Система предотвращения беспроводных вторжений

Основная цель WIPS заключается в предотвращении несанкционированного доступа к локальной вычислительной сети и другим информационным активам с помощью беспроводных устройств. Такие системы обычно внедряются в дополнение к существующей инфраструктуре беспроводных локальных сетей, хотя их также возможно использовать автономно для обеспечения соблюдения политик безопасности, не связанных с беспроводными сетями, внутри организации. Некоторые современные беспроводные инфраструктуры уже имеют встроенные функции WIPS.

Крупные организации с большим количеством сотрудников особенно уязвимы перед угрозой возникновения уязвимостей, связанных с несанкционированными точками доступа^[1]. Если сотрудник (доверенное лицо) приносит в офис стандартный беспроводной роутер, вся сеть может стать доступной для любого, кто находится в зоне действия беспроводного сигнала.

В июле 2009 года Совет по стандартам безопасности PCI опубликовал рекомендации по использованию беспроводных технологий для выполнения стандартов PCI DSS, в которых рекомендовал применять WIPS для автоматизированного сканирования беспроводных сетей в крупных компаниях^[2].

Система обнаружения беспроводных вторжений (англ. Wireless Intrusion Detection System, WIDS) осуществляет мониторинг радиочастотного спектра для выявления несанкционированных (не доверенных) точек доступа и применения инструментов для атаки посредством беспроводных сетей. Система отслеживает диапазон радиочастот, используемых в беспроводных локальных сетях, и немедленно оповещает администратора при обнаружении несанкционированной точки доступа. Обычно обнаружение осуществляется посредством сопоставления адресов MAC участвующих беспроводных устройств.

Однако злоумышленники могут подделывать MAC-адреса сетевых устройств для маскировки. Новые методы исследований предлагают использовать подход на основе «отпечатков» (цифровых идентификаторов устройств), когда анализируются уникальные характеристики сигналов каждого устройства и сравниваются с заранее определёнными образцами разрешённых беспроводных устройств^[3].

Помимо обнаружения вторжений, WIPS также реализует функции автоматического противодействия угрозам. Для этого требуется, чтобы система WIPS могла точно идентифицировать и автоматически классифицировать угрозы.

С помощью эффективной системы WIPS возможно предотвратить следующие типы угроз:

• несанкционированные точки доступа — WIPS должен отличать их от внешних (соседских) точек доступа;
• ошибочно сконфигурированные точки доступа;
• неправильная ассоциация клиента;
• несанкционированная ассоциация;
• атака типа «человек посередине»;
• ad hoc-сети;
• подделка MAC-адреса (спуфинг);
• ловушки/honeypot и атаки двойников (evil twin);
• атаки «отказ в обслуживании».

Стандартная архитектура WIPS состоит из трёх компонентов:

• Сенсоры — устройства с антеннами и радиомодулями для сканирования беспроводного спектра, размещаемые в охраняемых зонах.
• Сервер — централизованно анализирует пакеты, перехваченные сенсорами.
• Консоль — основной пользовательский интерфейс для администрирования системы и формирования отчётов.

Простейшая система обнаружения вторжений может состоять из одного компьютера, подключённого к беспроводному устройству обработки радиосигнала, и антенн, расставленных по объекту. В крупных организациях применяется контроллер сетевого управления для координации множества серверов WIPS, а для пользователей малого и домашнего офиса (SOHO) и малого бизнеса (SMB) вся функциональность WIPS может быть реализована в едином устройстве.

Во время внедрения WIPS пользователи сначала определяют операционные беспроводные политики. Затем сенсоры анализируют радиообмен и передают собранную информацию на сервер WIPS. Сервер сверяет полученные данные с политиками безопасности и классифицирует угрозу. Администратор получает уведомление о потенциальной угрозе, либо, в зависимости от политики, система автоматически реализует защитные меры.

WIPS может быть реализована как в виде сетевой установки, так и как облачное решение.

В сетевом варианте сервер, сенсоры и консоль WIPS размещаются внутри частной локальной сети и недоступны из Интернета.

Сенсоры обмениваются данными с сервером через частную сеть и выделенный порт. Поскольку сервер размещён внутри защищённой сети, доступ к консоли возможен только из локальной сети.

Сетевая архитектура подходит для организаций, где все подразделения находятся в пределах единой частной сети.

В облачной реализации WIPS сенсоры размещаются в пределах локальной сети, но сервер обслуживается на защищённом дата-центре с доступом через Интернет. Пользовательская консоль становится доступной из любой точки Интернета. Безопасность такой реализации сравнима с сетевой, поскольку трафик от сенсоров до сервера и далее до консоли передаётся в зашифрованном виде (например, через TLS).

Для крупных организаций с территориально распределённой структурой облачная реализация WIPS значительно упрощает внедрение, поскольку сенсоры устанавливают соединение с сервером через Интернет, без ручной настройки. Удалённый доступ к консоли также возможен с любой точки.

Облачные версии WIPS часто доступны по модели программного обеспечения по требованию (SaaS) или по подписке. Такие решения подходят для организаций, которым требуется минимальное соответствие требованиям по сканированию сетей, например — PCI DSS.