Обратился к нам тут давеча заказчик с вопросом. Мол, внедрили мы мобильный доступ внутри сети, организовали гостевые подключения, и даже BYOD для отдельных категорий высокопоставленных пользователей замутили. Ну все чин чином, как положено при реализации корпоративной мобильности. Все на базе Cisco ISE (небольшая реклама :-) Но при этом возникли ряд проблем, о которых до этого момента никто не думал, находясь на волне интереса к BYOD и даруемым им преимуществам. О возможных проблемах никто не подумал, а они есть.
Начнем с банальных атак в беспроводном эфире. Как их обнаруживать и отражать? Обычные IDS/IPS неспособны это делать, т.к. им нужен доступ либо к проводному каналу, чтобы встать в разрыв, либо к SPAN-порту, чтобу получить копию трафика (в виртуализированной среде к vPath или иному средству перенаправления трафика с нескольких виртуальных машин на заданную).
Другая проблема, ушлые сотрудники, которые ставят собственные точки доступа для облегчения своей работы и перемещений по офису без необходимости подключаться к порту коммутатора. При этом уровень знаний о безопасности у таких сотрудников низкий и настраивать установленное оборудование они не умеют, оставляя его в конфигурации "по умолчанию". С дефолтовыми паролями, с известными учетными записями, с антеннами, бьющими на полную мощность за пределы здания. Этим, разумеется, пользуются злоумышленники, которые обнаруживают такие "левые" точки доступа и через них проникают в сеть.
А еще "левые" точки доступа могут быть установлены в соседних помещениях. Их тоже никто не настраивает как надо и они "фонят" на десятки, а то и сотни метров, мешая работать другим арендаторам в здании. У заказчика, который к нам обратился, такая проблема тоже была. Под кабинетом генерального директора находилось кафе, которое предлагало своим посетителям гостевой доступ в Интернет через Wi-Fi, и мешало нормально работать в корпоративной беспроводной сети. Это обнаружилось уже потом, а до этого айтишники не могли понять, почему у гендиректора фигово все работает. В другом случае, была зафиксирована ситуация, когда злоумышленник поставил в соседнем помещении точку доступа с тем же SSID, что и в компании, развернувшей у себя Wi-Fi, тем самым выступая в качестве "man-in-the-middle" и перехватывая трафик пользователей на себя.
Кстати, посетители кафе представляли и еще одну проблему. В самом кафе им предоставляли ограниченный доступ к Интернет-ресурсам; вот они и пытались найти близлежащие точки доступа и попробовать выйти в Интернет через них. И хотя ISE такие действия отсекал, регулярные попытки подключения к корпоративным точкам сильно мешали, держа постоянно в напряжении и безопасников и айтишников.
Собственно ничего нового в таком отношении к беспроводному корпоративному доступу не было. У 67% компаний нет достаточно проработанных политик (а то они и вовсе отсутствуют) использования беспроводных сетей. У 48% отсутствует регулярное сканирование радиоэфира. А у 66% отсутствуют беспроводные системы предотвращения вторжений.
Собственно после нашей беседы заказчик развернул у себя средства мониторинга и управления беспроводной сетью, позволяющее как раз решать поставленные задачи. В частности, с его помощью стало возможным оперативно отслеживать и автоматически подавлять любые посторонние беспроводные точки доступа и клиенты. В ряде случае, когда автоматическое подавление не представляется возможным, решение задачи облегчает возможность идентификации физического местоположения беспроводного устройства с привязкой к поэтажному плану здания. В зависимости от покрытия здания точками доступа точность может достигать пары-тройки метров.
Помимо функций обнаружени и подавления "чужих" и внутренних нарушителей, такое решение позволило еще и айтишникам получить ряд дополнительных инструментов по отслеживанию мест массового скопления беспроводных пользователей и перестроить свою Wi-Fi-сеть с учетом этой информации (но это уже к ИБ не относится).
Резюмируя, хочу отметить, что внедрение решений по беспроводному доступу должно всегда сопровождаться моделированием угроз, при котором стоит исходить из худшего сценария развития событий. Поэтому помимо средств организации беспроводного доступа стоит подумать о наличии возможностей обнаружения, классификации и нейтрализации посторонних устройств и атак.
Да и регуляторика (приказы 17/21/31 ФСТЭК) говорят об этом же...
Начнем с банальных атак в беспроводном эфире. Как их обнаруживать и отражать? Обычные IDS/IPS неспособны это делать, т.к. им нужен доступ либо к проводному каналу, чтобы встать в разрыв, либо к SPAN-порту, чтобу получить копию трафика (в виртуализированной среде к vPath или иному средству перенаправления трафика с нескольких виртуальных машин на заданную).
Другая проблема, ушлые сотрудники, которые ставят собственные точки доступа для облегчения своей работы и перемещений по офису без необходимости подключаться к порту коммутатора. При этом уровень знаний о безопасности у таких сотрудников низкий и настраивать установленное оборудование они не умеют, оставляя его в конфигурации "по умолчанию". С дефолтовыми паролями, с известными учетными записями, с антеннами, бьющими на полную мощность за пределы здания. Этим, разумеется, пользуются злоумышленники, которые обнаруживают такие "левые" точки доступа и через них проникают в сеть.
А еще "левые" точки доступа могут быть установлены в соседних помещениях. Их тоже никто не настраивает как надо и они "фонят" на десятки, а то и сотни метров, мешая работать другим арендаторам в здании. У заказчика, который к нам обратился, такая проблема тоже была. Под кабинетом генерального директора находилось кафе, которое предлагало своим посетителям гостевой доступ в Интернет через Wi-Fi, и мешало нормально работать в корпоративной беспроводной сети. Это обнаружилось уже потом, а до этого айтишники не могли понять, почему у гендиректора фигово все работает. В другом случае, была зафиксирована ситуация, когда злоумышленник поставил в соседнем помещении точку доступа с тем же SSID, что и в компании, развернувшей у себя Wi-Fi, тем самым выступая в качестве "man-in-the-middle" и перехватывая трафик пользователей на себя.
Кстати, посетители кафе представляли и еще одну проблему. В самом кафе им предоставляли ограниченный доступ к Интернет-ресурсам; вот они и пытались найти близлежащие точки доступа и попробовать выйти в Интернет через них. И хотя ISE такие действия отсекал, регулярные попытки подключения к корпоративным точкам сильно мешали, держа постоянно в напряжении и безопасников и айтишников.
Собственно ничего нового в таком отношении к беспроводному корпоративному доступу не было. У 67% компаний нет достаточно проработанных политик (а то они и вовсе отсутствуют) использования беспроводных сетей. У 48% отсутствует регулярное сканирование радиоэфира. А у 66% отсутствуют беспроводные системы предотвращения вторжений.
Собственно после нашей беседы заказчик развернул у себя средства мониторинга и управления беспроводной сетью, позволяющее как раз решать поставленные задачи. В частности, с его помощью стало возможным оперативно отслеживать и автоматически подавлять любые посторонние беспроводные точки доступа и клиенты. В ряде случае, когда автоматическое подавление не представляется возможным, решение задачи облегчает возможность идентификации физического местоположения беспроводного устройства с привязкой к поэтажному плану здания. В зависимости от покрытия здания точками доступа точность может достигать пары-тройки метров.
Помимо функций обнаружени и подавления "чужих" и внутренних нарушителей, такое решение позволило еще и айтишникам получить ряд дополнительных инструментов по отслеживанию мест массового скопления беспроводных пользователей и перестроить свою Wi-Fi-сеть с учетом этой информации (но это уже к ИБ не относится).
Резюмируя, хочу отметить, что внедрение решений по беспроводному доступу должно всегда сопровождаться моделированием угроз, при котором стоит исходить из худшего сценария развития событий. Поэтому помимо средств организации беспроводного доступа стоит подумать о наличии возможностей обнаружения, классификации и нейтрализации посторонних устройств и атак.
Да и регуляторика (приказы 17/21/31 ФСТЭК) говорят об этом же...
К сожалению, это не работает от слова "совсем" в многоэтажном здании, где не все этажи -- твои. Ну видишь ты кучу посторонних точек доступа. Стоит она у тебя на полу или у соседей на полтоке -- определить практически невозможно. Да если не на полу и не на потолке, и то не очень.
ОтветитьУдалитьВ многоэтажном здании угрозы ещё актуальнее. Глушить все соседние точки, занимать частоты :):)
ОтветитьУдалить