфейс 800 ТД (200 ТД в обычном режиме).

Уровень передачи данных (Data Plane) отвечает за коммутацию беспроводного трафика непосредственно в LAN, исполнение политик QoS и обеспечение безопасности. Находясь на границе WLAN-LAN, интеллектуальные ТД MSM коммутируют пакеты непосредственно между пользователями и ресурсами LAN (например, серверами), в отличие от второго поколения WLAN, где весь трафик передается через центральный беспроводной коммутатор/контроллер. Локальная обработка MAC-протокола 802.11, аппаратная поддержка шифрования данных и аутентификации RADIUS ликвидирует зависимость ТД MSM от центрального MSM-контроллера, повышая отказоустойчивость WLAN. Применяя централизованные политики безопасности, ТД MSM блокируют неавторизованный трафик прямо на границе сети, повышая производительность WLAN.

HP ProCurve MSM Architecture
Рис. 3. ТД и сенсоры MSM

Уровень Передачи Данных также исполняет политики обнаружения и предотвращения вторжений (IDS/IPS) в WLAN в режиме реального времени. Некоторые модели ТД MSM с двумя/тремя радио MSM320-R, MSM320, MSM325, MSM335, а также специализированные ТД MSM415 (сенсоры или датчики) обеспечивают защиту периметра WLAN, обнаруживая и предотвращая угрозы доступа несанкционированных устройств в LAN.

Отличительной особенностью ТД MSM является их способность работать как в автономном режиме без управления MSM-контроллера, так и в централизованном (установлен по умолчанию) под управлением MSM-контроллера (рис. 3).

HP ProCurve MSM Architecture
Рис. 4. HP ProCurve RF Manager IDS/IPS system

Уровень Управления (Management Plane) реализован как программно-аппаратный комплекс, который поддерживает функции централизованной конфигурации и управления; создания политик, в том числе безопасности; обнаружения неисправностей и диагностики состояния; составления топологии; планирования покрытия сети и ее емкости (производительности); аудита и подготовки отчетов для больших WLAN, состоящих из множества MSM-контроллеров и ТД.

Аппаратное решение HP ProCurve RF Manager IDS/IPS system (рис. 4) обеспечивает такую же всестороннюю защиту WLAN, как брандмауэр и устройства IDS/IPS для LAN. RF Manager автоматически выявляет и предотвращает угрозы безопасности и атаки, графически отображает местоположение беспроводных устройств, проводит аудит в режиме реального времени и оказывает помощь в устранении неисправностей, связанных с производительностью WLAN.

HP ProCurve MSM Architecture
Рис. 5. Иллюстрация основных типов беспроводных уязвимостей и атак

Приведем теперь основные типы уязвимостей и атак (рис. 5). К ним относятся:

  • несанкционированные ТД с неправильными параметрами безопасности, установленные сотрудниками (Misconfigured AP);
  • неавторизованные пользователи (хакеры), пытающиеся получить несанкционированный доступ к корпоративной сети (AP MAC Spoofing);
  • несанкционированные ТД (чужаки), подключенные хакерами в корпоративную сеть (Rouge AP);
  • ТД Honeypot (или Evil Twin используют корпоративные SSID), которые хакеры задействуют для перехвата (fishing) полномочий авторизованных пользователей или другой конфиденциальной информации;
  • сотрудники, подключающиеся к соседним беспроводным сетям (Mis-association, Unauthorized Association);
  • сотрудники, которые подключаются к одноранговой беспроводной сети (Ad Hoc Connection);
  • беспроводные DoS-атаки из соседних или внешних сетей (DoS Attack).

К основным возможностям RF Manager относятся:

  • обнаружение уязвимостей;
  • обнаружение беспроводных DoS атак;
  • обнаружение атак, связанных с уязвимостями протокола аутентификации WEP;
  • смягчение/уменьшение действия обнаруженных уязвимостей и атак;
  • определение точного местонахождения несанкционированных беспроводных устройств;
  • аудит, уведомление и составление отчетов по безопасности.

Функционирование RF Manager построено на взаимодействии с RF-сенсорами, которые собирают всю информацию о среде и исполняют политики безопасности. Опираясь на информацию, полученную от RF-сенсоров, RF Manager идентифицирует уязвимости с помощью следующего алгоритма:

  • выявляются все ТД и беспроводные клиенты в зоне покрытия;
  • выполняется их классификация на основе нормального функционирования или заданной политики безопасности;
  • после этого ведется их постоянный мониторинг на соответствие нормальному поведению или политике безопасности.

Например, несанкционированные пользователи не должны подключаться к корпоративным ТД, а авторизованные – к другим SSID и т. д.

RF Manager запрограммирован на обнаружение различных типов трафика и его поведения для предотвращения беспроводных DoS-атак: Disassociation flood attack; Authentication flood attack; Disassociation broadcast attack; RTS/CTS flood; Association flood attack; EAPOL Logoff flood attack; Association table overflow; EAPOL Start flood attack; Deauthentication flood attack; Large NAV attack; Deauthentication broadcast attack.

Для повышения безопасности протокола WEP RF Manager использует два основных метода:

  • постоянно сканирует среду для обнаружения признаков атак, связанных со взломом WEP-протокола, например таких, как несанкционированный пользователь, который делает большое количество запросов на аутентификацию.
  • создает уникальный профиль для каждого пользователя с параметрами его нормального поведения и обычного времени подключения. Далее он определяет отклонения от такого поведения, которые могут свидетельствовать о том, что несанкционированный пользователь взломал ключ WEP или подменил MAC-адрес.

Для предотвращения беспроводных вторжений и угроз RF Manager не блокирует беспроводной сигнал, а задействует возможности сенсоров, чтобы изолировать неавторизованные ТД и пользователей за счет распространения кадров предотвращения вторжений (disassociation frame), которые блокируют несанкционированные ассоциации. Другими словами, сенсор может заблокировать все ассоциации пользователей с несанкционированной ТД, но не может послать сигнал помехи, чтобы заблокировать канал: для этого он направляет кадры для предотвращения ассоциаций. Например, если RF Manager изолирует ТД, он посылает кадр дизассоциации для блокирования ассоциаций всех пользователей, подключенных к ней. Если RF Manager изолирует пользователя, он посылает кадр дизассоциации, блокирующий конкретную ассоциацию пользователя, связанную с этой ТД, не затрагивая при этом ассоциаций других пользователей.

Для качественного обнаружения несанкционированных вторжений RF Manager анализирует информацию, полученную от одного сенсора на три ТД. Соответственно, для предотвращения вторжений необходимы два сенсора на три точки. И наконец, для установления точного местонахождения несанкционированных беспроводных устройств необходимо три-четыре сенсора на группу ТД, установленных в определенной зоне (после этого их местоположение указывается на ее плане).

HP ProCurve MSM Architecture
Рис.6. Процесс sFlow

RF Manager предоставляет несколько предварительно сконфигурированных отчетов, которые разделены на три категории:

  • отчет соответствия различным регуляторным нормам (HIPAA, PCI DSS, Sarbanes-Oxley, Gramm-Leach-Bliley и др.);
  • отчет об инцидентах и различных событиях по безопасности;
  • инвентаризация беспроводных устройств, включая ТД, пользователей и сенсоры.

Одна из основных отличительных особенностей решений HP ProCurve по безопасности WLAN – поддержка ТД протокола sFlow MSM, которые действуют как sFlow-агенты, MSM-контроллерами, являющимися sFlow-Proxy и программным обеспечением мониторинга и безопасности HP ProCurve Manager Plus и HP ProCurve Network Immunity Manager, выполняющих роль sFlow-коллектора. Это позволяет повысить безопасность WLAN на уровень проводных LAN, используя возможности мониторинга, обнаружения угроз и аномалий поведения беспроводного трафика средствами проводных LAN (рис. 6).

В целом, предоставляемая HP ProCurve MSM Architecture защита от беспроводных угроз позволяет строить безопасные беспроводные сети любого масштаба.

+22
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT