`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Motorola AirDefense Enterprise

Статья опубликована в №12 (723) от 6 апреля

+33
голоса

AirDefense Enterprise – это система предотвращения беспроводных вторжений, осуществляющая непрерывный круглосуточный мониторинг и обеспечивающая обнаружение и нейтрализацию чужаков, обнаружение вторжений, мониторинг соответствия заданным политикам конфигурации и безопасности, автоматизированную защиту, аналитический инструментарий для проведения расследований инцидентов безопасности и неполадок в сети, отслеживание местоположения, анализ спектра и ряд других функций.

Motorola AirDefense Enterprise
Каждое событие снабжено подробным описанием и рекомендациями по реагированию

Система рассчитана на решение следующих основных задач:

  • позволить коммерческим и государственным структурам любого масштаба безопасно и уверенно развертывать беспроводные сети;
  • защищать сети (беспроводные и проводные, где беспроводные технологии запрещены политикой) от неавторизованного доступа по беспроводным каналам;
  • предоставлять всеохватывающую информацию о соответствии политике безопасности/конфигурации, истории беспроводных угроз, осуществлять мониторинг/диагностику беспроводной инфраструктуры;
  • максимизировать отдачу вложений в беспроводные сети.

Система состоит из таких компонентов: центрального сервера AirDefense Enterprise, распределенных сенсоров, собирающих информацию и передающих ее на сервер, консоли администратора на основе веб-технологий и Java.

Центральный сервер поставляется в виде готового аппаратно-программного комплекса, поддерживается резервирование. В качестве сенсоров используются беспроводные точки и порты доступа Motorola AP300, AP-5131. При этом точки, оснащенные двумя радиомодулями, могут параллельно выполнять функции круглосуточного мониторинга и предоставлять беспроводной доступ. Для связи сенсора с сервером требуется IP-канал пропускной способностью порядка 3 Кб/с, что позволяет с легкостью размещать сенсоры на удаленных площадках, подключая их через WAN. Один сервер может управлять несколькими сотнями сенсоров (зависит от модели сервера и выбранных параметров мониторинга), поэтому в большинстве случаев удается обойтись всего двумя серверами (основным и резервным). Рассмотрим подробнее функции системы и особенности их реализации.

Обнаружение вторжений

Для обнаружения вторжений используется непрерывный круглосуточный мониторинг на основе выделенных сенсоров. При альтернативном подходе, когда мониторинг эфира выполняют обычные ТД, периодически переключающиеся в режим сканирования радиоканалов для поиска угроз, время их работы в режиме сенсора составляет, как правило, 10–15% общего времени работы точки (например, точка работает в режиме сенсора 1 секунду каждые 10 секунд). Естественно, такую модель нельзя считать полноценной – благо почти все производители систем защиты от беспроводных угроз сейчас переходят на постоянный мониторинг с помощью выделенных сенсоров.

Система использует механизмы как традиционного сигнатурного анализа, анализа некорректного использования протоколов, поиска трафика, не соответствующего заданной политике, так и более интересные методики определения нетипичного поведения сети и контекстно-зависимого анализа, предотвращающего появление ложных срабатываний. Возможность многомерного анализа и корреляции является критически важной для обнаружения комплексных и неизученных атак в беспроводной среде, а также для эффективного функционирования системы безопасности.

Для обеспечения эффективного реагирования персонала на происшествия в AirDefense реализована полноценная и полностью настраиваемая схема управления событиями. В консолях события автоматически сортируются по уровню опасности/значимости и могут отправляться сразу нескольким администраторам, гибко фильтроваться и выстраиваться в очереди, возможна интеграция с внешними системами управления и т. д. Но самое главное – каждое событие снабжено подробной справочной информацией о природе проблемы, рекомендованных шагах по расследованию происшествия, мерах по устранению и процедурных мерах по эскалации.

Маскировка WEP (WEP Cloaking)

Дополнительный модуль WEP Cloaking предоставляет защиту беспроводным сетям, которые по каким-то причинам (техническим, организационным или финансовым) не могут перейти с WEP на надежные механизмы безопасности. В этом режиме сенсоры наводняют эфир специально сконструированными неправильными WEP-пакетами, которые делают невозможным восстановление ключа WEP из собранного злоумышленником трафика.

Motorola AirDefense Enterprise
Модуль аналитики: общий вид с временной шкалой вверху

Обнаружение и нейтрализация чужаков

AirDefense способна автоматически определять и нейтрализовать чужаков, будь то ТД или другие подключенные к сети устройства. Специальный алгоритм, являющийся закрытой интеллектуальной собственностью, может находить неавторизованные подключения беспроводных устройств к сети предприятия, причем не только через традиционные ТД в режиме моста, но и через более популярные в сегменте домашних пользователей мини-маршрутизаторы Wi-Fi, в том числе с NAT. В результате для каждого подозрительного устройства определяется «индекс уровня опасности», что позволяет администраторам сконцентрироваться на устранении чужаков и не отвлекаться на соседей.

Используя модуль Location Tracking, они могут определить местонахождение чужака и принять меры по его физическому устранению. В случае особо тщательно запрятанных устройств (или недостаточного для точной триангуляции количества сенсоров) может помочь модуль AirDefense Mobile на ноутбуке с внешней направленной антенной, позволяющий брать пеленг на источник сигнала.

Автоматизированная защита

В системе имеется возможность автоматизированного реагирования на беспроводные угрозы, например, блокированием коммуникаций неавторизованного устройства либо отсечением всех попыток ассоциации с уязвимой ТД или с ТД-чужаком. Особенностью AirDefense является способность реагировать как с беспроводной стороны сети, так и с проводной. Режим работы «на два фронта» одновременно обеспечивает максимальный уровень безопасности.

Контроль соответствия и исполнения заданных политик

AirDefense Enterprise позволяет администраторам определять политики использования, безопасности и конфигурации беспроводных каналов связи, следить за их исполнением и принудительно его обеспечивать. Ограничение числа поддерживаемых протоколов аутентификации, стандартов шифрования, скоростей передачи данных, их мониторинг и пресечение всех попыток коммуникаций, не соответствующих заданным политикам, значительно снижает риски взлома и ограничивает доступные злоумышленнику возможности. Как только система находит не соответствующее политике устройство – она тут же оповещает администратора. Также существует возможность создавать отчеты о соответствии заданным политикам, как стандартным (PCI, SOX и т.д.), так и собственным – с помощью гибкого генератора отчетов.

Инструментарий аналитики и расследования инцидентов

AirDefense Enterprise собирает исторические данные, позволяющие воссоздать картину коммуникаций в сети. Для каждого устройства система ежеминутно сохраняет более 325 параметров и хранит историю в течение нескольких месяцев, поэтому можно расследовать случаи глубокого скрытого проникновения и выявлять системные проблемы. Среди сохраняемых параметров: состояние радиоканалов, характеристики сигналов, активность устройств и потоки трафика. AirDefense может показать время атаки/взлома, точку входа, длительность атаки, какие потоки данных были установлены и какие системы поражены.

Отслеживание местоположения источников сигнала

Важной особенностью беспроводных коммуникаций является то, что источник сигнала может находиться где угодно и не привязан к розетке. Для решения сопряженных с этим проблем используется модуль отслеживания местоположения источников сигнала, позволяющий устанавливать методом триангуляции расположение атакующего, чужака, некорректно сконфигурированного клиентского устройства, генератора интерференции и др. При этом при определении координат объекта используются реальные планы помещений с учетом характеристик материалов радиопреград (стен, дверей, окон, межэтажных перекрытий).

В сочетании с модулем Advanced Forensics появляется возможность вести запись перемещения источников сигнала по контролируемой территории.

Анализатор спектра

С помощью дополнительного модуля Spectrum Analysis становится возможным определять дополнительные источники интерференции в частотных диапазонах функционирования наших беспроводных сетей, не использующих протоколы 802.11, например Bluetooth, беспроводных телефонов и видеокамер, микроволновок и др. Благодаря этому модулю администраторы могут решать проблемы физического уровня без выезда на удаленную площадку и приобретения специализированного недешевого оборудования.

Motorola AirDefense Enterprise
Отслеживание перемещений источника сигнала

Защита мобильных пользователей

Используя AirDefense Personal в сочетании с AirDefense Enterprise, становится возможным контролировать выполнение политики безопасности в области беспроводных коммуникаций даже на клиентских устройствах, находящихся подолгу вдали от офисов со стационарными сенсорами. Агент AirDefense Personal прозрачно следит за беспроводными событиями, пресекая умышленные или неумышленные нарушения и изменения конфигурации, способные привести к раскрытию серьезных уязвимостей на устройстве. Защищаются все типы беспроводных соединений: Wi-Fi, GPRS, 3G, Bluetooth и т. д. Такой агент, например, не позволит злоумышленнику «пересадить» пользователя на себя (Connection Hijack, Ewil Twin, Phishing) или, наоборот, пользователь, подключенный к корпоративной сети проводным интерфейсом, не сможет параллельно открыть беспроводной канал связи.

Централизованное управление обеспечивается с помощью компонента AirDefense Personal Central Manager, встраиваемой в AirDefense Enterprise для согласования политики безопасности, передачи данных о происходящих (или произошедших) на мобильном устройстве событиях и сдачи отчетности.

Управление системой

Управление системой осуществляется через консоль на основе браузера и Java. С ее помощью проводятся все операции – от анализа инцидентов до обновления серверов и резервного копирования. Консоль позволяет осуществлять администрирование на основе ролей, предоставляя разным группам администраторов разные права доступа. Для облегчения использования в системе предусмотрено большое количество мастеров и диспетчерских панелей. При необходимости управление несколькими серверами может выполняться через централизованную консоль.

+33
голоса

Напечатать Отправить другу

Читайте также

"что позволяет администраторам сконцентрироваться на устранении чужаков и не отвлекаться на соседей.
Используя модуль Location Tracking, они могут определить местонахождение чужака и принять меры по его физическому устранению. "

Ну почему всю грязную работу, включая "физическое устранение чужаков", должны делать админы?

Неужели непонятно?
У админов сидячая работа - любая возможность размяться должна быть использована! Особенно хорошей разминка получится, если чужак станет отбиваться.

А шутку оценил, спасибо. :)

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT