Инсотел - Поставки сетевого и серверного оборудования
Инсотел в Facebook Инсотел в Twitter Инсотел в Вконтакте
Магазин сетевого оборудования: коммутаторы, ip телефоны, межсетевые экраны, беспроводные маршрутизаторы, медиаконвертеры, gsm шлюзы.

Обзоры

Обеспечение защиты и безопасности беспроводных сетей встроенное в HP ProCurve MSM Architecture



Обеспечение защиты и безопасности беспроводных сетей встроено в архитектуру мультисервисных мобильных сетей, базирующихся на основе оборудования HP ProCurve MultiService Mobility (MSM) Architecture. Эта архитектура относится к новому, третьему по счету поколению решений для беспроводных корпоративных сетей (WLAN).

Рис. 1. Трехуровневая MSM-архитектура

Рис. 1. Трехуровневая MSM-архитектура


Дизайн архитектуры выделяет ресурсы для управления, контроля и передачи данных и переносит интеллект на границу WLAN, что свойственно проводным сетям (LAN) уже сегодня. Объединив оперативные преимущества централизованного управления и контроля с масштабируемостью, эффективностью и производительностью распределенных сетей, трехуровневая (triplane) MSM-архитектура (рис. 1) реализует улучшенную систему коммутации WLAN.

В центре решения на ключевом Уровне Контроля (Control Plane) находятся контроллеры HP ProCurve MSM серии 700, которые используются для централизованного управления и настройки всех сервисов WLAN. Осуществляя централизованный контроль над распределенным Уровнем Передачи Данных (Data Plane), Уровень Контроля обеспечивает постоянное предоставление сервисов и неукоснительное соблюдение политик QoS и безопасности во всей WLAN. При этом важно отметить, что непосредственная передача данных между источником и получателем осуществляется на Уровне Передачи Данных, и только незначительный управляющий трафик проходит через контроллер, что делает это решение высокомасштабированным и устраняет недостатки централизованных архитектур второго поколения WLAN.
Рис. 2. Контроллеры MSM


В контексте безопасности при развертывании или масштабировании WLAN контроллеры и точки доступа (ТД) MSM взаимно обнаруживают друг друга и устанавливают между собой коммуникационный туннель GRE (Generic Routing Encapsulation) и TLS (Transport Layer Security) на третьем уровне эталонной модели OSI для обмена управляющей информацией. Взаимная аутентификация и шифрование данных по протоколу X.509 между ТД и контроллерами MSM устраняют любые угрозы безопасности, встраивают высокую доступность и отказоустойчивость в управляющий протокол при конфигурации и обеспечивают постоянное подключение между ТД и контроллерами MSM. В свою очередь MSM-контроллеры серий 760 и 765 (рис. 2) поддерживают функцию teaming, когда в одну отказоустойчивую группу можно объединить до пяти контролеров и обеспечить централизованное управление через один IP-интерфейс 800 ТД (200 ТД в обычном режиме).

Уровень передачи данных (Data Plane) отвечает за коммутацию беспроводного трафика непосредственно в LAN, исполнение политик QoS и обеспечение безопасности. Находясь на границе WLAN-LAN, интеллектуальные ТД MSM коммутируют пакеты непосредственно между пользователями и ресурсами LAN (например, серверами), в отличие от второго поколения WLAN, где весь трафик передается через центральный беспроводной коммутатор/контроллер. Локальная обработка MAC-протокола 802.11, аппаратная поддержка шифрования данных и аутентификации RADIUS ликвидирует зависимость ТД MSM от центрального MSM-контроллера, повышая отказоустойчивость WLAN. Применяя централизованные политики безопасности, ТД MSM блокируют неавторизованный трафик прямо на границе сети, повышая производительность WLAN.

Уровень Передачи Данных также исполняет политики обнаружения и предотвращения вторжений (IDS/IPS) в WLAN в режиме реального времени. Некоторые модели ТД MSM с двумя/тремя радио MSM320-R, MSM320, MSM325, MSM335, а также специализированные ТД MSM415 (сенсоры или датчики) обеспечивают защиту периметра WLAN, обнаруживая и предотвращая угрозы доступа несанкционированных устройств в LAN.

Отличительной особенностью ТД MSM является их способность работать как в автономном режиме без управления MSM-контроллера, так и в централизованном (установлен по умолчанию) под управлением MSM-контроллера (рис. 3).

Уровень Управления (Management Plane) реализован как программно-аппаратный комплекс, который поддерживает функции централизованной конфигурации и управления; создания политик, в том числе безопасности; обнаружения неисправностей и диагностики состояния; составления топологии; планирования покрытия сети и ее емкости (производительности); аудита и подготовки отчетов для больших WLAN, состоящих из множества MSM-контроллеров и ТД.

Аппаратное решение HP ProCurve RF Manager IDS/IPS system (рис. 4) обеспечивает такую же всестороннюю защиту WLAN, как брандмауэр и устройства IDS/IPS для LAN. RF Manager автоматически выявляет и предотвращает угрозы безопасности и атаки, графически отображает местоположение беспроводных устройств, проводит аудит в режиме реального времени и оказывает помощь в устранении неисправностей, связанных с производительностью WLAN.

Рис. 5. Иллюстрация основных типов беспроводных уязвимостей и атак


Рис. 5. Иллюстрация основных типов беспроводных уязвимостей и атак


Приведем теперь основные типы уязвимостей и атак (рис. 5). К ним относятся:


* несанкционированные ТД с неправильными параметрами безопасности, установленные сотрудниками (Misconfigured AP);
* неавторизованные пользователи (хакеры), пытающиеся получить несанкционированный доступ к корпоративной сети (AP MAC Spoofing);
* несанкционированные ТД (чужаки), подключенные хакерами в корпоративную сеть (Rouge AP);
* ТД Honeypot (или Evil Twin используют корпоративные SSID), которые хакеры задействуют для перехвата (fishing) полномочий авторизованных пользователей или другой конфиденциальной информации;
* сотрудники, подключающиеся к соседним беспроводным сетям (Mis-association, Unauthorized Association);
* сотрудники, которые подключаются к одноранговой беспроводной сети (Ad Hoc Connection);
* беспроводные DoS-атаки из соседних или внешних сетей (DoS Attack).

К основным возможностям RF Manager относятся:


* обнаружение уязвимостей;
* обнаружение беспроводных DoS атак;
* обнаружение атак, связанных с уязвимостями протокола аутентификации WEP;
* смягчение/уменьшение действия обнаруженных уязвимостей и атак;
* определение точного местонахождения несанкционированных беспроводных устройств;
* аудит, уведомление и составление отчетов по безопасности.

Функционирование RF Manager построено на взаимодействии с RF-сенсорами, которые собирают всю информацию о среде и исполняют политики безопасности. Опираясь на информацию, полученную от RF-сенсоров, RF Manager идентифицирует уязвимости с помощью следующего алгоритма:

* выявляются все ТД и беспроводные клиенты в зоне покрытия;
* выполняется их классификация на основе нормального функционирования или заданной политики безопасности;
* после этого ведется их постоянный мониторинг на соответствие нормальному поведению или политике безопасности.

Например, несанкционированные пользователи не должны подключаться к корпоративным ТД, а авторизованные – к другим SSID и т. д.

RF Manager запрограммирован на обнаружение различных типов трафика и его поведения для предотвращения беспроводных DoS-атак: Disassociation flood attack; Authentication flood attack; Disassociation broadcast attack; RTS/CTS flood; Association flood attack; EAPOL Logoff flood attack; Association table overflow; EAPOL Start flood attack; Deauthentication flood attack; Large NAV attack; Deauthentication broadcast attack.

Для повышения безопасности протокола WEP RF Manager использует два основных метода:

* постоянно сканирует среду для обнаружения признаков атак, связанных со взломом WEP-протокола, например таких, как несанкционированный пользователь, который делает большое количество запросов на аутентификацию.
* создает уникальный профиль для каждого пользователя с параметрами его нормального поведения и обычного времени подключения. Далее он определяет отклонения от такого поведения, которые могут свидетельствовать о том, что несанкционированный пользователь взломал ключ WEP или подменил MAC-адрес.

Для предотвращения беспроводных вторжений и угроз RF Manager не блокирует беспроводной сигнал, а задействует возможности сенсоров, чтобы изолировать неавторизованные ТД и пользователей за счет распространения кадров предотвращения вторжений (disassociation frame), которые блокируют несанкционированные ассоциации. Другими словами, сенсор может заблокировать все ассоциации пользователей с несанкционированной ТД, но не может послать сигнал помехи, чтобы заблокировать канал: для этого он направляет кадры для предотвращения ассоциаций. Например, если RF Manager изолирует ТД, он посылает кадр дизассоциации для блокирования ассоциаций всех пользователей, подключенных к ней. Если RF Manager изолирует пользователя, он посылает кадр дизассоциации, блокирующий конкретную ассоциацию пользователя, связанную с этой ТД, не затрагивая при этом ассоциаций других пользователей.

Для качественного обнаружения несанкционированных вторжений RF Manager анализирует информацию, полученную от одного сенсора на три ТД. Соответственно, для предотвращения вторжений необходимы два сенсора на три точки. И наконец, для установления точного местонахождения несанкционированных беспроводных устройств необходимо три-четыре сенсора на группу ТД, установленных в определенной зоне (после этого их местоположение указывается на ее плане).


RF Manager предоставляет несколько предварительно сконфигурированных отчетов, которые разделены на три категории:

* отчет соответствия различным регуляторным нормам (HIPAA, PCI DSS, Sarbanes-Oxley, Gramm-Leach-Bliley и др.);
* отчет об инцидентах и различных событиях по безопасности;
* инвентаризация беспроводных устройств, включая ТД, пользователей и сенсоры.

Одна из основных отличительных особенностей решений HP ProCurve по безопасности WLAN – поддержка ТД протокола sFlow MSM, которые действуют как sFlow-агенты, MSM-контроллерами, являющимися sFlow-Proxy и программным обеспечением мониторинга и безопасности HP ProCurve Manager Plus и HP ProCurve Network Immunity Manager, выполняющих роль sFlow-коллектора. Это позволяет повысить безопасность WLAN на уровень проводных LAN, используя возможности мониторинга, обнаружения угроз и аномалий поведения беспроводного трафика средствами проводных LAN

Рис.6. Процесс sFlow

 

Рис.6. Процесс sFlow


В целом, предоставляемая HP ProCurve MSM Architecture защита от беспроводных угроз позволяет строить безопасные беспроводные сети любого масштаба.



Источник: "Компьютерное обозрение"
Автор – Владимир Букин

 

 

Последние 10 обзоров:

03.12.2016
Лучшие по функционалу/ценам сетевые хранилища NAS QNAP для среднего,малого бизнеса и корпораций

Тайваньская компания QNAP получила мировое признание как поставщик многофункциональных передовых сетевых хранилищ  NAS  наивысшего класса для корпораций, среднего и малого бизнеса, идеальных  для дома и офиса.

18.10.2016
Простые беспроводные решения видеонаблюдения Axis Companion Dome WV и Axis Companion Cube LW для SMB
Беспроводные все в одном решения видеонаблюдения Axis Companion Line позволяют владельцам малого бизнеса своими руками легко установить и производить удаленное видеонаблюдение в реальном времени с персонального компьютера или мобильного устройства.
13.10.2016
Обзор и сравнительные характеристики операционных систем QNAP QES и QTS для СХД
В зависимости от своих потребностей, пользователи могут установить операционную систему QES (QNAP Enterprise Storage), или QTS (QNAP Turbo NAS System) на новую серию мощных масштабируемых хранилищ NAS TES-x85U  с передовым процессором Intel Xeon D и двумя опциональными ОC. 
27.09.2016
Экономичная Технология Long Reach PoE PLANET передачи питания и данных на большие расстояния

PLANET запустила технологию Long Reach PoE для одновременной передачи питания и данных по UTP, витой паре, коаксиальным или телефонным проводам на расстояния до 1,000 м (3,289 футов) для PoE IP камер, беспроводных точек доступа PoE AP и любых подключенных устройств, питаемых через  802.3af/at.

 

23.09.2016
Opticis конкурирует с лучшими мировыми технологиями и устройствами CWDM для передачи UHD и 3D TV
Технологии CWDM и устройства Opticis для высокоскоростной защищенной передачи изображения и данных Ultra HD 4K по одномодовому отптоволокну на большие расстояния, отмеченные премией Lightwave Innovation Award, конкурируют с ведущими японскими и признаны лучшими технологиям первой половины 2016 года.
21.04.2016
ATEN Technology - Лучший в сфере подключения, защищенной передачи данных и дистанционного управления
Специализирующийся в совместном защищенном использовании технологий и управленческих решениях с высочайшей степенью защиты,  ATEN   производит инновационные решения, применяемые для сетевых подключений, профессионального А/В и экологически чистой энергии для потребителей.
05.04.2016
ATEN создает автоматизированные рабочие места будущего здесь и сейчас, опережая время!

Контроллер  ATEN для цифрового мира рабочих мест будущего учитывает глобальне тенденции рынка и процессы цифровизации.  опережая взрывной рост, и создает  удобные, надежные и безопасные технологии и средства  управления для разных цифровых решений, включая вооруженные силы, здравоохранение, производство,  транспорт, торговлю, городское планирование.

25.03.2016
Тайвань:Первая общенациональная электронная система управления магистральным автомобильным движением
Тайвань размещает первую в мире общенациональную электронную систему взимания дорожных сборов, охватывающую более чем 430 километров и мониторинг в реальном времени данных более чем от 14 миллионов автомобилей в сутки. Системы управления KH1508Ai и KVM over IP switchs ATEN  vs "платон" ?
02.03.2016
С продуктами IPv6 Ready Allied Telesis для сетевой коммутации и безопасности Ваши сети к IPv6 готовы
Allied Telesis, давний сторонник IPv6 в сетевых инфраструктурах, продолжает играть ведущую роль в облегчении перехода к IPv6, упрощает развертывание и управление и полностью поддерживает IPv6 сети для корпоративных и промышленных приложений.
21.01.2016
Эксклюзивная технология Active Fiber Monitoring для оптоволоконной безопасности
Allied Telesis абсолютно бесплатно запускает уникальную инновационную технологию Active Fiber Monitoring в сфере оптоволоконной безопасности для предотвращения перехвата и подслушивания оптоволоконных коммуникаций.

+ 7 (495) 646-12-86

Контакты

Телефон
:
(495) 646-12-86
E-mail
:
sales@insotel.ru

Темы Обзоров

Каталог товаров

  Инсотел в Facebook Инсотел в Twitter Инсотел в Вконтакте Инсотел в Cnews Club
  +7(495) 646-12-86

Все права защищены. ООО “Инсотел”. г. Москва, 2-ой Нагатинский проезд д.2 стр.8 © 2008-2015.