Инсотел - Поставки сетевого и серверного оборудования
Инсотел в Facebook Инсотел в Twitter Инсотел в Вконтакте
Магазин сетевого оборудования: коммутаторы, ip телефоны, межсетевые экраны, беспроводные маршрутизаторы, медиаконвертеры, gsm шлюзы.

Обзоры

Обеспечение защиты и безопасности беспроводных сетей встроенное в HP ProCurve MSM Architecture



Обеспечение защиты и безопасности беспроводных сетей встроено в архитектуру мультисервисных мобильных сетей, базирующихся на основе оборудования HP ProCurve MultiService Mobility (MSM) Architecture. Эта архитектура относится к новому, третьему по счету поколению решений для беспроводных корпоративных сетей (WLAN).

Рис. 1. Трехуровневая MSM-архитектура

Рис. 1. Трехуровневая MSM-архитектура


Дизайн архитектуры выделяет ресурсы для управления, контроля и передачи данных и переносит интеллект на границу WLAN, что свойственно проводным сетям (LAN) уже сегодня. Объединив оперативные преимущества централизованного управления и контроля с масштабируемостью, эффективностью и производительностью распределенных сетей, трехуровневая (triplane) MSM-архитектура (рис. 1) реализует улучшенную систему коммутации WLAN.

В центре решения на ключевом Уровне Контроля (Control Plane) находятся контроллеры HP ProCurve MSM серии 700, которые используются для централизованного управления и настройки всех сервисов WLAN. Осуществляя централизованный контроль над распределенным Уровнем Передачи Данных (Data Plane), Уровень Контроля обеспечивает постоянное предоставление сервисов и неукоснительное соблюдение политик QoS и безопасности во всей WLAN. При этом важно отметить, что непосредственная передача данных между источником и получателем осуществляется на Уровне Передачи Данных, и только незначительный управляющий трафик проходит через контроллер, что делает это решение высокомасштабированным и устраняет недостатки централизованных архитектур второго поколения WLAN.
Рис. 2. Контроллеры MSM


В контексте безопасности при развертывании или масштабировании WLAN контроллеры и точки доступа (ТД) MSM взаимно обнаруживают друг друга и устанавливают между собой коммуникационный туннель GRE (Generic Routing Encapsulation) и TLS (Transport Layer Security) на третьем уровне эталонной модели OSI для обмена управляющей информацией. Взаимная аутентификация и шифрование данных по протоколу X.509 между ТД и контроллерами MSM устраняют любые угрозы безопасности, встраивают высокую доступность и отказоустойчивость в управляющий протокол при конфигурации и обеспечивают постоянное подключение между ТД и контроллерами MSM. В свою очередь MSM-контроллеры серий 760 и 765 (рис. 2) поддерживают функцию teaming, когда в одну отказоустойчивую группу можно объединить до пяти контролеров и обеспечить централизованное управление через один IP-интерфейс 800 ТД (200 ТД в обычном режиме).

Уровень передачи данных (Data Plane) отвечает за коммутацию беспроводного трафика непосредственно в LAN, исполнение политик QoS и обеспечение безопасности. Находясь на границе WLAN-LAN, интеллектуальные ТД MSM коммутируют пакеты непосредственно между пользователями и ресурсами LAN (например, серверами), в отличие от второго поколения WLAN, где весь трафик передается через центральный беспроводной коммутатор/контроллер. Локальная обработка MAC-протокола 802.11, аппаратная поддержка шифрования данных и аутентификации RADIUS ликвидирует зависимость ТД MSM от центрального MSM-контроллера, повышая отказоустойчивость WLAN. Применяя централизованные политики безопасности, ТД MSM блокируют неавторизованный трафик прямо на границе сети, повышая производительность WLAN.

Уровень Передачи Данных также исполняет политики обнаружения и предотвращения вторжений (IDS/IPS) в WLAN в режиме реального времени. Некоторые модели ТД MSM с двумя/тремя радио MSM320-R, MSM320, MSM325, MSM335, а также специализированные ТД MSM415 (сенсоры или датчики) обеспечивают защиту периметра WLAN, обнаруживая и предотвращая угрозы доступа несанкционированных устройств в LAN.

Отличительной особенностью ТД MSM является их способность работать как в автономном режиме без управления MSM-контроллера, так и в централизованном (установлен по умолчанию) под управлением MSM-контроллера (рис. 3).

Уровень Управления (Management Plane) реализован как программно-аппаратный комплекс, который поддерживает функции централизованной конфигурации и управления; создания политик, в том числе безопасности; обнаружения неисправностей и диагностики состояния; составления топологии; планирования покрытия сети и ее емкости (производительности); аудита и подготовки отчетов для больших WLAN, состоящих из множества MSM-контроллеров и ТД.

Аппаратное решение HP ProCurve RF Manager IDS/IPS system (рис. 4) обеспечивает такую же всестороннюю защиту WLAN, как брандмауэр и устройства IDS/IPS для LAN. RF Manager автоматически выявляет и предотвращает угрозы безопасности и атаки, графически отображает местоположение беспроводных устройств, проводит аудит в режиме реального времени и оказывает помощь в устранении неисправностей, связанных с производительностью WLAN.

Рис. 5. Иллюстрация основных типов беспроводных уязвимостей и атак


Рис. 5. Иллюстрация основных типов беспроводных уязвимостей и атак


Приведем теперь основные типы уязвимостей и атак (рис. 5). К ним относятся:


* несанкционированные ТД с неправильными параметрами безопасности, установленные сотрудниками (Misconfigured AP);
* неавторизованные пользователи (хакеры), пытающиеся получить несанкционированный доступ к корпоративной сети (AP MAC Spoofing);
* несанкционированные ТД (чужаки), подключенные хакерами в корпоративную сеть (Rouge AP);
* ТД Honeypot (или Evil Twin используют корпоративные SSID), которые хакеры задействуют для перехвата (fishing) полномочий авторизованных пользователей или другой конфиденциальной информации;
* сотрудники, подключающиеся к соседним беспроводным сетям (Mis-association, Unauthorized Association);
* сотрудники, которые подключаются к одноранговой беспроводной сети (Ad Hoc Connection);
* беспроводные DoS-атаки из соседних или внешних сетей (DoS Attack).

К основным возможностям RF Manager относятся:


* обнаружение уязвимостей;
* обнаружение беспроводных DoS атак;
* обнаружение атак, связанных с уязвимостями протокола аутентификации WEP;
* смягчение/уменьшение действия обнаруженных уязвимостей и атак;
* определение точного местонахождения несанкционированных беспроводных устройств;
* аудит, уведомление и составление отчетов по безопасности.

Функционирование RF Manager построено на взаимодействии с RF-сенсорами, которые собирают всю информацию о среде и исполняют политики безопасности. Опираясь на информацию, полученную от RF-сенсоров, RF Manager идентифицирует уязвимости с помощью следующего алгоритма:

* выявляются все ТД и беспроводные клиенты в зоне покрытия;
* выполняется их классификация на основе нормального функционирования или заданной политики безопасности;
* после этого ведется их постоянный мониторинг на соответствие нормальному поведению или политике безопасности.

Например, несанкционированные пользователи не должны подключаться к корпоративным ТД, а авторизованные – к другим SSID и т. д.

RF Manager запрограммирован на обнаружение различных типов трафика и его поведения для предотвращения беспроводных DoS-атак: Disassociation flood attack; Authentication flood attack; Disassociation broadcast attack; RTS/CTS flood; Association flood attack; EAPOL Logoff flood attack; Association table overflow; EAPOL Start flood attack; Deauthentication flood attack; Large NAV attack; Deauthentication broadcast attack.

Для повышения безопасности протокола WEP RF Manager использует два основных метода:

* постоянно сканирует среду для обнаружения признаков атак, связанных со взломом WEP-протокола, например таких, как несанкционированный пользователь, который делает большое количество запросов на аутентификацию.
* создает уникальный профиль для каждого пользователя с параметрами его нормального поведения и обычного времени подключения. Далее он определяет отклонения от такого поведения, которые могут свидетельствовать о том, что несанкционированный пользователь взломал ключ WEP или подменил MAC-адрес.

Для предотвращения беспроводных вторжений и угроз RF Manager не блокирует беспроводной сигнал, а задействует возможности сенсоров, чтобы изолировать неавторизованные ТД и пользователей за счет распространения кадров предотвращения вторжений (disassociation frame), которые блокируют несанкционированные ассоциации. Другими словами, сенсор может заблокировать все ассоциации пользователей с несанкционированной ТД, но не может послать сигнал помехи, чтобы заблокировать канал: для этого он направляет кадры для предотвращения ассоциаций. Например, если RF Manager изолирует ТД, он посылает кадр дизассоциации для блокирования ассоциаций всех пользователей, подключенных к ней. Если RF Manager изолирует пользователя, он посылает кадр дизассоциации, блокирующий конкретную ассоциацию пользователя, связанную с этой ТД, не затрагивая при этом ассоциаций других пользователей.

Для качественного обнаружения несанкционированных вторжений RF Manager анализирует информацию, полученную от одного сенсора на три ТД. Соответственно, для предотвращения вторжений необходимы два сенсора на три точки. И наконец, для установления точного местонахождения несанкционированных беспроводных устройств необходимо три-четыре сенсора на группу ТД, установленных в определенной зоне (после этого их местоположение указывается на ее плане).


RF Manager предоставляет несколько предварительно сконфигурированных отчетов, которые разделены на три категории:

* отчет соответствия различным регуляторным нормам (HIPAA, PCI DSS, Sarbanes-Oxley, Gramm-Leach-Bliley и др.);
* отчет об инцидентах и различных событиях по безопасности;
* инвентаризация беспроводных устройств, включая ТД, пользователей и сенсоры.

Одна из основных отличительных особенностей решений HP ProCurve по безопасности WLAN – поддержка ТД протокола sFlow MSM, которые действуют как sFlow-агенты, MSM-контроллерами, являющимися sFlow-Proxy и программным обеспечением мониторинга и безопасности HP ProCurve Manager Plus и HP ProCurve Network Immunity Manager, выполняющих роль sFlow-коллектора. Это позволяет повысить безопасность WLAN на уровень проводных LAN, используя возможности мониторинга, обнаружения угроз и аномалий поведения беспроводного трафика средствами проводных LAN

Рис.6. Процесс sFlow

 

Рис.6. Процесс sFlow


В целом, предоставляемая HP ProCurve MSM Architecture защита от беспроводных угроз позволяет строить безопасные беспроводные сети любого масштаба.



Источник: "Компьютерное обозрение"
Автор – Владимир Букин

 

 

Последние 10 обзоров:

12.03.2017
Тепловизор серии Q1942-E дополнит по умеренной цене систему круглосуточной защиты важных объектов
Сетевые IP тепловизоры AXIS серии Q1942-E, способные обнаруживать людей, транспортные средства и др. объекты на удалении 1,8 – 5,6 км при любой освещенности при t -40 до +60 °C, незаменимы в системах защиты периметра промышленных объектов, аэропортов, электростанций, на транспортных предприятиях, автостоянках, в портах и гаванях, для городского видеонаблюдения.
07.03.2017
GEFEN EXT-DP-4K600-1SC– идеальное решение для критически важных A/V приложений: медицинских, военных
GEFEN EXT-DP-4K600-1SC идеально подходит для таких применений как медицинские системы отображения, посты управления на военных и промышленных объектах, авиасимуляторы-тренажеры, Digital Signage, компьютерные игры, развлекательные мультимедийные системы.
24.01.2017
Pelco – лидер отрасти, фокусируется на стратегическом наблюдении
Экспозиция Pelco на Intersec 2017 сосредоточена на решениях для нефтяного и газового сектора, городского наблюдения и вертикальных туристических рынков.
22.01.2017
2017: Год Yealink? Yealink продемонстрирует новейшие терминальные решения UC на ITEXPO во Флориде
Экспозиция с темой "Инновации Yealink открывают легкое сотрудничество" предназначена для демонстрации новейших инноваций Yealink в сфере видео и голосовых коммуникаций для бизнеса.
26.12.2016
Сетевые решения Planet для IoT и IIoT награждены премией 2017 Taiwan Excellence
Три промышленных управляемых коммутатора Planet для IoT и Промышленного Интернета (IIoT), а также L2+ централизованное решение для управления беспроводными точками доступа и комплексное решение H.265 IP Видеонаблюдения награждены 2017 Taiwan Excellence Awards за выдающиеся инновации, экологичность и удобство в использовании.
20.12.2016
В пятерку лидеров рейтинга журнала CRN/RE 2016 в номинации ИБП вошли APC, Eaton и Delta Electronics
В 2016 APC by Schneider Electric со значительным отрывом лидирует по шести из восьми показателей в номинации ИБП рейтинга CRN/RE, причем,на первых позициях показатели «Качество продукции» и «Соотношение Цена/Качество». Eaton и Delta Electronics также входят в пятерку лидеров по этим показателям для ИБП.
19.12.2016
Самые популярные Аудио/Видео тренды на 2017
В нашем стремительно меняющемся мире технологии меняются быстрее чем когда-либо, и к числу наиболее популярных A/V трендов добавляются инновационные, экспериментальные аудио-визуальные решения, где аппаратные средства - всего лишь точки перехода для того, что может быть достигнуто.
15.12.2016
Видео конференции Yealink VC - лучший рентабельный выбор для среднего и малого бизнеса
Yealink, Top2 на рынке IP телефонии, завоевывает лидирующие позиции в сфере видео сотрудничества с революционными по простоте, функциональности и низким ценам решениями видео и аудио конференцсвязи для среднего и малого бизнеса и региональных отделений корпораций.
03.12.2016
Лучшие по функционалу/ценам сетевые хранилища NAS QNAP для среднего,малого бизнеса и корпораций

Тайваньская компания QNAP получила мировое признание как поставщик многофункциональных передовых сетевых хранилищ  NAS  наивысшего класса для корпораций, среднего и малого бизнеса и моделей, идеальных  для дома и офиса.

18.10.2016
Простые беспроводные решения видеонаблюдения Axis Companion Dome WV и Axis Companion Cube LW для SMB
Беспроводные все в одном решения видеонаблюдения Axis Companion Line позволяют владельцам малого бизнеса своими руками легко установить и производить удаленное видеонаблюдение в реальном времени с персонального компьютера или мобильного устройства.

+ 7 (495) 646-12-86

Контакты

Телефон
:
(495) 646-12-86
E-mail
:
sales@insotel.ru

Темы Обзоров

Каталог товаров

  Инсотел в Facebook Инсотел в Twitter Инсотел в Вконтакте Инсотел в Cnews Club
  +7(495) 646-12-86

Все права защищены. ООО “Инсотел”. г. Москва, 2-ой Нагатинский проезд д.2 стр.8 © 2008-2015.