Как сравнить и использовать беспроводные системы обнаружения и предотвращения вторжений
Затем они предоставляют отчеты и оповещения, которые могут быть отправлены в системы документооборота, системы оповещения о неполадках или консоли сетевого управления, а также отправлены по электронной почте или пейджеру администраторам. Беспроводные системы IDP также могут автоматически предотвращать угрозы путем обнаружения и классификации угроз.
В этой статье рассматриваются ключевые факторы, стимулирующие внедрение, важные критерии для сравнения и выбора беспроводных систем IDP, а также dos и don'T для реализации.
Также смотрите раздел Основные функции и функции беспроводной системы вторжения: критерии выбора
Драйверы рынка беспроводных ВПЛ
По данным Gartner, рынок беспроводных систем предотвращения вторжений относительно стабилен. По словам Джона Пескаторе, аналитика Gartner, глобальная выручка выросла на 18 процентов в период с 2007 по 2008 год-со 119 миллионов долларов до 140 миллионов долларов. Он прогнозирует рост на 14-15 процентов в 2009 году.
Однако за это время рыночные факторы изменились, говорит он. Два или три года назад компании покупали беспроводные IDP, чтобы обнаружить и запретить беспроводную связь или защитить от атак в тех немногих областях предприятия, где это было разрешено. Однако с растущим признанием беспроводной связи многие компании теперь инвестируют в эти инструменты, чтобы оценить их уязвимость, например, к неправильно настроенным APs, мошенническим APs, иностранным ПК, пытающимся подключиться к APs компании или случайной Ассоциации корпоративных ПК с иностранными APs.
"В любой плотной среде вы можете подключиться к сети компании наверху или через переулок", - говорит Пескаторе. -Значит, вы в основном устанавливаете вокруг здания подслушивающие датчики, чтобы обнаружить эти штуки."
Беспроводные инструменты IDP также упоминаются как лучшая практика в стандарте безопасности данных PCI, говорит Джон Киндерваг, старший аналитик Forrester Research. "Мы рассматриваем его как зону роста, потому что PCI поощряет его использование для беспроводного сканирования", - говорит Киндерваг.
Основные соображения и точки сравнения
Интегрированное по сравнению с наложением. Поставщики инфраструктуры беспроводной сети, такие как Aruba и Cisco, предоставляют интегрированные возможности IDP, в то время как другие поставщики предлагают оверлейные системы, которые развертываются и управляются отдельно от операционной беспроводной системы. Инструменты поставщиков инфраструктуры тесно связаны с APs поставщика, которые выполняют двойную функцию обеспечения доступа и сканирования информации, связанной с безопасностью. Однако они не могут выполнять обе функции одновременно, поэтому существуют пробелы в охвате, указывает Пескаторе. Кроме того, он говорит, что они обычно контролируют только те частоты, на которых работает сам AP. Между тем, оверлейные системы обеспечивают датчики, которые на 100 процентов находятся в режиме "приема" и обеспечивают полный контроль безопасности на всех частотах.
Как правило, говорит Пескаторе, компании, которые хотят предотвратить использование беспроводных сетей, а также компании, запертые в старых беспроводных технологиях, должны рассмотреть оверлейные продукты. Те, у кого нет бюджета на оверлейные системы безопасности или у кого мало возможностей для беспроводной сети или низкие требования к безопасности, могут удовлетворить свои потребности с помощью комплексного подхода, говорит он.
Пол Дебеаси, аналитик Burton Group, согласен с тем, что для подавляющего большинства предприятий использование общего датчика достаточно хорошо. "Люди, которые больше всего боятся риска и имеют бюджет, должны идти с выделенным датчиком", - говорит он.
Крис Робертс (Chris Roberts), менеджер по сетевым операциям и безопасности в компании-поставщике аукционов транспортных средств Adesa, выбрал подход наложения из герметичных сетей, потому что он хотел отделить функцию передачи данных от функции безопасности. "Мне нравится знать, что мой продукт безопасности-это не только мой продукт транспортировки данных", - говорит он. "В конце концов, все устройства подвержены сбоям, и держать их изолированными—хотя и дороже—более чисто, и я получаю гораздо более высокую стоимость."
Умный против тонкого датчика. Существуют различия в том, как беспроводные датчики IDP и двигатели работают вместе, которые могут повлиять на то, как обрабатывается удаленное управление и нагрузка на пропускную способность сети, указывает Burton Group. Например, с помощью интеллектуальных датчиков часть анализа данных выполняется на датчике, что приводит к уменьшению количества данных, отправляемых в механизм анализа. Потенциальным недостатком этой архитектуры является то, что программное обеспечение на датчиках может потребовать обновления, чтобы оставаться в актуальном состоянии. С помощью тонких датчиков, говорит группа Бертона, данные передаются на сервер для анализа. Хотя некоторые поставщики обеспечивают управление пропускной способностью, эта архитектура действительно приводит к большему количеству трафика, перемещающегося по сети, и более высокой нагрузке на обработку на сервере, говорит Burton Group.
Беспроводное обнаружение вторжений Dos и Don'TS
Планируйте потратить время на настройку инструмента. Для Райана Холланда, CIO инфраструктуры в Университете штата Огайо, ключевым фактором успеха использования беспроводной системы IDP с Арубы было использование пользовательских правил инструмента для определения того, что такое мошенническая точка доступа. Поскольку университет расположен рядом со многими магазинами, жилыми домами и отделами, которые также развертывают беспроводные сети, он узко определяет мошеннические AP как те, которые используют сетевые идентификаторы университета, но не появляются в списке AP, управляемых его организацией. "Мы можем видеть APs от Mcdonald'S и Panera Bread, но мы не хотим принимать меры против них, потому что они наши известные соседи", - говорит он.
С приобретением Арубой AirWave—которая обеспечивает модуль обнаружения мошенников в своем пакете беспроводного управления-Холланд говорит, что существует еще больше детализации настройки правил системы. Например, он может определить мошенников на основе таких характеристик, как пороговые значения уровня сигнала или то, подключен ли AP как к беспроводной, так и к проводной сети. Холланду также нравится, что после того, как он сформировал свои политики и оповещения, система автоматически предоставляет разбивку, классифицируя типы точек доступа в сети. Это помогло сократить число тысяч точек доступа, о которых сообщала система, примерно до 30. "Мы могли бы отсеять то, что нас не волнует, и отчитаться о том, что нас волнует", - говорит он. - Это выводит его на человеческий уровень."
Джон Ковингтон, старший сетевой инженер UCLA Medical, говорит, что университет выделяет полный рабочий день для использования инструмента Motorola AirDefense. "Мы хотим знать, что делает эта кнопка, что делает этот колокольчик или свисток", - говорит он. "Есть также уровни выше меня, которые должны знать, что есть хороший ROI и TCO, что это не просто гаджет.- Оно того стоило, говорит он. "Мы смогли разработать политику безопасности с зубами за ней, чтобы соответствовать стандартам HIPAA", - говорит он.
Ковингтон также согласен с тем, что требуется время для работы с системой, чтобы помочь разобраться в объемах собранных данных. "Когда он слушает, он записывает все, что видит, но у вас есть только фиксированный объем дискового пространства", - говорит он. -Ты должен быть агрессивным, чтобы знать, чего ты хочешь."
Таким образом, говорит он, беспроводная IDP не для слабонервных. По оценкам Ковингтона, за два года его группа перешла к использованию около 65 процентов функций инструмента. -Ты не можешь просто повесить его и позволить ему работать самому, - говорит он. "Чтобы получить" вау " опыт, вы должны работать с ним."
Также смотрите раздел беспроводная безопасность: основы
Рассмотрите возможность интеграции с инструментом управления. Пескаторе рекомендует, чтобы группы безопасности и операций попытались работать вместе над выбором системы, которая охватывает как беспроводной мониторинг, так и безопасность. Это связано с тем, что как только компания решает полностью поддерживать беспроводную связь, вскоре в службу поддержки начинают поступать звонки от пользователей, которые не могут подключиться к сети, и операторам необходимо определить, в чем заключается проблема—будь то точка доступа, помехи или клиентский компьютер. Air Magnet-это поставщик, который возник на стороне производительности и емкости дома и добавил возможности безопасности, указывает он.
Робертс говорит, что возможности управления AirTight были большой причиной, по которой он смог оправдать стоимость оверлейного решения, особенно в его наружной среде, где установка беспроводных IDP и точек доступа была особенно дорогостоящей, требуя использования ножничного подъемника и специализированного персонала.
"Когда мы приняли решение использовать автономную систему, мы знали, что будем поглощать дополнительные затраты на выполнение этой работы", - говорит он. Однако, поскольку система AirTight также выполняет задачи управления, Робертс говорит, что он нашел 40 000 долларов экономии в том, чтобы не устанавливать беспроводные анализаторы, которые продаются примерно по 1000 долларов за устройство.
- С герметичными датчиками они дают вам прямой доступ к данным, так что вы вытаскиваете пакеты из воздуха и приносите их вниз к программному анализатору на ПК. Вы получаете две функции, которые индустрия раньше не собирала вместе."Сетевым инженерам Adesa также нравится иметь возможность в режиме реального времени устранять неполадки с клиентами, - говорит он.
В штате Огайо датчики Aruba отправляют данные на контроллер AirWave, который обеспечивает мониторинг, отчетность, настройку, визуализацию и обнаружение мошенников. Хотя Холланд еще не воспользовался всеми этими возможностями, он видит свой будущий потенциал в децентрализованной среде университета. Например, если другой отдел, который использует другого поставщика беспроводной инфраструктуры, такого как Cisco, хочет, чтобы им управляла группа централизованных услуг Holland, он может принять это, потому что AirWave работает с несколькими поставщиками. "Мы могли бы управлять им из одного места", - говорит он.
Не упускайте из виду влияние на пропускную способность. Холланд говорит, что важно сбалансировать детализацию данных с проблемами пропускной способности. Хотя система Aruba не требует большой пропускной способности, говорит он, она добавляет накладные расходы на управление и дополнительную обработку на контроллерах, "поэтому вам нужно подумать, может ли сеть поддерживать это увеличение", - говорит он.
Особенно это касается организаций с удаленными офисами. "Если у вас есть полевое местоположение с 180-килобитной связью со штаб-квартирой, и датчик начинает использовать все 180 килобит, вы не можете жить таким образом", - говорит Пескаторе. Если у вас есть сети с низкой пропускной способностью, вы должны сосредоточиться на поставщиках, которые делают больше обработки в точке доступа и уменьшают объем данных в сети.
Не ждите точности от служб определения местоположения. Многие беспроводные инструменты IDP предлагают услуги определения местоположения, которые полагаются на технологию триангуляции для оценки физического местоположения беспроводного устройства, обеспечивая точность в пределах трех метров, если три точки доступа могут обнаружить сигнал, согласно InfoTech.
Некоторые также добавили аутентификацию на основе местоположения и зон, которая позволяет клиентам получать доступ к данным от определенных точек доступа в сети или создавать зоны аутентификации на основе местоположения клиента. Эта технология пользуется большим спросом, сообщает InfoTech.
Однако Холланд указывает, что возможности локализации продукта полностью зависят от звукового оформления. В университете, например, он говорит, что АП расположены таким образом, что они не могут определить местоположение мошенников с помощью триангуляции.
Действительно, в то время как поставщики утверждают, что они могут дать вам точное местоположение мошеннических или неправильно сконфигурированных APs, Пескаторе говорит, что они, скорее всего, сузят его до пары кабинок или угла здания. Это потому, что в зданиях есть много вещей, таких как металл, которые могут блокировать сигналы AP, и размещение часто имеет больше общего с тем, где у вас есть питание или Ethernet-соединения, чем оптимальная триангуляция. Как говорит Пескаторе, " не влюбляйтесь в способности определения местоположения."
Холланд смог использовать службы определения местоположения и временные метки Арубы, чтобы помочь в расследовании в отношении студента, который спамил университетские электронные адреса. "Это помогло детективам сказать:" Мы знаем, что вы были здесь в это время", - говорит он. - С такой информацией нападавшему трудно отрицать то, что он сделал."
Робертс говорит, что он был впечатлен услугами определения местоположения, которые AirTight непреднамеренно смог отобразить во время демонстрации продукта. Инструмент обнаружил мошеннический AP в трех офисах от него, который—как оказалось—его команда установила во время другого теста за месяц до этого и забыла демонтировать. - Они были всего в четырех футах от того места, где мы находились на самом деле, - говорит он.
Используйте автоматическую профилактику экономно. Голландия вообще не использует возможности автоматической профилактики Арубы. Вместо этого он просматривает еженедельные отчеты, которые классифицируют мошеннические AP, обнаруженные в сети. Он исследует эти случаи относительно того, когда они были обнаружены, с помощью каких APs, силы сигнала и продолжительности в сети. Если это оправдано, его группа отправляется на место, где был обнаружен мошенник, для физического расследования. "Опыт показал, что в большинстве случаев кто-то неправильно настраивает свой ноутбук, когда они пытаются подключиться", - говорит он.
Holland также может удаленно "содержать" AP, соответствующие определенным критериям, что защищает пользователей от присоединения к этому AP, пока группа Holland начинает расследование.
См. также: подотчетность в корпоративных беспроводных сетях
Подумайте о простоте использования, владения и эксплуатации. Робертс говорит, что автоматизированные функции управления и настройки AirTight были большой причиной, по которой он в конечном итоге выбрал этот продукт, включая необходимость ввода известных устройств и точек доступа. С 800 точками доступа для каждого устройства может потребоваться 15 минут, чтобы войти в систему, просмотреть данные журнала и обнаружить уязвимости, не говоря уже об аудите безопасности. Однако при герметичном управлении устройством даже не требуется полная занятость. "Это часть работы беспроводного человека, требующая около 20 процентов его времени", - говорит он. "Автоматизация AirTight была в высоком 90-процентном диапазоне."
"Теперь, когда беспроводная связь довольно хорошо принята, люди обнаруживают, что им не всегда нужна лучшая система с точки зрения безопасности; им нужна такая, которую они могут себе позволить", - соглашается Пескаторе. Изучите доступные инструменты для их отчетности, пользовательский интерфейс и дополнительную информацию, которую они предоставляют, чтобы помочь изолировать такие проблемы, как атака отказа в обслуживании или помехи от протекающей микроволновой печи, говорит он.
Ковингтон говорит, что он высоко ценит удобные для пользователя возможности Motorola AirDefense по составлению отчетов. В то время как другие инструменты требуют экспорта данных в отдельную систему отчетности, она позволяет создавать визуальные графики, которые предпочитают руководители, настраивать отчеты и легко отправлять их людям, которым они нужны. Для функций, которые менее интуитивно понятны, он говорит, что его группа работает непосредственно с Motorola, чтобы указать, где они могут повысить простоту использования. - Без этой обратной связи они бы ничего не узнали.
- говорит он.
Не упускайте из виду расходы на несофтовое программное обеспечение. Когда речь заходит о стоимости беспроводного IDP, аппаратное обеспечение-это только один элемент, говорит Робертс. Легко упустить из виду стоимость кабелей, солнечных панелей и аккумуляторных батарей для питания датчиков, особенно для наружных применений. "Вам не нужно беспокоиться о стоимости оборудования", - говорит он. -Это затраты на электроэнергию, необходимые для обеспечения питания и подключения к сети."
Оцените охват новой беспроводной технологией. По мере появления новых беспроводных технологий, таких как 802.11 n, WiMAX и 3G cell data services, пользователи, приносящие мошеннические APs на рабочее место, снова станут более распространенными, как и в первые дни беспроводной связи, говорит Пескаторе.
"Есть более быстрые формы беспроводной связи, которые прокладывают себе путь за пределы 802.11 и Wi-Fi", - говорит он. Воздушные карты-это еще один элемент, который сотрудники или посетители могут ввести через свои ноутбуки, либо непреднамеренно, оставив их включенными, либо целенаправленно, чтобы обойти блокировку URL-адресов. Некоторые беспроводные инструменты IDP действительно обнаруживают эти новые технологии, в то время как другие этого не делают, говорит Пескаторе.
© CXO Media Inc.
Автор: Keylogger.Org Команда