Draadloze netwerken brengen vrijheid, maar scheppen ook problemen in verband met beveiliging. Daar bestaan gelukkig wel oplossingen voor.

Bij een gewoon bekabeld netwerk moet een hacker al fysiek contact maken, door een netwerkkabel af te tappen of een notebook in een hub, switch, router, gateway of ander netwerktoestel binnen het bedrijf in te pluggen. De zaken veranderen als we praten over een draadloos netwerk. De radiogolven reiken immers ook tot buiten uw bedrijfsmuren. Dat vereist dus een heel andere aanpak van beveiliging.

Draadloos beveiligen

De beveiliging van een draadloos netwerk zal uiteraard vooral rond toegangscontrole draaien. De methodes om een draadloze netwerkverbinding te beveiligingen lijken dan erg op die voor het beveiligen van bekabelde netwerken: ids en ips of inbraakdetectie en inbraakpreventie. Alleen heet dat dan wids en wips (wireless intrusion detection/prevention system). Bij draadloze detectie verricht u in feite metingen. Die laten u niet alleen pogingen zien om een netwerkverbinding tot stand te brengen, maar ook de radioverbindingspogingen.

Ethernet – en dat geldt ook voor draadloze netwerken volgens IEEE 802.11a, b, g of n – is een netwerk waarbij alle netwerkstations allemaal op eenzelfde datakanaal aangesloten zijn. Iedereen kan in principe tegelijk zenden, maar om een kakofonie te vermijden moet een station eerst ‘luisteren’ of een ander al aan het zenden is en zo nee, mag het gaan zenden. Normaal zal een netwerkstation alleen maar datapakketten volledig binnenhalen als die ook echt voor hem bestemd zijn. Een netwerkstation of netwerkkaart die alle datapakketten leest, ongeacht of ze voor hem bestemd zijn of niet, noemt men ‘promiscue’. Zo’n promiscue netwerkstation is de basis voor een zogenaamde netwerksnuffelaar. Die dient voor het meten van de netwerkactiviteit, zodat op basis van rapporten daarover prestatieverbeteringen kunnen worden bereikt. Maar een promiscue station kan ook als basis dienen voor bewakings- en censuurdoeleinden. Alle netwerkkaarten kunnen in promiscue stand geschakeld worden. Een draadloos netwerk is per definitie sowieso promiscue.

Draadloze inbraakpreventie

Detectie alleen vertelt u dat er iets gebeurd is en wanneer en met welke methode, maar verhindert de inbraak niet. Daarvoor dient wips of draadloze inbraakpreventie. Promiscue netwerkkaarten kunnen we gebruiken voor snuffeldoeleinden. Helaas niet alleen wij: ook hackers kunnen dat. Maar de promiscue werking kan u als verdediger ook voordelen bieden: door de netwerkidentiteit van een ongewenst draadloos systeem te ‘spoofen’ (vervalsen), kunt u hem valse of onbruikbare netwerkpakketten toesturen en hem zo elimineren of blokkeren. wips werkt meestal op deze manier. Pure detectie en het doen van metingen hoeft beslist niet duur te zijn. Er bestaat zelfs gratis sofware voor, zoals Kismet.

Kismet Wireless

Kismet Wireless is open source en gratis. Het is een netwerkdetector, pakketsnuffelaar en inbraakdetectiesysteem voor draadloze netwerken volgens IEEE 802.11. Het programma werkt onder Linux en andere Unix-varianten zoals *BSD en Mac OS X. Qua hardware hebt u een draadloze netwerkkaart nodig die promiscue kan werken en dus ook netwerkpakketten kan ontvangen die niet voor hem bestemd zijn. Er zijn een twintigtal wlan-kaarten die Kismet ondersteunt, en hoewel er een versie gecompileerd is voor Windows ondersteunt die er slechts een. In de praktijk maakt dat de Windowsversie alleen bruikbaar als drone (zie verderop).

In tegenstelling tot andere wlan-detectiesystemen werkt Kismet puur passief. Er worden dus geen netwerkpakketten uitgezonden, het werkt alleen op basis van wat de wlan-kaart kan ontvangen. De Kismet software kan dan de ap’s en de clients met elkaar associëren zodat u kunt zien wie met wie contact probeert te leggen.

Functionaliteit

Via de uitgezonden netwerkpakketten kan Kismet dus inbraakpogingen ontdekken en biedt op die manier basis wids-functionaliteit. Daarbij kan Kismet ook concurrerende snuffelaars zoals NetStumbler ontdekken, zolang ze maar actief zijn en niet passief zoals Kismet zelf. De aanwezigheid van een passieve snuffelaar zoals Kismet is niet te detecteren op het draadloze (of bekabelde) netwerk. Kismet ondersteunt het bewaren van gesnuffelde pakketten en doet dat dan in standaardformaten zoals Airsnort en tcpdump/Wireshark.

Een ‘drone’ of robot verzamelt enkel netwerkpakketten, maar analyseert ze niet. Dat doet een Kismet server. Die kan alleen draaien en netwerkpakketten onderzoeken of dit doen in samenwerking met een drone. Het derde onderdeel is de client en die dient alleen maar om informatie te tonen: deze communiceert dus met de server. Tot slot kan Kismet de geografische locatie van een draadloos netwerk bepalen als u een gps-ontvanger aansluit en ondersteunt het dect-sniffing plus Wi-Spy DBx.

Beoordeling

Kismet Wireless is een uitstekend gereedschap om draadloze netwerk volledig passief te “snuffelen” en alle aanwezige ap’s en clients plus alle mogelijke intrusiepogingen te detecteren. Het vereist wel de nodige technische kennis en hoewel het open source is, blijkt niemand Windows echt te ondersteunen. U gebruikt het dus best met Linux of Mac OS X.

Detectie én preventie

Als u naast passieve ook actieve detectie plus preventie wenst, hangt daar een prijskaartje tegenover. AirMagnet Enterprise en Motorola AirDefense zijn elkaars grote concurrent. Ze hebben vergelijkbare eigenschappen en bieden naast wids en wips ook spectrumanalyses aan.

AirMagnet Enterprise

AirMagnet werd in 2009 overgenomen door Fluke Networks. Het hier besproken product heet AirMagnet Enterprise en is hun meest omvangrijke bedrijfsbeveiligingsoplossing voor draadloze netwerken.

Structuur

De Enterprise-oplossing van AirMagnet bestaat uit drie componenten: sensoren, servers en applicaties. De sensoren zijn uw voelsprieten: speciale ap-achtige kastjes met twee antennes die alle draadloze signalen opvangen. U stelt ze strategisch op in uw bedrijfsgebouwen zodat elke sensor een zo groot mogelijk gebied bestrijkt. De AirMagnet server is de gegevenscentrale. Hij doet aan correlatie van alle gebeurtenissen en acties en verzamelt alle informatie in een database. Desgewenst kunt u meerdere servers in gebruik nemen. Let wel: voor elke AirMagnet server is een aparte licentie vereist. Extra AirMagnet servers zijn alleen nodig omwille van prestatievereisten. Afhankelijk van de serverhardware kan een AirMagnet server aardig wat sensoren aan. De derde component is de applicatie: AirMagnet Console. Die geeft u een interactieve werkruimte met alle informatie over prestaties, beveiliging en reglementnaleving van uw draadloos netwerk. Vanuit de console kunt u meer gedetailleerde informatie opvragen tot op specifieke sensoren. De AirMagnet Console kunt u op vrijwel eender welke pc met Windows XP of hoger draaien. Vanuit de console verbindt u zich met een AirMagnet Server (of meerdere) en met een of meer AirMagnet Sensoren.

Sensoren

De sensoren zien eruit als ap’s en het is de bedoeling dat u ze zo strategisch mogelijk opstelt, zodat ze echt in staat zijn het hele draadloze bereik in en net buiten uw bedrijfsruimtes te verwerken. Ze zijn voorzien van een PoE (Power over Ethernet)-netwerkaansluiting en twee antennes. Elke sensor opent vanuit de Console een apart dialoogvenster ‘Remote Sensor’ met alle informatie die bij die sensor hoort. De AirMagnet Console overkoepelt alles en vat de informatie van alle sensoren samen.

Eenmaal dat er zo netwerkpakketten ingelezen worden uit de lucht, kan de software natuurlijk gaan proberen te detecteren om welke draadloze netwerken het gaat, wat hun ssid (identificatie) is, of er encryptie toegepast wordt, of het gaat om een draadloos station (‘ad hoc’-verbinding) of een ap (access point) en nog veel meer.

AirMagnet toont u een overzicht van alle gevonden IEEE-802.11x kanalen met een staafgrafiekje voor de signaalsterkte van elk kanaal. Daar rechts van ziet u een lijst met alle gevonden ssid-uitzendingen, het mac-adres en eventueel de chipset van de gevonden zender, de exacte signaalsterkte, het ruisniveau, de signaal-ruisverhouding, of er beveiliging is (wep, vpn,…), of het gevonden access point deel uit maakt van een brugverbinding (waarbij meerdere ap’s gebrugd worden om langere afstanden te kunnen overbruggen) en de gevonden ssid-naam.

Wij stelden hier vast dat AirMagnet onze ssid wel degelijk kon weergeven hoewel onze systemen die niet uitzenden. AirMagnet geeft uitgezonden ssid’s in het zwart weer, en degene die hij vindt zonder dat ze uitgezonden werden (zoals die van ons) in het rood. Onderaan kunt u op functieknoppen klikken om extra informatieschermen te openen. ‘Channel’ toont een overzicht van alle gevonden wlan-kanalen met een grafiek van hun signaalsterkte in de tijd, het verkeer op elk kanaal en de vastgestelde framesnelheid. ‘Interference’ betekent storing en die knop geeft u dan ook een overzicht van alle wifi-kanalen met alle gedetecteerde storingsfactoren en ruis. De knop ‘Infrastructure’ toont een boomstructuur van alle wlan-systemen zodat u kunt zien welke eventueel bij elkaar horen en hoe ze georganiseerd zijn. Ook hierbij hoort een grafiek van de signaalsterkte in de tijd voor al de gevonden ssid’s, waarbij elk systeem een andere grafiekkleur krijgt.

‘AirWISE’ geeft een overzicht van de vastgestelde beveiligingslekken en doet aanbevelingen over hoe ze aangepakt moeten worden. ‘Top Traffic Analysis’ toont driedimensionale balkgrafieken met een overzicht van de top tien ap’s, stations, toestellen en kanalen in functie van hun gemeten framesnelheid. Er is ook een knop voor rapporten en eentje met allerlei draadloze gereedschappen. De knop ‘Decodes’ toont het meeste detail, want hier krijgt u een overzicht van alles wat er op netwerkvlak binnengehaald is. Omdat dit een heleboel informatie is, kunt u uiteraard filters opgeven. Het is op alle ogenblikken mogelijk om verzamelde informatie te bewaren en later terug te spelen. Verder kunt u alarmen definiëren, niet alleen voor beveiligingslekken maar ook voor prestatie- of kwaliteitsgebreken, werkelijk teveel om op te noemen.

Beoordeling

Als u het onderste uit de kan wenst in verband met detectie en preventie van beveiligingsinbreuken op uw draadloze netwerk(en), dan biedt AirMagnet Enterprise u dat zeker en vast… voor een prijs.

Motorola AirDefense

Motorola biedt met zijn AirDefense Service Platform een drie-luik aan voor de beveiliging van uw draadloze netwerk. Het drieluik bestaat uit ‘Security & Compliance’ (beveiliging en naleving), ‘Infrastructure Management’ (infrastructuurbeheer) en ‘Network Assurance’ (netwerkverzekering). Dat laatste luik omvat ondersteuning op afstand met troubleshooting en probleemoplossing: zo vermijdt u de (hoge!) kosten van een wlan-specialist die ter plaatse moet komen om de nodige vaststellingen te doen en bepaalde problemen op te sporen en op te lossen.

Structuur

Het Motorola AirDefense Service Platform of ADSP bestaat uit drie componenten: de AirDefense Management Console waarmee u alles beheert, de AirDefense Sensoren die de eigenlijke detectie en metingen uitvoeren, plus de ADSP Appliance. De sensoren kunt u volledig gedistribueerd opstellen, dus ook in andere filialen of door gebruik te maken van een elders gehoste ADSP Appliance. Met behulp van de beheerconsole neemt u contact op met de appliance en beheert u het hele systeem. Het eerder genoemde drieluik van componenten biedt als eerste luik ‘Security & Compliance’ en dat is natuurlijk de kerntaak van het geheel. U krijgt wips met 24×7 bewaking en een allesomvattende beveiliging met detectie van ‘rogue’ (ongewenste) draadloze systemen alsook inperking daarvan. Er is een draadloze kwetsbaarheidsonderzoeksmodule waarmee u volledig automatisch de draadloze penetratiegraad van uw netwerk kunt onderzoeken. Bovendien kunt u daarmee bewijzen dat uw draadloos netwerk veilig is volgens de heersende standaarden, regels en wetten.

Het infrastructuurbeheer is een optioneel luik dat u beheertaken laat uitvoeren alsook prestatiemetingen uitvoeren. Er zijn ondersteuningen voor zowel oudere als gloednieuwe standaarden en hulp om uw draadloos netwerk bijvoorbeeld naar 802.11n te migreren of om bepaalde mobiliteitsoplossingen in uw bedrijf te introduceren. Vermits dit luik buiten het bestek van dit artikel valt, gaan we er niet verder op in.

Het derde luik is de ‘Network Assurance’ of netwerkverzekering. De zekerheid dat uw draadloos netwerk behoorlijk werkt en presteert, en veilig is. En bovendien zo kostenefficiënt mogelijk werkt, dat spreekt vanzelf. Er is een ‘troubleshooting’-module waarmee u configuratieproblemen van het draadloze netwerk kunt opsporen, en met name degene die uw bedrijfskritieke applicaties negatief beïnvloeden. U kunt flessenhalzen opsporen en reduceren of elimineren en bij problemen of hardware-upgrades de uitvaltijd voor uw hele netwerk zoveel mogelijk minimaliseren. Motorola biedt u verder een AirDefense Spectrum Analysis waarmee u mogelijke storingsbronnen kunt opsporen en hun impact op uw draadloos netwerk kunt nagaan en in kaart brengen. Met behulp van de AirDefense LiveRF module kunt u het radiografisch verkeer in real-time meten en visualiseren. Overigens kunt u zo’n meting ook opslaan en dan naderhand weer opnieuw laden en bekijken. Daarmee biedt het systeem u dus een historisch overzicht van radiometingen. Dat brengt ons dan naadloos bij een forensische module die u kunt gebruiken om deze radiometingen in verslagen en als bewijs in bepaalde onderzoeken op te nemen.

Sensoren

Net als bij andere merken dienen de sensoren voor de eigenlijke radiografische detecties en metingen. De Motorola sensoren rapporteren aan de ADSP Appliance. Zo’n sensor kan een specifiek meettoestel zijn, maar sensoren zitten ook geïntegreerde in Motorola ap’s zoals de tri-radio AP-7131 die ook 802.11n ondersteunt. Dat is een ap en een sensor in een. Dat kost minder zowel in hardware-aanschaf als in bekabelingskosten. De communicatie tussen de sensor en de ADSP Appliance verloopt via https, waardoor dat probleemloos over firewalls en routers geleid kan worden. Motorola biedt verschillende modellen van sensoren, zowel voor binnen- als buitengebruik en voor diverse soorten van metingen.

Beheer

Motorola beheert het hele systeem via de ADSP Management Console. Dat is een webconsole die u oproept vanaf de ADSP Appliance. De web/java/flash-beheerconsole biedt een tabblad interface. Bovenaan vinden we vijf tabs: menu, dashboard, netwerk, alarmen, configuratie. De eerste tab biedt een pull-down menu met alle deelapplets die het AD-systeem omvat en die u ook elders in de interface aantreft overal waar een klein omlaaggericht zwart driehoekje aanklikbaar is. Het dashboard is volledig door uzelf configureerbaar en inrichtbaar. Zo ziet u in een oogopslag alle beveiligings- en meetresultaten die u van belang acht. U kunt nieuwe dashboards samenstellen door componenten vanuit een overzicht uiterst links in de dashboardruimte te slepen met de muis. In de netwerktab deelt u uw netwerk in een hiërarchische structuur in en associeert u sensoren met netwerktoestellen. Bij de toestellen verschijnen dan gekleurde bolletjes om aan te geven of er vastgestelde problemen zijn. Onder alarmen vindt u een gedetailleerd overzicht van alle vastgestelde problemen en inbreuken. U kunt dan instellen hoe daarop gereageerd moet worden en wie een verwittiging moet krijgen. De tab Configuratie, ten slotte, biedt u de mogelijkheid uw draadloos netwerk te configureren en aan plaatsbepaling te doen. Bovendien geeft u van netwerktoestellen aan of ze tot uw buurt behoren en of ze al dan niet goedgekeurd zijn.

Beoordeling

Motorola heeft met AirDefense Service Platform een omvangrijk draadloos beveiligingssysteem dat ook netwerkzekerheid en beheer kan bieden. Het is minder makkelijk in het gebruik dan het hoger besproken systeem van AirMagnet, maar in de handen van een wlan-specialist mogen draadloze indringers beginnen huiveren. Het prijskaartje is wel nog forser dan bij AirMagnet.

Allesomvattende beveiliging, ook bekabeld

Sommige fabrikanten beschouwen beveiliging als iets dat voor elk netwerk geldt en eigenlijk hetzelfde is, zowel bekabeld als draadloos. SonicWall is daar een voorbeeld van.

SonicWall Wired & Wireless Security

Alle utm’s van SonicWall ondersteunen ook wids en wips. SonicWall maakt immers gebruik van dezelfde firmware voor al hun utm’s van de kleinste tot de grootste. En voor al die utm’s geldt: voeg speciale SonicPoint ap’s toe die als sensor gebruikt worden en dan kunt u reglementen opstellen voor ids en ips binnen het draadloze netwerk, alarmen en notificaties definiëren en prestatievereisten opleggen. De door ons bekeken NSA4500 UTM is bedoeld voor middelgrote netwerken.

Beheer

De systeeminstellingen bevatten een optie om netwerkpakketten te capteren voor foutenanalyse en probleemopsporing. Alle beveiligingsinstellingen staan u toe om aparte instellingen op te geven voor elk van de door u gedefinieerde groepen netwerkaansluitingen en uiteraard ook per gebruiker of gebruikersgroep of voor bepaalde protocols of diensten. U kunt beveiligingsinstellingen daarnaast laten gelden voor bepaalde tijdstippen.

Elke SonicWall utm herkent SonicPoint ap’s in uw netwerk automatisch en u kunt ze zien in een speciaal onderdeel van het webbeheer. Ap’s van andere merken worden niet ondersteund. Er is een ‘rogue ap’-detectie en die detecteert onbekende draadloze netwerken in uw buurt. De lijst vindt u terug onder de ids-configuratie van de SonicPoints. Het is een beetje verwarrend dat er in deze configuratie alleen maar gesproken wordt over SonicPoints, maar daar worden dus kennelijk vaak ook ap’s van andere merken mee bedoeld. Toch in de ids-configuratie. Voor de andere rubrieken in de configuratie worden echt alleen SonicPoints van SonicWall ondersteund. Dat heeft te maken met die detectie. Het komt erop neer dat u SonicPoints nodig heeft om als sensoren voor wids en wips te kunnen dienen. De eigenlijke ap’s voor het normale draadloze netwerkverkeer mogen ook van andere merken zijn. Dat zou SonicWall van ons veel duidelijker mogen maken.

De SonicPoints kunt u in groepen onderverdelen en u legt dan configuraties per groep vast. De utm ondersteunt zoals reeds aangehaald wids (inbraakdetectie op het draadloze netwerk), maar ook speciale firewallregels voor het wlan, beveiligd draadloos zwerven (roaming) via Virtuele Access Points (vlan’s over een draadloze verbinding) en zowel bekabelde als draadloze gastdiensten voor uw hele netwerk.

Beoordeling

De NSA4500 heeft een vrij gebruiksvriendelijk beheer, werkt en beveiligt prima en biedt een uitgebreide functionaliteit. Aanbevolen!

Conclusie

Om uw draadloos netwerk afdoende te beveiligen tegen ongewenste indringing of onverwachte prestatievermindering geldt maar een regel: meten is weten. Draadloze netwerkpakketten bestuderen kan met Kismet, maar voor echte volautomatische controles en afblokking hebt u een volwassen en echt goed uitgebouwd systeem nodig zoals AirMagnet Enterprise of Motorola AirDefense. Als u een allesomvattende oplossing wenst met alle hardware van hetzelfde merk, biedt SonicWall een interessant uitgewerkte aanpak.

Johan Zwiekhorst

Motorola heeft met AirDefense Service Platform een omvangrijk draadloos beveiligingssysteem.