Võõraste juurdepääsu punktide tuvastus. (Rogue AP Detection)

Antud töös kasutatakse allviidatud kasutatud materjalides toodud andmeid.

Võõraste juurdepääsupunktide ja klientide tuvastamine ning ohjeldamine

Mis on võõras juurdepääsupunkt?

Alates traadita sidevõrgu tehnoloogia (WLAN) turule tulekust on võõrastele juurdepääsupunkidele suurt tähelepanu pööratud, kuid hoolimata sellest tekitavad nad ohtu ka tänapäeval meie arvutivõrkudele.

Võõraks juurdepääsupunktiks võib lugeda mis iganes WiFi seadet, mis on ühendatud arvutivõrku, kuid mis ei ole selle arvutivõrgu administraatori hallata.

Võõras juurdepääsupunkt võib olla probleemiks isegi siis, kui ettevõttel ei ole oma traadita arvutivõrku (WLANi).

Kodukasutaja vs suurtarbija juurdepääsupunktid

Suurtarbija juurdepääsupunktid on disainitud selliselt, et neil on traatühenduse haldamise liides, mis annab endast ise arvutivõrgule teada, kui seade on end installinud. Nt Wavelink Mobile Manager [1] abil on võimalik kiiresti teada saada sellisest juurdepääsupunktist, mille ta automaatselt konfigureerib ning tuues sellega ka selle seadme IT administraatorile nähtavaks ning tema haldamise alla.

Kodukasutaja juurdepääsupunkt seevastu on suurim ohuallikas ettevõtte arvutivõrgule, kuna need võivad väga vaikselt ja arvutivõrgu administraatorile nähtamatult arvutivõrgus tegutseda.

Suurtarbija juurdepääsupunkte saab samuti muuta avastamatuteks administraatori jaoks, kui nende raporteerimise funktsioon välja lülitada või blokeerida.

Peamised "kahtlusalused"

Võõra juurdepääsupunkti võib üles seada ründaja, kes soovib saada juurdepääsu traatühendusega arvutivõrgule või selle võib paigutada kasutaja, kes soovib lihtsalt oma töö tegemisel enda elu lihtsamaks ja mobiilsemaks teha ja kes ei oska aimatagi, et ta sellist tüüpi juurdepääsupunkti üles seab.

Kuna ettevõtte töötajatel on tavaliselt suhteliselt vaba juurdepääs ettevõtte vahenditele, siis teeb see nende jaoks võimalikuks installida võõras juurdepääsupunkt ettevõtte arvutivõrku oma IT osakonnaga koordineerimata.

Ründaja võib olla ka ajutine töötaja ettevõttes, kel on kehtiv juurdepääs hoonele ja kellele on antud luba sülearvutit töö juures kasutada. Ta võib kasutada tarkvarapõhist võõrast juurdepääsupunkti või ta võib kasutada ka nt USB pulka juurdepääsupunktina. (vt joonis)

File:D-link.png

http://gizmodo.com/5440999/

Samuti võivad arendajad, kes töötavad juhtmeta rakendustega, testimise eesmärgil ühendada ettevõtte arvutivõrku sellise juurdepääsupunkti.

Probleem on selles, et kui töötajad installivad WiFi seadme, ei saa nad aru, et sellega kaasneb turvarisk, sest see tegevus ei vasta sageli arvutivõrgu kasutamise reeglitele, mis on ettevõttes kehtestatud arvutivõrgu ja infosüsteemide turvalisuse tagamiseks. Selle tulemusena on ettevõtte arvutivõrk jäetud ulatuslikult avatuks juhusliku nuhkija või kriminaalse häkkeri jaoks, et ettevõtte arvutivõrku rünnata.

Mida iganes, võõras juurdepääsupunkt on turvarisk arvutivõrgule, sest võõra seadmega ei ole tagatud autoriseeritud ega autenditud juurdepääs arvutivõrgule, seega saab iga sissetungija kasutada seda kui „lahtist väravat“, et kasu saada selle arvutivõrgu ressurssidest.

Peamised põhjused võõra juurdepääsupunkti installimiseks

On kaks peamist põhjust, mis motiveerivad võõrast juurdepääsupunkti teiste arvutivõrkudesse installima. Esimeseks põhjuseks on saada juurdepääs traatühendusega või traadita arvutivõrgule. Teiseks põhjuseks on rünnata konkreetset toimivat traadita terminali.

Esimesel juhul leiab ründaja tavaliselt raskesti ligipääsetava koha, kus on võimalik ühenduda reaalajas Etherneti pordikaudu traatühendusega kohtvõrguga (wired LAN). Ründaja ühendab võõra juurdepääsupunkti standardkaablit kasutades Etherneti porti ja lülitab selle vooluvõrku. (Lühiajalise juurdepääsu soovi korral võib ründaja kasutada ka akude peal töötavat võõrast juurdepääsupunkti.) Kui ründaja on juba võõra juurdepääsupunkti üles seadnud, siis võib ta alustada traatühendusega kohtvõrgu või teise traadita kohtvõrgu (WLAN), mis võib omakorda olla ühendatud sellesse traatühendusega kohtvõrku, ründamist.

Paljud võõrad juurdepääsupunktid on üles seatud ühel ainsal eesmärgil - et saada kiiret Interneti ühendust. Reeglina on teada, et ettevõtetel on väga kiired Interneti ühendused ja seega on võimaik, olles ühendatud võõra juurdepääsupunkti kaudu ettevõtte arvutivõrku, alla laadida lühikese aja jooksul tohutuid koguseid illegaalset tarkvara, filme, muusikat jne. Sellist kuritahtlikku arvutivõrgu kasutust saab kaitsta, kasutades Interneti Proxy serverit, mis nõuab autentimist.

Kaitse selliste juurdepääsupunktide paigutamiste vastu on väga oluline. Esimene asi, mida võib kaaluda, on kõikide Etherneti portide, mis ei ole määratud püsivaks kasutamiseks, keelamine. Kui neid porte on vaja, siis saab neid tarkava abil aktiveerida, et võimaldada neid porte kasutada või lülitada lihtsalt Etherneti kaabel võrku. Lisaks sellele on tagatud hea füüsiline turvalisus, mis tavaliselt peletab ründajad eemale (sarnaselt võlts turvakaamerate ülesaedmise efektile).

Teine ründajate motivatsioon võõra juurdepääsupunkti ülesseadmiseks on otsene WLAN klientide rünnak. Sellisel juhul võib ründaja kasutada võõrast juurdepääsupunkti selleks, et juurde pääseda WLAN arvuti andmetele. Ründaja võib isegi püüda installida „tagauksi“ nendele WLAN klientidele, kes siis võimaldavad talle tulevikus juurdepääsu arvutivõrkudele. Nende stsenaariumite korral võib võõra juurdepääsupunkti tuvastamine olla väga raske.

Kaitse seda tüüpi võõraste juurdepääsupunktide vastu võib olla veelgi keerulisem. Ründaja ei ole Etherneti porti ühendatud ja tundub, et ta seda ei soovigi. Seetõttu mittekasutatavate portide keelamine ei pruugi aidatagi. Parim kaitse seda tüüpi võõraste juurdepääsupunktide rünnakute vastu on rakendada turvalist autentimisstandardit IEEE 802.1X/EAP [2], [3], mis kasutab mõlemapoolset autentimist. IEEE 802.1X pordipõhine juurdepääsukontroll pakub autentimise mehhanismi seadmete jaoks, mis soovivad suhelda pordi kaudu (nt LAN pordi kaudu). Kui autentimine ebaõnnestub, siis edasine suhtlemine selle pordi kaudu on keelatud.

Võõraste juurdepääsupunktide tuvastamise meetodid

Tegelikult on olemas kaks primaarset lahendust, et tuvastada võõraid juurdepääsupunkte: traatühendusega liidese ja traadita liidese kaudu. Meeldetuletuseks, et võõras juurdepääsupunkt on jätkuvalt võõras juurdepääsupunkt ning seetõttu edastab ta regulaarse intervalliga kohtvõrgu majakasignaale. Seega oleks signaalide kuulamine üks peamisi tuvastamise vahendeid.

Tuvastamine traadita liidese kaudu

Kui kaardistada arvutivõrk ja vaadelda raadiosageduste ulatust selles piirkonnas ning teha seda perioodiliselt, siis tasuks võrrelda kahte raadiosagedusala katvusala kaarti – võib tuvastada uue võõra juurdepääsupunkti. See oleks üheks võõra juurdepääsupunkti tuvastamise meetodiks traadita liidese kaudu.

Üheks luurajate tuvastamise meetodiks oleks sellise töövahendi kasutamine (nt AirMagnet [4] või NetStumbler [5]), mis püüab informatsiooni juurdepääsupunktide kohta, mis asub selle töövahendi kasutamise ulatuses. See nõuab hoone läbikäimist, et signaale püüda. Selle meetodiga võib skaneerida kogu ülejäänud asutuse, aga see on suuremate ettevõtete jaoks, kel on palju hooneid või need laiuvad suurtel territooriumitel, väga aeganõudev.

Sellise traadita liidese kaudu tuvastamise meetodi puhul oleks tark hoida enda poolt installitud juurdepääsupunktide, mida saab tuvastada ettenähtud asukohas, dokumentatsioon ajakohane. Siis võib minna mõne juurdepääsupunkti asukohta ja kasutada näiteks NetStumblerit, et vaadata, kas on esile kerkinud rohkem juurdepääsupunkte.

NetStumbler on levipiirkonnas traadita arvutivõrkude tuvastamise tööriist ja seda saab firma kodulehelt tasuta alla laadida. Seda on kahte tüüpi: üks on disainitud sülearvutite jaoks ja teine versioon (MiniStumbler) on pihuarvutite jaoks. Mõlemad versioonid toetavad GPS kaarti. See võimaldab NetStumbleril moodustada kaart, et näidata kõikide juurdepääsupunktide asukohti konkreetses piirkonnas.

Kui ilmneb uus juurdepääsupunkt, märgi üles selle MAC aadress ja võib hakata seirama plinkimise signaali tugevust sellest MAC aadressist, liikudes samal ajal läbi piirkonna. Kui ringi liikuda, siis peaks märkama plinkimise signaali nõrgenemist ja tugevnemist. Liikudes signaali tugevnemise suunas peaks lõpuks olema võimalik leida juurdepääsupunkti umbkaudne asukoht ja seejärel selle juurdepääsupunkti enda.

NetStumbleri kasutamisel tuleb silmas pidada ühte asjaolu: kui sülearvutis kasutada 802.11b WiFi kaarti, siis on võimalik leida 802.11b ja 802.11g juurdepääsupunkte. Ent, kui töötab 802.11a arvutivõrk, siis 802.11b kaart seda ei tuvasta. Põhjuseks on, et 802.11b kasutab 2,4 GHz sagedusala, kuid 802.11a opereerib 5 GHz sagedusalas.

Paraku on sellisel viisil andmete püüdmisel ainult hetke väärtus. Mõni võib võõra juurdepääsupunkti aktiveerida sekund pärast nuhkimise seadme väljalülitamist ja sul pole aimugi, et ta eksisteerib. Siiski on see üks levinuimaid ja odavaimaid meetodeid, et leida võõras juurdepääsupunkt, kuid see võtab lihtsalt palju aega ja suurt pingutust.

Tuvastamine traatühendusega liidese kaudu

Samuti võib tuvastada võõra juurdepääsupunkti traatühendusega pordi kaudu. Paljud juurdepääsupunktid on installitud kasutajate poolt, kes soovivad kasutada WLANi pakutavat paindlikkust. Tavaliselt need kasutajad ei tea, kuidas ära hoida, et neid traatühendusega pordi kaudu ei tuvastataks, seega enamik juurdepääsupunkte ei ole konfigureeritud selliselt, et neid ei tuvastataks. Saladus on tegelikult selles, et need võõrad juurdepääsupunktid on tavaliselt odavad kodu või kontori juurdepääsupunktid või ruuterid ja need ei toeta HTTP haldamise liidese blokeerimist Etherneti pordis või taas kord, installija ei tea kuidas seda teha.

Seni, kui on teada, et enamikes juurdepääsupunktides töötab HTTP server ja enamikes lauaarvutites või isegi mitmes arvutivõrgu serveris see ei tööta, võib teostada pordi skaneerimist alamvõrkude kaupa otsides IP aadressi, mis oleks avatud pordiga 80. Kui avastad IP aadressi, mis on avatud pordiga 80 ja mida enne ei olnud seal, on võimalik, et oled avastanud võõra juurdepääsupunkti. Võte, mida võiks nüüd järgnevalt teha, oleks:

1. Kui sa oled lõpetanud oma WLANi installimise ja on teada, et võõrast juurdepääsupunkti ei saa olla, skaneeri iga port igas segmendis ja salvesta tulemus teksti faili.
2. Nüüd, enam-vähem igal nädalal skaneeri samu porte tipptunnivälisel ajal (kui seda on) ja salvesta uus skaneerimise tulemus uude teksti faili.
3. Lõpuks, kasutades võrdlemiseks mitmeid faile, otsi erinevusi. Või veelgi parem, kirjuta oma enda skript, mis võrdleb kahte faili ja ütleb sulle ainult uutest viidetest portidele 80 (HTTP) ja 23 (telnet).

Selle protsessiga saab ehitada väga lihtsalt oma isikliku ründaja tuvastamise süsteemi. See ei ole väga töökindel süsteem, aga kindlasti on see parem, kui tuvastamise süsteemi üldse ei ole. Kui arvutivõrk toetab, siis võiks oma skripti kirjutada isegi sellisel viisil, et ta blokeerib Etherneti pordid seal, kus uued TCP pordid 80 või 23 on leitud ja saadab sulle e-kirjaga aruande. Kohe, kui see e-kiri on saadud, saab alustada tegutsemist ning samal ajal on skript juba blokeerinud selle seadme, juhul, kui see on võõras juurdepääsupunkt. See variant pakub võõra juurdepääsupunkti ohjeldamise automaatset vormi ning töötab hästi kodu ja kontori rakendustes ning väiksemates ja keskmistes ettevõtetes.

Suuremates ja suurtes firmades on vaja installida võimsamaid tsentraliseeritud juhtimisega lahendusi. Näiteks Cisco Systems’i Unified Wireless Network [6] lahendusel on eelis selles, et kõik Cisco kontrollerid sisaldavad meetodit, mis tuvastavad võõra juurdepääsupunkti automaatselt.

Tsentraliseeritud avastamine

Ideaalne võõraste juurdepääsupunktide avastamise meetod on kasutada tsentraalset konsooli, mis on seire sooritamiseks lisatud traatühendusega arvutivõrgu osale. Sellisel juhul ei ole vaja jalutada läbi hoonete ega territooriumi.

Erinevad müüjad pakuvad spetsiaalseid tooteid, mis pakuvad tsentraliseeritud seire tegemise võimalust. AirWave [7] näiteks võtab kasutusele olemasolevad installitud juurdepääsupunktid terves hoones (või territooriumil). Need autoriseeritud juurdepääsupunktid kuulavad võõraid ja saadavad tulemused tsentraliseeritud konsoolile, mis võib alarmeerida IT töötajaid, kui võõras peaks kuuldeulatusse ilmuma.

See on efektiivne vahend tsentervõõraste (spotting rogues) suhtes, kuid need võõrad juurdepääsupunktid, mis ei ole installitud autoriseeritud juurdepääsupunktide mõjuraadiuse ulatuses, jäävad siiski avastamata. Sellised süsteemid võivad olla suhteliselt kallid ja nad ei toimi, v.a kui on olemas või on plaan installida WLAN (võõrad juurdepääsupunktid võivad olla probleemiks isegi siis, kui firmal ei ole WLANi). Kui rahaliselt on võimalused piiratud või kui ettevõttel ei ole WLANi, siis manuaalselt traadita nuhkimise töövahendi kasutamine perioodilisteks otsimisteks on tõenäoliselt parim alternatiiv.

„Vaese mehe“ lähenemine

Alternatiivne, üsna toores (aga efektiivne ja odav) meetod leidmaks potentsiaalseid võõraid traatühendusega arvutivõrgu osast on kasutada Transmission Control Protocol (TCP) pordi vaba skännerit, nagu nt SuperScan 3,0 [8] või SuperScan 4,0 [9] (töötab ainult Windows 2000 and XP peal), mis määrab kindlaks arvutivõrku ühendatud erinevate seadmete lubatud TCP pordid. Kui käivitada tarkvara sülearvutist või lauaarvutist, mis on ühendatud ettevõtte arvutivõrku, siis see töövahend paljastab arvutivõrgus kõik pordi 80 (HTTP) kasutajaliidesed, sh kõik veebi serverid, printerid ja peaaegu kõik juurdepääsupunktid. Isegi kui juurdepääsupunkti port 80 kasutajaliides on blokeeritud või kaitstud kasutajanime ja parooliga, vastab juurdepääsupunkt üldiselt pordi skaneerimise pingile müüja nime ja tema vastava Interneti Protokolli (IP) aadressiga.

Nüüd võib otsida leitud pordi 80 kasutajaliidese nimekirjast läbi ja avastada potentsiaalse võõra, kui nende müüja nimed on erinevad nendest autoriseeritutest, mis on ettevõtte WLANis. Ürita avada kahtlustava juurdepääsupunkti IP aadressiga tema administraatori ekraan, sest siis on võimalik kiiresti näha, kas juurdepääsupunkt on seaduslik või mitte. Töö, et määrata võõra juurdepääsupunkti füüsiline asukoht, on raske ja tüütu, seetõttu oleks kasulik koostada ruuteri tabeli kirjed, mis teevad töö kergemaks.

Võõraste juurdepääsupunktide takistamine

On rida meetodeid, mida võib kasutada, et takistada isikutel ühenduda autoriseerimata võõraid juurdepääsupunkte traatühendusega võrgu külge. Need oleksid:

• Keela Etherneti pordid, mis ei ole kasutuses. See on lihtne lahendus, kuid sellele ei saa oma usaldust täielikult rajada, kuna inimesed teevad vigu ja jätavad pordid avatuks.
• Kasuta switch'ides pordi turvet. Paljud switch’id toetavad pordi-põhist MAC-aadresside ja muude parameetrite filtreerimist. Sa võid täpsustada, et ainult need MAC aadressid, mis on nimekirjas, võivad ühenduda sinu switch’i. Sellisel juhul ei ole tegemist raadio (wireless) MAC aadressiga, seega ründaja peaks pigem ära arvama kehtiva MAC aadressi kui hakkama WLANis selle järele nuhkima.
• Väljenda väga selgelt oma arvutivõrgu kasutusreeglites, et kasutajad ei tohi installida juurdepääsupunkte. See ei takista otseselt võõraste juurdepääsupunktide installimist, kuid hoiab paljud sellest eemale.
• Rakenda arvutivõrgule juurdepääsu kontrolli tehnoloogiat. See tingib selle, et ründaja arvuti, kui ta soovib juurdepääsu arvutivõrgule, peab minema otse läbi kontrollala. Arvutivõrgu juurdepääsu kontrolli seade/server NAC (Network Access Control) peaks olema installitud switch'i vahele, mis pakub ühenduvust Ethreneti portide ja ülejäänud arvutivõrguga. Iga seade, mis ühendub, peab end autentima ja kehtivaks tegema (legaliseerima), mis ehmatab paljud ründajad eemale hirmust, et nad tabatakse IT administraatorite poolt kinni.
• Rakenda ettevõtte-suutlikku WLAN lahendust, mis tuvastab automaatselt ja raporteerib võõrast juurdepääsupunktist ja näitab graafiliselt selle asukoha. Cisco Unified Wireless Network lahendus tuvastab ja raporteerib võõrast juurdepääsupunktist automaatselt ja võib Cisco Control System’i halduse kaudu kuvada selle asukoha. Aruba Mobile Managemengt System Aruba Mobile Managemengt System [10] pakub sarnast funktsionaalsust.

Nagu näha, on mitmeid meetodeid, mida võib kasutada, et ära hoida võõraste juurdepääsupunktidee ühendamist traatühendusega kohtvõrguga. Mõned nendest meetoditest on psühholoogilised ja teised on tehnoloogilised, kuid kombinatsioon nendest on tavaliselt parimaks lahenduseks.

Kasutatud materjal

• T. Carpenter, J. Barrett, CWNA ® Certified Wireless Network Administrator Official Study Guide (Exam PW0-100), Fourth Edition, McGraw-Hill 2008
• Identifying Rogue Access Points by Jim Geier, http://www.wi-fiplanet.com/tutorials/article.php/1564431, Retrieved 04.2010
• Rogue Access Point Detection, http://www.barcodeid.com/PDFs/RogueAPDetection.pdf, Retrieved 04.2010

Välislingid

• http://www.wavelink.com/
• http://www.dlink.com/products/?pid=346
• http://www.ieee802.org/1/pages/802.1x-2004.html
• http://www.ieee802.org/1/pages/802.1x-2010.html
• http://www.airmagnet.com
• http://www.netstumbler.com
• http://www.cisco.com/en/US/prod/collateral/wireless/ps5678/ps430/prod_brochure09186a0080184925_ns337_Networking_Solution_Solution_Overview.html
• http://www.airwave.com
• http://www.foundstone.com/us/resources/proddesc/superscan3.htm
• http://www.foundstone.com/us/resources/proddesc/superscan.htm
• http://www.arubanetworks.com/index.en.php
• http://www.ieee802.org/1/pages/802.1x-2004.html

Autor

Kaia Kulla, AK 21