Drahtloses Intrusion Prevention System - Wireless intrusion prevention system

Beim Computing ist ein drahtloses Intrusion Prevention System (WIPS) ein Netzwerkgerät , das das Funkspektrum auf das Vorhandensein nicht autorisierter Zugriffspunkte überwacht (Intrusion Detection) und automatisch Gegenmaßnahmen ergreifen kann (Intrusion Prevention) .

Zweck

Der Hauptzweck eines WIPS besteht darin, den unbefugten Netzwerkzugriff auf lokale Netzwerke und andere Informationsressourcen durch drahtlose Geräte zu verhindern. Diese Systeme werden normalerweise als Overlay zu einer vorhandenen WLAN- Infrastruktur implementiert , obwohl sie möglicherweise eigenständig bereitgestellt werden, um Richtlinien ohne WLAN innerhalb eines Unternehmens durchzusetzen. Einige fortschrittliche drahtlose Infrastrukturen haben WIPS-Funktionen integriert.

Große Organisationen mit vielen Mitarbeitern sind besonders anfällig für Sicherheitsverletzungen, die durch unerwünschte Zugriffspunkte verursacht werden . Wenn ein Mitarbeiter (vertrauenswürdige Entität) an einem Standort einen leicht verfügbaren WLAN-Router mitbringt , kann das gesamte Netzwerk jedem in Reichweite der Signale ausgesetzt werden.

Im Juli 2009 veröffentlichte der PCI Security Standards Council drahtlose Richtlinien für PCI DSS , in denen die Verwendung von WIPS zur Automatisierung des drahtlosen Scannens für große Unternehmen empfohlen wird.

Intrusion Detection

Ein drahtloses Intrusion Detection System (WIDS) überwacht das Funkspektrum auf das Vorhandensein nicht autorisierter, nicht autorisierter Zugriffspunkte und die Verwendung drahtloser Angriffstools. Das System überwacht das von WLANs verwendete Funkspektrum und benachrichtigt einen Systemadministrator sofort , wenn ein unerwünschter Zugriffspunkt erkannt wird. Herkömmlicherweise wird dies durch Vergleichen der MAC-Adresse der teilnehmenden drahtlosen Geräte erreicht.

Rogue - Geräte können fälschen Adresse eines autorisierten Netzwerkgerätes als ihre eigenen MAC. Neue Forschungsergebnisse verwenden den Fingerabdruck- Ansatz, um Geräte mit gefälschten MAC-Adressen auszusortieren. Die Idee ist, die eindeutigen Signaturen, die von den von jedem drahtlosen Gerät ausgesendeten Signalen gezeigt werden, mit den bekannten Signaturen von vorautorisierten, bekannten drahtlosen Geräten zu vergleichen.

Einbruchsprävention

Neben der Erkennung von Eindringlingen enthält ein WIPS auch Funktionen, die die Bedrohung automatisch verhindern . Zur automatischen Verhinderung ist es erforderlich, dass das WIPS eine Bedrohung genau erkennen und automatisch klassifizieren kann.

Die folgenden Arten von Bedrohungen können durch ein gutes WIPS verhindert werden:

Implementierung

WIPS-Konfigurationen bestehen aus drei Komponenten:

  • Sensoren - Diese Geräte enthalten Antennen und Funkgeräte, die das Funkspektrum nach Paketen durchsuchen und in allen zu schützenden Bereichen installiert sind
  • Server - Der WIPS-Server analysiert zentral von Sensoren erfasste Pakete
  • Konsole - Die Konsole bietet die primäre Benutzeroberfläche für die Verwaltung und Berichterstellung im System

Ein einfaches Intrusion Detection-System kann ein einzelner Computer sein, der mit einem drahtlosen Signalverarbeitungsgerät verbunden ist, und Antennen, die in der gesamten Einrichtung angeordnet sind. Für große Organisationen, bietet ein Multi Network Controller zentrale Steuerung mehrerer WIPS - Server, während für SOHO oder SMB - Kunden die gesamte Funktionalität von WIPS ist in einzelnen Box zur Verfügung.

In einer WIPS-Implementierung definieren Benutzer zunächst die Richtlinien für den drahtlosen Betrieb in WIPS. Die WIPS-Sensoren analysieren dann den Luftverkehr und senden diese Informationen an den WIPS-Server. Der WIPS-Server korreliert die Informationen, validiert sie anhand der definierten Richtlinien und klassifiziert, ob es sich um eine Bedrohung handelt. Der Administrator des WIPS wird dann über die Bedrohung informiert, oder wenn eine Richtlinie entsprechend festgelegt wurde, ergreift der WIPS automatische Schutzmaßnahmen.

WIPS ist entweder als Netzwerkimplementierung oder als gehostete Implementierung konfiguriert.

Netzwerkimplementierung

In einer Netzwerk-WIPS-Implementierung befinden sich Server, Sensoren und die Konsole in einem privaten Netzwerk und sind über das Internet nicht zugänglich.

Sensoren kommunizieren mit dem Server über ein privates Netzwerk über einen privaten Port. Da sich der Server im privaten Netzwerk befindet, können Benutzer nur über das private Netzwerk auf die Konsole zugreifen.

Eine Netzwerkimplementierung eignet sich für Organisationen, in denen sich alle Standorte innerhalb des privaten Netzwerks befinden.

Gehostete Implementierung

In einer gehosteten WIPS-Implementierung werden Sensoren in einem privaten Netzwerk installiert. Der Server wird jedoch in einem sicheren Rechenzentrum gehostet und ist über das Internet zugänglich. Benutzer können von überall im Internet auf die WIPS-Konsole zugreifen. Eine gehostete WIPS-Implementierung ist so sicher wie eine Netzwerkimplementierung, da der Datenfluss zwischen Sensoren und Server sowie zwischen Server und Konsole verschlüsselt ist. Eine gehostete WIPS-Implementierung erfordert nur sehr wenig Konfiguration, da die Sensoren so programmiert sind, dass sie über eine sichere TLS- Verbindung automatisch im Internet nach dem Server suchen .

Für eine große Organisation mit Standorten, die nicht Teil eines privaten Netzwerks sind, vereinfacht eine gehostete WIPS-Implementierung die Bereitstellung erheblich, da Sensoren über das Internet eine Verbindung zum Server herstellen, ohne dass eine spezielle Konfiguration erforderlich ist. Darüber hinaus kann von überall im Internet sicher auf die Konsole zugegriffen werden.

Gehostete WIPS-Implementierungen sind in einer On-Demand- Software auf Abonnementbasis als Servicemodell verfügbar . Gehostete Implementierungen können für Organisationen geeignet sein, die die Mindestanforderungen für das Scannen von PCI DSS erfüllen möchten.

Siehe auch

Verweise