Сегодняшнее мероприятие будет посвящено решению для защиты беспроводных сетей связи - Extreme AirDefense. AirDefense это - программно-аппаратный комплекс, состоящий из специализированного программного обеспечения и точек беспроводного доступа, работающих в режиме сенсора. Данный комплекс не только обеспечивает эффективную защиту корпоративных пользователей беспроводной сети от различных угроз, но и предоставляет дополнительные инструменты для анализа режимов работы сети для поиска и устранения неисправностей.

Сегодняшнее мероприятие будет посвящено решению для защиты беспроводных сетей связи - Extreme AirDefense. AirDefense это - программно-аппаратный комплекс, состоящий из специализированного программного обеспечения и точек беспроводного доступа, работающих в режиме сенсора. Данный комплекс не только обеспечивает эффективную защиту корпоративных пользователей беспроводной сети от различных угроз, но и предоставляет дополнительные инструменты для анализа режимов работы сети для поиска и устранения неисправностей.

Сегодня вы узнаете о:

  • Основных уязвимостях и типах атак, встречающихся в беспроводных сетях;
  • Возможностях AirDefense для защиты корпоративного беспроводного сегмента.

    • В случае использования проводного Интернета на границе сети привычно ставят межсетевой экран для защиты от потенциальных угроз. Для проводного сегмента есть четкие границы, здесь используется витая пара либо оптика. В случае беспроводного сегмента сети для передачи информации используется радиосреда.

    Радиоволны могут распространяться за границы нашего здания в зависимости от того как спроектировано, построено и настроено сетевое оборудование. Достаточно часто редиосигнал корпоративной беспроводной сети попадает на соседние этажи здания и в соседние помещения.

    Становится понятно, что периметр сети это уже не точка подключения к Интернету, а в случае беспроводного решения таких точек становится много, значит появляется множество потенциальных угроз.

     

    Примеры угроз

    Оценим основные примеры того, с чем сталкиваются корпоративные беспроводные системы, какие угрозы у них возникают.

    Самое очевидное и самое частое, согласно отчетам различных западных аналитических компаний, – это использование нелегальной точки доступа. Кто-то из вашей компании принес и подключил свое беспроводное устройство к корпоративной проводной сети. Такие точки доступа доступны в широкой продаже, подключить ее сможет любой современный человек и не факт, что он сделает это правильно и безопасно. Кроме того, в своей системе возникает потенциальная точка утечки информации. Такая точка доступа может дать путь злоумышленнику в эту сеть.

    Один из типовых векторов атак – это имитация публичной точки доступа. Атака заключается в том, что люди, использующие беспроводные точки доступа для подключения скорее всего используют ноутбук для своей работы и берут его с собой в командировки и личные поездки, подключаются в этих поездках к публичным точкам доступа. Операционная система ноутбука помнит практически все подключения и если она видит знакомую точку доступа, с которой она раньше была ассоциирована, то она попробует осуществить это подключение еще раз. Именно вокруг этой идеологии и выстроена такая атака, заключается она в том, что злоумышленник имитирует публичную точку доступа на своей точке доступа и создает SSID, которая используется известными публичными точками доступа. Например, публичная сеть Макдональдса. 

    После того, как клиент подключился к такой точке, потенциальный злоумышленник пропускает весь трафик клиента через себя и потом он может предпринимать какие-то нелегальные активности, начиная от кражи паролей до передачи зловредного кода на клиентское устройство.

    Еще одна потенциальная угроза – это неправильная настройка корпоративной точки доступа. Это случается, когда, например, ИТ-департамент вынужден быстро создать новое подключение, сотрудником этого департамента берется любая точка, которая раньше, возможно стояла в лаборатории для проведения тестов. И по какой-то причине настраивают что-то неправильно, но эта точка подключена к корпоративной сетевой инфраструктуре, что создает потенциальную угрозу безопасности.

    Еще один пример – случайное подключение к внешней точке. Корпоративный сотрудник, находясь в офисе, может случайно подключиться к какой-то внешней точке доступа. Пример: на первом этаже офиса у этого сотрудника есть Starbucks и работники могут случайно подключаться к этим точкам доступа, ноутбук, например, посчитает, что уровень сигнала там лучше, чем у корпоративной точки доступа.

    Следующий вектор угроз – это одноранговые сети, подключение двух компьютеров между собой через специальные режимы, особенно когда один из них подключен к проводной корпоративной инфраструктуре. 

     

    В Интернете достаточно много публичных бесплатных инструментов, которые любой школьник может скачать, установить на свой ПК и попытаться чуть-чуть похулиганить.

    На следующем слайде список таких инструментов, их можно просто скачать из Интернета. 

    Система, о которой мы сейчас говорим, распознает более 200 типов атак и умеет эффективно к ними бороться.

     

    Категоризация устройств

    Для того, чтобы обеспечить защиту периметра, нужно знать что мы защищаем. Первый шаг в работе такой системы – это категоризация устройств. Этот процесс достаточно непростой, особенно по разделению устройств на три категории: корпоративное устройство, устройство из соседней сети и устройство злоумышленника. Корпоративные устройства берутся прямо из корпоративной среды, оттуда же берутся подключения клиентов, в системе есть возможность по настройке неких правил по автоматической классификации. Например, можно написать правило, что любое беспроводное устройство, подключившееся к беспроводной инфраструктуре, является корпоративным клиентом и система должна его защищать, отслеживать его подключение к другим точкам доступа.

    Помогает этой классификации различные алгоритмы, которые реализованы в системе и которые занимаются корреляцией событий и которые система видит в радиоинтерфейсе и проводном интерфейсе. За счет анализа этих событий и происходит обнаружение потенциальных угроз и их дальнейшая блокировка.

    Еще одна немаловажная задача в рамках защиты беспроводной инфраструктуры – это мониторинг сети на соответствие политикам ИБ безопасности. Такие события нужно обнаруживать и о них уведомлять сетевую администрацию или сотрудника ИБ.

    Еще одной задачей занимается система – устранение угроз. Система в этом плане умеет работать в двух режимах: автоматическое устранение угроз или устранение в ручном режиме на усмотрение сетевого администратора. Администратор получит уведомление о событии и будет сам волен решать что делать дольше.

     

    Компоненты AirDefense

    Прежде всего это сервер с ПО, он может поставляться в виде аппаратной платформы либо в виде виртуального аплайнса. Кроме того, есть сенсоры, которые контролируют радио- и проводную среду и поставляют информацию для корреляции событий на сервер, при этом сенсоры в классической системе – это точки доступа. 

    Сенсоры работают как в выделенном режиме, так и в разделяемом режиме. Есть в системе также корпоративные точки доступа и коммутаторы. Коммутаторы присутствуют не только потому что они связывают многие компоненты между собой, но они являются важным компонентом при работе системы предотвращения атак. 

    AirDefense – это система, которая имеет гибкие схемы интеграции с существующей корпоративной инфраструктурой. Коммутаторы могут быть любого производителя. Корпоративные точки доступа тоже могут быть от любого вендора, а вот сенсоры должны быть производства Extreme Networks.

    Кроме того, система поддерживает ряд других функциональностей: это и анализ спектра, сбор различных блогов об активности клиента, которые используются для расследования инцидентов.

     

    Сенсор AirDefense

    Сенсор – это один из важнейших компонентов системы AirDefense, он одновременно является точкой доступа Extreme Networks.

    Второй вариант, когда часть сенсоров беспроводной сети используется в разделяемом режиме, это значит, что такая точка доступа часть своего времени выполняет функции сенсора, а часть времени занимается обслуживанием клиентского трафика.

    Сенсор в выделенном режиме сканирует весь частотный диапазон в районе 2,4 ГГц, а в диапазоне 5 ГГц он последовательно перебирает каждый канал по 1 секунде, его слушает и потом переключается на следующий канал. Понятно, что в таком режиме он скорее просканирует все каналы.

    Сенсору в разделяемом режиме приходится комбинировать две роли. Понятно, что в таком режиме страдает качество. Если у этой точки нет сейчас задачи обслуживания клиентского трафика, она может отключиться от канала, и провести сканирование другого канала, она перебирает тот же самый список каналов, но делает это по очереди и делает это в интервалах, когда она свободна от обслуживания клиентов. Если угроза достаточно долговременная, то сенсор в таком режиме тоже обнаружит уязвимость.

    Говоря про архитектуру AirDefense можно отметить классическое решение, когда это ПО устанавливается на отдельный сервер, кроме этого есть несколько путей инсталляции систем с AirDefense. Это возможность установки ПО AirDefense на Extreme Campus Controller.

    Это решение поддерживает контейнерную архитектуру и в качестве одного из контейнеров может устанавливаться не совсем полный пакет Extreme AirDefense, это AirDefense Base, который не требует дополнительного лицензирования. Если этого функционала недостаточно, можно докупить полный пакет.

    У Extreme Networks появилась новая облачная платформа – ExtremeCloud IQ, на которой поддерживается множество продуктов этого вендора. С ноября 2020 года там появились дополнительные компоненты, которые включены в базовую лицензию.

    На следующем слайде представлены отличия AirDefense Base и AirDefense.

    Теперь поговорим о том, как происходит анализ и блокировка. На следующем слайде в правой части представлен удаленный офис.

    Здесь можно обеспечивать работу одного сервера с распределенной инфраструктурой, со множеством точек, расположенных в разных офисах. В чем заключается задача AirDefense? Она должна распознать свои устройства, свои корпоративные SSID, составить список корпоративных клиентов, которые имеют право подключаться к системе, Кроме того, она должна оценить соседей, например, в ручном режиме администратор может написать, что этих соседей не трогать. Далее происходит анализ событий, которые сенсоры слышат в радио- и проводном сегменте. Эта информация передается на сервер, где анализируется.

     

    Блокирование

    Большинство классических систем предотвращения вторжений в беспроводные сети имеют только одну компоненту, которая умеет интегрироваться с беспроводной сетью или сама является компонентой этой сети.

    Для такого решения доступно только возможность работы с беспроводным сегментом и с различными беспроводными блокировками. К сожалению, это не всегда достаточно. AirDefense умеет интегрироваться и с проводной сетью. Что может сделать система, если она обнаружит, что корпоративный пользователь подключился к точке доступа соседей. Система AirDefense может такое событие отследить, уведомить об этом администратора, если настроено автоматическое таких событий, то сенсор вмешается и отключит клиента от точки доступа.

    Бывают ситуации, когда система видит, что к ней подключаются какие-то «нелегальные» клиенты. Это может быть новый сотрудник, это может быть подключение которое система не видела раньше.

    Система умеет составлять списки корпоративных клиентов, на начальном этапе эту систему можно включить в режиме обучения, а уже потом включить в работу новые правила, при которых системный администратор будет получать уведомления о любом новом клиенте. С такими подключениями система умеет бороться.

    Последний пример интеграции с проводным сегментом. На следующем слайде изображена точка доступа, которая подключена к корпоративной инфраструктуре. AirDefense за счет интеграции с проводной частью сети отследит такую точку и найдет порт коммутатора, к которому эта точка подключена и заблокирует этот порт на коммутаторе. Таким образом точка доступа продолжит работу, а трафик через нее в корпоративную структуру не пойдет.

    2021-08-12 20:45:21
    Геннадий Ветров
     Готовые решения

    Сейчас на главной

    16 апр. 2024 г., 18:19:36
    Как реализовать проект VDI: на примере кейса Уральской инженерной школы

    Мероприятие дистрибьюторской компании OCS, а также российского разработчика системного и инфраструктурного ПО НТЦ ИТ РОСА и российского разработчика высокопроизводительных решений, расчётных комплексов и систем визуализации Forsite. На этом мероприятии спикеры компаний рассказали, как создать полностью функциональное и эффективное решение VDI с использованием серверов Forsite на базе отечественного программного обеспечения Rosa Virtualization и LoudPlay.

    Статьи Готовые решения «НТЦ ИТ РОСА»
    9 апр. 2024 г., 12:15:40
    Средства информационной безопасности для ОС Astra Linux

    Совместное мероприятие компаний OCS, «‎Группы Астра» и «Цифровые технологии» посвящено теме обеспечения безопасности контура средствами ОС Astra Linux. Спикеры говорят о настройке рабочего места для электронной подписи и безопасного обмена документами на примере программного средства Крипто АРМ ГОСТ и КриптоПро CSP. Темы выступлений спикеров: «Обеспечение контура безопасности средствами ОС Astra Linux» и «Особенности установки, настройки и эксплуатации криптографических средств на ОС Astra Linux Special Edition».

    Статьи ПО и Приложения ГК "Астра"
    8 апр. 2024 г., 10:00:00
    Краткое введение в актуальные тренды крипто-индустрии и знакомство с платформой Telegram Open Network (TON)

    Сегодня разговор пойдет в первую очередь о действиях на блокчейн TON (Telegram Open Network), касаемый других платформ.

    Статьи Финансы Telegram
    1 апр. 2024 г., 16:47:50
    Инструменты MIND для миграции и защиты виртуальной инфраструктуры

    Сегодняшнее мероприятие ведет Антон Банчуков – менеджер по развитию бизнеса компании MIND. MIND – это российская компания, основанная в 2021 году, она образована сотрудниками разных западных вендоров. Основной задачей компании является разработка программного обеспечения для обеспечения мобильности виртуальных сервисов и серверов.

    Статьи Готовые решения MIND
    26 мар. 2024 г., 15:48:01
    Развитие платформы Space VDI: новый функционал и особенности релизов 5.3-5.4

    Мероприятие OCS и «ДАКОМ М», российского разработчика импортозамещающей экосистемы виртуализации Space. Мероприятие посвящено обзору платформы Space VDI: ключевым нововведениям в релизах 5.3 и 5.4, а также вопросам адаптивности Space VDI к изменяющимся требованиям и оптимальному использованию ресурсов. Space VDI ждут серьёзные изменения, направленные на повышение отказоустойчивости решения, реализацию новых функций и увеличение общей производительности системы.

    Статьи ДАКОМ М
    18 мар. 2024 г., 19:48:58
    EKF Connect Industry: IIoT сделана в России

    На вопросы аналитического отдела iXBT.pro отвечает Артём Сергеев, директор бизнес-юнита Новые бизнесы EKF

    Статьи
    14 мар. 2024 г., 10:00:00
    «Базис» представил импортонезависимую экосистему решений для виртуализации ИТ-инфраструктуры

    (erid: 2VtzqxQgVfr) «Базис», российский разработчик решений для организации динамической инфраструктуры, виртуальных рабочих мест и оказания облачных услуг, первым в России представил импортонезависимую экосистему продуктов и технологий виртуализации с собственной кодовой базой. Входящие в состав экосистемы решения помогают заказчикам повысить долю использования отечественного ПО в рамках стратегий цифровой трансформации и соответствуют требованиям государства в части надежности и безопасности.

    Статьи Технологии и продукты «Базис»
    10 мар. 2024 г., 14:09:28
    Обзор возможностей решения Universe Data Governance

    Мероприятие OCS и DIS Group, российской IT-компании, которая предлагает решения в области управления данными, бизнес-аналитики, защиты информации, а также осуществляет консалтинг и внедрение проектов по данным направлениям. В рамках мероприятия будет проведён обзор основных сценариев использования, возможностей инструмента с точки зрения пользователей и администраторов решения.

    Статьи Готовые решения DIS Group
    5 мар. 2024 г., 11:00:02
    Олег Олейник: «Передовые устройства и решения появляются на стыке технологий»

    Группа компаний «Аквариус» существует на рынке с 1989 года и недавно отметила 35 лет. «Аквариус» прошел большой путь развития от компании, выполняющей OEM-заказы, до разработчика и производителя отечественного ИТ-оборудования на материнских платах собственной разработки и производства. Сейчас «Аквариус» является системообразующим предприятием российской экономики. Имеет три Центра разработок в стране и два собственных производственных комплекса: в Шуе и Твери. Обеспечивает полный производственный цикл выпуска высокотехнологичного оборудования, включая поверхностный монтаж, пайку компонентов и сборку устройств.

    Статьи Готовые решения «Аквариус»
    27 февр. 2024 г., 22:49:26
    Российское ПО Digital Signage SmartPlayer

    Мероприятие, посвящённое SmartPlayer – платформе для реализации мультимедийных проектов любой сложности и централизованного управления устройствами. К преимуществам решения относятся: возможность доработки ПО и разработки нового функционала под требования заказчика, кроссплатформенность и локальная техническая поддержка

    Статьи Готовые решения Smart Player
    Все новости