Informacje na temat Radar 8.21

Transkrypt

2 Wprowadzenie Enterasys identifi Radar to pracujące cały czas rozwiązanie WIDS/WIPS (Wireless Intrusion Detection & Prevention) oraz zapewniające analizy widma, zintegrowane w wersji v8.21 oprogramowania firmware punktów dostępowych serii 3700 Rozwiązanie zapewnia ochronę i widoczność funkcjonując w trybie in-channel, jak i multi-channel, przy minimalnym wpływie na jakość pracy z siecią klienta lub sieci WLAN Radar posiada rozszerzone funkcje związane z zarządzaniem łącznością radiową, takie jak DRM (Dynamic Radio Management), dające możliwość koordynacji kanałów, jeżeli zidentyfikowane zakłócenia narzucają wprowadzenie zmian

3 Przegląd rozwiązania identifi Radar składa się z następujących elementów zapewniających bezpieczną pracę sieci, z pełną widocznością i kontrolą: Klasyfikacja i wykrywanie zagrożeń w ramach WIPS/WIDS Zapobieganie zagrożeniom i ochrona przed nimi w WIPS Skanowanie aktywnych kanałów (in-channel) w WIDS/WIPS (3705, 3710, 3725, 3765/67) Pracujące cały czas rozwiązanie WIDS/WIPS ze skanowaniem multi-channel jest zaprojektowane by wyeliminować potrzebę stosowania dedykowanych sensorów (3725/ trzeci moduł radiowy) Analizy widma dla wykrywania i klasyfikacji zmian Zaawansowane wykrywanie zmian w widmie pozwala na identyfikację zakłóceń pochodzących od szerokich fal radiowych, kuchenek mikrofalowych oraz urządzeń Bluetooth i video bridge Integracja z algorytmami DRM w celu unikania zakłóceń Funkcje raportowania i powiadamiania Radar w ramach kontrolerów identifi Integracja Radar z NetSight Oneview 4.4 dla raportowania na panelu zarządzania

4 Główne elementy Radar (1/4) Punkty dostępowe serii 3700 oferują jednocześnie funkcje Radar i świadczenia usług sieciowych. Punkty dostępowe 3705, 3710 i 376x będą monitorowały i chroniły wykorzystywane przez nie kanały. W przypadku punktów dostępowych 3725 (wyposażonych w 3 moduły radiowe) jedno radio przeznaczone jest na obsługę funkcji Radar. Trzeci moduł radiowy jest wykorzystywany do skanowania wybranych przez administratora kanałów, a nie tylko aktywnych kanałów używanych do świadczenia usług sieciowych klientom. Pozwala to na identyfikację zagrożeń, które jeszcze bezpośrednio nie wpływają na klientów i punkty dostępowe, ale w każdej chwili może się to zmienić. Punkty dostępowe, jeżeli są odpowiednio skonfigurowane, mogą przeprowadzać działania zapobiegawcze przeciwko różnym typom, wykrytych przez nie, zagrożeń. Działania zapobiegawcze będą obejmowały wysyłanie ramek odwołujących uwierzytelnienie do klienta lub punktu dostępowego i mogą w sposób kontrolowany odrzucać ramki noszące znamiona ataków DoS (Denial of Service).

5 Główne elementy Radar (2/4) Urządzenia serii 3700 będą potrafiły wykrywać szereg zagrożeń sieci WLAN, w tym ataki DoS na klientów, ataki typu Man-in-the-Middle oraz spoofing punktów dostępowych. Starsza funkcja Mitigator nadal będzie dostępna dla punktów dostępowych serii 3600 i Tego typu skanowanie wymaga by punkt dostępowy były wyłączony ze świadczenia usług sieciowych przez pewien czas i wykrywa ograniczony zestaw możliwych zagrożeń. - Z punktu widzenia konfiguracji kontrolera dla punktów dostępowych serii 3600 i 2600 Mitigator ma jedynie zmienioną nazwę i składa się na Radar (skanowanie urządzeń nieświadczących usług) Proces konfiguracji usług sieci WLAN wyposażony jest teraz w dodatkowe narzędzia weryfikacji zapewniające odpowiednie zabezpieczenie SSID i kluczy PSK. Administrator będzie miał możliwość konfiguracji usług przy użyciu słabo chronionych kluczy i SSID, ale zostanie ostrzeżony o tym, że powinien zastosować silniejsze metody ochrony.

6 Główne elementy Radar (3/4) Wprowadzone zostaną nowe raporty, by ułatwić postępowanie z zagrożeniami. Administrator będzie miał możliwość uruchomienia przesyłania zdarzeń z urządzeń mobilnych MU (mobile station) do dziennika zdarzeń EWC oraz NetSight, niezależnie od ustawień dotyczących raportowania zdarzeń wprowadzonych w interfejsie EWC. Obecnie wielu klientów ustawia tryb zbierania zdarzeń z urządzeń MU na INFO i w efekcie zalewani są wieloma nieinteresującymi informacjami. Raporty o zagrożeniach będą przekazywane do NetSight za pomocą standardowych, istniejących mechanizmów raportowania zdarzeń. Przyszłe wydania NetSight Wireless Manager będą obsługiwać konfigurację Radar, natomiast OneView zapewni lokalizację zagrożeń i zdarzeń na mapach.

7 Główne elementy Radar (4/4) Celem wersji 8.21 będzie identyfikacja i obsługa zagrożeń dotyczących punktów dostępowych EWC i ich klientów. Przykładowo, zamiast implementacji mechanizmu wykrywania spoofingu dla wszystkich punktów dostępowych w danym obszarze, funkcja skupi się na wykrywaniu spoofingu punktów dostępowych EWC. Bardziej ogólne rozwiązania będą dostępne w przyszłych wydaniach. Radar nie jest zaprojektowany dla klientów posiadających bardzo zróżnicowane środowisko punktów dostępowych: zarządzane przez kontroler produkty Enterasys, produkty innych producentów i niezarządzane przez kontroler.

8 Porównanie punktów dostępowych (1/3) Punkty dostępowe serii 2600 i 3600 będą obsługiwać tylko dawne funkcje narzędzia Mitigator (teraz Radar) dostępne w v8.21 Urządzenia serii 3700 (W786c, W788c, 3705, 3710, 3725, 3765, 3767) będą obsługiwały tylko Radar Dawna funkcja Mitigator? Funkcja 26xx 36xx W786c W788c Tak Skan zabezpieczeń, gdy urządzenie nie pracuje X X Tak Klasyfikacja zakłóceń, gdy urządzenie nie pracuje Tak Pasywny tryb skanowania (tylko nasłuch) X X X X X X X X X Tak Aktywny tryb skanowania (wysyłanie próbnych zapytań) X X Tak Badanie BSSID, SSID (funkcja Mitigator) X X X X X X X X X Tak Skanowanie zabezpieczeń na wielu kanałach X X X Nie Skanowanie zabezpieczeń podczas pracy urządzenia X X X X X X X Nie Klasyfikacja zakłóceń podczas pracy urządzenia X X X X X X X Nie Nie Wykrywanie zagrożeń przez dopasowywanie wzorców do poszczególnych pakietów Wykrywanie spoofingu autoryzowanych, aktywnych punktów dostępowych X X X X X X X X X X X X X X Nie Klasyfikacja zakłóceń na więcej niż 2 kanałach X Nie Obsługa wizualizacji widma łączności radiowej X X X X X X X Nie Środki zapobiegawcze X X X X X X X

9 Porównanie punktów dostępowych (2/3) Punkt dostępowy 3725 wyposażony jest w trzy moduły radiowe, z których jeden jest dwuzakresowy. Trzecie radio będzie cały czas wykorzystywane przez Radar. Możliwe będzie przeskakiwanie pomiędzy kanałami, by wykrywać zagrożenia w kanałach, których 3725 nie używa do świadczenia usług. Pozostałe dwa radia 3725 wykorzystywane są do świadczenia usług sieciowych i uczestniczą także w wykrywaniu zagrożeń typu in-channel w aktywnym kanale. W miarę możliwości wszystkie punkty dostępowe serii 3700 będą wykrywały te same zagrożenia i reagowały na nie użyciem tych samych środków zapobiegawczych. Jednak, może być tak, że tylko 3725 będą mogły dobrze realizować określone rodzaje detekcji lub środki zapobiegawcze. Przykładowo, podstawowy punkt dostępowy 3705 może być ograniczony co do maksymalnej szybkości przetwarzania w ramach Radar, w porównaniu do pozostałych urządzeń z nowej linii produktów.

10 Porównanie punktów dostępowych (3/3) Punkty dostępowe 3705 i 3710 nie będą pracować jako dedykowane sensory w wersji 8.21 (tzn. nie będą pracować tak jak seria 3600 w trybie sensora). Będą realizować funkcje Radar, tylko jeżeli będą pracowały w standardowym trybie pracy. Żaden z punktów dostępowych serii 3700 nie może być stosowany do obsługi Radar, jeżeli nie jest skonfigurowany do świadczenia usług sieciowych przynajmniej na jednym kanale. Ma to również zastosowanie w przypadku 3725, przynajmniej dla wersji v8.21. Jeżeli funkcja Radar jest uruchomiona na modułach radiowych, radia będą pracować w trybie nasłuchiwania, by raportować wszystkie odebrane ramki do systemu skanowania w celu dalszych analiz. Inteligencja jest wbudowana w oprogramowanie firmware, by mieć pewność, że każda platforma sprzętowa jest zoptymalizowana i nieprzeciążona.

11 Kategorie zagrożeń Radar w wersji 8.21 Obserwacja (Surveillance) Aktywna obserwacja (Active Surveillance) Odnosi się to do rozpoznawania środowiska WLAN, polegającego na określaniu obecnych usług i sprzętu. Obserwacja może wydawać się z pozoru niewinna, a w efekcie może być wstępem do rozbudowanego ataku. Obserwacja, w której obserwator transmituje ramki Jest to z reguły realizowane przez specjalne narzędzia, w celu przyspieszenia procesu obserwacji. Jest to jedyny typ obserwacji, który może być wykryty przez system WIDS. NetStumbler w wersji 3.0 oraz Wellenreiter w wersjach od 1.3 do 1.6 to przykłady narzędzi do aktywnej obserwacji. Łamanie szyfrowania (Encryption cracking) Aktywne łamanie szyfrowania (Active Encryption Cracking) Odnosi się to do prób uzyskania klucza szyfrującego lub strumienia klucza szyfrującego. Uzyskanie strumienia klucza szyfrującego pozwala na zablokowanie transmisji komunikatów w autoryzowanej sieci, nawet jeżeli klucz szyfrujący nie jest znany. Uzyskanie klucza szyfrującego pozwala na transmisję komunikatów w autoryzowanej sieci. Forma łamania szyfrowania, w której atakujący przesyła pakiety w celu złamania kodu. Przykładami mogą być ataki typu chop-chop oraz ataki fragmentaryczne Pasywna obserwacja (Pasive Surveillance) Obserwacja, w której obserwator po prostu nasłuchuje transmisji w celu odkrywania sieci. Ten typ obserwacji nie jest wykrywany przez żaden system WIDS. Pasywne łamanie szyfrowania (Pasive Encryption Cracking) Forma łamania szyfrowania, w której atakujący nie musi przesyłać pakietów w celu złamania kodu. Jest to najpopularniejsza metoda łamania szyfrowania Pułapka (Honeypot) Wewnętrzna pułapka (Internal Honeypot) Zewnętrzna pułapka (External Honeypot) Wrogi punkt dostępu (Rogue AP) Spoofing Fałszywy punkt dostępu (Spoofing AP) Fałszywy klient (Spoofing Client) Punkt dostępowy, który rozgłasza SSID choć nie świadczy usług sieciowych i nie jest autoryzowany do tego. Tego typu pułapki przyciągają niczego niespodziewających się użytkowników, zwykle by przeprowadzić ataki typu man-in-the-middle Punkt dostępowy, który rozgłasza SSID należące do autoryzowanej sieci, chociaż on sam nie jest autoryzowany. Punkt dostępowy zlokalizowany w pobliżu autoryzowanej sieci rozgłaszający popularne SSID, którego z wysokim prawdopodobieństwem będą poszukiwać urządzenia przenośne, aby się z nim powiązać. Przykłady takich SSID to np. Linksys (domyślne SSID urządzenia) i airport (typowe SSID hotspotu) Punkt dostępowy, który jest podłączony do autoryzowanej sieci, bez autoryzacji na takie połączenie, fizycznie. (nie wykrywane w wersji 8.21) Atak, w którym urządzenie podszywa się pod inne, zwykle autoryzowane urządzenie. Spoofing przyjmuje formę stosowania adresu MAC innego urządzenia Urządzenie, które posługuje się BSSID (adres MAC) należącym do innego, autoryzowanego punktu dostępowego. Autoryzowany punkt dostępowy, którego BSSID został zduplikowany jest określany jako spoofed AP Denial of Service (DoS) Denial of Service (stacje końcowe) Denial of Service (punkty dostępowe) Nieautoryzowane przekazywanie lub routing (Unauthorized forwarding or routing) Zaciemnianie (Chaff, Obfuscation) Ataki DoS to takie, w wyniku których zaatakowany system nie może świadczyć usług lub nie może uzyskać dostępu do usług. Jest to podzestaw ataków DoS, kierowany do stacji końcowych. Zwykle wpływa on tylko na te stacje. Przykładem może być zalewanie stacji komunikatami odwołującymi uwierzytelnianie. Stacja zostanie odłączona od sieci za każdym razem, gdy otrzyma taki komunikat. Są to ataki DoS skierowane na punkty dostępowe. Ich celem jest uniemożliwienie świadczenia usług sieciowych przez punkt dostępowy, a tym samym zablokowanie dostępu do sieci dla wielu stacji końcowych. Przykładem może być zalewanie punktu dostępowego komunikatami autoryzacyjnymi lub związanymi z przypisaniem nowego urządzenia Odnosi się do ataków, gdzie urządzenie przekazuje pakiety pomiędzy sieciami, pomimo że nie posiada na to pozwolenia. Przykładem mogą być urządzenia, które zachowują się jak punkty dostępowe soft AP lub należą jednocześnie do sieci ad hoc oraz autoryzowanej sieci przewodowej lub bezprzewodowej. Celem ataku zaciemniającego jest ukrycie obecności sieci lub ataków na sieci. Ataki tego typu mogą przeciążyć system WIPS/WIDS i spowodować jego unieruchomienie lub przynajmniej ukryć przed nim obecności bardziej poważnych ataków. Forma ataku, w której atakujący wprowadza swoje pakiety w komunikację pomiędzy dwoma urządzeniami, tym samym urządzenia będą traktowały te pakiety jako autoryzowane. Szczególnie podatne na Wstrzykiwanie Urządzenie, które używa adresu MAC innej, zazwyczaj pakietów (Packet autoryzowanej stacji końcowej Injection) tego typu ataki są otwarte sieci WLAN. (nieobsługiwane w 8.21)

12 Zapobieganie zagrożeniom przez Radar w v8.21 Automatyczne umieszczanie na czarnych listach klientów związanych z atakiem - Jest to rozszerzenie oferowanej już przez Enterasys funkcji tworzenia białych i czarnych list użytkowników. Administrator może konfigurować czas przez jaki klient pozostaje na czarnej liście (lub usuwać go z białej listy). Gdy ta funkcja jest włączona, wówczas dostęp do sieci stacji końcowej przeprowadzającej jeden z określonych ataków zostanie zablokowany. Ważne jest aby zrozumieć, że dostęp stacji końcowej do sieci zostanie automatycznie zablokowany tylko w przypadku, gdy udaremni to atak. Jest to najbardziej skuteczne w walce z aktywnym łamaniem kodów szyfrujących, ponieważ może zapobiec ujawnieniu klucza szyfrującego przez stację. W większości przypadków, umieszczanie użytkownika na czarnej liście nie jest realizowane, ponieważ w ten sposób atak mógłby nie zostać złagodzony.

13 Zapobieganie zagrożeniom przez Radar w v8.21 Funkcja ograniczania poziomu ruchu stosowana do pakietów, które wykorzystywane są do ataków DoS - Ataki DoS zazwyczaj opierają się na wysyłaniu wielu pakietów określonego typu do punktu dostępowego lub stacji końcowej. Może to nie tylko powodować blokadę punktu dostępowego, ale także doprowadzić do przeciążenia serwera back end (np. RADIUS), a w efekcie także uniemożliwić świadczenie przez niego usług sieciowych. Punkt dostępowy może być skonfigurowany by odrzucać pakiety danego typu, gdy zostanie przekroczony określony próg. Odrzucane są wszystkie pakiety, które są tego samego typu co te służące do zalewania sieci. Możliwe jest zatem, że niektóre pakiety tego samego typu wysłane przez autoryzowane stacje końcowe zostaną również odrzucone, w imię zmniejszenia całkowitego obciążenia sieci.

14 Zapobieganie zagrożeniom przez Radar w v8.21 Ochrona autoryzowanych stacji przez powiązaniem z niewłaściwym urządzeniem - Radar może być skonfigurowany do ochrony autoryzowanych stacji przed ich roamingiem do przyjaznych punktów dostępowych, fałszywych punktów dostępowych lub pułapek honeypot. W przypadku wersji 8.21 tylko klienci punktów dostępowych serii 3700 są chronieni. Zakres ochrony zostanie rozszerzony w następnych wersjach. Ochrona dowolnych stacji przez powiązaniem z niewłaściwym urządzeniem - Radar może być tak skonfigurowany by chronić każdą stację przed połączeniem z wewnętrzną pułapką honeypot lub fałszywym punktem dostępowym. Punkty dostępowe, które udają, że są częścią autoryzowanej sieci nie powinny być stosowane przez nikogo, w tym przez nieautoryzowane stacje znajdujące się w autoryzowanej sieci.

15 Zapobieganie zagrożeniom przez Radar w v8.21 Radar nie będzie stosował żadnych środków zapobiegawczych (poza powiadamianiem), jeżeli nie został w tym celu odpowiednio skonfigurowany Stosowanie środków zapobiegawczych może być dowolnie konfigurowane według profilu skanowania np. profil skanowania typu in-service

16 Konfiguracja funkcji bezpieczeństwa Radar Dodanie adresu IP kontrolera do panelu mechanizmu analiz i skonfigurowanie interwału odpytywania oraz liczby powtórzeń Uruchomi to mechanizm zbierania danych Radar

17 Konfiguracja krok 2 Stworzenie grupy skanowania In-Service, należy zaznaczyć scan for security threats ( skanuj w poszukiwaniu zagrożeń bezpieczeństwa ) Jeżeli konfigurujemy 3725, dostępne są opcje skanowania offchannel po dodaniu do profilu

18 Konfiguracja krok 3 Konfiguracja określonych środków ochrony; 3725 posiada dodatkowe opcje dla danej liczby kanałów chronionych jednocześnie

19 Konfiguracja krok 4 Przypisanie punktów dostępowych do grupy i zapisanie konfiguracji

20 Utrzymanie sieci WLAN Widok utrzymaniowy (Maintenance) zapewnia administratorom zdolność do klasyfikowania lub ponownego klasyfikowania zgłoszonych zagrożeń

21 Funkcja analiz widma w Radar (1/2) Analiza widma z klasyfikacją zakłóceń jest obsługiwana przez punkty dostępowe 3705, 3710, 3725 i 376x Wyniki analiz widma, wysyłane z punktu dostępowego, są przesyłane do Radar i DRM Mechanizm klasyfikujący, obecnie, pracuje w paśmie 2.4GHz i wykrywa 5 źródeł zakłóceń: mikrofale, fale stałe, telefony bezprzewodowe, urządzenia Bluetooth i Video Bridge Analizy widma mogą wykrywać źródła zakłóceń podczas normalnej pracy sieci (analizy widmowe aktywnego kanału) Skanowanie widma może być przeprowadzane w kanałach 20MHz lub 40MHz

22 Funkcja analiz widma w Radar (2/2) Dane dotyczące widma mogą być prezentowane dość często, od jednego źródła zakłóceń na czas przebywania w kanale do łącznie 200 zdarzeń na sekundę, na każde źródło Klasyfikacja wzorców jest realizowana przez oprogramowanie, wpływ na wydajność pracy punktu dostępowego jest widoczny, szczególnie w przypadku urządzeń 1-rdzeniowych, takich jak 3705 Wpływ na wydajność pracy punktów dostępowych 3710 i 3725 powinien być minimalny (<5%), architektura 2-rdzeniowa zapewni izolację i wystarczającą moc obliczeniową

23 Funkcje Radar i analizy widma Komponenty Radar będą aktywne, gdy punkt dostępowy zostanie dodany do grupy skanowania, która wymaga analizy widma Gdy zostanie włączona funkcja analizy widma, Radar uruchamia mechanizm analiz widma w punkcie dostępowym (jeżeli nie został już uruchomiony przez inne funkcje, np. DRM) Radar zbiera zdarzenia z mechanizmu widmowego i przetwarza je tworząc tzw. Interference Events - Komponent musi utrzymywać częstotliwość i stan źródła zakłóceń - Aktywne źródło zakłóceń, to takie które zostało zarejestrowane przez mechanizm analiz widma, przynajmniej raz w ciągu ostatnich 5 sekund - Źródło zakłóceń nie jest uznawane za aktywne jeżeli nie zostało wykryte żadne zdarzenie pochodzące z tego źródła w ciągu ostatnich 5 sekund - Identyfikacja źródła zakłóceń przy rozdzielczości częstotliwości wynoszącej 5MHz - Raport o zarejestrowanych zakłóceniach zawiera informacje o: częstotliwości (zawsze wielokrotność 5MHz związana z rozdzielczością narzędzia raportującego), typie zakłócenia, początku/końcu zakłócenia oraz punkcie dostępowym

24 Konfiguracja analiz widma Ten sam tok postępowania co w przypadku zapobiegania zagrożeniom bezpieczeństwa ma miejsce dla analiz widma możliwe jest skonfigurowanie jednej grupy dla obsługi obu tych funkcji

25 Analiza widma w DCS Gdy uruchomiona jest funkcja analiz widma i DCS pracuje w trybie aktywnym, wówczas jeżeli źródło zakłóceń jest wykrywane dłużej niż określona wartość progowa to realizowana jest zmiana kanału. Alarm jest generowany przy każdym przełączeniu kanału. Gdy uruchomiona jest funkcja analiz widma i DCS pracuje w trybie monitorowania, wówczas jeżeli źródło zakłóceń jest wykrywane dłużej niż określona wartość progowa to generowane są alarmy. Alarm zawiera typ i częstotliwość wykrytego źródła zakłóceń.

26 Konfiguracja analizy widma w DCS Konfiguracja określonego źródła zakłóceń w ramach DCS jest możliwa w menu: AP>Radio>Advanced, po wybraniu trybu pracy active/monitor dla DCS

27 Monitorowanie i raportowanie Funkcja raportowania Radar oferuje wiele raportów w ramach kontrolera, jak również integrację z NetSight OneView Raporty dostępne w Radar: aktywne zagrożenia, aktywne środki zapobiegawcze, klienci na czarnej liście, stan systemu, raport dotyczący bezpieczeństwa WLAN (eksport do pdf), podsumowanie informacji o zagrożeniach, historia zagrożeń oraz starsze zagrożenia

28 Dziennik zdarzeń Radar Logi generowane przez Radar zostały zoptymalizowane i są włączone w dzienniku zdarzeń kontrolera i widoczne jako zdarzenia (w widoku logów lub panelu sterowania kontrolera)

29 Integracja Radar z OneView Raporty generowane przez Radar są przesyłane z kontrolerów do NetSight i prezentowane w menu Wireless w zakładce Threats

30 Dziękuję za uwagę!