Современные беспроводные решения cisco: byod и...
DESCRIPTION
TRANSCRIPT
![Page 1: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/1.jpg)
Copyright © BMS consulting, 2007
Современные
беспроводные решения
Cisco: BYOD и
безопасность
Дмитриев Максим
![Page 2: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/2.jpg)
30.10.2012 2
Содержание
Copyright © BMS consulting, 2007
Беспроводное решение Cisco Unified
Wireless
Интеллектуальный подход к управлению
радиосредой
Политики доступа в сеть
Безопасность беспроводных сетей
Методы обнаружения, классификации и
устранения
![Page 3: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/3.jpg)
30.10.2012 3
Автономное решение
Copyright © BMS consulting, 2007
• Каждая беспроводная точка доступа
функционирует «по-своему»
• Нет иерархического представления радиосреды
• Отсутствуют средства оптимизации радиопокрытия
• Проблема принести любимое устройство
![Page 4: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/4.jpg)
30.10.2012 4
Архитектура Cisco Unified
Wireless Network
Copyright © BMS consulting, 2007
Система
управления
Контроллеры
Мобильные
сервисы
NCS
WLC
Точки
доступа AP
![Page 5: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/5.jpg)
30.10.2012 5
Преимущества
централизованной архитектуры
Централизованное управление беспроводными точками доступа
Динамическая балансировка между пользователями
Динамическое управление радиопокрытием
Сервисы определения местоположения
Расширенный арсенал безопасности и QoS
Прозрачный роуминг
Возможность внедрения Voice over WLAN
Унификация проводного и беспроводного доступа
Copyright © BMS consulting, 2007
![Page 6: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/6.jpg)
30.10.2012 6
Управление радиосредой
Copyright © BMS consulting, 2007
802.11 DSS Распределение каналов
![Page 7: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/7.jpg)
30.10.2012 7
RRM—Radio Resource
Management
Copyright © BMS consulting, 2007
Какие цели RRM? – Динамическое управление радиопокрытием
– Мониторинг и поддержка покрытия для всех клиентов
– Управление эффективностью спектра так, чтобы
предоставить оптимальную полосу пропускания при
изменении условий
Что не делает RRM – Не является заменой радиообследованию
– Не исправляет неправильную архитектуру сети
![Page 8: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/8.jpg)
30.10.2012 8
RRM—Radio Resource
Management
Copyright © BMS consulting, 2007
DCA—Dynamic Channel Assignment – Каждая точка доступа получает канал для
передачи данных
– Изменения в радиосреде мониторятся, канал точки доступа изменяется при плохих условиях радосреды
TPC—Transmit Power Control – Мощность передачи сигнала базируется на
потерях между двумя радиоисточниками
– TPC уменьшает мощность передачи на некоторых точках доступа, но может так же и увеличить ее при определенных условиях
CHDM—Coverage Hole Detection and Mitigation – Обнаруживает клиентов в зонах без покрытия
– Принимает решение увеличить мощность передачи на некоторых точках доступа, чтобы «дотянуться» до клиента
![Page 9: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/9.jpg)
30.10.2012 9
RRM DCA – Динамическое
назначение каналов
Copyright © BMS consulting, 2007
RF Channel “6”
RF Channel “1”
RF Channel “11”
Новая точка доступа создает
интерференцию каналов Система оптимизирует распределение
каналов для уменьшения интерференции
Как это
делается
Убеждается в том, что доступный радио спектр
используется хорошо для всех частот/каналов – Лучшая полоса пропускания достигается без ущерба в работе
точек доступа
![Page 10: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/10.jpg)
30.10.2012 10
RRM – Управление
мощностью передатчика
Copyright © BMS consulting, 2007
Мощность не оптимизирована —
радиосигнал вызывает интерференцию
Уменьшает граничную мощность,
тем самым минимизирует
интерференцию
RF Channel “6”
RF Channel “1”
RF Channel “11”
Как это
делается
Мощность передачи базируется на потерях между источниками сигнала
TPC уменьшает мощность передачи на некоторых точках доступа, но так же может и увеличить ее при определенных условиях
![Page 11: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/11.jpg)
30.10.2012 11
RRM – обнаружение и
устранение дыр в покрытии
Copyright © BMS consulting, 2007
Отказ точки доступа обнаружен
Пустая зона покрытия заполнена Нормальная работа
Как это
происходит
Нет единой точки отказа
Автоматическое переключение уменьшает расходы на поддержку и восстановление
Доступность беспроводной сети сравнима с проводной
![Page 12: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/12.jpg)
30.10.2012 12
Управление плотностью
подключений
Copyright © BMS consulting, 2007
Решение проблем нагрузки на точки доступа в
помещениях с плотным скоплением людей (залы
совещаний, кафе)…
![Page 13: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/13.jpg)
30.10.2012 13
Основные
понятия идентификации
Что такое идентичность (личность)?
• утверждение о том, кто мы есть
• позволяет нам различать друг друга
Что представляет собой идентификация?
• Типичные идентификаторы сети:
Имя пользователя и пароль
Адрес электронной почты: [email protected]
MAC-адрес: 00-0C-14-A4-9d-33
IP-адрес: 10.0.1.199
Цифровые сертификаты
Как мы используем идентификацию?
• используется для предоставления соответствующих разрешений:
права на использование сервисов с определенным уровнем
полномочий
![Page 14: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/14.jpg)
30.10.2012 14
Применение модели
аутентификации для доступа в ЛВС
Я хочу подключиться к сети
Необходима идентификация
Идентификатор проверен –
доступ предоставлен
Вот мой идентификатор
![Page 15: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/15.jpg)
30.10.2012 15
Консолидация решений в Cisco ISE
Консолидированные сервисы в одном продукте
ACS
NAC Profiler
NAC Guest
NAC Manager
NAC Server
ISE
Упрощает внедрение Облегчает администрирование
![Page 16: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/16.jpg)
30.10.2012 16
Безопасность
беспроводных сетей
Copyright © BMS consulting, 2007
Проникновение в
проводную ЛВС Атаки на Wi-Fi сеть
Одноранговые сети
Client-to-client backdoor
access
HACKER
Чужие точки доступа
Доступ в ЛВС «с черного
хода»
HACKER
Методы
обнаружения,
классификации и
обезвреживания
посторонних радио-
устройств в WiFi
сетях защищают от
данного класса атак
Denial of Service
DENIAL OF
SERVICE
Отказ в сервисе
Wi-Fi приманки
HACKER’S
AP
Подключение к
вредоносной AP
Разведывательные
Поиск сетевых уязвимостей
HACKER
Взломы
Прослушивание и перехват
HACKER
MFP нейтрализует
все
злоупотребления
кадрами
управления, в
частности атаки
типа «посредник»
WPA2/802.11i
нейтрализует атаки
типа
Reconnaissance,
прослушивание и
т.п.
![Page 17: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/17.jpg)
30.10.2012 17
ПУ – посторонние
устройства
Что относится к ПУ?
–Любое WiFi-устройство, находящееся в зоне радиовидимости нашей сети, которым мы не управляем
–Большинство ПУ устанавливаются авторизованными пользователями (низкая цена, удобство, безграмотность)
Когда ПУ опасны?
–Когда они обнаруживаются в проводном сегменте ЛВС
–Одноранговые (ad-hoc) сети ПУ тоже могут представлять угрозу !
–Когда установлены сторонними пользователями преднамеренно с целью злого умысла
Что необходимо сделать?
–Обнаружить [Detect]
–Классифицировать (over-the-air и on-the-wire) [Classify]
–Обезвредить (Shutdown, Contain, и т.д.) [Mitigate]
Copyright © BMS consulting, 2007
![Page 18: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/18.jpg)
30.10.2012 18
Примеры ПУ
Сценарий 1:
Сотрудник приносит домашнюю точку доступа с целью организовать Wi-Fi в своем кабинете.
Точка доступа, не обладая богатым функционалом безопасности, включается в проводной сегмент сети.
Угроза:
«Легкая добыча» для злоумышленника. Обойдя слабые методы защиты, он подключается по WiFi к это точке доступа и автоматически попадает в проводную сеть организации.
Copyright © BMS consulting, 2007
![Page 19: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/19.jpg)
30.10.2012 19
Примеры ПУ
Сценарий 2:
Департамент IT закупил несколько десятков сетевых принтеров и подключил их к сети организации.
Данные принтеры имеют Wi-Fi сетевую карту, которая включена по умолчанию и имеет базовые настройки безопасности.
Угроза:
Открытая дверь в сеть для любого злоумышленника через беспроводной интерфейс принтера.
Copyright © BMS consulting, 2007
![Page 20: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/20.jpg)
30.10.2012 20
Примеры ПУ
Сценарий 3:
Компьютер сотрудника по умолчанию имеет включенный Wi-Fi интерфейс.
Угроза:
Злоумышленник может установить одноранговое Wi-Fi соединение с таким компьютером (типа точка-точка), скомпрометировать его, завладеть секретной информацией или же доступом к другим ресурсам организации.
Copyright © BMS consulting, 2007
![Page 21: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/21.jpg)
30.10.2012 21
Интегрированный комплекс
безопасности Wi-Fi эфира
Copyright © BMS consulting, 2007
Точки доступа
Network Control System
Security
Management
RF
Management Capacity
Management
Cisco WLC
контроллер
MSE
Monitor
Mode AP
Rogue Detector Monitor Mode
AP
Проводная
сеть
Сервисы:
Местоположение
Безопасность
Историческая отчетность
–Безопасная радиосреда
–Определение местоположения
–Централизованное управление
–Централизованный доступ к сети
ISE
![Page 22: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/22.jpg)
30.10.2012 22
Этапы борьбы с
посторонними Wi-Fi устройствами
Copyright © BMS consulting, 2007
Обнаружение
• обнаружение неинфраструктурных точек доступа (ТД), клиентов и одноранговых (ad-hoc) подключений
• Обнаружение ПУ стандарта 802.11n
• Правила классификации ПУ, основанные на RSSI, SSID, клиентах и т.д.
• Проверка нахождения ПУ в проводном сегменте ЛВС (Switch port tracing)
Классификация Обезвреживание
• Обнаружение местоположения
• Отключение (shutdown) порта на коммутаторе
• Изоляция (containment) нарушителей в радио-эфире
![Page 23: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/23.jpg)
30.10.2012 23
Правила классификации ПУ
Copyright © BMS consulting, 2007
Классификация основана на степени опасности угрозы и
действиях по обезвреживанию
Правила классификации соотносятся с моделью рисков
заказчика
Обнаружено ПУ
Правило: SSID: McDonalds
RSSI: -80dBm
Помечается как
Дружеское
Правило: SSID: Corporate RSSI: -70dBm
Помечается как Вредоносное
ПУ не удовлетворяет установленным
правилам
Помечается как
Неклассифицированное
![Page 24: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/24.jpg)
30.10.2012 24
ТД в режиме Rogue Detector
Copyright © BMS consulting, 2007
(Rogue AP) ПУ
L2 Проводная сеть
Trunk Port
Rogue Detector
Client ARP
ТД в режиме Rogue Detector
• Отслеживает все широковещательные ARP-запросы от посторонних ТД и их клиентов
• Контроллер делает запрос на Rogue Detector для определения наличия посторонних клиентов в проводном сегменте ЛВС
• Не работает если посторонняя ТД настроена как NAT AP
![Page 25: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/25.jpg)
30.10.2012 25
Rogue Location Discovery
Protocol
Copyright © BMS consulting, 2007
ПУ (Rogue AP)
Routed/Switched Network Посылает
пакет
на WLC
Подключается
как клиент
Наша ТД
Контроллер
ТД в режиме Rogue Detector
• Подключается к ПУ в качестве клиента
• Посылает пакет на IP-адрес контроллера
• Работает только для ПУ с open SSID
![Page 26: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/26.jpg)
30.10.2012 26
Изоляция ПУ
Copyright © BMS consulting, 2007
ПУ
ПУ-клиент
De-Auth пакет
Авторизов. ТД
Изоляция посторонней точки доступа
• Посылка De-Authentication пакетов клиенту и ТД
• Возможность использования ТД в режимах Local Mode, Monitor Mode и H-REAP
![Page 27: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/27.jpg)
30.10.2012 27
Нахождение порта
подключения
Copyright © BMS consulting, 2007
ПУ (Rogue AP)
CAM таблица
2 CAM
таблица
3
Show CDP Neighbors
1
Авторизованная ТД
WCS
WCS Switchport Tracing
• Определяет CDP Neighbors для ТД, которая обнаружила ПУ
• Просматривает CAM-таблицы коммутаторов на предмет наличия в них mac-адресов ПУ или ПУ-клиентов
• Работает для ПУ с настройками Security и NAT
![Page 28: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/28.jpg)
30.10.2012 28
Выводы
Угрозы со стороны беспроводного эфира существуют не зависимо от того, развернута ли Wi-Fi сеть в организации
Необходимо принимать проактивные и реактивные меры для устранения этих угроз
Решение Cisco предлагает единый интегрированный комплекс Wi-Fi безопасности, который позволяет выявлять, классифицировать и устранять посторонние беспроводные устройства
Copyright © BMS consulting, 2007
![Page 29: Современные беспроводные решения Cisco: BYOD и безопасность](https://reader034.vdocuments.pub/reader034/viewer/2022052321/5494389eb479597e6a8b5d54/html5/thumbnails/29.jpg)
30.10.2012 29
Спасибо за внимание
Copyright © BMS consulting, 2007
Дмитриев Максим