Upload
cisco-russia
View
378
Download
1
Embed Size (px)
DESCRIPTION
Citation preview
Copyright © BMS consulting, 2007
Современные
беспроводные решения
Cisco: BYOD и
безопасность
Дмитриев Максим
30.10.2012 2
Содержание
Copyright © BMS consulting, 2007
Беспроводное решение Cisco Unified
Wireless
Интеллектуальный подход к управлению
радиосредой
Политики доступа в сеть
Безопасность беспроводных сетей
Методы обнаружения, классификации и
устранения
30.10.2012 3
Автономное решение
Copyright © BMS consulting, 2007
• Каждая беспроводная точка доступа
функционирует «по-своему»
• Нет иерархического представления радиосреды
• Отсутствуют средства оптимизации радиопокрытия
• Проблема принести любимое устройство
30.10.2012 4
Архитектура Cisco Unified
Wireless Network
Copyright © BMS consulting, 2007
Система
управления
Контроллеры
Мобильные
сервисы
NCS
WLC
Точки
доступа AP
30.10.2012 5
Преимущества
централизованной архитектуры
Централизованное управление беспроводными точками доступа
Динамическая балансировка между пользователями
Динамическое управление радиопокрытием
Сервисы определения местоположения
Расширенный арсенал безопасности и QoS
Прозрачный роуминг
Возможность внедрения Voice over WLAN
Унификация проводного и беспроводного доступа
Copyright © BMS consulting, 2007
30.10.2012 6
Управление радиосредой
Copyright © BMS consulting, 2007
802.11 DSS Распределение каналов
30.10.2012 7
RRM—Radio Resource
Management
Copyright © BMS consulting, 2007
Какие цели RRM? – Динамическое управление радиопокрытием
– Мониторинг и поддержка покрытия для всех клиентов
– Управление эффективностью спектра так, чтобы
предоставить оптимальную полосу пропускания при
изменении условий
Что не делает RRM – Не является заменой радиообследованию
– Не исправляет неправильную архитектуру сети
30.10.2012 8
RRM—Radio Resource
Management
Copyright © BMS consulting, 2007
DCA—Dynamic Channel Assignment – Каждая точка доступа получает канал для
передачи данных
– Изменения в радиосреде мониторятся, канал точки доступа изменяется при плохих условиях радосреды
TPC—Transmit Power Control – Мощность передачи сигнала базируется на
потерях между двумя радиоисточниками
– TPC уменьшает мощность передачи на некоторых точках доступа, но может так же и увеличить ее при определенных условиях
CHDM—Coverage Hole Detection and Mitigation – Обнаруживает клиентов в зонах без покрытия
– Принимает решение увеличить мощность передачи на некоторых точках доступа, чтобы «дотянуться» до клиента
30.10.2012 9
RRM DCA – Динамическое
назначение каналов
Copyright © BMS consulting, 2007
RF Channel “6”
RF Channel “1”
RF Channel “11”
Новая точка доступа создает
интерференцию каналов Система оптимизирует распределение
каналов для уменьшения интерференции
Как это
делается
Убеждается в том, что доступный радио спектр
используется хорошо для всех частот/каналов – Лучшая полоса пропускания достигается без ущерба в работе
точек доступа
30.10.2012 10
RRM – Управление
мощностью передатчика
Copyright © BMS consulting, 2007
Мощность не оптимизирована —
радиосигнал вызывает интерференцию
Уменьшает граничную мощность,
тем самым минимизирует
интерференцию
RF Channel “6”
RF Channel “1”
RF Channel “11”
Как это
делается
Мощность передачи базируется на потерях между источниками сигнала
TPC уменьшает мощность передачи на некоторых точках доступа, но так же может и увеличить ее при определенных условиях
30.10.2012 11
RRM – обнаружение и
устранение дыр в покрытии
Copyright © BMS consulting, 2007
Отказ точки доступа обнаружен
Пустая зона покрытия заполнена Нормальная работа
Как это
происходит
Нет единой точки отказа
Автоматическое переключение уменьшает расходы на поддержку и восстановление
Доступность беспроводной сети сравнима с проводной
30.10.2012 12
Управление плотностью
подключений
Copyright © BMS consulting, 2007
Решение проблем нагрузки на точки доступа в
помещениях с плотным скоплением людей (залы
совещаний, кафе)…
30.10.2012 13
Основные
понятия идентификации
Что такое идентичность (личность)?
• утверждение о том, кто мы есть
• позволяет нам различать друг друга
Что представляет собой идентификация?
• Типичные идентификаторы сети:
Имя пользователя и пароль
Адрес электронной почты: [email protected]
MAC-адрес: 00-0C-14-A4-9d-33
IP-адрес: 10.0.1.199
Цифровые сертификаты
Как мы используем идентификацию?
• используется для предоставления соответствующих разрешений:
права на использование сервисов с определенным уровнем
полномочий
30.10.2012 14
Применение модели
аутентификации для доступа в ЛВС
Я хочу подключиться к сети
Необходима идентификация
Идентификатор проверен –
доступ предоставлен
Вот мой идентификатор
30.10.2012 15
Консолидация решений в Cisco ISE
Консолидированные сервисы в одном продукте
ACS
NAC Profiler
NAC Guest
NAC Manager
NAC Server
ISE
Упрощает внедрение Облегчает администрирование
30.10.2012 16
Безопасность
беспроводных сетей
Copyright © BMS consulting, 2007
Проникновение в
проводную ЛВС Атаки на Wi-Fi сеть
Одноранговые сети
Client-to-client backdoor
access
HACKER
Чужие точки доступа
Доступ в ЛВС «с черного
хода»
HACKER
Методы
обнаружения,
классификации и
обезвреживания
посторонних радио-
устройств в WiFi
сетях защищают от
данного класса атак
Denial of Service
DENIAL OF
SERVICE
Отказ в сервисе
Wi-Fi приманки
HACKER’S
AP
Подключение к
вредоносной AP
Разведывательные
Поиск сетевых уязвимостей
HACKER
Взломы
Прослушивание и перехват
HACKER
MFP нейтрализует
все
злоупотребления
кадрами
управления, в
частности атаки
типа «посредник»
WPA2/802.11i
нейтрализует атаки
типа
Reconnaissance,
прослушивание и
т.п.
30.10.2012 17
ПУ – посторонние
устройства
Что относится к ПУ?
–Любое WiFi-устройство, находящееся в зоне радиовидимости нашей сети, которым мы не управляем
–Большинство ПУ устанавливаются авторизованными пользователями (низкая цена, удобство, безграмотность)
Когда ПУ опасны?
–Когда они обнаруживаются в проводном сегменте ЛВС
–Одноранговые (ad-hoc) сети ПУ тоже могут представлять угрозу !
–Когда установлены сторонними пользователями преднамеренно с целью злого умысла
Что необходимо сделать?
–Обнаружить [Detect]
–Классифицировать (over-the-air и on-the-wire) [Classify]
–Обезвредить (Shutdown, Contain, и т.д.) [Mitigate]
Copyright © BMS consulting, 2007
30.10.2012 18
Примеры ПУ
Сценарий 1:
Сотрудник приносит домашнюю точку доступа с целью организовать Wi-Fi в своем кабинете.
Точка доступа, не обладая богатым функционалом безопасности, включается в проводной сегмент сети.
Угроза:
«Легкая добыча» для злоумышленника. Обойдя слабые методы защиты, он подключается по WiFi к это точке доступа и автоматически попадает в проводную сеть организации.
Copyright © BMS consulting, 2007
30.10.2012 19
Примеры ПУ
Сценарий 2:
Департамент IT закупил несколько десятков сетевых принтеров и подключил их к сети организации.
Данные принтеры имеют Wi-Fi сетевую карту, которая включена по умолчанию и имеет базовые настройки безопасности.
Угроза:
Открытая дверь в сеть для любого злоумышленника через беспроводной интерфейс принтера.
Copyright © BMS consulting, 2007
30.10.2012 20
Примеры ПУ
Сценарий 3:
Компьютер сотрудника по умолчанию имеет включенный Wi-Fi интерфейс.
Угроза:
Злоумышленник может установить одноранговое Wi-Fi соединение с таким компьютером (типа точка-точка), скомпрометировать его, завладеть секретной информацией или же доступом к другим ресурсам организации.
Copyright © BMS consulting, 2007
30.10.2012 21
Интегрированный комплекс
безопасности Wi-Fi эфира
Copyright © BMS consulting, 2007
Точки доступа
Network Control System
Security
Management
RF
Management Capacity
Management
Cisco WLC
контроллер
MSE
Monitor
Mode AP
Rogue Detector Monitor Mode
AP
Проводная
сеть
Сервисы:
Местоположение
Безопасность
Историческая отчетность
–Безопасная радиосреда
–Определение местоположения
–Централизованное управление
–Централизованный доступ к сети
ISE
30.10.2012 22
Этапы борьбы с
посторонними Wi-Fi устройствами
Copyright © BMS consulting, 2007
Обнаружение
• обнаружение неинфраструктурных точек доступа (ТД), клиентов и одноранговых (ad-hoc) подключений
• Обнаружение ПУ стандарта 802.11n
• Правила классификации ПУ, основанные на RSSI, SSID, клиентах и т.д.
• Проверка нахождения ПУ в проводном сегменте ЛВС (Switch port tracing)
Классификация Обезвреживание
• Обнаружение местоположения
• Отключение (shutdown) порта на коммутаторе
• Изоляция (containment) нарушителей в радио-эфире
30.10.2012 23
Правила классификации ПУ
Copyright © BMS consulting, 2007
Классификация основана на степени опасности угрозы и
действиях по обезвреживанию
Правила классификации соотносятся с моделью рисков
заказчика
Обнаружено ПУ
Правило: SSID: McDonalds
RSSI: -80dBm
Помечается как
Дружеское
Правило: SSID: Corporate RSSI: -70dBm
Помечается как Вредоносное
ПУ не удовлетворяет установленным
правилам
Помечается как
Неклассифицированное
30.10.2012 24
ТД в режиме Rogue Detector
Copyright © BMS consulting, 2007
(Rogue AP) ПУ
L2 Проводная сеть
Trunk Port
Rogue Detector
Client ARP
ТД в режиме Rogue Detector
• Отслеживает все широковещательные ARP-запросы от посторонних ТД и их клиентов
• Контроллер делает запрос на Rogue Detector для определения наличия посторонних клиентов в проводном сегменте ЛВС
• Не работает если посторонняя ТД настроена как NAT AP
30.10.2012 25
Rogue Location Discovery
Protocol
Copyright © BMS consulting, 2007
ПУ (Rogue AP)
Routed/Switched Network Посылает
пакет
на WLC
Подключается
как клиент
Наша ТД
Контроллер
ТД в режиме Rogue Detector
• Подключается к ПУ в качестве клиента
• Посылает пакет на IP-адрес контроллера
• Работает только для ПУ с open SSID
30.10.2012 26
Изоляция ПУ
Copyright © BMS consulting, 2007
ПУ
ПУ-клиент
De-Auth пакет
Авторизов. ТД
Изоляция посторонней точки доступа
• Посылка De-Authentication пакетов клиенту и ТД
• Возможность использования ТД в режимах Local Mode, Monitor Mode и H-REAP
30.10.2012 27
Нахождение порта
подключения
Copyright © BMS consulting, 2007
ПУ (Rogue AP)
CAM таблица
2 CAM
таблица
3
Show CDP Neighbors
1
Авторизованная ТД
WCS
WCS Switchport Tracing
• Определяет CDP Neighbors для ТД, которая обнаружила ПУ
• Просматривает CAM-таблицы коммутаторов на предмет наличия в них mac-адресов ПУ или ПУ-клиентов
• Работает для ПУ с настройками Security и NAT
30.10.2012 28
Выводы
Угрозы со стороны беспроводного эфира существуют не зависимо от того, развернута ли Wi-Fi сеть в организации
Необходимо принимать проактивные и реактивные меры для устранения этих угроз
Решение Cisco предлагает единый интегрированный комплекс Wi-Fi безопасности, который позволяет выявлять, классифицировать и устранять посторонние беспроводные устройства
Copyright © BMS consulting, 2007
30.10.2012 29
Спасибо за внимание
Copyright © BMS consulting, 2007
Дмитриев Максим