Wi-Fi Безопасность
Стратегия построения и обеспечения Безопасности сети стандарта Wi-Fi
Все еще нередко приходится слышать, что сеть беспроводного доступа WiFi-стандарта не безопасна в сравнении с проводными решениями LAN. Но на настоящем этапе развития технологии Wi-Fi это утверждение неверно. Просто безопасностью надо заниматься (проектировать и поддерживать), как и в случае проводной сети.
Можно констатировать факт, что практически наихудшая политика сейчас - это просто запрещать использование Wi-Fi в компании. Чаще всего сотрудники начинают приносить собственные дешевые маршрутизаторы с Wi-Fi (уровня решений «для дома) просто потому, что использовать Wi-Fi - это удобно. А для компании такое устройство, установленное неопытным пользователем, - огромная дыра в безопасности. Известны случаи, когда крупные компании, долгое время запрещавшие любое оборудование Wi-Fi, обнаруживали после специального обследования, что в их офисах в действительности уже работают тысячи несанкционированных устройств. Поэтому стоит использовать Wi-Fi, как минимум, для контроля радиосреды и выявления чужих (rogue) устройств.
Часто можно слышать вопрос – как гарантировать то, что сигнал сети WiFi не выйдет за пределы зданий компании? Некоторые «специалисты» предлагают использовать направленные антенны у точек, расположенных вблизи внешних стен внутри здания или использовать точки-приманки с антеннами, вынесенными за пределы здания, чтобы отлавливать хакеров. К сожалению, подобные техники не предоставляют достаточного уровня защиты, так как в реальности просто невозможно предсказать, как будут распространяться сигналы внутри здания. Например, обычное переотражение сигнала от металлических шкафов с многократным наложением может привести к конструктивной интерференции с усилением сигнала, который легко выйдет за пределы здания. Или хакер может использовать направленные антенны с большим коэффициентом усиления, что позволяет улавливать даже очень слабые сигналы за пределами здания, как и передавать информацию в сеть и т.п. Все это говорит о том, что единственный верный подход с беспроводными решениями WiFi, так же как и с проводными, это строить глубокоэшелонированную оборону сети. Уже давно известно, что защита любой инфраструктуры одними лишь методами создания охраняемого периметра неэффективна, так как чаще всего наиболее опасные атаки вызваны факторами внутри сети, например:
- собственные сотрудники
(попавшие, скажем так, под влияние методов социального инжиниринга; статистика говорит, что около 90% успешных атак в реальности были проведены при прямом или косвенном участии сотрудников самих компаний-жертв);
- внедренные вредоносные программы (вирусы, трояны, черви, программы введенные в сеть через зараженные веб-сайты);
- пир-то-пир коммуникации и внедрения через данный канал;
- гости компании, получившие какой-либо доступ к сети и т.п.
А совсем недавно появились вирусы, которые способны заражать не только устройства пользователей, но и слабозащищенную сетевую инфраструктуру Wi-Fi.
Построение системы безопасности сети стандарта Wi-Fi должно учитывать и все эти факторы, чтобы максимально приблизиться к схожему уровню безопасности проводного и беспроводных сегментов сети.
Основные компоненты для построения системы Безопасности беспроводной сети:
- Контроль доступа.
- Аутентификация пользователей.
- Шифрование трафика.
- Система предотвращения вторжений в беспроводную сеть.
- Система обнаружения чужих устройств и возможности их активного подавления.
- Мониторинг радиоинтерференции и DoS-атак.
- Мониторинг уязвимостей в беспроводной сети и возможности аудита уязвимостей.
- Функции повышения уровня безопасности инфраструктуры беспроводной сети, например, аутентификация устройств (Х.509 и т.п.), защита данных управления - MFP / Management Frame Protection.
Основные задачи при построении глубокоэшелонированной обороны:
1. Обеспечение контроля доступа
знание того, кто находится в сети (аутентификация), какие ресурсы пользователь может использовать, применение политик контроля доступа для трафика этих пользователей.
2. Целостность и надежность
обеспечение того, что сама сеть доступна как ресурс критичный для бизнеса и что возникающие опасности разного рода могут быть идентифицированы и найдены и применены пути их обхода.
3. Обеспечение секретности
обеспечение того, что трафик на сети не доступен для неавторизованных пользователей.
Компания Аруба (Aruba), один из ведущих разработчиков решений для сетей WiFi в мире, предложила шесть стратегий для архитекторов проектов, которые обозначают подходы к повышению общего уровня безопасности беспроводной сети и построения глубокоэшелонированной обороны:
Стратегия 1: Аутентификация и Авторизация всех пользователей сети WiFi.
Стратегия 2: Конфигурировать VLAN-ы для разделения трафика (например гости/сотрудники, высокий уровень доступа/низкий уровень доступа и т.п.) и введения первичного, грубого сегментирования.
Стратегия 3: Использовать межсетевые экраны на уровне портов для формирования более тонкого уровня безопасности.
Стратегия 4: Использовать шифрование на всей сети для обеспечения секретности.
Стратегия 5: Определять опасности целостности сети и применять методы решения этих проблем.
Стратегия 6: Включить обеспечение безопасности конечных устройств в общую политику безопасности.
Рассмотрим данные стратегии подробнее:
Стратегия 1 / Аутентификация и Авторизация всех пользователей сети Wi-Fi
Стартовой точкой создания любой инфраструктуры WiFi с глубокоэшелонированной обороной является аутентификация. Аутентифкация в сети стандарта WiFi должна применяться на самой ранней начальной точке входа любого пользователя или устройства в сеть на уровне порта еще до получения IP-адреса. После положительного прохождения аутентификации должна быть пройдена авторизация, которая дает возможность понять, кто этот аутентифицированный пользователь, что он может делать в сети, куда он может получать доступ. Стандарт предлагает использовать гибкое решение - 802.1х, которое поддерживает большое количество протоколов аутентификации от цифровых сертификатов до методов с логином/паролем. Также 802.1х поддерживается большим количеством платформ - от дешевых КПК и смартфонов до настольных компьютеров и серверов. Модуль 802.1х (суппликант) встроен в последние версии Windows и MacOS, а также во многие операционные системы для смартфонов, хотя пока и не на 100%. Можно найти программы-суппликанты 802.1х (802.1x клиент) практически для любой популярной операционной системы.
Подробнее о IEEE 802.1x
802.1x - это система, стандартизованная IEEE и адаптированная рабочей группой 802.11i для формирования контроля доступа c основой на создании и контроле портов.
Некоторые детали:
- процесс ассоциации 802.11 создает виртуальный порт для каждого клиента WiFi на Точке Доступа WiFi;
- ТД Wi-Fi блокирует все фреймы данных, которые не соответствуют трафику 802.1х;
- 802.1х-фреймы переносят (туннелируют) пакеты аутентификации EAP, которые перенаправляются Точкой Доступа WiFi (или Контроллером сети стандарта Wi-Fi в централизованной архитектуре) к серверу ААА;
- если аутентификация на базе EAP прошла успешно, ААА-сервер отправляет к ТД сообщение успешного завершения (EAP success), затем уже ТД разрешает трафику данных от клиента WLAN пройти через виртуальный порт;
- еще до открытия виртуального порта устанавливается шифрование канала обмена данными между клиентом WLAN и ТД, чтобы гарантировать, что никакой другой клиент WLAN не сможет получить доступ к этому установленному виртальному порту для данного клиента, который проходит аутентификацию.
Рекомендации по использованию протокола EAP
Используйте методы аутентификации второго уровня 802.1х EAP, которые включают в себя создание шифрованных туннелей. Например это:
- EAP-PEAP,
- EAP-TLS,
- EAP-TTLS.
Не используйте протоколы типа EAP, которые не поддерживают туннелирование, например EAP-MD5 или LEAP.
Рекомендации по использованию суппликантов 802.1х
Надо быть аккуратными при использовании суппликантов 802.1х. Многие суппликанты предоставляют опции:
- для проверки серверных сертификатов;
- для настройки доверия только определенным серверам аутентифкации;
- для настройки доверия только сертификатам определенных авторизованных центров сертификации (CA/Certificate Authorities);
- для разрешения конечному пользователю добавлять новые доверенные сервера или СА.
Для достижения наивысшего уровня безопасности всегда используйте наиболее жесткие ограничения. Серверный сертификат всегда должен проверяться на стороне клиента. Клиент должен доверять только ограниченному набору СА. Для большей безопасности лучше, если это будет СА внутри корпоративной сети под максимальной защитой, нежели внешний публичный СА. Конечному пользователю не надо разрешать (надо запрещать) добавление новых доверенных серверов аутентификации или СА.
Построение глубокоэшелонированной обороны сети стандарта WiFi может быть успешным только в случае реализации авторизации пользователей после успешной аутентификации. Критично важно, что привилегии пользователя на сети базируются не только на уровне его персональной идентификации, но и на таких более интеллектуальных факторах, как:
- идентификация устройства пользователя;
- текущий уровень безопасности этого устройства;
- местоположение пользователя;
- время суток;
- использовавшийся метод аутентификации.
Например, пользователь, проверяющий свой корпоративный ящик с домашнего компьютера в выходной, может получить доступ к почте только, если домашний компьютер имеет и использует подходящую версию межсетевого экрана и антивируса с последним обновлением базы данных. В случае несоответствия пользователь может быть перенаправлен на страницу для скачивания такого программного обеспечения, чтобы получить доступ в сеть в соответствии с политикой безопасности. Или использование определения местоположения пользователя позволяет применить такие правила, как ограничение его доступа к приложениям, содержащим конфиденциальные сведения, из небезопасных мест, например, корпоративного кафе.
На практике очень удобно, когда весь необходимый функционал аутентификации, идентификации, авторизации, гостевого доступа и т.п. собран в одном устройстве с удобным интерфейсом управления. На момент написания данной статьи наиболее продвинутое решение имеет компания Cisco Systems – это Cisco ISE / Identity Services Engine.
Стратегия 2 / Использование VLAN-ов для разделения трафика и введения первичного, грубого сегментирования для обеспечения безопасности сети стандарта Wi-Fi
VLAN-ы (Virtual Local Area Network) по своей природе - это немаршрутизируемые сегменты трафика. В большинстве современных зданий приходится обеспечивать довольно большие объемы маршрутизации IP-трафика, чтобы связать отдельные сегменты сети, построенные на VLAN-ах. В кампусах роутингом приходится заниматься еще больше. В итоге с большим количеством VLAN-ов часто можно наблюдать возникновение проблем с управляемостью такой системой. И сложности могут только нарастать при добавлении сети WiFi или WLAN (Wireless Local Area Network) в общую сетевую инфраструктуру. Для упрощения можно использовать методы поддержания мобильности между разными SSID, а также стремиться сохранить текущую схему IP-адресации. Важно, чтобы выбранное решение WLAN обеспечивало работу с множеством различных VLAN вокруг(позади) одного SSID. Это дает возможность реализовывать различные политики безопасности внутри инфраструктуры основываясь на результатах авторизации пользователя не нагружая пользователя, при этом, сложными правилами. Например чтобы получить доступ к сервисам в зоне-Х надо использовать SSID-X и метод аутентифкации Х, а к сервисам в зоне-Y, надо искать SSID-Y и аутентификацю Y. Все политики могут быть реализованы прозрачно и просто для пользователя. В настоящее время это уже довольно обычный функционал в современных централизованных решениях вендоров высокого уровня.
Стратегии Безопасных VLAN-ов:
Ключ к успешному безопасному использованию VLAN-ов это динамическое их назначение. Динамическое назначение является критическим требованием для создания управляемых сетей. Статическое назначение будет вызывать долгосрочные проблемы с поддержкой и препятствовать возможностям мобильности конечных пользователей. Путем введения процедуры аутентификации в любой точек доступа в сеть безопасная ИТ-инфраструктура может поддерживать быстрые изменения и перемещения сотрудников поодиночке или целыми отделами с минимальными затратами.
Существует множество путей для динамического назначения VLAN-ов, например:
- основываясь на аутентификационной информации 802.1х,
- основываясь на информации из веб-аутентификации,
- в соответствии с SSID, выбранным пользователем в беспроводной сети,
- основываясь на выявлении какого-либо другого аттрибута, как, например, МАС-адрес устройства, тип устройства, статус текущего состояния безопасности устройства, местоположение пользователя и т.п..
Введение динамического назначения VLAN-ов требует наличия механизма предоставления авторизационной информации во время аутентифкации. В некоторых случаях это может поддерживаться в ручном режиме или используя дополнительные возможности, как, например, списки пользователей с информацией об их возможностях. В случае использования нескольких SSID на сети пользователь запрашивает разрешения на доступ в определенную сеть (или сегмент сети) и затем проходит аутентификацию. При использовании аутентифкации 802.1х у пользователя нет возможности запросить доступ в определенный VLAN, что означает, что такая информация (о VLAN-е куда пользователь должен быть направлен) должна быть сохранена на сервере, который выполняет 802.1х аутентификацию пользователей (например какой-либо RADIUS-сервер с соответствующим функционалом ). Также, как мы говорили ранее, информация по VLAN-у может быть модифицирована в ходе присоединения к сети WiFi-стандарта на основании другой информации, например местоположения пользователя и т.п..
В частности по таким принципам строятся BYOD-решения (BYOD: Bring Your Own Device).
Стратегия 3 / Использовать межсетевые экраны на уровне портов для формирования более тонкого уровня безопасности сети стандарта Wi-Fi
Использование VLAN-ов может быть достаточно для грубой классификации пользователей сети. Но для реальной защиты ценных ресурсов к каждому пользователю должны применяться многосторонние политики управляемые сетевой инфраструктурой. Многие сетевые инженеры пришли к такому же заключению и начали использовать периметральные межсетевые экраны также и внутри сети для того чтобы применять политики безопасности не только в месте выхода в Интернет. Но существует много проблем использования межсетевых экранов внутри сети для исполнения политик безопасности, например:
1. Не проходят пакеты с аутентификационной информацией. Когда межсетевой экран, расположенный глубоко внутри сети, должен принимать решение о доступе, то возникает проблема того, что решение должно приниматься на крайне ненадежной информации (прежде всего на базе IP-адреса откуда пришел запрос) или надо будет ввести еще одну точку остановки для того, чтобы выполнить аутентификацию на этом межсетевом экране. Существует много пропраитарных (собственное ноу-хау вендоров) решений для обходы этих проблем, но типичный подход это использование VPN-ов с аутентифкацией и шифрованием. Это далеко не самый простой, гибкий и удобный способ.
2. Межсетевых экранов внутри сети всегда не хватает, т.к. часто мы имеем большие объемы трафика перетекающие от одной точки на границе сети к другой и пропускать все это через экраны внутри очень дорого. Контроль должен быть привязан к точке входа в сеть, это крайне важно. В настоящее время доступны технологии, такие как 802.1х (помните Стратегию 1) и мощные межсетевые экраны с высокой плотностью портов, что переводит цель применения политик безопасности на уровне портов в экономически обоснованную плоскость.
Проблемы реализации функций тонкого контроля доступа
Существуют две основные проблемы реализации тонкого контроля доступа:
1. Управление процессом:
Как определить и создать политики безопасности и затем как связать их с пользователем проходящим аутентификацию ?
2. Экономика:
Разница в стоимости порта на коммутаторе локальной проводной сети передачи данных LAN высокого класса и на межсетевом экране, выполненном как отдельное устройство, может достигать порядка и более (10-20 раз).
Хотя уже сейчас есть производители коммутаторов LAN, которые производят недорогие свичи с поддержкой 802.1х на портах, например Cisco, HP, Juniper, Huawei.
Стратегии применения тонкого контроля доступа
Любая политика безопасности должна начинаться с определения политики. Хотя технологии решают много проблем, но сложность определения политики никогда не менялась и должна быть проработана в первую очередь. Если политика безопасности для внутренней части сети не может быть определена и согласована нет оснований для движения дальше. Политика безопасности должна основываться:
- на ролях и ресурсах,
- определять кто имеет право доступа и к каким ресурсам,
- как может пользователь получать доступ к ресурсам (чтение, запись, выкладывать туда что-то, получать отттуда что-то и т.п.)
- время суток, когда и к каким ресурсам пользователю разрешен доступ,
- местоположение пользователя.
Хороший рабочий подход состоит в том, чтобы формировать политику безопасности на уровне портов с использованием беспроводной сети доступа. Т.к. безопасность беспроводной сети основывается на идентификации пользователя и, при этом, пользователи не ассоциируются более с физическими портами. Современные решения для беспроводных сетей интегрируют функционал исполнения политик безопасности напрямую внутрь сети стандарта WiFi. При этом очень часто в компаниях пренебрегают построением полноценной системы безопасности на проводных коммутаторах сети LAN. Как часто у вас используется 802.1x на портах коммутаторов?
Это позволяет говорить о том, что использование технологии Wi-Fi, как основного безопасного, удобного и надежного доступа, логичнее и целесообразнее, чем проводного.
Стратегия 4 / Использовать шифрование на всей сети для обеспечения секретности в сети Wi-Fi
Неприкосновенность данных, передаваемых по корпоративным сетям, становится серьезной проблемой. Учитивая что сама сеть несет закрытые данные существует очень серьезная необходимость защиты этих данных от случайного или намеренного перехвата и раскрытия. Это очевидная проблема и для сети WiFi: практически все сетевые инженеры или менеджеры, принимающие решение о развертывании беспроводного решения WiFi, предпочитают использование мощного шифрования. В некоторых случая это и требования регуляторики, как например в США. Шифрование трафика может быть применено на любом уровне модели OSI/ISO. Для многоцелевых решений имеет смысл вводить шифрование ниже по уровням, чтобы покрыть все возможные приложения на сети. Чем ниже включается шифрование, тем больше трафика будет шифроваться и тем меньше вероятность того, что возникнет проблема перехвата, прослушивания и дискредитации информации. Хотя и здесь надо подходить к вопросу разумно, т.к. при совсем низких вариантах применения шифрования данные передаются фактически в открытом виде от приложения до ближайшего линка, на котором выполняется шифрование и здесь уже вероятность дискредитации растет. Возможный подход связан и с шифрованием на уровне приложений, тогда трафик будет зашифрован на всем пути коммуникаций между клиентом и сервером приложения. Но это означает, что и клиент и сервер должны поддерживать шифрование, что может быть очень тяжелой и дорогой задачей.
Сложности при введении в сеть механизмов обеспечения секретности
Когда анализируется формирование механизмов обеспечения секретности в сети с точки зрения обеспечения глубокоэшелонированной обороны, обычное направление мысли это введение шифрования внутрь всей сети WiFi. Стандарт IEEE 802.11i это очень хорошая помощь при разработке обеспечения секретности для сети Wi-Fi. В то же время для проводных сегментов альтернативы не настолько прозрачны. К сожалению 802.11i не применим для проводной сети.
Стратегии при введении в сеть механизмов обеспечения секретности
Для беспроводных сетей введение обеспечения секретности передачи информации довольно простая задача. IEEE 802.11i это стандарт для обеспечения безопасности сети WiFi. Он точно описывает как обеспечивать секретность и целостность данных на сети доступа Wi-Fi с использованием специальных алгоритмов шифрования трафика и методов аутентифкации, основанных на 802.1х (см. Стратегию1). При возникновении задачи обеспечения безопасности и шифрования на беспроводной сети начинать надо с решений, построенных на стандарте 802.11i и обладающих высокой интероперабельностью с другими беспроводными элементами.
Альтернативы для проводной сети LAN включают обычно пропраитарные решения шифрования канала на втором уровне и, чаще всего, не выше.
Стратегия 5 / Определять опасности целостности сети стандарта Wi-Fi (Integrity) и применять методы решения этих проблем
Существуют три основных вопроса безопасности:
- контроль доступа,
- обеспечение секретности (шифрование),
- обеспечение целостности.
Последний, как правило, вызвает наименьший интерес, т.к. определение опасностей на сети может быть очень сложным делом. Некоторые опасности могут быть легко выявлены и решены, в то время как другие очень сложны в детектировании и противодействии. Во многих компаниях ИТ-службы фокусируются на подходах противодействия опасностям на принципах «строим межсетевые экраны», но опасности могут прийти откуда угодно: черви и вирусы, гости компании с доступом в беспроводную сеть, неаккуратные сотрудники или сотрудники со злым умыслом внутри компании.
Обычно все начинается с использования IDS / Intrusion Detection System (системы обнаружения вторжений) и идентификации опасностей с ее помощью. IDS это очень ценный инструмент в арсенале аналитика сетевой безопасности, но многие корпорации обнаружили, что IDS часто не слишком удобна для прямого определения опасности и противодействия непосредственной угрозе. Часто IDS скорее работает как анализатор протоколов: это инструмент диагностики и идентификации проблем для аналитика больше чем Первая линия обороны против атак на целостность сети. Вендоры систем безопасности предлагают большой выбор продуктов для обеспечения безопасности от IPS или IDS (Intrusion Detection System) до межсетевых экранов уровня приложений и весьма специфичных инструментов, которые разрабатываются для борьбы с определенными типами опасностей, например сетевых червей. Даже более приземленные компоненты, такие, например, как сканнеры вирусов перемещаются на сетевые устройства, пытаясь отловить вирусы «на лету» во время передачи трафика по сети.
Проблемы обеспечения целостности сети (Integrity)
Наибольшая проблема в управлении безопасностью сети это определение адекватного баланса между риском и затратами. По продуктамм для безопасности довольно сложно определять показатели возврата инвестиций (ROI). Очевидно, что все надеятся получить защиту от полного выхода сети из строя, но добавляя инструменты проверки целостности в сеть очень сложно получить хорошую метрику того, насколько менее часто сеть становится недоступной или деградирует именно по проблемам безопасности. Наиболее часто возникающая проблема при развертывании продуктов обеспечений целостности сети (например IPS) это высокий уровень распределенности большинства сетей. Если в силу дизайна сети нет возможности видеть трафик, то нет возможности определять опасности и аномальное поведение(например в коммутируемой сети трафик не виден на всех портах свичей и для обхода необходимы специальные действия – например конфигурация зеркалирования типа SPAN и т.п.). Когда анализируются зоны развертывания инструментов целостности порой возникают проблемы с оценкой опасности риска как такового. Успешная интеграция таких инструментов требует понимания, о каких опасностях идет речь и что необходимо делать, чтобы их выявить. Пока риск в общем не ясно как измерять, то можно просто составить список опасностей, начальную стратегию решения проблем и т.д.. Это позволит начать движение к определению верной стратегии по гарантированию целостности сети.
Стратегии обеспечения целостности сети (Integrity)
Наиболее успешные стратегии будут определять зоны наивысшего риска и сначала концентрироваться именно на них. Это половина пути в верном направлении. Вторая половина фокусируется на решении таких задач как борьба с троянами, вирусами, вредоносным ПО и т.п.. Эти опасности могут вызвать не только деградацию сети и производительность, но и давать доступ к закрытой информации или вызывать полный отказ в обслуживании. Риск инфицирования очень высок и риск для сети также высок в случае инфицирования. Поэтому в корпорациях уже нормальная практика иметь стратегии идентификации вирусов и противодействия им. Те кто пока не добавил модули определения вредоносного ПО или шпионских программ в антивирусные программы должны сделать это как можно скорее, т.к. риск слишком велик.
Большинство межсетевых экранов имеют ограниченные возможности IPS, например защита от атак типа DoS / Denial of Service (отказ в обслуживании) и DDoS (распределенный отказ в обслуживании). Хотя для реализации такого функционала требуется некоторое дополнительное конфигурирование такие устройства могут увеличить уровень защиты сети от атак на целостность без дополнительных затрат и с малым дополнением к операционным затратам. Хотя распределенные сети являются типовым подходом при проектировании возможно стоит задуматься о стратегии большей централизации, когда осознанно вызникает необходимость заниматься мониторингом целостности сети и идентифицировать соответствующие опасности. Например отправка всего трафика в основной Датацентр и использование для этого в центре небольшого количества коммутаторов и маршрутизаторов даст возможность как обеспечения недорогого мониторинга сети, так и, когда возможно, развернуть системы безопасности типа IPS.
Стратегия 6 / Включить обеспечение безопасности конечных устройств стандарта Wi-Fi в общую политику безопасности
Пользовательские устройства стандарта Wi-Fi здесь это широкий дипазон от корпоративных лаптопов, полностью контролируемых ИТ-службой, до различных собственных устройств инфицированных всем чем угодно. Пользователь, который успешно прошел идентификацию, должен получать различные привилегии в зависимости от системы (устройство, операционная система, статус безопасности и т.п.), которая используется для доступа. ИТ-службы обычно имеют представление о данной проблеме безопасности конечных устройств и имеют такие инструменты, как антивирусное программное обеспечение, персональные межсетевые экраны на пользовательских устройствах, система управления обновления на новые релизы программного обеспечения (patch management). Следующий шаг это проверка: исполнение политик относительно безопасности конечного устройства путем изменения условий доступа в сеть основываясь на выявленном статусе безопасности конечной системы. Здесь используется одна простая идея – определять статус безопасности конечного устройства (posture) и применять эту информацию для контроля доступа.
Сложности в исполнении политик безопасности на конечных устройствах
Существую следующие наиболее сложные проблемы исполнения политик безопасности основываясь на статусе безопасности конечных устройств (posture):
- основная проблема это большое колечество систем, используемых в корпоратиынх сетях. Соответственно загрузка и исполнение специального ПО на каждую систему для проведения анализа безопасности это упражнение с неоднозначным результатом, при котором стоит надеятся на смешанные результаты,
- еще одна проблема это гранулярность анализа. Например, если анализ конечной системы показал, что требуемый персональный межсетевой экран загружен в систему, но база данных сигнатур устарела – система отвечает требованиям политики безопасности или нет? В то же время процедура определения уровня безопасности (posture) может работать по разному и учитывать, например, кто есть пользователь и какие ресурсы он может использовать. Соответствие статуса безопасности политике может быть сложно для определения без учета других факторов, например определенной бизнес-логики внутренних корпоративных процессов.
Стратегии в исполнении политик безопасности на конечных устройствах WiFi
Для использования информации о статусе безопасности конечных систем внутри общих политик безопасности, учитывающих состояния, определение каждой политики должно включать уровень соответствия статуса безопасности конечного устройства. Хорошая практика состоит в уменьшении объема анализа безопасности конечной системы и сведение его к зоновым определениям, поддерживая количество зон насколько возможно малым – три или четыре зоны должно быть достаточно для большинства компаний. Вторая хорошая практическая идея состоит в том, что если пользователь пытается получить доступ в сеть, но статус безопасности его системы не отвечает политике простое блокирование этого пользователя далеко не всегда лучший выход. Вместо этого пользователь должен получить соединение и должен быть перенаправлен в карантинную зону сети, где он может скачать необходимое программное обеспечение (антивирус, межсетевой экран, агент безопасности и т.п.) или провести обновление баз данных, чтобы выйти на допустимый уровень безопасности персональной системы. Затем уже этот пользователь может получить полный доступ к его корпоративным ресурсам.
Больше информации по безопасному использованию различных мобильных устройств на сети Wi-Fi и конкретному подходу к формированию подходящего решения находится здесь.
Больше информации по атакам на сетвую инфраструктуру в целом и на сеть Wi-Fi в частности находится здесь.
Присоединяйтесь к нашей группе на Facebook: www.facebook.com/Kom.Way.ru
Мы публикуем новости, информацию о выходе новых статей и расширении контента основных модулей ресурса komway.ru
Kom-Way.Team
Использование материалов этого сайта разрешено только с согласия komway.ru и наличии прямой ссылки на источник.
blog comments powered by Disqus