اكنون سيستمهای شناسايی مهاجم (Intrusion Detection System يا IDS) بخش مهمی از زير ساخت امنيتی شبكههای شركتی محسوب میشوند. با گسترش شبكههای بیسيم نياز به IDS افزايش يافته است. البته يافتن الگوها و سياستهايی كه بتواند استفاده قابل قبول را تعريف نموده و نفوذ در محيط های شبكهای بسيار متغيير و سيار را رد كند، پيچيدهتر شده است. من دو سيستم IDS شبكه بیسيم را كه از دو روش مختلف استفاده میكنند مورد بررسی قرار دادهAirXone Managed Security Service كه بخشی از يك سرويس مديريت از جانب شركت Vigilant Minds میباشد، يك سنسور سختافزاری را به قابليت مانيتورينگ از راه دور مرتبط میسازد و تحت قرارداد سرويسهای حرفهای ارائه میشود. بدين ترتيب Vigilant Minds به عنوان يك شركت قابل اعتماد در ساختار شركت شما پذيرفته شده و فقط مسائل اندكی از بخشهای بیسيم شبكه شما را نمیداند.
سرويس ديگر يعنی Distributed 4.0 محصول شركت AirMagnet قدرت كنترل فوقالعاده زيادی را با فرض اينكه میخواهيد جزيیترين مسائل در مورد فضای فركانس راديويی را تحت كنترل شركت مشاهده و كنترل نماييد، در اختيار شما قرار میدهد. در اينجا مشاهده و كنترل اطلاعات به عاليترين شكل صورت میگيرد اما مسئوليت آن نيز بسيار سنگين است.ام.
Vigilant Minds AirXone Managed Security Service
نصب سيستم AirXone بسيار آسان است . يكی از مشاوران Vigilant Minds به منظور مشخص نمودن نيازهای سايت، به شما كمك میكند. او دستگاهی را به شبكه شما متصل نموده و چگونگی استفاده از اين دستگاه مديريت و گزارشگيری مبتنی بر مرورگر را به شما آموزش میدهد. برای نصب سرويس فوق، كمی كار و مهارت و وجود يك WLAN IDS يكپارچه مورد نياز است.
يكی از اولين مراحل به كارگيری موثر AirXone دانستن اين نكته است كه چند سنسور انحصاری مورد استفاده قرار میگيرد و البته هر چقدر تعداد سنسورها بيشتر باشد هزينه بالاتر خواهد بود. من متوجه شدم كه يك سنسور بخشهايی از سه طبقه يك ساختمان را تحت پوشش قرار داده البته سطح پوشش در هر نصب متفاوت است. سنسوری كه من مورد استفاده قرار دادم 12 نقطه دستيابی (access point) يا AP و كلاينت، شامل يك AP در بيرون ساختمان و با فاصله كمی از آزمايشگاه را يافت.
سيستم درمحدوده سطح پوشش سنسور نقاط دستيابی و كلاينتها همچون آدرسهای SSID, MAC يا Service Set Identifier و برنامههای امنيتی را كه تماما برای بررسی آماده هستند، مورد توجه قرار میدهد. هر يك از اين ابزارهای بیسيم میتواند طبق مجوز خود در استفاده از شبكه و وضعيت خود در شبكه طبقهبندی شود.
بسته به اندازه شبكه، وارد كردن ابزاهای مجاز در ديتابيس میتواند به صورت دستی و يا از طريق لينكهايی به يك ديتابيس احراز هويت يا سيستم موجودی انجام شود. با شروع كار، سنسورها با سرويس مديريت Vigilant Minds ارتباط برقرار میكنند. از آنجايكه اين كار بر روی يك پورت بالای غيراستاندارد انجام میشود به اصلاحاتی در IDS شبكه معمول شما نياز دارد تا از توليد جريانی از اخطارها در سيستم امنيتی با سيم توسط IDS بیسيم جلوگيری شود.
يكی از ويوگیهای مفيد اين سيستم اين است كه به كاربر امكان میدهد تا دستگاههای خاصی را ناديده بگيرد. به عنوان مثال در تنظيمات شهری بسيار شلوغ كه شبكه بیسيم در ساختمان مجاور هميشه موجود است (كه البته فعلا تهديد كننده نيست) چنين ويوگی بسيار موثر به نظر میرسد. با كمك مشاورين Vigilant Minds شما میتوانيد يك سری قوانين را برای رسيدن به موقعيتی كه تمامی شركتهای بزرگ با استفاده از IDS در جستجوی آن هستند، تهيه نماييد: خطرات واقعی پيام هشدار ايجاد مینمايند و ديگر فعاليتها بايد بتوانند به سادگی مورد توجه قرار گرفته يا ناديده گرفته شوند.
مديران شبكه میتوانند به منظور ايجاد قوانين و بررسی موقعيتها به كنسول مديريت دسترسی داشته باشند. اما در مدل Vigilant Minds اكثر ارتباطات و تعاملات شما با سيستم از طريق هشدارهايی خواهد بود كه قبل از رسيدن به شما توسط مشاورين و سيستم مديريت مشاهده شدهاند. اگر به يك شبكه بیسيم امن نياز داريد اما در عين حال نمیخواهيد تيمی از متخصصان داخلی در رابطه با امنيت شبكه ايجاد كنيد AirXone يك انتخاب عالی محسوب میشود. اما اگر به سرويسی نياز داريد كه در تلفيق با كنسول مديريت شبكه باسيم خودتان كار كند احتمالا مدل فوق انتخاب خوبی نخواهد بود. البته میتوان از آن استفاده نمود اما به كارگيری آن مستلزم كار بسيار زياد و حتی مسئوليت بيشتر است.
AirMagnet Distributed 4.0
بيشترين قدرت سيستمهای تحليل مستقل WLAN لپتاپ AirMagnet در درك شركت از مشخصات راديويی قرار دارد. AirMagnet Distributed اين قدرت را به وسيله يك سنسور راه دور كه در واقع يك گيرنده بسيار حساس 802.11a/b/g و يك سيستم نرمافزاری است به دست میآورد. در ضمن سيستم نرمافزاری از سنسورها برای نمايش دادن طيف وسيعی از اطلاعات در مورد كارآيی شبكه بیسيم و نيز امنيت آن استفاده میكند. شركتی كه به منظور مديريت شبكه خود در جستجوی يك ابزار منفرد میباشد میتوند بسياری از نيازهای خود را با استفاده از AirMagnet Distributed برطرف نمايد.
سيستم AirMagnet از سه بخش اصلی تشكيل شده: سنسور، سرور مديريت AirMagnet و كنسول AirMagnet . سنسور شبيه يك 802.11 AP استاندارد است و نصب آن به سادگی با آدرس دهی و تنظيم اطلاعات محرمانه مشترك به منظور برقراری ارتباط آن با سرور انجام میشود. نصب سرور نيز نسبتا آسان است، اگر چه اين احتمال وجود دارد كه ويوگیهای امنيتی و فايروال سرور اندكی موجب كاهش سرعت شود ( بخصوص در كنترل مجوز)
بعد از نصب سرور نرمافزار كنسول را دريافت نموده و به منظور ايجاد چند مسير كنسول آن را بر روی چند سيستم نصب نماييد. من سرور و كنسول را بر روی سيستمهای Windows XP Pro نصب كردم. AirMagnet با اين نوع پيكربندی كار میكند اما برای نصبهايی با بيشتر از دو سنسور، سرور بايد بر روی سرور ويندوز 2000 اجرا شود.
اگر از نسخه مستقل AirMagnet استفاده كرده باشيد كنسول Distributed نيز برايتان آشنا خواهد بود گرچه اين سيستم امكان دستيابی به ويوگیهای بيشتری را در اختيارتان قرار میدهد. شبكه را میتوان بر طبق موجودی فيزيكی، نقض سياست، مسائل امنيتی و كارآيی و كارآيی كلی شبكه، به صورت كامل يا با جزييات كمتر، مشاهده نمود. با اين گونه مشاهدات میتوان وضعيت جنبههای مختلف شبكه را در درازمدت يا به صورت فوری بررسی نمود.
اگر برای اولين بار از AirMagnet Distributed استفاده میكنيد وقتی را صرف يافتن روشهای گوناگون مشاهده آمار شبكه نماييد. من با ديدن تعدادی AP و كلاينت كه در شبكه من موجود نبودند و ديگر سيستمهای آشكارسازی بیسيم نيز آنها را نشان نداده بودند بهت زده شدم.
كلاينتها و APهای فوق به شبكه ديگری تعلق داشتند، البته تا قبل از اين موضوع من نمیدانستم كه میتوانم اين شبكه را از محل خودم مشاهده نمايم. من با اين خيال باطل كه فاصله فيزيكی بخشی از امنيت شبكهام را تامين میكند، با شبكه كار میكردم كه البته اين حقيقت چندان مورد علاقه نبودهام.
ايجاد سياستهايی برای AirMagnet Distributed بسيار ساده و از طريق check box و دگمههای راديويی را برای طيف گستردهای از پارامترها انجام میگيرد. AirMagnet با فراهم نمودن پيشنهادات و توضيحات برای سياستها در زمانيكه نقايص يافت شده را مورد بررسی قرار میدهيد به شما كمك میكند.
به عنوان مثال دستگاههای مخرب هشدارهايی ايجاد میكنند كه میتوانند ثبت شوند يا دستيابی به شبكه را مسدود سازند. وقتی سنسورهای در همپوشانی با مناطق تحت پوشش مورد استفاده قرار میگيرند، AirMagnet Distributed میتواند قدرت سيگنالی را كه دريافت شده آناليز كرده و محل فرد نفوذگر را بيابد.
به عنوان مثال در صورتيكه شخصی يك AP غيرمجاز در بخش حسابداری قرار دهد با استفاده از اين مشخصه به آسانی قابل تشخيص است. اما AirMagnet Distributed تمام نيازهای شما را در رابطه با مديريت شبكه بیسيم برآورده نمیسازد.
سيستم فوق به شما اجازه نمیدهد تا بستهها را به منظور يافتن مشكل ايجاد شده توسط برنامههای كاربردی رمزگشايی كنيد. در ضمن سرويسهای احراز هويت برای يك شبكه بزرگ بیسيم را در اختيارتان قرار نمیدهد.
آنچه اين سرويس در اختيارتان میگذارد تركيبی از تحليل كارآيی WLAN و IDS است كه برای كاربرانی كه میخواهند دست به عمل زده و شبكههای بی سيم خود را به صورت عملی مديريت كنند، از ارزش بسيار فراوانی برخوردار است. اگر يك مدير شبكه WLAN میباشيد كه ساختن يك toolkit كارآيی و امنيت را آغاز نمودهايد، AirMagnet Distributed را بايد در ليست خريد خود جای دهيد.
