Cisco Solution Technology Integrator Сценарии защиты беспроводных сетей на основе продуктов CSP VPN TM СТАНДАРТ СЕТЕВОЙ БЕЗОПАСНОСТИ ДЛЯ РОССИЙСКОГО БИЗНЕСА. презентация

вопросы
Уязвимости
Дизайн VPN
Инфраструктура

(WiFi), работа индустрии над протоколами 802.16 (WiMax) и протоколов передачи данных через сети мобильной телефонии поколений 2.5G (GPRS) и 3G выдвигают в число наиболее актуальных задачу защиты данных в мобильных средах
применение VPN третьего уровня – это стойкое и единственное универсальное решение проблемы

основе продуктов Cisco (внешний периметр, голубой цвет) и CSP VPN (красная, защищенная зона)
На внешнем периметре сети могут быть реализованы следующие меры защиты (или их комбинации):
сетевой контроль доступа (пакетная фильтрация)
испытан более чем десятилетней практикой защиты сетей и достаточно надежен
практически не имеет альтернатив при необходимости доступа из корпоративной сети в Интернет
не обеспечивает полную изоляцию корпоративной сети и аутентификацию доступа пользователей внутрь корпоративного периметра
коммутация на основе меток (MPLS VPN)
обеспечивает сильный контроль доступа на внешнем периметре
не использует криптографической защиты; как следствие – корпоративный трафик может быть защищен от хакерских атак из Интернет, но не может быть защищен от атаки со стороны недобросовестного коммуникационного провайдера
защита при помощи IPsec
обеспечивает наивысшую степень защиты
использует более сложные сценарии защиты и может ограничивать производительность сети

вопросы
Уязвимости
Дизайн VPN
Инфраструктура

пользователей и стремительно развиваются
Мобильные среды меняют понятие «сеть»:
у персонального компьютера могут появляться и исчезать динамически новые сетевые интерфейсы и соединения
исчезает традиционное понятие «топология»; там где в проводной сети она проста и очевидна (например, подключение компьютеров к коммутатору по схеме «звезда») – могут появляться неуправляемые и неучтенные линии связи (например, полносвязный граф соединений вместо «звезды»)
Мобильные протоколы используют общедоступный эфир, как среду передачи данных, где перехват информации и информационные атаки крайне трудно контролировать
возникает общая для всех мобильных сред задача защиты данных
эта задача должна решаться в условиях динамической и неопределенной топологии радиосети

VPN
Инфраструктура

поэтому пользователи и киберпреступники будут использовать их для атаки на корпоративные сети» Gartner group, Sep’03

«Неконтролируемые беспроводные сети составляют опасность для всей корпоративной сети, ее данных и операций» Forester Research, Inc.

Неполный список Интернет-сайтов со средствами взлома радиосетей

http://www.phenoelit.de/irpas/
http://ettercap.sourceforge.net
http://www.oxid.it
http://www.remote-exploit.org/codes.html
http://sourceforge.net/projects/wepattack/
http://asleap.sourceforge.net/
http://www.thc.org
http://naughty.monkey.org/~dugsong/dsniff
http://ikecrack.sourceforge.net/
http://www.nessus.org

http://www.netstumbler.com
http://www.kismetwireless.net
http://www.thehackerschoice.com
http://www.ethereal.com
http://airsnort.shmoo.com
http://hostap.epitest.fi
http://sourceforge.net/projects/wepwedgie/
http://sourceforge.net/projects/wepcrack/
http://airsnarf.shmoo.com/
http://www.klcconsulting.net/smac

различные (и в разной степени стойкие) средства защиты информации
выбрать единый/совместимый профиль защиты трудно
Множественность устройств
даже в рамках одного стандарта работает множество производителей; их решения в области защиты в разной степени стойки, часто несовместимы, а настройки по умолчанию – часто опасны (для совместимости используются слабейшие варианты настроек защиты)
Уязвимости конкретных протоколов
даже в рамках одного стандарта доступа (например, в семействе WiFi) существует множество протоколов защиты – WEP, WPA, PEAP, LEAP
даже наиболее стойкие из них (например, LEAP/PEAP) не признаются экспертами, как высоконадежная (достаточная) защита
Невозможность применить отечественные (сертифицированные средства защиты)
протоколы защиты радиоканала применяются на канальном уровне, встроены в firmware радиоадаптеров и точек доступа
производители применяют западные (несертифицированные) стандарты криптографии; заменить их на отечественные в массе встроенных систем невозможно

дополнительно отмечает следующие проблемы безопасности беспроводных сетей (WLAN):
большинство устройств поступают в продажу с установками по умолчанию, отменяющими функции безопасности в целях совместимости
зона покрытия точки радиодоступа на практике выходит за пределы зоны физического контроля предприятия; сильные направленные антенны нарушителя безопасности могут перехватывать трафик с большой дистанции; методы радиомодуляции (DSSS) не защищают от перехвата трафика
физическая интерференция может быть одним из способов атаки
при построении средств защиты, основанных на адресах канального уровня (MAC), следует помнить, что эти адреса могут перенастраиваться нарушителями безопасности
следует помнить о двух режимах работы сетевых адаптеров:
подключение только к точке доступа (infrastructure mode)
режим «каждый с каждым» (ad hoc mode)
режим «каждый с каждым» составляет особую угрозу, поскольку снимает контроль над топологией сети

следующим образом:
защита среды передачи данных
поскольку радиоканал общедоступен, вполне возможно «воровство» полосы пропускания
точки доступа к радиосети подвержены атаке отказа в обслуживании (DoS) – посторонний человек под окном Вашего офиса может «засыпать» сеть запросами на подключение и «отключить» точку доступа для легальных пользователей
защита трафика
данные, передаваемые по сети могут быть перехвачены (прочитаны неавторизованным получателем) и искажены; в радиосеть могут быть «подброшены» посторонние данные
защита топологии радиосети
несанкционированные соединения должны быть исключены
защита проводной сетевой инфраструктуры от несанкционированного доступа из радиосегментов
доступ в проводные сегменты должен быть контролируем

слайдах, неразрешимы в комплексе, если речь идет только о защите канального уровня
Решение заключается в том, чтобы применять, наряду со средствами защиты канального уровня, средства защиты сетевого уровня (IPsec VPN)
средства защиты канального уровня при этом не должны исключаться, их роль – защита среды доступа

следующий необходимый минимум мер защиты:
для точек доступа:
обеспечить аутентификацию при административном доступе
использовать сильные пароли SNMP (community strings) и часто менять их
если система управления позволяет – использоваеть SNMP Read Only
запретить все неиспользуемые или уязвимые протоколы управления
управление осуществлять только из заданного проводного сегмента
по мере возможности – шифровать весь трафик управления
по мере возможности – шифровать весь трафик в радиосегменте
для клиентских устройств:
запретить режим «каждый с каждым» (ad hoc mode)
по мере возможности – шифровать весь радиотрафик
применять серверы протокола RADIUS – для аутентификации пользователей при подключении к точкам доступа

две опции сетевой защиты радиосегмента:
защита канального уровня на основе протокола EAP
в данном руководстве этот вариант не рассматривается как недостаточно защищенный и не сертифицируемый в России
защита с использованием IPsec VPN – для «сквозной» защиты в проводном и беспроводном сегментах и для разделения подсетей пользователей (управления топологией) в радиосегменте
этот вариант детализирован для решения на основе продуктов Cisco и CSP VPN

беспроводной сети достигается следующими мерами:
применением аутентификации доступа
используется статический или динамический пароль и обращение к RADIUS-серверу
этим обеспечивается контроль доступа к среде
применением протоколов WPA, PEAP, LEAP для шифрования трафика на радиотракте
этим исключается перехват уже установленных соединений и прямое взаимодействие хостов в режиме «каждый с каждым» (ad hoc mode)
стойкость этих протоколов менее значима в силу применения IPsec

стойкость защиты, исключаются:
нарушение конфиденциальности при перехвате
нарушение целостности данных
нарушение целостности потока данных, «подмешивание» неавторизованного трафика, атака повторной передачи пакетов (replay attack)
применяются сертифицированные средства защиты информации, российские криптостандарты
обеспечивается не только аутентификация устройств (что делается на канальном уровне), но и аутентификация пользователей
обеспечивается сквозная защита данных в проводном и беспроводном сегментах

строго определяют партнеров по взаимодействиям
«каждый с каждым» не сможет работать даже в режиме радиоадаптера ad hoc
пользователи А и Б на рисунке не смогут работать друг с другом, если того не допускают политики их VPN-клиентов
доступ в проводном сегменте будет производиться только к строго определенным партнерам по взаимодействию
на рисунке приведен пример, когда два разных пользователя (например, специалисты различных подразделений), которые находятся в одном радиосегменте (например, на совещании у руководителя) получают доступ только в «свои» подсети
при этом их трафик защищен как в беспроводном, так и в проводном сегментах

обеспечивает:
возможность изолировать проводной сегмент от открытого IP-трафика
в этом случае нарушитель, которому удалось установить паразитное соединение в радиосегменте, не получит доступа внутрь проводного сегмента
пропускать внутрь проводной корпоративной сети только IPsec трафик, причем только в «домашние» сети
доступ в корпоративные сети разрешен только на туннельные адреса шлюзов «домашних» сетей; этот трафик защищен
доступ к прочим объектам внешнего периметра закрыт
шлюзы домашних сетей знают «своих» пользователей (аутентификация IKE) и не примут трафик от посторонних

вопросы
Уязвимости
Дизайн VPN
Инфраструктура

и доступ из точек публичного беспроводного доступа в Интернет (хот-спот), с точки зрения топологического дизайна узла доступа, полностью аналогичен проводному удаленному доступу
Варианты топологий и политики безопасности для этих сценариев аналогичны описанным в руководстве «Сценарии защиты сетей удаленного доступа на основе продуктов CSP VPN»

корпоративной радиосети
Радиосегменты подключаются к проводной корпоративной сети через отдельный шлюз безопасности (шлюз «W»)
Между мобильными терминалами радиосегментов и шлюзом «W» устанавливаются IPsec-туннели
Шлюз «W» конфигурирует IP-адреса мобильных терминалов и маршрутизует трафик мобильных пользователей в радиосегменты WLAN
поскольку в WLAN поддерживается выделенное пространство незарегистрированных адресов, политика безопасности шлюзов «FW-I» и «I» не изменяется
для этого шлюз «W» работает, как ARP-прокси сервер

в сетях удаленного доступа
Шлюзы «FW-W» и «W»:
см. слайд 19, «Защита проводной инфраструктуры»
Политика безопасности мобильного терминала
при попадании в радиосегмент – IPsec туннель на свой «домашний» шлюз «W»
при попадании в Интернет (GPRS или модемное проводное соединение) – IPsec туннель на шлюз «I»
открытый трафик в Интернет рекомендуется запретить; политика доступа в Интернет – в соответствии с рекомендациями руководства «Сценарии защиты сетей удаленного доступа на основе продуктов CSP VPN»

VPN
Инфраструктура

доступа Cisco Aironet, особенно, если число точек доступа достаточно велико, WLSE обеспечивает:
управление: централизованную настройку устройств на основе готовых шаблонов с поддержкой группировки устройств
мониторинг работы беспроводной сети: активный мониторинг сбоев и производительности мостов, точек доступа, обнаружение интерференции частот
мониторинг потенциальных уязвимостей радиосети: предупреждение об ошибках настройки, отсутствии аутентификации, выявление нелегальных точек доступа
Cisco Secure ACS – централизованное управление доступом, в том числе, пользователей в беспроводной сегмент сети

WLSE:
существенно снижаются затраты на проектирование и эксплуатацию радиосети
до WLSE проектирование сетей требовало прецизионной настройки поля радиоточек
сейчас достаточно обеспечить радиопокрытие с некоторым запасом: WLSE автоматически произведет настройку уровня излучаемой мощности по системе в целом и отработает динамические изменения поля, вызванные, например, движением лифтов
WLSE (в совокупности с точками доступа AiroNet) обеспечивает визуальный контроль за распределением радиополя прямо в поэтажном плане здания; это – функция контроля за физической безопасностью радиосреды, подобная физической защите систем коммутации и кабельных систем в проводных сетях
несанкционированный источник излучения немедленно увидит администратор, сможет локализовать его с точностью до метра и, при необходимости, устранить

Источник: Cisco Systems

сетях на основе продуктов Cisco Systems
Характеристики продуктов Cisco Aironet:
поддержка стандартов 801.11b (11 Mbps) и 801.11g (54 Mbps), совместимость с клиентскими устройствами обоих типов
простота внедрения, масштабируемость и управляемость, поддержка виртуальных локальных сетей, переключение между сетями без прерывания сессии (функциональность Mobile IP), качество услуг (QoS) и возможности модернизации
поддержка всех типов аутентификации 802.1X (наряду с аутентификацией на уровне L3, используемой в агентах безопасности CSP VPN)
интеграция с WLSE

6928