Статьи

Запобігання вторгнень по системі AirTight

БЕЗПЕКА

Програмне забезпечення SpectraGuard Enterprise 5.0 збагачує новими функціями і без того вражаючі можливості запобігання вторгнень в бездротові мережі платформи, розробленої компанією AirTight Networks. Проведені в лабораторії eWeek Labs випробування цього продукту показують, що деякі його нові функції потребують удосконалення, проте він заслуговує на увагу компаній, що надають значення забезпеченню безпеки і прагнуть захистити свої мережі Wi-Fi від непрошених гостей.

Ми тестували SpectraGuard Enterprise 5.0 з використанням пристрою AirTight Standard Server. Його ціна по каталогу складає 9995 дол. (Більш досконала модель з двома процесорами, збільшеними об'ємом пам'яті і дисковим простором коштує 12 995 дол.). Наш тестовий стенд мав п'ять датчиків (по 795 дол. За кожен). Така кількість рекомендується для простору всередині будівлі, яке ми мали намір захищати від вторгнень.

Сильною стороною SpectraGuard Enterprise 5.0 є процедури автоматичної класифікації. Як тільки продукт виявляє невідому точку бездротового доступу (Access Point, AP), клієнта або тимчасову мережу, він автоматично починає розподіляти ці пристрої за рівнями ризику, який вони представляють для корпоративної мережі. Наприклад, SpectraGuard швидко виявив, що ми підключили до нашої захищеної провідної мережі неавторизовану (несправну) точку доступу і одночасно класифікував ідентичну точку, яку ми підключили до іншої мережі як зовнішню (що належить сусідній мережі). SpectraGuard автоматично помістив несправну точку в карантин, відключаючи всіх клієнтів, які намагалися до неї приєднатися, поки вона не була виведена з експлуатації. Але щодо пристрою, підключеного до сусідньої мережі, він не робив ніяких автоматичних дій.

Оскільки план нашого майданчика був складений неправильно, закладений в SpectraGuard складний метод

визначення місця розташування дав помилковий результат на екрані в лівому верхньому кутку хрестик означає дійсне

становище точки), але старіші алгоритми AirTight як і раніше непогано працюють (екран в правому нижньому кутку)

Дерева рішень, що лежать в основі цих процедур класифікації, добре описані для адміністраторів бездротових мереж в файлах довідки SpectraGuard Enterprise 5.0. Там наводиться і безліч інших даних, які доступно пояснюють і ілюструють різні концепції.

SpectraGuard пропонує чотири варіанти запобігання вторгнень в бездротові мережі: блокування (block), створення перешкод (disrupt), переривання (interrupt) або зниження статусу (degrade). Різні рівні представляють собою компроміс між помехоустойчивостью сервісу і кількістю радіоканалів, роботу яких може перервати окремий датчик одномоментно.

Ми виявили, що буде використовуватися під режим - створення перешкод - цілком успішно не дозволяє клієнтам взаємодіяти з точками доступу. Хоча наші тестові клієнти змогли отримувати адресу DHCP (Dynamic Host Configuration Protocol) з бездротової мережі, нам ніколи не вдавалося передати жодного пакета ICMP (Internet Control Message Protocol) через карантинну зону.

В ході випробувань SpectraGuard Enterprise 5.0 допоміг нам також виявити авторизованих клієнтів, підключав до незареєстрованих (unapproved) мереж, атаки типу DoS (відмова в обслуговуванні), зондування за допомогою старих версій NetStumbler з метою підготовки до вторгнення, а також фактори, здатні знизити пропускну здатність бездротових мереж (зокрема, вплив сторонніх пристроїв і нелегальне використання каналу зв'язку на частоті 2,4 ГГц).

Онлайнова довідка SpectraGuard виконується на дуже високому рівні. У ній наводяться численні

практичні приклади і блок-схеми, що показують, як програма приймає рішення

Використовуючи розроблені в AirTight механізми визначення місцезнаходження, ми отримали широкий розкид результатів.

SpectraGuard пропонує два способи визначення місцезнаходження. Один використовує вимір величини сигналу для знаходження відстаней між датчиками і виявленими пристроями. Інше пов'язане з більш складними обчисленнями. При цьому робиться спроба врахувати вплив різних будівельних матеріалів - стін або об'єктів - на згасання сигналу. Останній метод дещо нагадує той, який застосовується в ПО планування мережі RingMaster компанії Trapeze Networks.

Спочатку ми спробували використовувати метод моделювання радіосигналу, але домоглися лише незначного успіху. Ми зв'язалися зі службою планування AirTight (ціна її послуг становить 500 дол. За одну площадку), щоб перетворити файл з планом нашого офісу, підготовлений в системі CAD, в шаблон SpectraGuard. (Любителі робити все самостійно можуть використовувати ПЗ SpectraGuard Planner 3.1, ціни на яке починаються з 2495 дол.) Служба планування порекомендувала нам також оптимальну кількість датчиків і місця їх розміщення.

На жаль, ми допустили деякі помилки, визначаючи будівельні матеріали своїх приміщень, що перетворило наш шаблон в який не має нічого спільного з реальністю. Це не дозволило нам правильно поставити властивості навколишнього середовища і дуже ускладнило визначення місця розташування. Коли ми спробували знайти, де знаходяться нелегальні точки доступу, похибка іноді досягала 50 футів.

Набагато більшого успіху ми домоглися, застосовуючи менш складний метод, при якому точки наносяться на план поверху в простому графічному форматі JPEG або GIF. Використовуючи його, ми отримали саме точне розташування точок, яке тільки спостерігали у подібних товарів, успішно локалізувавши при цьому десятки пристроїв, розкиданих по наших приміщень. Похибка, як правило, не перевищувала 10 футів (з урахуванням того, що вибиралося середнє значення).

Керівники AirTight визнали, що при більш складних методи позиціонування у них виникали серйозні труднощі.

Ми рекомендуємо адміністраторам системи, перш ніж застосовувати складні способи визначення місцезнаходження, переконатися в тому, що їх поверхові плани відповідають дійсності, відображають всі зміни аж до найостанніших і містять відомості про використані будівельні матеріали.

Що нового

SpectraGuard Enterprise версії 5.0 забезпечує масштабне управління для дуже великих організацій, підтримуючи кілька серверів SpectraGuard Enterprise за допомогою нового пристрою під назвою SpectraGuard MNC (Managed Network Console - керована мережева консоль). В даний час MNC, яка стоїть 19 995 дол. І може підтримувати до 25 серверів SpectraGuard, здатна тільки збирати дані і готувати звіти. Цю консоль можна використовувати для створення і поширення правил управління.

Резюме для керівників

SpectraGuard Enterprise 5.0

SpectraGuard Enterprise 5.0 надає нові можливості надійної розподіленої системі виробництва компанії AirTight Networks, що запобігає вторгнення в бездротові мережі. Версія 5.0 привносить масштабованість, більш досконале управління обліковим записом адміністратора і підтримку нових бездротових технологій. Хоча деякі функції вимагають доопрацювання, рішення в цілому виглядає вражаюче. Автоматична класифікація пристроїв, застосування політик, хороші засоби позиціонування (залежать від використовуваного методу) і докладна звітність роблять SpectraGuard такою, що заслуговує уважного розгляду в організаціях, які бажають вдосконалити управління своєю радіомережею. Додаткова інформація - на сайті www.airtightnetworks.net.

Ціновий аналіз. При ціні за серверне пристрій з набором ПО від 9995 дол. Початкова вартість SpectraGuard Enterprise 5.0 є невисокою. Новим клієнтам AirTight пропонує також набори для початківців, в які входять серверне пристрій і декілька датчиків, за ціною менше 10 тис. Дол.

Короткий список аналогів

- AirDefense Enterprise 7.0 (AirDefense). Виріб, прекрасне в усіх відношеннях. Air-Defense уклала угоди про співпрацю з багатьма провайдерами бездротового доступу (www.airdefense.net).

- AirMagnet Enterprise 7.0 (AirMagnet). Прекрасні можливості моніторингу бездротового зв'язку і запобігання вторгнень як в бездротові, так і в провідні мережі (www.airmagnet.com).

- RFProtect Distributed (Network Chemistry). Рішення для захисту бездротових клієнтів з централізованим управлінням на основі політики (www.networkchemistry.com).

Оцінка основних характеристик

Класифікація пристроїв

відмінно

запобігання вторгнень

відмінно

масштабованість

добре

Підготовка звітів

відмінно

визначення місцезнаходження

добре

За допомогою MNC адміністратори розподіляють сервери SpectraGuard по організаційних одиниць і вузлів. Після цього вони отримують можливість переглядати тривожні повідомлення, події або "приладові дошки" на будь-якому рівні створеної ними ієрархії. Адміністратори можуть також складати звіти з будь-якого вузла "дерева" в одній із заданих виробником форм.

Однак в даний час MNC не може використовуватися для розробки загальної політики або політики в масштабах організації. Керівники AirTight очікують надходження відгуків від почали застосовувати MNC користувачів, щоб забезпечити найкращі способи реалізації такої можливості. Правила повинні визначатися безпосередньо на кожному сервері SpectraGuard, а в MNC є кнопка для підключення до кожного керованого з її допомогою сервера.

AirTight підтримує одноразову аутентифікацію (SSO) при доступі до окремих серверів SpectraGuard через MNC. Однак в SpectraGuard Enterprise 5.0 і MNC відсутня централізована авторизація користувачів, тому адміністраторам необхідно попередньо вручну розподіляти їх облікові записи між вузлами.

Зараз як сервер SpectraGuard, так і MNC підтримують чотири рівні облікових записів для адміністрування, надаючи повноваження в діапазоні від "сверхпользователь" до "тільки читання". Новою є можливість проведення аудиту і відстеження використання системи в адміністративних цілях, моніторингу входу і виходу адміністраторів з системи SpectraGuard Enterprise 5.0, а також внесених ними змін.

Крім того, тепер SpectraGuard підтримує виявлення і розсилку тривожних повідомлень для мереж в стандартах, що передували появі 802.11n. Правда, ми з'ясували, що в даний час дана функція має дуже вузьку спрямованість, щоб бути корисною.

Використовуй SAFE або пошкодуєш

Бездротові клієнти легко можуть виявитися незахищеними. І в міру того як все більше людей широко використовують бездротовий доступ, вразливість зростає експоненціально.

Оскільки набагато ефективніше захистити бездротових клієнтів від що порушують вимоги безпеки дій, ніж намагатися наводити порядок вже після того, як вони їх зробили, компанія AirTight Networks інтегрувала засоби забезпечення безпеки кінцевих точок в свою платформу SpectraGuard Enterprise 5.0 в вигляді SpectraGuard SAFE 2.0 (Security Assurance for Endpoints - забезпечення безпеки кінцевих точок). Однак, хоча така можливість і є багатообіцяючою, належить виконати велику роботу, перш ніж вона буде повністю реалізована.

SAFE дозволяє адміністраторам визначати правила, які диктують мереж, до якої з них може підключатися клієнт, мінімальний рівень шифрування і допустимість одночасної активізації проводового з'єднання (або використання мостів між мережами). Крім того, SAFE дає адміністраторам можливість за допомогою завдання правил повністю заблокувати використання Wi-Fi.

"Приладова дошка" клієнта показує, чи все в порядку з поточними параметрами засобів забезпечення безпеки бездротового зв'язку його комп'ютера. Ця інформація передається на сервер SpectraGuard. Вона дозволяє адміністраторам швидко оцінити надійність (або ненадійність) пристрої.

З керуючої консолі SpectraGuard Enterprise 5.0 ми задали політики з різними настройками для кожного місця - роботи, будинки та ін. Коли новий клієнт SAFE звертається до сервера SpectraGuard (клієнт повинен знати IP-адресу сервера SpectraGuard і спільно використовуваний ключ), SpectraGuard автоматично застосовує до нього задану за замовчуванням політику. Пізніше адміністратор може об'єднати клієнтів SAFE в групи, щоб розширити спектр використовуваних політик.

Хоча більшість наявних в SAFE засобів забезпечення безпеки можна реалізувати, відповідним чином налаштувавши за допомогою політики клієнтське ПЗ бездротового зв'язку (будь то сервіс Wireless Zero Configuration зі складу Microsoft Windows XP або ПО іншої фірми, наприклад Odyssey Access Client від Juniper Networks), особлива привабливість SAFE пов'язана з тим, що даний пакет передає інформацію безпосередньо системі запобігання вторгнень в бездротові мережі. Це дозволяє адміністраторам зрозуміти, як саме збирався конкретний співробітник використовувати своє бездротове з'єднання в загальному контексті подій в бездротової мережі.

Незважаючи на сказане, SAFE і SpectraGuard Enterprise поки працюють так, як описано вище. Хоча нам вдалося, діючи з закладки "Адміністрування" консолі SpectraGuard Enterprise 5.0, змусити SAFE підготувати звіти по окремих клієнтах, ці дані ще не інтегровані в базу даних SpectraGuard Enterprise, щоб можна було проводити аналіз за групами користувачів або виявляти тенденції. Для збору цих даних клієнт SAFE повинен опрашиваться безпосередньо в той момент, коли запитується звіт. Так що, якщо клієнт не підключений до мережі, звіту ви не отримаєте.

Доповнення SpectraGuard Enterprise 5.0 з підтримкою SAFE варто 4995 дол. (Вартість ліцензії на ПЗ). У цю первісну ліцензію входять ліцензії на 100 клієнтів SAFE. Ціни на кожну додаткову клієнтську ліцензію починаються від 20 дол. В залежності від числа придбаних ліцензій можуть надаватися знижки.

Версія для друку

Тільки зареєстровані користувачі можуть залишати коментарі.