Современные беспроводные решения Cisco: BYOD и безопасность

Copyright © BMS consulting, 2007

Современные

беспроводные решения

Cisco: BYOD и

безопасность

Дмитриев Максим

[email protected]

30.10.2012 2

Содержание


Беспроводное решение Cisco Unified

Wireless

Интеллектуальный подход к управлению

радиосредой

Политики доступа в сеть

Безопасность беспроводных сетей

Методы обнаружения, классификации и

устранения

30.10.2012 3

Автономное решение


• Каждая беспроводная точка доступа

функционирует «по-своему»

• Нет иерархического представления радиосреды

• Отсутствуют средства оптимизации радиопокрытия

• Проблема принести любимое устройство

30.10.2012 4

Архитектура Cisco Unified

Wireless Network


Система

управления

Контроллеры

Мобильные

сервисы

NCS

WLC

Точки

доступа AP

30.10.2012 5

Преимущества

централизованной архитектуры

Централизованное управление беспроводными точками доступа

Динамическая балансировка между пользователями

Динамическое управление радиопокрытием

Сервисы определения местоположения

Расширенный арсенал безопасности и QoS

Прозрачный роуминг

Возможность внедрения Voice over WLAN

Унификация проводного и беспроводного доступа


30.10.2012 6

Управление радиосредой


802.11 DSS Распределение каналов

30.10.2012 7

RRM—Radio Resource

Management


Какие цели RRM? – Динамическое управление радиопокрытием

– Мониторинг и поддержка покрытия для всех клиентов

– Управление эффективностью спектра так, чтобы

предоставить оптимальную полосу пропускания при

изменении условий

Что не делает RRM – Не является заменой радиообследованию

– Не исправляет неправильную архитектуру сети

30.10.2012 8

RRM—Radio Resource

Management


DCA—Dynamic Channel Assignment – Каждая точка доступа получает канал для

передачи данных

– Изменения в радиосреде мониторятся, канал точки доступа изменяется при плохих условиях радосреды

TPC—Transmit Power Control – Мощность передачи сигнала базируется на

потерях между двумя радиоисточниками

– TPC уменьшает мощность передачи на некоторых точках доступа, но может так же и увеличить ее при определенных условиях

CHDM—Coverage Hole Detection and Mitigation – Обнаруживает клиентов в зонах без покрытия

– Принимает решение увеличить мощность передачи на некоторых точках доступа, чтобы «дотянуться» до клиента

30.10.2012 9

RRM DCA – Динамическое

назначение каналов


RF Channel “6”

RF Channel “1”

RF Channel “11”

Новая точка доступа создает

интерференцию каналов Система оптимизирует распределение

каналов для уменьшения интерференции

Как это

делается

Убеждается в том, что доступный радио спектр

используется хорошо для всех частот/каналов – Лучшая полоса пропускания достигается без ущерба в работе

точек доступа

30.10.2012 10

RRM – Управление

мощностью передатчика


Мощность не оптимизирована —

радиосигнал вызывает интерференцию

Уменьшает граничную мощность,

тем самым минимизирует

интерференцию

RF Channel “6”

RF Channel “1”

RF Channel “11”

Как это

делается

Мощность передачи базируется на потерях между источниками сигнала

TPC уменьшает мощность передачи на некоторых точках доступа, но так же может и увеличить ее при определенных условиях

30.10.2012 11

RRM – обнаружение и

устранение дыр в покрытии


Отказ точки доступа обнаружен

Пустая зона покрытия заполнена Нормальная работа

Как это

происходит

Нет единой точки отказа

Автоматическое переключение уменьшает расходы на поддержку и восстановление

Доступность беспроводной сети сравнима с проводной

30.10.2012 12

Управление плотностью

подключений


Решение проблем нагрузки на точки доступа в

помещениях с плотным скоплением людей (залы

совещаний, кафе)…

30.10.2012 13

Основные

понятия идентификации

Что такое идентичность (личность)?

• утверждение о том, кто мы есть

• позволяет нам различать друг друга

Что представляет собой идентификация?

• Типичные идентификаторы сети:

Имя пользователя и пароль

Адрес электронной почты: [email protected]

MAC-адрес: 00-0C-14-A4-9d-33

IP-адрес: 10.0.1.199

Цифровые сертификаты

Как мы используем идентификацию?

• используется для предоставления соответствующих разрешений:

права на использование сервисов с определенным уровнем

полномочий

30.10.2012 14

Применение модели

аутентификации для доступа в ЛВС

Я хочу подключиться к сети

Необходима идентификация

Идентификатор проверен –

доступ предоставлен

Вот мой идентификатор

30.10.2012 15

Консолидация решений в Cisco ISE

Консолидированные сервисы в одном продукте

ACS

NAC Profiler

NAC Guest

NAC Manager

NAC Server

ISE

Упрощает внедрение Облегчает администрирование

30.10.2012 16

Безопасность

беспроводных сетей


Проникновение в

проводную ЛВС Атаки на Wi-Fi сеть

Одноранговые сети

Client-to-client backdoor

access

HACKER

Чужие точки доступа

Доступ в ЛВС «с черного

хода»

HACKER

Методы

обнаружения,

классификации и

обезвреживания

посторонних радио-

устройств в WiFi

сетях защищают от

данного класса атак

Denial of Service

DENIAL OF

SERVICE

Отказ в сервисе

Wi-Fi приманки

HACKER’S

AP

Подключение к

вредоносной AP

Разведывательные

Поиск сетевых уязвимостей

HACKER

Взломы

Прослушивание и перехват

HACKER

MFP нейтрализует

все

злоупотребления

кадрами

управления, в

частности атаки

типа «посредник»

WPA2/802.11i

нейтрализует атаки

типа

Reconnaissance,

прослушивание и

т.п.

30.10.2012 17

ПУ – посторонние

устройства

Что относится к ПУ?

–Любое WiFi-устройство, находящееся в зоне радиовидимости нашей сети, которым мы не управляем

–Большинство ПУ устанавливаются авторизованными пользователями (низкая цена, удобство, безграмотность)

Когда ПУ опасны?

–Когда они обнаруживаются в проводном сегменте ЛВС

–Одноранговые (ad-hoc) сети ПУ тоже могут представлять угрозу !

–Когда установлены сторонними пользователями преднамеренно с целью злого умысла

Что необходимо сделать?

–Обнаружить [Detect]

–Классифицировать (over-the-air и on-the-wire) [Classify]

–Обезвредить (Shutdown, Contain, и т.д.) [Mitigate]


30.10.2012 18

Примеры ПУ

Сценарий 1:

Сотрудник приносит домашнюю точку доступа с целью организовать Wi-Fi в своем кабинете.

Точка доступа, не обладая богатым функционалом безопасности, включается в проводной сегмент сети.

Угроза:

«Легкая добыча» для злоумышленника. Обойдя слабые методы защиты, он подключается по WiFi к это точке доступа и автоматически попадает в проводную сеть организации.


30.10.2012 19

Примеры ПУ

Сценарий 2:

Департамент IT закупил несколько десятков сетевых принтеров и подключил их к сети организации.

Данные принтеры имеют Wi-Fi сетевую карту, которая включена по умолчанию и имеет базовые настройки безопасности.

Угроза:

Открытая дверь в сеть для любого злоумышленника через беспроводной интерфейс принтера.


30.10.2012 20

Примеры ПУ

Сценарий 3:

Компьютер сотрудника по умолчанию имеет включенный Wi-Fi интерфейс.

Угроза:

Злоумышленник может установить одноранговое Wi-Fi соединение с таким компьютером (типа точка-точка), скомпрометировать его, завладеть секретной информацией или же доступом к другим ресурсам организации.


30.10.2012 21

Интегрированный комплекс

безопасности Wi-Fi эфира


Точки доступа

Network Control System

Security

Management

RF

Management Capacity

Management

Cisco WLC

контроллер

MSE

Monitor

Mode AP

Rogue Detector Monitor Mode

AP

Проводная

сеть

Сервисы:

Местоположение

Безопасность

Историческая отчетность

–Безопасная радиосреда

–Определение местоположения

–Централизованное управление

–Централизованный доступ к сети

ISE

30.10.2012 22

Этапы борьбы с

посторонними Wi-Fi устройствами


Обнаружение

• обнаружение неинфраструктурных точек доступа (ТД), клиентов и одноранговых (ad-hoc) подключений

• Обнаружение ПУ стандарта 802.11n

• Правила классификации ПУ, основанные на RSSI, SSID, клиентах и т.д.

• Проверка нахождения ПУ в проводном сегменте ЛВС (Switch port tracing)

Классификация Обезвреживание

• Обнаружение местоположения

• Отключение (shutdown) порта на коммутаторе

• Изоляция (containment) нарушителей в радио-эфире

30.10.2012 23

Правила классификации ПУ


Классификация основана на степени опасности угрозы и

действиях по обезвреживанию

Правила классификации соотносятся с моделью рисков

заказчика

Обнаружено ПУ

Правило: SSID: McDonalds

RSSI: -80dBm

Помечается как

Дружеское

Правило: SSID: Corporate RSSI: -70dBm

Помечается как Вредоносное

ПУ не удовлетворяет установленным

правилам

Помечается как

Неклассифицированное

30.10.2012 24

ТД в режиме Rogue Detector


(Rogue AP) ПУ

L2 Проводная сеть

Trunk Port

Rogue Detector

Client ARP


• Отслеживает все широковещательные ARP-запросы от посторонних ТД и их клиентов

• Контроллер делает запрос на Rogue Detector для определения наличия посторонних клиентов в проводном сегменте ЛВС

• Не работает если посторонняя ТД настроена как NAT AP

30.10.2012 25

Rogue Location Discovery

Protocol


ПУ (Rogue AP)

Routed/Switched Network Посылает

пакет

на WLC

Подключается

как клиент

Наша ТД

Контроллер


• Подключается к ПУ в качестве клиента

• Посылает пакет на IP-адрес контроллера

• Работает только для ПУ с open SSID

30.10.2012 26

Изоляция ПУ


ПУ

ПУ-клиент

De-Auth пакет

Авторизов. ТД

Изоляция посторонней точки доступа

• Посылка De-Authentication пакетов клиенту и ТД

• Возможность использования ТД в режимах Local Mode, Monitor Mode и H-REAP

30.10.2012 27

Нахождение порта

подключения


ПУ (Rogue AP)

CAM таблица

2 CAM

таблица

3

Show CDP Neighbors

1

Авторизованная ТД

WCS

WCS Switchport Tracing

• Определяет CDP Neighbors для ТД, которая обнаружила ПУ

• Просматривает CAM-таблицы коммутаторов на предмет наличия в них mac-адресов ПУ или ПУ-клиентов

• Работает для ПУ с настройками Security и NAT

30.10.2012 28

Выводы

Угрозы со стороны беспроводного эфира существуют не зависимо от того, развернута ли Wi-Fi сеть в организации

Необходимо принимать проактивные и реактивные меры для устранения этих угроз

Решение Cisco предлагает единый интегрированный комплекс Wi-Fi безопасности, который позволяет выявлять, классифицировать и устранять посторонние беспроводные устройства


30.10.2012 29

Спасибо за внимание


Дмитриев Максим

[email protected]

Technology

Современные беспроводные решения Cisco: BYOD и безопасность