Trådlöst intrångsskyddssystem
Inom databehandling är ett trådlöst intrångsskyddssystem (WIPS) en nätverksenhet som övervakar radiospektrumet för förekomst av obehöriga åtkomstpunkter (intrångsdetektering) och kan automatiskt vidta motåtgärder (intrångsförebyggande) .
Syfte
Det primära syftet med en WIPS är att förhindra obehörig nätverksåtkomst till lokala nätverk och andra informationstillgångar från trådlösa enheter. Dessa system implementeras vanligtvis som en överlagring till en befintlig trådlös LAN- infrastruktur, även om de kan distribueras fristående för att upprätthålla icke-trådlösa policyer inom en organisation. En del avancerad trådlös infrastruktur har integrerade WIPS-funktioner.
Stora organisationer med många anställda är särskilt sårbara för säkerhetsintrång orsakade av oseriösa åtkomstpunkter . Om en anställd (betrodd enhet) på en plats tar in en lättillgänglig trådlös router , kan hela nätverket exponeras för vem som helst inom räckhåll för signalerna.
I juli 2009 publicerade PCI Security Standards Council trådlösa riktlinjer för PCI DSS som rekommenderar användning av WIPS för att automatisera trådlös skanning för stora organisationer.
Intrångsdetektering
Ett trådlöst intrångsdetekteringssystem . (WIDS) övervakar radiospektrumet för närvaron av obehöriga, oseriösa åtkomstpunkter och användningen av trådlösa attackverktyg Systemet övervakar radiospektrumet som används av trådlösa LAN och varnar omedelbart en systemadministratör när en falsk åtkomstpunkt upptäcks. Konventionellt uppnås det genom att jämföra MAC-adressen för de deltagande trådlösa enheterna.
Rogue enheter kan förfalska MAC-adressen för en auktoriserad nätverksenhet som sin egen. Ny forskning använder fingeravtrycksmetod för att rensa bort enheter med falska MAC-adresser. Tanken är att jämföra de unika signaturerna som uppvisas av signalerna som sänds ut av varje trådlös enhet med de kända signaturerna från förauktoriserade, kända trådlösa enheter.
Förebyggande av intrång
Förutom intrångsdetektering innehåller en WIPS även funktioner som automatiskt förhindrar hotet . För automatiskt förebyggande krävs att WIPS kan exakt upptäcka och automatiskt klassificera ett hot.
Följande typer av hot kan förhindras med en bra WIPS:
- Rogue åtkomstpunkter – WIPS bör förstå skillnaden mellan oseriösa AP:er och externa (grannes) AP:er
- Felkonfigurerad AP
- Klient felassociation
- Otillåten förening
- Man-i-mitten attack
- Ad hoc -nätverk
- MAC-spoofing
- Honeypot / ond tvillingattack
- Denial-of-service attack
Genomförande
WIPS-konfigurationer består av tre komponenter:
- Sensorer — Dessa enheter innehåller antenner och radioapparater som skannar det trådlösa spektrumet efter paket och är installerade i områden som ska skyddas
- Server — WIPS-servern analyserar centralt paket som fångas av sensorer
- Konsol — Konsolen tillhandahåller det primära användargränssnittet i systemet för administration och rapportering
Ett enkelt system för intrångsdetektering kan vara en enda dator, ansluten till en trådlös signalbehandlingsenhet, och antenner placerade i hela anläggningen. För stora organisationer ger en Multi Network Controller central kontroll av flera WIPS-servrar, medan för SOHO- eller SMB-kunder är all funktionalitet hos WIPS tillgänglig i en enda box.
I en WIPS-implementering definierar användarna först den trådlösa driftpolicyn i WIPS. WIPS-sensorerna analyserar sedan trafiken i luften och skickar denna information till WIPS-servern. WIPS-servern korrelerar informationen, validerar den mot de definierade policyerna och klassificerar om det är ett hot. Administratören av WIPS meddelas sedan om hotet, eller, om en policy har ställts in i enlighet därmed, WIPS vidtar automatiska skyddsåtgärder.
WIPS är konfigurerad som antingen en nätverksimplementering eller en värdbaserad implementering.
Nätverksimplementering
I en nätverks-WIPS-implementering är server, sensorer och konsolen alla placerade i ett privat nätverk och är inte tillgängliga från Internet.
Sensorer kommunicerar med servern över ett privat nätverk med hjälp av en privat port. Eftersom servern finns på det privata nätverket kan användare endast komma åt konsolen från det privata nätverket.
En nätverksimplementering är lämplig för organisationer där alla platser finns inom det privata nätverket.
Hosted implementering
I en värdbaserad WIPS-implementering installeras sensorer i ett privat nätverk. Servern är dock värd i ett säkert datacenter och är tillgänglig på Internet. Användare kan komma åt WIPS-konsolen var som helst på Internet. En värdbaserad WIPS-implementering är lika säker som en nätverksimplementering eftersom dataflödet är krypterat mellan sensorer och server, såväl som mellan server och konsol. En värdbaserad WIPS-implementering kräver väldigt lite konfiguration eftersom sensorerna är programmerade att automatiskt söka efter servern på Internet via en säker TLS -anslutning.
För en stor organisation med platser som inte är en del av ett privat nätverk, förenklar en värdbaserad WIPS-implementering driftsättningen avsevärt eftersom sensorer ansluter till servern över Internet utan att kräva någon speciell konfiguration. Dessutom kan konsolen nås säkert från var som helst på Internet.
Hosted WIPS-implementeringar är tillgängliga i en on-demand, prenumerationsbaserad mjukvara som en servicemodell . Värdbaserade implementeringar kan vara lämpliga för organisationer som vill uppfylla minimikraven för skanning av PCI DSS.