Motorola AirDefense vezeték nélküli hálózatvédelem

A kifejezetten vállalati felhasználásra fejlesztett „AirDefense Enterprise” a jelenleg kapható legrobusztusabb hálózat védelmi rendszer, amely a vezeték nélküli hálózatok (WLAN) behatolás és feltörés védelmét (WIPS) hivatott biztosítani. A Motorola AirDefense megoldása átfogó és mindenre kiterjedő védelmet biztosít a vezeték nélküli támadásokkal szemben, figyelemmel kíséri a hálózati szabályok (network policy) betartását, monitorozza a teljesítményt és az adatforgalmat, ezen kívül fizikai helymeghatározással segíti a nemkívánatos eszközök beazonosítását, majd a hálózatból történő kizárást.

Az AirDefense úgynevezett hálózati szenzorok segítségével (AP300, AP7131) pásztázza a védelem alá eső hálózatot, folyamatosan, 24 órás felügyeletet biztosítva. Az erre a célra kifejlesztett célszámítógépen az AirDefense szerver a teljes 802.11a/b/g hálózati forgalmat szemmel tartja. A valós-idejű működés során az elérhető legmagasabb szintű hálózatbiztonságot garantálja oly módon, hogy az idegen vezeték nélküli eszközök valamennyi típusát és a betörési kísérlet módját felismeri és azonosítja, majd a lehető leghamarabb letiltja a hálózathoz történő hozzáférési kísérletet.

Összetett védelem a hálózat feltörési és behatolási kísérletek ellen

Az „AirDefense Enterprise” a jelenleg kapható legnagyobb tudású és legkifinomultabb vezeték nélküli hálózat-védelmi rendszer. A hálózatba történő betörési kísérletek elhárítása érdekében a támadási kísérleteket az észlelés pillanatától kezdve analizálja, majd összeveti a mért adatokat a korábban eltárolt információkkal. A vezeték nélküli támadások súlyát a környezeti paraméterek figyelembe vételével határozza meg, és a normálistól eltérő, furcsa „viselkedésű” eszközökre azonnal felfigyel a rendszer.

Az AirDefense többdimenziós algoritmusa lehetővé teszi, hogy a hamis riasztások száma elenyésző legyen, és csak a tényleges, valós veszélyhelyzetre hívja fel a hálózat biztonságért felelős informatikusok figyelmét. A valós veszélyhelyzetek automatikus felismerését pedig az iparág legnagyobb tudású „esemény könyvtára” támogatja, több mint 200 eltérő típussal. A vezeték nélküli támadások és behatolási kísérletek alábbi típusait ismeri fel a rendszer:

• felderítés (véletlenszerű állomások, hamis AP, rosszul konfigurált AP-k),
• belehallgatás (szótár alapú támadás, „szivárgó” AP, WEP/WPA/LEAP feltörés),
• álcázás (MAC cím hamisítása, vezeték nélküli adathalászat),
• adat beszúrás (új állomás belépése a két fél közé, multicast/broadcast üzenetszórás), végül
• DoS támadások (kapcsolat elvesztése, időfoglalási mező felülírása, RF zavarás).

A hibajelzések a vállalaton belül egy előre megtervezett útvonalon kerülnek továbbításra szűrés és sorba állítás után, és arra is van lehetőség, hogy a hibajelzések egy önálló alkalmazás által kerüljenek kiértékelésre és feldolgozásra.

Automatizált védelem

Az AirDefense automatikusan reagál a beérkező és hálózatot ért támadásokra, és leállítja a gyanús ismeretlen eszközt mielőtt még bármilyen kárt okozhatna az a rendszerben. A válaszadás mind a vezetékes, mind a vezeték nélküli hálózatra kiterjed. Egy eszköz kizárását illetve leállítását alapos ellenőrzés és részletes analízis előzi meg, amelyről - a későbbi visszakereshetőség érdekében - elektronikus mentés készül. Ez auditálási célokra is használható.

A beavatkozási művelet során a hálózat rádiósan fedett területére behatoló eszközök rádiós kapcsolódását (asszociáció) az észlelést követően letiltja, ha pedig vezetékes hálózati porton keresztül történik a behatolási kísérlet, akkor az adott port azonnal letiltásra kerül.
Az idegen, úgynevezett „hamis” AP-k jelentik a legnagyobb veszélyt a vezeték nélküli hálózatokra. Az ismeretlen eszközök között lehetnek veszélytelen szomszédos AP-k , amelyek egy másik irodából vagy épületből sugároznak a védendő területre. Ezek felismerése az AirDefense számára nem okoz gondot, így csak a valóságos veszélyt magában hordozó idegen AP-t zárja ki a rendszerből.

A vállalat belső informatikai rendszerének való megfelelőség

Az AirDefense „Enterprise” egy modern eszköz a hálózati adminisztrátorok és rendszergazdák kezében, amelynek használatával definiálni és felügyelni tudják a vezeték nélküli LAN belső működését, biztonság, teljesítmény és hálózati hozzáférhetőség szempontjából egyaránt.

A gyakorlati tapasztalatok alapján a rádiós elemek hibás vagy hiányos konfigurációja jelenti a legtipikusabb hálózati rést. A betörési kísérletek leggyakrabban ezen a ponton keresztül történnek. A vállalati belső, szabványos konfigurációtól eltérő beállítású eszközt az AirDefense azonnal észreveszi, és jelzi az eseményt a hálózati adminisztrátornak, valamint megadja részletesen az eltérés jellemzőit.
A hitelkártya kibocsátók, az egészségügyi intézmények és a különféle hatóságok és állami szervek előírásainak való megfelelőség szintén részét képezi az AirDefense csomagnak. Olyan ágazat specifikus direktívákra gondolhatunk, mint a PCI (Payment Card Industry), SOX (Sarbanes-Oxley), HIPAA, GLBA vagy a DoD 8100.1 szabályzatok.

A hálózati események részletes vizsgálata

A vezeték nélküli „események” természetük szerint általában gyors lefutásúak, ami a rendszergazdák számára sok problémát okoz. Egy riasztás esetén a helyszíni vizsgálatra sokszor nincs is idő. Az AirDefense az eszköz történetének időben történő „visszapörgetésével” távolról elemezhetővé tesz minden hálózati eseményt. A történtek felderítése és a szükséges intézkedések meghozatala perceket vesz csak igénybe, így rövid idő alatt kiderül, hol és mi is történt valójában!

Mindezt az teszi lehetővé, hogy valamennyi hálózati elem működése naplózott, mégpedig több hónapra visszamenőleg. Percenként és eszközönként 325 paraméter kerül tárolásra minden pillanatban. Bármelyik gyanúsan viselkedő eszköz jelerőssége, a használt csatorna, a titkosítás módja, a sugárzott adás karakterisztikája és a főbb paraméterek hónapokra visszamenőleg tárolásra kerülnek, és így később lekérdezhetőek.

Hálózati teljesítmény valós-időben

A WLAN forgalom valós-idejű leképezésével az adminisztrátorok számára átláthatóvá válik a hálózat teljes egésze, a hozzáférés és használat, valamint az adatforgalom karakterisztikája, a szomszédos WLAN hálózatból érkező interferencia (zavarjel), a csatornák átfedése és az ebből fakadó esetleges teljesítménycsökkenés. A rendszer valós időben mutatja a túlterhelt Elérési Pontokat (AP), rámutat a forgalmi torlódással sújtott szegmensekre, vagy például a túlzott sávszélesség igényre és használatra.

Helymeghatározás

Az AirDefense egy nagyteljesítményű valós-idejű helymeghatározó modult tartalmaz, ami nagyban segíti a hálózat adminisztrátort abban, hogy a helyszínre érve megtalálja a keresett eszközt. Az épületek alaprajzának importálásával lehetővé válik, hogy az épület helyiségeibe berajzolva lássuk a keresett eszközt.

Innovatív „add-on” modulok

WEP álcázás. A módszer lényege, hogy korábban telepített és modernebb titkosítási módszerre nem frissíthető rendszereket olyan plusz biztonsági elemekkel lát el, amely így az új titkosítási módszerekkel egyenrangúvá teszi. Egyben biztosítja a bankkártya elfogadó - főleg kiskereskedelmi egységekben - a PCI szabványnak történő megfelelést.

Spektrum analízis. A hálózat működési területén észlelhető nem 802.11 kompatibilis zavarjelek detektálására szolgáló megoldás. Ilyen lehet a közelben működő mikrohullámú sütő, zsinór nélküli telefon vagy kamera és persze valamennyi „Bluetooth” eszköz. Az adminisztrátorok így távolról tudják analizálni a vezeték nélküli hálózat fizikai rétegét.

LiveRF. A vezeték nélküli hálózat működését szimuláló valós-idejű kiegészítés, amely színes „élő” képpel segíti láthatóvá tenni az egyes rádiós pontok sugárzási karakterisztikáját, a rendelkezésre álló kapacitás, átbocsátóképességüket, az esetleges lefedettség hiányát, interferencia zavarokat, mindezt egy központi konzolról. Szükség esetén élőképet is biztosít a rendszer, hogy a helyszínre történő kiszállások számát minimalizálni lehessen.

AirDefense összefoglalás

Az „AirDefense Enterprise” a jelenleg ismert legfejlettebb WLAN hálózat védelmi rendszer, amely magában foglalja a „hamis” rádiós eszközök azonosítását, a hálózati belső szabályok betartását, a vezeték nélküli betörések megelőzését illetve megakadályozását, a lefedettség teljes területén. A hálózat biztonság kritikus rétege, amely kiegészíti a vezeték nélküli VPN-t, a különféle titkosítási és felhasználó azonosítási módszereket.

Az AirDefense elosztott szenzorok segítségével detektálja a védendő területen megjelenő idegen eszközöket, felismeri a hálózat feltörési és behatolási kísérletek valamennyi fajtáját, és mielőtt az idegen eszköz bármilyen kárt okozhatna a vállalati rendszerben, működés képtelenné teszi, és kizárja teljesen a rendszerből.

Méretét tekintve skálázható a rendszer akár 150 ezer eszköz felügyeletére, amelyből 35 ezer lehet egyszerre aktív. Központilag menedzselhető, redundáns felépítésű, és a szenzorok installálása távolról percek alatt elvégezhető. A szabadalommal védett algoritmusnak köszönhetően mindössze 3kbit/s sávszélesség igényű a szenzorokkal történő kommunikáció. Jelenleg több mint 10 millió vezeték nélküli eszköz védelmét látja el a világ 5 kontinensén.

AirDefense Magyar nyelvű ismertető