ワイヤレスセキュリティ：WIPS。 パート1：Mojo AirTight

Habrの住民の皆さん、こんにちは。 ワイヤレス侵入検知システムは、ワイヤレスネットワークのカバレッジの周囲に立ち、レーダープレートを連続的に回転させる対空砲であると考えるかもしれません...



しかし、いや、厳しい現実では、すべてが多少平凡です。 この投稿では、2つのWIPS（Wireless Intrusion Prevention System）ソリューションの経験を共有したいと思います。 最初の部分では、WIPSの一般的な概要とその必要性を説明し、Mojo AirTight製品の主要な機能の概要と必要な設定について説明します。 第2部では、シスコの同様のソリューションを検討する予定です。

叙情的な余談

彼の人生のすべてのネットワークエンジニアは、IPS / IDSの概念に出くわしたと思います。 現代の現実では、すべての自尊心の高いファイアウォールがこの機能を提供しています。 機器の製造業者は胸を大声で胸を叩き、「独立した」専門知識の結果によって測定されます。NGFWはさまざまなマルウェアをよりよくキャッチします。 このクラスの機器をセットアップするための推奨事項がある良い記事を見つけることは問題ではありません。

残念ながら、WIPSではすべてがそれほどバラ色ではありません。賢明な資料（特にロシア語）はあまりなく、これらは主にマーケティングパンフレットであり、設定の説明ではありません。 ベンダーのドキュメントはもちろん役立ちますが、多くの場合、質問への回答はさまざまなソースにあり、どこを見るかを推測するには、質問への回答の半分を知る必要があります。
このクラスのさまざまなソリューションを使用して、より技術的なガイドを作成し、世界と共有することにしました。

私の記事は、以下で説明するソリューションの機能をカバーすることを意図しておらず、究極の真実ではありません。 あなた自身の危険とリスクで「著者」の経験を使用してください。

WIPSとは何ですか、なぜ必要なのですか？

WIPSは、センサー（通常はWi-Fiが配信するのと同じアクセスポイントです）を使用して周囲の無線電波を監視し、無線信号ソース、それらの相互作用、異常な（異常な）アクティビティに関する受信情報を分析し、アクションを防止するシステムです。設定された侵入防止ポリシーに反して。

さまざまなWIPSシステムは、さまざまなアルゴリズムを使用して、「違反者」とその活動を防ぐメカニズムを識別します。 ただし、方法の違いにもかかわらず、各システムが戦おうとしている脅威のリストはほぼ同じです（私の個人的な経験が示すように、宣言された機能は常に100％効果的ではありません）。

• RogueAPは、実際の外観（SSIDと同じ名前またはわずかに異なる）の「外観」を完全または部分的にコピーする悪意のあるアクセスポイントであり、MiTM攻撃を実装したり、不注意なユーザーの資格情報を侵害したりするように設計されています。
• アドホック-LANに接続されたデバイスがWi-Fiを他のユーザーに配布し、その結果、LANへのアクセスを提供する動作モード。
• DoS-サービス拒否攻撃。 ワイヤレスネットワークの現実では、これは主に、ネットワークの品質を低下させるために、ユーザーの認証を解除したり、無用なメッセージ（ノイズ）で無線を乱したりするメッセージのフラッドです。
• MACスプーフィング-クライアント/ APになりすますためのメッセージ送信者のアドレスの偽造。
• BruteForce-完全な列挙/辞書攻撃によるWi-Fiパスワード選択。
• 暗号化および承認プロトコルの既知の脆弱性に対する攻撃-WEP、WPA、WPSなどの脆弱性

今、詳細。

モジョエアタイト

概要

Mojo NetworksのMojo AirTightは、私が初めて取り組んだシステムです。 これは、ワイヤレスアクセスを提供し、WIPSを整理するための完全なソリューションです。

システムには、アクセスポイントとWi-Fiコントローラー+ WIPS制御システムという従来のアーキテクチャがあります。 クラウドバージョンのコントローラーも提供されていますが、このオプションは私たちの国では需要があるとは思いません。

アクセスポイントは3つのモードで使用できます。

• AP-通常のアクセスポイント
• センサー-WIPS / WIDSモードのアクセスポイント
• Network Detector-有線セグメントをスキャンするアクセスポイント。

Mojo AirTightワイヤレス侵入防止システム（WIPS）-ワイヤレスネットワークコントローラーとWIPSの機能を組み合わせた仮想マシンは、接続されたポイントの数（任意のモード）によってライセンスされます。 WIPS機能の個別のライセンスは必要ありません。

動作原理

Mojo AirTight WIPSの動作原理は非常に単純です。検出されたすべてのユーザーとアクセスポイントは、承認済み、構成ミス、外部、不明、不正の5つのカテゴリに分類されます。

承認済み-信頼されたアクセスポイントとそれらに接続されたクライアント。

構成の誤り-信頼されているが、IPSポリシーに関して正しく構成されていないアクセスポイント。

外部-接続されているアクセスポイントとクライアント。これらは信頼も悪意もありません。 一般的なWi-Fiネイバー。

不明-まだ分類されていないか、分類するのに十分な情報がないアクセスポイントとそれらに接続されているクライアント。

不正-悪意のあるアクセスポイントとそれらに接続されているクライアント。

分類は自動ですが、分類が正しくない場合、システム管理者は任意のカテゴリを手動で割り当てることができます（誤設定を除く）。

したがって、Mojo管理サーバーに直接接続されているアクセスポイントは承認されたと見なされます。 システムが統合されている別のコントローラーに接続されているアクセスポイント（統合オプションについては後で説明します）。 Mojoに接続されていないが、その設定がIPSセキュリティポリシーに準拠しているポイント。

構成の誤り-設定がWIPSポリシーに準拠していないポイント（たとえば、ポイントはWPAを使用し、WIPSポリシーはWPA2-Personalのみを必要とします）。 これらは、Mojo管理サーバーまたはシステムが統合されている別のWi-Fiコントローラーに接続できます。

Mojoによって監視されているが許可されていない有線ネットワークに接続されているアクセスポイントは、悪意のある（悪意のある）（企業のワイヤレスコントローラーのサービスを受けていないネットワークに誰かが追加のアクセスポイントをスタックした場合）と見なされます。 また、企業のSSIDを送信するポイント（上記の基準に従って許可されていない）およびブラックリストに登録されているSSIDも、悪意のあるプログラムのリストに含まれます。

さて、他のすべてのポイントは外部として分類されます。

分類結果に基づいて、WIPSポリシーで説明されているアクションがポイントとユーザーに適用されます。 このポリシーは、許可されたオブジェクトの妨げられない相互作用を意味しますが、他のカテゴリは制限できます。 RogueおよびMisconfiguredオブジェクトとの対話を禁止することをお勧めしますが、Externalグループのオブジェクトには制限を適用しないでください。

システムは非常に「説得力がある」ことを覚えておく必要があります。 ポイントまたはユーザーがかつて不正と分類された場合、管理者がそれらを「正当化」するまで、それらはそのままです。 そのため、次の状況が発生する可能性があります。ビジネスセンターの隣人が誤ってアクセスポイントをスイッチングルームの間違ったスイッチに固定した。 しばらくして、彼らは間違いに気づき、誤りを修正しましたが、Mojoはすでにその点を見つけて分類していました。 そして彼は、たとえば、ユーザーを接続しようとする試みを抑制するために、政治によって定義されたアクションを適用し始めました。 その後、Mojoは、隣接するWi-Fiに属する同じパラメーター（同じSSID、同じポイントモデルなど）で残りの可視ポイントを再分類し、同じ運命に直面します。 ここにそのような血の確執があります。

初期設定

システムのインストールと構成について説明します。
イメージを仮想化環境に展開すると、次のコンソールビューが表示されます。



この製品のライセンスはMACアドレスに関連付けられていることに注意してください。 仮想マシンが仮想化環境を介して移行すると、仮想マシンのMACアドレスが変更される可能性があるため、手動で割り当てることをお勧めします。 アドレスが変更されると、ライセンスは「飛び立ち」ます。新しいMACのライセンスを再発行するようベンダーに依頼するか、古いMACを返して再起動する必要があります。

デフォルトのユーザー名/パスワードconfig / configを入力し、初期化ウィザードを実行します。 初期化中に、次が提供されます。



初期初期化中に、動作しているNTPおよびDNSサーバーを指定することが重要です。 これを行わないと、Webインターフェイスが起動せず、それ以上のシステム構成が不可能になる可能性があります;これらのパラメーターをコンソールから再構成し、再起動する必要があります。 DNSサフィックスも指定する必要があります。 このパラメーターは、アクセスポイントによるサーバーの自動検出のメカニズムを正しく機能させるために必要です。 Mojoサーバー、DNSサーバー、および各アクセスポイントで一致する必要があります。

次に、Webインターフェイスに従って、ライセンスファイルを「入力」します。 ライセンスファイルを取得するには（もちろん購入後）、製造元に連絡して、サーバーのMACアドレスを提供する必要があります。 システムには試用期間と猶予期間はありません。



その後、設定の準備ができたシステムがありますが、最も重要なもの、つまりアクセスポイントがありません。 アクセスポイントには個別のニュアンスがあります。一度にアクセスポイントは3つのモード（AP、センサー、ネットワークディテクター）のいずれか1つにしかなれません。

主なキャッチは、同時に情報を送信し、空気をスキャンすることです、ポイントは侵入を防ぐことができません。 したがって、WIPSが機能するには、このタスクのみを実行する個々のポイントの配置を計画する必要があります。

アクセスポイントがMojoサーバーに自動的に接続するには、WIPSがDHCPを介してIPアドレス、DNSサーバーアドレス、およびDNSサフィックスを取得する必要があります。 また、「wifi-security-server」という名前のエントリがDNSサーバーに存在し、Mojoサーバーを指している必要があります。 原則として、各ポイントは手動で調整できますが、これは私たちの方法ではありません。

ファイアウォールを介して作業する場合、以下で説明する相互作用が有効になっていることを確認する必要があります。

港	使用する
TCP / 21	FTP-ファイル転送をアップロードに使用できます
TCP / 22	Ssh
TCP / 25	SMTPとの統合-アラートの送信に使用
TCP / 80	WIPSサーバーへのアクセスポイントによるOSアップデートのダウンロード
TCP / 443	管理GUI
TCP / 1035	クラスターで実行されているWIPSサーバー間の相互運用性
TCP / 3851	AirTight Mobileとの相互作用-Mojo Networksのエンドポイントクライアント
TCP / 3852	Cloud Integration Point（CIP）を使用してVPNを開く
TCP / 4433	証明書/スマートカードでクライアントを認証するときに使用されます
TCP / 5432	PostgreSQL WIPSサーバークラスターデータベース間の相互作用
Tcp / 2002	パケットキャプチャに使用されるポート。 このポートでは、アクセスポイントはサーバーからのコマンドがトラフィック収集セッションを開始するのを待ちます。
Udp / 23	NTP-時刻の同期（ポイントとサーバーの両方の相互作用）
UDP / 161	SNMP（メッセージ受信）-サードパーティのコントローラー（例：Cisco WLC）との統合に必要
UDP / 162	SNMP-（メッセージの送信）-サードパーティのコントローラー（たとえば、Cisco WLC）との統合に必要
UDP / 389	LDAP-ユーザー認証のためのLDAP統合
UDP / 694	WIPSクラスターサーバー間のハートビート
UDP / 514	Syslog-外部SIEMとの統合
UDP / 1194	クラスター内のサーバー間でVPNを開く
UDP / 1812	Radius-RADIUSサーバーを介したユーザー認証
UDP / 3851	Exchange SpectraTalkアクセスポイント

デフォルトでは、ポイントは「AP」モードでシステムに接続されます。 その後、目的のモードに切り替えることができます。 接続されているすべてのAPを必要なモードに自動的に切り替えるデバイスプロファイルを設定することもできます。

しかし、いつものように、注意点が1つあります。ポイントが長時間コントローラーを見つけられない場合、失望から無気力な夢に陥り、ファイアウォール/ルーティング/ DNSを事前設定した後のリブートのみがこの問題を解決します。

ネットワーク検出モードのポイントは、SSH /コンソール接続を介して手動で構成する必要があります。 このモードの意味は、トランク上のポイントがLANのすべてのVLANに接続し、その中の不正アクセスポイントの有線接続の兆候を探すことです。 見つかった場合、MACアドレスのスプーフィングを開始し、あらゆる方法で生活を妨害します。 デバイスのこの動作は、スイッチに不快感を引き起こす可能性があるため、スイッチも設定することをお勧めします。 ネットワーク検出器自体の設定は非常に簡単です：動作モードの変更、トランクの設定（VLANリストの指定）、各VLANのネットワーク設定の設定（IPアドレスとネットワークマスクの設定）、MojoサーバーをノックするVLANおよび住所。

実際には、システムの初期セットアップは、管理サーバーとアクセスポイントがお互いを見たときに完了しました。 Mojoを使用してWi-Fiをセットアップすることは考えません。このプロセスは、他のベンダーの機器にワイヤレスネットワークをセットアップすることと変わりません。 次に、WIPS、特にWIPSに必要なサービスの設定について説明します。

ロケーション設定

次に、ネットワークの「マップ」を構成する必要があります。 これを行うには、「トポロジ」を構成する必要があります。特別なエンティティ-「建物」と「床」を作成します（いずれの場合も、キリル文字を使用しません-システムはそれをサポートしません） 「フロア」ごとに-フロアプランをアップロードし、すべてのセンサーと正当なアクセスポイントの位置をマークします。

トポロジ要素は、[場所] >> [場所の追加]メニューで作成されます。 地図の読み込み-場所>>建物X>フロアY>レイアウトの追加。 マップをロードするとき、部屋の長さと幅を指定し、測定単位を選択する必要があります。 残念ながら、地図は単なる画像（jpg形式）であり、その上にオブジェクト（壁など）を示す機能はありません。

プランへのセンサー/アクセスポイントの追加は、メニューで実行します：場所>>建物X>フロアY>デバイスリストの表示。 表示されるデバイスのリストから、センサー/ポイントをマップ上の場所に「ドラッグ」する必要があります。

カードは、できるだけ正確で、センサーとアクセスポイントの配置が正確である必要があります。 これは、位置決めメカニズムが正しく機能するために必要です（詳細は以下）。

IPSセットアップ

IPSを構成するには、3つの手順を順番に実行する必要があります。

1. 許可されたSSIDのポリシーを構成します。 この段階で、正当なSSIDごとにプロファイルを作成し、SSID名、そのパラメーター（暗号化、認証方法など）を示します。 設定は、メニューの[設定]> [WIPS]> [承認されたWLANポリシー] <場所の名前>で実行されます。 すべてのSSIDプロファイルを作成したら、特定の場所に存在できるSSIDに応じて、場所ごとにプロファイルをアクティブにする必要があります。 各場所のポリシー設定は、「ここをクリックしてポリシーを編集およびカスタマイズできるようにする」リンクをクリックした後に行われます。 デフォルトでは、ポリシーはルートの場所から継承されます。
2. IPSポリシーを構成します。
   
   
   
   
   
   
   
   ここではすべてが非常に簡単です-興味のある機能の横にあるチェックボックスをオンにして、それだけです。
3. IPSを有効にします。 電源を入れる前に、システムはWIDSのように動作します。すべてを認識しますが、干渉はしません。
   
   

設定されたポリシーに従って、1つのチェックマークが防止の開始から私たちを分離します。
私は、攻撃者への対抗がどのように行われるかを詳細に説明する必要はないと考えています。 これはベンダーのドキュメントで読むか、次のように言うことができます。
ここに 。

既存のWi-Fiとの統合

このシステムの利点の1つは、サードパーティのWi-Fiコントローラーと統合できることです。 したがって、機能を広げることができます-Wi-Fiは1つのデバイスを配布し（そして1人がそれを管理します）、それを監視します-別の（したがって、これは別の人の責任範囲かもしれません）。



Cisco WLC、Aruba Mobility Controller、およびHP MSM Controllerとの統合がサポートされています。 対話はSNMPを介して行われます。 ここで何も設定する必要はありません。コントローラからIPアドレスを指定し、SNMPのバージョンを選択し、コミュニティの名前、資格情報（SNMPv3の場合）を指定し、コントローラから取得するパラメータを選択する必要があります。 WIPSの場合、原則として、APとクライアントに関する情報だけで十分ですが、相互作用を構成するコントローラーによってサービスされる各アクセスポイントが表示されるポイントに関する情報を選択することもできます。 これは、次の状況で役立つ場合があります。統合するコントローラーが複数の建物に同時にサービスを提供するとします。 Aの建物には、独自のMojoセンサーがあります。センサー自体がすべてを認識し、APの支援は必要ありません。 しかし、「B」を構築する際にはセンサーがなく、コントローラーからラジオ放送の参加者に関する情報を取得できます。 もちろん、システムはコントローラーによって制御されるポイントを「抑制する」ように動作させることはできませんが、このようにして見たものを分類することはかなり可能です。 そして、この方法でビルBの不正ポイントを分類すると、システムはアラームを生成し、管理者はインターフェイスでこれを確認して対策を講じることができます。 もちろん、自動的ではありませんが、少なくとも何らかの形で。

一般に、統合のセットアップがすべてです。 再度明確にします。サードパーティのWi-Fiコントローラーから受け取ったポイントを承認するには、上で書いたようにIPSを構成する必要があります。 これが行われない場合、それらは誤って構成されます。

確かに、このメカニズムは常に正しく機能するとは限りません。 たとえば、何らかの理由でWLCから受信したすべてのCisco 1600ポイントが許可されたポイントに自動的に追加されず、一般に（SSIDの数によって）いくつかの別個のポイントとして表示されるというバグに対処する必要がありました。 WIPSの問題を回避するために、それらを手動で分類する必要がありました。

オブジェクトの配置

このシステムの最も興味深い機能の1つは、Wi-Fiネットワークオブジェクトの配置です。 理論的には、このメカニズムの設定は不要であり、そのまま使用できます。 実際には、以下の例のようにすべてを美しくするために、カードの非常に慎重なセットアップとセンサーのキャリブレーションが必要です。 キャリブレーションは、オブジェクトの三角測量のグラフのシステムによる構築であり、オブジェクトまでの距離を決定します。 システムは実際のグラフィックと予想されるグラフィックを表示しますが、理想的には一致する必要があります。 しかし、壁や干渉を生成する他のオブジェクトの存在を考えると、正確な位置決めのための良い結果はグラフの70％です。 それはすべて、部屋のポイントの最適な位置とマップの正しい設定に帰着します（もちろん、ここでのニュアンスは海です）。 他の機能があります-まず、システムは一定の間隔でサードパーティのWi-Fiコントローラーによって制御されるアクセスポイントから情報を受信し、この情報を使用して移動オブジェクトを配置する場合、センサーからの現在のデータを5分間のアクセスポイントからのデータと比較するとき処方は「わずかに」不正確です。 第二に、ルームマップを作成するとき、信号伝送を損なうオブジェクトを指定することはできません。 たとえば、床にある電気パネルは、画像を大きく歪める可能性があります。

どのように機能しますか？

たとえば、悪意のある侵入者がネットワークに現れたので、見つける必要があります。

[Monitoring]> [Security]タブに移動し、関心のあるクライアントを見つけて、スクリーンショットで黒丸で囲まれた[Locate]オプションを選択します（この例では、ブラックリストにネイバーアクセスポイントを追加すると、すべてのクライアントが自動的に「悪」になりました）。



これらの簡単な操作の後、マップ上に小さな青い正方形が表示されます（すべてが正しく構成され、調整されている場合）。



スクリーンショットは、システムが定性的に較正されたときの位置決めの例を示しています。

あとがき

一般に、解決策はそれ自体でうまく表示され、私はそれ以上の特別な問題に遭遇しませんでした（本文で説明されているものを除く）。 ただし、データ転送用に別のポイントを配置し、WIPS用に別のポイントを配置する必要性は、私にとってはやや奇妙に思えます。 競合するソリューションのほとんどは、この機能を1つのポイントで組み合わせることができます（カバレッジの半径は悪化しますが、それでも組み合わされます）。 はい。また、例のようにポジショニングが機能するためには、ダイアグラムを非常に正確に作成し、センサーの配置を計画し、タンバリンとダンスする必要があります。 ただし、テスト侵入者、有線ネットワークに接続された冗長ポイントを検出し、クライアントが一般にワイヤレスネットワークに接続するのを防ぐためのすべてのテストは成功しました（主なことは、ボスでのブロッキングを試すことではありません-気分を害しました）。 DoSの反作用はうまく機能しません。感覚的なものは周波数妨害に対処し、検出は限られた範囲でのみ検索に役立ちます。 失敗し始めます。 また、接続フラッド、強制切断などの標準攻撃に対抗する場合 ネットワーク帯域幅の低下は依然として顕著です。 ただし、ソースを見つけるのは簡単です。

シスコ向けです。

継続する。

Artem Bobrikov、Jet Infosystemsの情報セキュリティ設計エンジニア