More Related Content Similar to Современные беспроводные решения Cisco: BYOD и безопасность. (20) More from Cisco Russia (20) Современные беспроводные решения Cisco: BYOD и безопасность. 2. Содержание
Беспроводное решение Cisco Unified
Wireless
Интеллектуальный подход к управлению
радиосредой
Политики доступа в сеть
Безопасность беспроводных сетей
Методы обнаружения, классификации и
устранения
30.10.2012 Copyright © BMS consulting, 2007 2
3. Автономное решение
• Каждая беспроводная точка доступа
функционирует «по-своему»
• Нет иерархического представления радиосреды
• Отсутствуют средства оптимизации радиопокрытия
• Проблема принести любимое устройство
30.10.2012 Copyright © BMS consulting, 2007 3
4. Архитектура Cisco Unified
Wireless Network
Система
управления
NCS
Мобильные
сервисы
Контроллеры
WLC
Точки
доступа
AP
30.10.2012 Copyright © BMS consulting, 2007 4
5. Преимущества
централизованной архитектуры
Централизованное управление беспроводными
точками доступа
Динамическая балансировка между
пользователями
Динамическое управление радиопокрытием
Сервисы определения местоположения
Расширенный арсенал безопасности и QoS
Прозрачный роуминг
Возможность внедрения Voice over WLAN
Унификация проводного и беспроводного доступа
30.10.2012 Copyright © BMS consulting, 2007 5
7. RRM—Radio Resource
Management
Какие цели RRM?
– Динамическое управление радиопокрытием
– Мониторинг и поддержка покрытия для всех клиентов
– Управление эффективностью спектра так, чтобы
предоставить оптимальную полосу пропускания при
изменении условий
Что не делает RRM
– Не является заменой радиообследованию
– Не исправляет неправильную архитектуру сети
30.10.2012 Copyright © BMS consulting, 2007 7
8. RRM—Radio Resource
Management
DCA—Dynamic Channel Assignment
– Каждая точка доступа получает канал для
передачи данных
– Изменения в радиосреде мониторятся, канал
точки доступа изменяется при плохих
условиях радосреды
TPC—Transmit Power Control
– Мощность передачи сигнала базируется на
потерях между двумя радиоисточниками
– TPC уменьшает мощность передачи на
некоторых точках доступа, но может так же и
увеличить ее при определенных условиях
CHDM—Coverage Hole Detection and
Mitigation
– Обнаруживает клиентов в зонах без покрытия
– Принимает решение увеличить мощность
передачи на некоторых точках доступа, чтобы
«дотянуться» до клиента
30.10.2012 Copyright © BMS consulting, 2007 8
9. RRM DCA – Динамическое
назначение каналов
Новая точка доступа создает Система оптимизирует распределение
интерференцию каналов каналов для уменьшения интерференции
RF Channel “1”
RF Channel “6”
RF Channel “11”
Убеждается в том, что доступный радио спектр
Как это используется хорошо для всех частот/каналов
делается
30.10.2012 – Лучшая полоса пропускания достигается без ущерба в работе
Copyright © BMS consulting, 2007 9
точек доступа
10. RRM – Управление
мощностью передатчика
Мощность не оптимизирована — Уменьшает граничную мощность,
радиосигнал вызывает интерференцию тем самым минимизирует
интерференцию
RF Channel “1”
RF Channel “6”
RF Channel “11”
Мощность передачи базируется на потерях между
источниками сигнала
Как это
TPC уменьшает мощность передачи на некоторых
делается
30.10.2012
точках доступа,BMS consulting, 2007 может и увеличить ее при
но так же 10
Copyright ©
определенных условиях
11. RRM – обнаружение и
устранение дыр в покрытии
Отказ точки доступа обнаружен
Нормальная работа
Пустая зона покрытия заполнена
Нет единой точки отказа
Как это Автоматическое переключение уменьшает расходы на
поддержку и восстановление
происходит
Доступность беспроводной сети сравнима с проводной
30.10.2012 Copyright © BMS consulting, 2007 11
12. Управление плотностью
подключений
Решение проблем нагрузки на точки доступа в
помещениях с плотным скоплением людей (залы
совещаний, кафе)…
30.10.2012 12
Copyright © BMS consulting, 2007
13. Основные
понятия идентификации
Что такое идентичность (личность)?
• утверждение о том, кто мы есть
• позволяет нам различать друг друга
Что представляет собой идентификация?
• Типичные идентификаторы сети:
Имя пользователя и пароль
Адрес электронной почты: jdoe@foo.com
MAC-адрес: 00-0C-14-A4-9d-33
IP-адрес: 10.0.1.199
Цифровые сертификаты
Как мы используем идентификацию?
• используется для предоставления соответствующих разрешений:
права на использование сервисов с определенным уровнем
полномочий
30.10.2012 13
14. Применение модели
аутентификации для доступа в ЛВС
Я хочу подключиться к сети
Необходима идентификация
Вот мой идентификатор
Идентификатор проверен –
доступ предоставлен
30.10.2012 14
15. Консолидация решений в
Cisco ISE
Консолидированные сервисы в одном продукте
ACS
NAC Manager
NAC Profiler
ISE
NAC Server
NAC Guest
Упрощает внедрение
Облегчает администрирование
30.10.2012 15
16. Безопасность
беспроводных сетей
Проникновение в
проводную ЛВС Атаки на Wi-Fi сеть
Одноранговые сети Wi-Fi приманки Разведывательные
Методы HACKER MFP нейтрализуетHACKER’S
AP
WPA2/802.11i HACKER
обнаружения, все нейтрализует атаки
классификации и злоупотребления типа
обезвреживания кадрами
Подключение к
Reconnaissance,
Client-to-client backdoor Поиск сетевых уязвимостей
посторонних радио-
access управления, в
вредоносной AP прослушивание и
устройств в WiFi частности атаки т.п.
Чужие защищают от
сетях точки доступа Denial of Service
типа «посредник» Взломы
данного класса атак HACKER HACKER
DENIAL OF
SERVICE
Доступ в ЛВС «с черного Отказ в сервисе Прослушивание и перехват
хода»
30.10.2012 Copyright © BMS consulting, 2007 16
17. ПУ – посторонние
устройства
Что относится к ПУ?
–Любое WiFi-устройство, находящееся в зоне радиовидимости
нашей сети, которым мы не управляем
–Большинство ПУ устанавливаются авторизованными
пользователями (низкая цена, удобство, безграмотность)
Когда ПУ опасны?
–Когда они обнаруживаются в проводном сегменте ЛВС
–Одноранговые (ad-hoc) сети ПУ тоже могут представлять угрозу !
–Когда установлены сторонними пользователями преднамеренно с
целью злого умысла
Что необходимо сделать?
–Обнаружить [Detect]
–Классифицировать (over-the-air и on-the-wire) [Classify]
–Обезвредить (Shutdown, Contain, и т.д.) [Mitigate]
30.10.2012 Copyright © BMS consulting, 2007 17
18. Примеры ПУ
Сценарий 1:
Сотрудник приносит домашнюю точку доступа с
целью организовать Wi-Fi в своем кабинете.
Точка доступа, не обладая богатым функционалом
безопасности, включается в проводной сегмент сети.
Угроза:
«Легкая добыча» для злоумышленника. Обойдя
слабые методы защиты, он подключается по WiFi к
это точке доступа и автоматически попадает в
проводную сеть организации.
30.10.2012 Copyright © BMS consulting, 2007 18
19. Примеры ПУ
Сценарий 2:
Департамент IT закупил несколько десятков сетевых
принтеров и подключил их к сети организации.
Данные принтеры имеют Wi-Fi сетевую карту, которая
включена по умолчанию и имеет базовые настройки
безопасности.
Угроза:
Открытая дверь в сеть для любого злоумышленника
через беспроводной интерфейс принтера.
30.10.2012 Copyright © BMS consulting, 2007 19
20. Примеры ПУ
Сценарий 3:
Компьютер сотрудника по умолчанию имеет
включенный Wi-Fi интерфейс.
Угроза:
Злоумышленник может установить одноранговое
Wi-Fi соединение с таким компьютером (типа точка-
точка), скомпрометировать его, завладеть секретной
информацией или же доступом к другим ресурсам
организации.
30.10.2012 Copyright © BMS consulting, 2007 20
21. Интегрированный комплекс
безопасности Wi-Fi эфира
Сервисы:
Capacity RF Security Cisco WLC Местоположение
Management Management Management контроллер Безопасность
Network Control System Историческая
отчетность
Проводная
сеть
–Безопасная радиосреда ISE
MSE
–Определение местоположения
–Централизованное управление
–Централизованный доступ к сети
Monitor Monitor Mode Rogue Detector
Mode AP AP
Точки доступа
30.10.2012 Copyright © BMS consulting, 2007 21
22. Этапы борьбы с
посторонними Wi-Fi устройствами
Обнаружение Классификация Обезвреживание
• обнаружение • Правила • Обнаружение
неинфраструктурных классификации ПУ, местоположения
точек доступа (ТД), основанные на
клиентов и RSSI, SSID, • Отключение
одноранговых (ad- клиентах и т.д. (shutdown) порта
hoc) подключений на коммутаторе
• Проверка
• Обнаружение ПУ нахождения ПУ в • Изоляция
стандарта 802.11n проводном (containment)
сегменте ЛВС нарушителей в
(Switch port tracing) радио-эфире
30.10.2012 Copyright © BMS consulting, 2007 22
23. Правила классификации ПУ
Классификация основана на степени опасности угрозы и
действиях по обезвреживанию
Правила классификации соотносятся с моделью рисков
заказчика
Правило: Помечается как
SSID: McDonalds
RSSI: -80dBm Дружеское
Правило:
Помечается как
Обнаружено ПУ SSID: Corporate
Вредоносное
RSSI: -70dBm
ПУ не удовлетворяет Помечается как
установленным
правилам Неклассифицированное
30.10.2012 Copyright © BMS consulting, 2007 23
24. ТД в режиме Rogue Detector
(Rogue AP)
ПУ
Client ARP
L2 Проводная сеть
ТД в режиме Rogue Detector Trunk Port
• Отслеживает все широковещательные ARP-
запросы от посторонних ТД и их клиентов
• Контроллер делает запрос на Rogue Detector
для определения наличия посторонних Rogue Detector
клиентов в проводном сегменте ЛВС
• Не работает если посторонняя ТД настроена
как NAT AP
30.10.2012 Copyright © BMS consulting, 2007 24
25. Rogue Location Discovery
Protocol
Подключается
как клиент
Наша ТД ПУ (Rogue AP)
Посылает
Routed/Switched Network пакет
на WLC
ТД в режиме Rogue Detector
• Подключается к ПУ в качестве клиента
• Посылает пакет на IP-адрес контроллера
• Работает только для ПУ с open SSID Контроллер
30.10.2012 Copyright © BMS consulting, 2007 25
26. Изоляция ПУ
ПУ-клиент
Авторизов. ТД
De-Auth
пакет
ПУ
Изоляция посторонней точки доступа
• Посылка De-Authentication пакетов клиенту и ТД
• Возможность использования ТД в режимах Local Mode, Monitor Mode и
H-REAP
30.10.2012 Copyright © BMS consulting, 2007 26
27. Нахождение порта
подключения
2 3
CAM CAM
таблица таблица
WCS
1
Show CDP
Neighbors
Авторизованная ТД ПУ (Rogue AP)
WCS Switchport Tracing
• Определяет CDP Neighbors для ТД, которая обнаружила ПУ
• Просматривает CAM-таблицы коммутаторов на предмет наличия в них
mac-адресов ПУ или ПУ-клиентов
• Работает для ПУ с настройками Security и NAT
30.10.2012 Copyright © BMS consulting, 2007 27
28. Выводы
Угрозы со стороны беспроводного эфира
существуют не зависимо от того, развернута
ли Wi-Fi сеть в организации
Необходимо принимать проактивные и
реактивные меры для устранения этих угроз
Решение Cisco предлагает единый
интегрированный комплекс Wi-Fi
безопасности, который позволяет выявлять,
классифицировать и устранять посторонние
беспроводные устройства
30.10.2012 Copyright © BMS consulting, 2007 28
29. Спасибо за внимание
Дмитриев Максим
Maxim_Dmitriev@bms-consulting.com
30.10.2012 Copyright © BMS consulting, 2007 29