Wireless Intrusion Prevention System
V informatice je wireless intrusion prevention system (WIPS) síťové zařízení, které kontroluje rádiové spektrum a hledá v něm neautorizované přístupové body (což je Intrusion Detection) a může podnikat automatická protiopatření (Intrusion Prevention).
Účel
Hlavní účel WIPS systému je zabránit neautorizovanému přístupu k lokální sítím a dalším informačním aktivům. Tyto systémy většinou bývají implementovány jako další vrstva už existující WLAN infrastruktury, nicméně mohou být nasazeny samostatně, aby zajistily no-wireless politiku v rámci organizace. Některé pokročilé bezdrátové infrastruktury mají možnosti WIPS integrované.
Velké organizace se spoustou zaměstnanců jsou zvláště náchylné na porušení bezpečnosti skrze rogue AP (škodlivé přístupové body). Když si zaměstnanec (jako důvěryhodná osoba) přinese lehce dostupný (nezabezpečený) bezdrátový router, celá síť je potom vystavena komukoliv, kdo je v dosahu tohoto routeru.
V červnu 2009 publikovala organizace PCI Security Standards Council směrnice[1] pro PCI DSS doporučující použití WIPS k automatickému monitorování bezdrátové komunikace u velkých organizací.
Intrusion detection
Wireless Intrusion Detection System (WIDS) sleduje rádiové spektrum a hledá v něm neautorizované rogue AP, případně projevy použití nástrojů k útoku na bezdrátové sítě. Systém monitoruje rádiové spektrum používané bezdrátovými sítěmi a okamžitě informuje administrátora, pokud byl objeven rogue AP uvnitř sítě. Obvykle se to zjistí porovnáním MAC adres dotčených bezdrátových zařízení.
Škodlivá zařízení se mohou pomocí spoofingu MAC adresy vydávat jako autorizovaná síťová zařízení. Ve výzkumu je proto metoda, která používá rádiové otisky k nalezení zařízení se zfalšovanou MAC adresou. V principu se porovná jedinečná stopa obsažená v signálech vysílaných z každého zařízení se známými stopami, které jsou označené jako autorizované (patří autorizovaným zařízením).
Intrusion prevention
Spolu se systémem pro odhalení průniku (WIDS) obsahuje WIPS, neboli Wireless Intrusion Prevention System, možnosti které předchází hrozbám automaticky. Pro automatickou prevenci je nutné, aby mohl WIPS systém přesně detekovat a automaticky klasifikovat hrozbu.
Následujícím typům ohrožení lze předcházet pomocí dobrého WIPS:
- Rogue AP - WIPS by měl rozpoznat škodlivé AP a úplně cizí (například sousedovo) AP
- špatně nastavené AP
- špatně připojený klient
- neoprávněné připojení
- útok man-in-the-middle
- Ad-hoc sítě
- MAC spoofing
- Evil twin útok
- Denial of Service útok
Implementace
Nastavení WIPS systému se skládá z těchto tří částí:
- Senzory — Tato zařízení obsahují antény a rádiová zařízení, kterými sledují bezdrátové spektrum, kde hledají pakety. Jsou umístěna po celé oblasti, která má být chráněna.
- Server — WIPS server centrálně analyzuje pakety zachycené pomocí senzorů
- Konzole — Konzole poskytuje hlavní uživatelské rozhraní systému pro administraci a výstupy systému
Jednoduchý IDS může být jediný počítač připojený k zařízení zpracovávajícímu bezdrátový signál a k anténám rozmístěným po celém objektu. Pro velké organizace je k dispozici řešení poskytující centrální správu vícero WIPS serverů, zatímco pro menší zákazníky může být veškerá funkcionalita dostupná v jediném zařízení.
Při implementaci WIPS systému nejprve uživatele definují bezdrátové politiky. WIPS senzory potom zanalyzují bezdrátový síťový provoz a odešlou tuto informaci WIPS serveru. WIPS server shromáždí informace, porovná je proti nastaveným politikám a na základě toho rozpozná, zda nastala nějaká hrozba. Administrátor WIPS systému je poté informován o hrozbách, nebo, pokud jsou tak politiky nastavené, začne WIPS automaticky podnikat ochranná opatření.
WIPS může být buď jako síťová (soukromá) implementace nebo jako hostovaná implementace.
Síťová (soukromá) implementace
Při soukromé implementaci WIPS systému jsou Server, Senzory i Konzole umístěny uvnitř privátní sítě a nejsou dostupné z internetu.
Senzory komunikují se serverem přes privátní síť, nebo pomocí privátního portu. Protože je Server umístěn na privátní síti, mohou uživatelé přistupovat ke Konzoli jen v rámci privátní sítě.
Toto řešení je vhodné pro organizace, kde jsou všechny lokality součástí privátní sítě.
Hostovaná implementace
Při hostované implementaci jsou pouze senzory součástí místní privátní sítě. Server je hostovaný v zabezpečeném datovém centru a je přístupný z internetu. Uživatelé tak mohou přistupovat k WIPS Konzoli odkudkoli z Internetu. Hostovaná implementace je stejně bezpečná jako soukromá implementace, protože veškerý datový tok je šifrován. Jak komunikace mezi Serverem a Senzory, tak i komunikace mezi Serverem a Konzolí. Hostovaná WIPS implementace nevyžaduje téměř žádné nastavení, protože Senzory jsou naprogramovány tak, aby automaticky hledaly Server na internetu pomocí zabezpečeného SSL připojení.
Pro velké organizace s lokalitami, které nejsou součástí privátní sítě tato implementace značně zjednodušuje nasazení, protože se Senzory připojují k Serveru přes internet (tzn. bez potřeby jakéhokoli speciálního nastavení). Další výhodou je, že Konzole je dostupná odkudkoli z internetu.
Hostované WIPS implementace jsou dostupné na zakázku za předplatné formou Software as a service modelu. Hostované implementace mohou být vhodné pro organizace, které chtějí splnit minimální požadavky pro PCI DSS.
Související články
Reference
V tomto článku byl použit překlad textu z článku Wireless intrusion prevention system na anglické Wikipedii.
- PCI DSS Wireless Guidelines [online]. [cit. 2009-07-16]. Dostupné online. (anglicky)