۱۰.۱۹.۱۳۸۷

معرفی دو سيستم شناسايی مهاجم برای شبكه‌های بی‌سيم

اكنون سيستم‌های شناسايی مهاجم (Intrusion Detection System يا IDS) بخش مهمی از زير ساخت امنيتی شبكه‌های شركتی محسوب می‌شوند. با گسترش شبكه‌های بی‌سيم نياز به IDS افزايش يافته است. البته يافتن الگوها و سياست‌هايی كه بتواند استفاده قابل قبول را تعريف نموده و نفوذ در محيط های شبكه‌ای بسيار متغيير و سيار را رد كند، پيچيده‌تر شده است.

من دو سيستم IDS شبكه بی‌سيم را كه از دو روش مختلف استفاده می‌كنند مورد بررسی قرار داده
AirXone Managed Security Service كه بخشی از يك سرويس مديريت از جانب شركت Vigilant Minds می‌باشد، يك سنسور سخت‌افزاری را به قابليت مانيتورينگ از راه دور مرتبط می‌سازد و تحت قرارداد سرويس‌های حرفه‌ای ارائه می‌شود. بدين ترتيب Vigilant Minds به عنوان يك شركت قابل اعتماد در ساختار شركت شما پذيرفته شده و فقط مسائل اندكی از بخش‌های بی‌سيم شبكه شما را نمی‌داند.

سرويس ديگر يعنی Distributed 4.0 محصول شركت AirMagnet قدرت كنترل فوق‌العاده‌ زيادی را با فرض اينكه می‌خواهيد جزيی‌ترين مسائل در مورد فضای فركانس راديويی را تحت كنترل شركت مشاهده و كنترل نماييد، در اختيار شما قرار می‌دهد. در اينجا مشاهده و كنترل اطلاعات به عاليترين شكل صورت می‌گيرد اما مسئوليت آن نيز بسيار سنگين است.ام.

Vigilant Minds AirXone Managed Security Service

نصب سيستم AirXone بسيار آسان است . يكی از مشاوران Vigilant Minds به منظور مشخص نمودن نيازهای سايت، به شما كمك می‌كند. او دستگاهی را به شبكه شما متصل نموده و چگونگی استفاده از اين دستگاه مديريت و گزارش‌گيری مبتنی بر مرورگر را به شما آموزش می‌دهد. برای نصب سرويس فوق، كمی كار و مهارت و وجود يك WLAN IDS يكپارچه مورد نياز است.

يكی از اولين مراحل به كارگيری موثر AirXone دانستن اين نكته است كه چند سنسور انحصاری مورد استفاده قرار می‌گيرد و البته هر چقدر تعداد سنسورها بيشتر باشد هزينه بالاتر خواهد بود. من متوجه شدم كه يك سنسور بخش‌هايی از سه طبقه يك ساختمان را تحت پوشش قرار داده البته سطح پوشش در هر نصب متفاوت است. سنسوری كه من مورد استفاده قرار دادم 12 نقطه دستيابی (access point) يا AP و كلاينت، شامل يك AP در بيرون ساختمان و با فاصله كمی از آزمايشگاه را يافت.

سيستم درمحدوده سطح پوشش سنسور نقاط دستيابی و كلاينت‌ها همچون آدرس‌های SSID, MAC يا Service Set Identifier و برنامه‌های امنيتی را كه تماما برای بررسی آماده هستند، مورد توجه قرار می‌دهد. هر يك از اين ابزارهای بی‌سيم می‌تواند طبق مجوز خود در استفاده از شبكه و وضعيت خود در شبكه طبقه‌بندی شود.

بسته به اندازه شبكه، وارد كردن ابزاهای مجاز در ديتابيس می‌تواند به صورت دستی و يا از طريق لينك‌‌هايی به يك ديتابيس احراز هويت يا سيستم موجودی انجام شود. با شروع كار، سنسورها با سرويس مديريت Vigilant Minds ارتباط برقرار می‌كنند. از آنجايكه اين كار بر روی يك پورت بالای غيراستاندارد انجام می‌شود به اصلاحاتی در IDS شبكه معمول شما نياز دارد تا از توليد جريانی از اخطارها در سيستم امنيتی با سيم توسط IDS بی‌سيم جلوگيری شود.

يكی از ويژگی‌های مفيد اين سيستم اين است كه به كاربر امكان می‌‌دهد تا دستگاه‌های خاصی را ناديده بگيرد. به عنوان مثال در تنظيمات شهری بسيار شلوغ كه شبكه بی‌سيم در ساختمان مجاور هميشه موجود است (كه البته فعلا تهديد كننده نيست) چنين ويژگی بسيار موثر به نظر می‌رسد. با كمك مشاورين Vigilant Minds شما می‌توانيد يك سری قوانين را برای رسيدن به موقعيتی كه تمامی شركت‌های بزرگ با استفاده از IDS در جستجوی آن هستند، تهيه نماييد: خطرات واقعی پيام هشدار ايجاد می‌نمايند و ديگر فعاليت‌ها بايد بتوانند به سادگی مورد توجه قرار گرفته يا ناديده گرفته شوند.

مديران شبكه می‌توانند به منظور ايجاد قوانين و بررسی موقعيتها به كنسول مديريت دسترسی داشته باشند. اما در مدل Vigilant Minds اكثر ارتباطات و تعاملات شما با سيستم از طريق هشدارهايی خواهد بود كه قبل از رسيدن به شما توسط مشاورين و سيستم مديريت مشاهده شده‌اند.


اگر به يك شبكه بی‌سيم امن نياز داريد اما در عين حال نمی‌‌خواهيد تيمی از متخصصان داخلی در رابطه با امنيت شبكه ايجاد كنيد AirXone يك انتخاب عالی محسوب می‌شود. اما اگر به سرويسی نياز داريد كه در تلفيق با كنسول مديريت شبكه با‌سيم خودتان كار كند احتمالا مدل فوق انتخاب خوبی نخواهد بود. البته می‌توان از آن استفاده نمود اما به كارگيری آن مستلزم كار بسيار زياد و حتی مسئوليت بيشتر است.



AirMagnet Distributed 4.0

بيشترين قدرت سيستم‌های تحليل مستقل WLAN لپ‌تاپ AirMagnet در درك شركت از مشخصات راديويی قرار دارد. AirMagnet Distributed اين قدرت را به وسيله يك سنسور راه دور كه در واقع يك گيرنده بسيار حساس 802.11a/b/g و يك سيستم نرم‌افزاری است به دست می‌آورد. در ضمن سيستم نرم‌افزاری از سنسورها برای نمايش دادن طيف وسيعی از اطلاعات در مورد كارآيی شبكه بی‌سيم و نيز امنيت آن استفاده می‌كند. شركتی كه به منظور مديريت شبكه خود در جستجوی يك ابزار منفرد می‌باشد می‌توند بسياری از نيازهای خود را با استفاده از AirMagnet Distributed برطرف نمايد.


سيستم AirMagnet از سه بخش اصلی تشكيل شده: سنسور، سرور مديريت AirMagnet و كنسول AirMagnet . سنسور شبيه يك 802.11 AP استاندارد است و نصب آن به سادگی با آدرس دهی و تنظيم اطلاعات محرمانه مشترك به منظور برقراری ارتباط آن با سرور انجام می‌شود. نصب سرور نيز نسبتا آسان است، اگر چه اين احتمال وجود دارد كه ويژگی‌های امنيتی و فايروال سرور اندكی موجب كاهش سرعت شود ( بخصوص در كنترل مجوز)

بعد از نصب سرور نرم‌افزار كنسول را دريافت نموده و به منظور ايجاد چند مسير كنسول آن را بر روی چند سيستم نصب نماييد. من سرور و كنسول را بر روی سيستم‌های Windows XP Pro نصب كردم. AirMagnet با اين نوع پيكربندی كار می‌كند اما برای نصب‌هايی با بيشتر از دو سنسور، سرور بايد بر روی سرور ويندوز 2000 اجرا شود.

اگر از نسخه مستقل AirMagnet استفاده كرده باشيد كنسول Distributed نيز برايتان آشنا خواهد بود گرچه اين سيستم امكان دستيابی به ويژگی‌های بيشتری را در اختيارتان قرار می‌دهد. شبكه را می‌توان بر طبق موجودی فيزيكی، نقض سياست، مسائل امنيتی و كارآيی و كارآيی كلی شبكه، به صورت كامل يا با جزييات كمتر، مشاهده نمود. با اين گونه مشاهدات می‌توان وضعيت جنبه‌های مختلف شبكه را در درازمدت يا به صورت فوری بررسی نمود.

اگر برای اولين بار از AirMagnet Distributed استفاده می‌كنيد وقتی را صرف يافتن روش‌های گوناگون مشاهده آمار شبكه نماييد. من با ديدن تعدادی AP و كلاينت كه در شبكه من موجود نبودند و ديگر سيستم‌های آشكار‌سازی بی‌سيم نيز آنها را نشان نداده بودند بهت زده شدم.

كلاينت‌ها و APهای فوق به شبكه ديگری تعلق داشتند، البته تا قبل از اين موضوع من نمی‌دانستم كه می‌توانم اين شبكه را از محل خودم مشاهده نمايم. من با اين خيال باطل كه فاصله فيزيكی بخشی از امنيت شبكه‌ام را تامين می‌كند، با شبكه كار می‌كردم كه البته اين حقيقت چندان مورد علاقه نبوده‌ام.

ايجاد سياست‌هايی برای AirMagnet Distributed بسيار ساده و از طريق check box و دگمه‌های راديويی را برای طيف گسترده‌ای از پارامترها انجام می‌گيرد. AirMagnet با فراهم نمودن پيشنهادات و توضيحات برای سياست‌ها در زمانيكه نقايص يافت شده را مورد بررسی قرار می‌دهيد به شما كمك می‌كند.

به عنوان مثال دستگاه‌های مخرب هشدارهايی ايجاد می‌كنند كه می‌توانند ثبت شوند يا دستيابی به شبكه را مسدود سازند. وقتی سنسورهای در همپوشانی با مناطق تحت پوشش مورد استفاده قرار می‌گيرند، AirMagnet Distributed می‌تواند قدرت سيگنالی را كه دريافت شده آناليز كرده و محل فرد نفوذگر را بيابد.

به عنوان مثال در صورتيكه شخصی يك AP غيرمجاز در بخش حسابداری قرار دهد با استفاده از اين مشخصه به آسانی قابل تشخيص است. اما AirMagnet Distributed تمام نيازهای شما را در رابطه با مديريت شبكه بی‌سيم برآورده نمی‌سازد.

سيستم فوق به شما اجازه نمی‌دهد تا بسته‌ها را به منظور يافتن مشكل ايجاد شده توسط برنامه‌های كاربردی رمزگشايی كنيد. در ضمن سرويس‌های احراز هويت برای يك شبكه بزرگ بی‌سيم را در اختيارتان قرار نمی‌دهد.

آنچه اين سرويس در اختيارتان می‌گذارد تركيبی از تحليل كارآيی WLAN ‌و IDS است كه برای كاربرانی كه می‌خواهند دست به عمل زده و شبكه‌های بی سيم خود را به صورت عملی مديريت كنند، از ارزش بسيار فراوانی برخوردار است. اگر يك مدير شبكه WLAN می‌باشيد كه ساختن يك toolkit كارآيی و امنيت را آغاز نموده‌ايد، AirMagnet Distributed را بايد در ليست خريد خود جای دهيد.

هیچ نظری موجود نیست:

http://up.iranblog.com/images/0z5dgraxwa4j49a5ts77.gif http://up.iranblog.com/images/gv83ah5giec9g8jkopmc.gif