Tài liệu
EXTREME NETWORKS
30/08/21
Tổng quan về AirDefense
Nền tảng AirDefense (ADSP) là một hệ thống ngăn chặn xâm nhập mạng không dây nâng cao (wireless intrusion prevention system- WIPS) cung cấp bảo vệ tự động chống lại các mối đe dọa không dây và lớp bảo mật chính cho giao thức VPN trên mạng không dây, bao gồm mã hóa và xác thực. Nền tảng cung cấp một cách hiệu quả và đơn giản hóa chi phí để tùy chỉnh đầy đủ các giải pháp quản lý và giám sát hệ thống mạng không dây để đáp ứng nhu cầu của tổ chức. ADSP cung cấp:
- Ngăn chặn xâm nhập không dây 24x7 (WIPS)
- Network Assurance Tools
- Multi-vendor WLAN Infrastructure Management
- Proximity và Analytics
- Forensic Analysis (Điều tra số)
- Khả năng tích với Access Point, Wireless Controller của hãng thứ 3
Hình 1: Kiến trúc AirDefense
Kiến trúc của hệ thống AirDefense
Hình 2: Mô hình kết nối AirDefense
Hệ thống AirDefense gồm 2 thành phần chính:
- ADSP Server: Là thiết bị trung tâm của hệ thống. Cung cấp các chức năng như quản lý tập trung hệ thống Sensor, báo cáo, giám sát, phân tích hệ thống, cấu hình chính sách, đánh giá lỗ hổng, … ADSP Server hỗ trợ 2 loại nền tảng là phần cứng và phần mềm.
- Hệ thống Sensor: là các cảm biến được đặt trong hệ thống mạng không dây để thực hiện các nhiệm vụ giám sát, thu thập thông tin cũng như thực hiện các hành động cần thiết để bảo vệ hệ thống theo các chính sách trên ADSP Server. Hệ thống Sensor thực chất chính là các Access Point của Extreme Network với hai chế độ hoạt động là Part-time và Dedicated.
- Với chế độ Part-time (Radio-share): Access Point sẽ vừa làm nhiệm vụ phát sóng không dây (phục vụ người dùng mạng không dây) vừa làm nhiệm vụ của một cảm biến của hệ thống AirDefense. Anten sẽ chỉ quét hệ thống theo chu kì vì thời gian còn lại sẽ dùng để phát sóng không dây
- ADSP Server: Là thiết bị trung tâm của hệ thống. Cung cấp các chức năng như quản lý tập trung hệ thống Sensor, báo cáo, giám sát, phân tích hệ thống, cấu hình chính sách, đánh giá lỗ hổng, … ADSP Server hỗ trợ 2 loại nền tảng là phần cứng và phần mềm.
- Hệ thống Sensor: là các cảm biến được đặt trong hệ thống mạng không dây để thực hiện các nhiệm vụ giám sát, thu thập thông tin cũng như thực hiện các hành động cần thiết để bảo vệ hệ thống theo các chính sách trên ADSP Server. Hệ thống Sensor thực chất chính là các Access Point của Extreme Network với hai chế độ hoạt động là Part-time và Dedicated.
- Với chế độ Part-time (Radio-share): Access Point sẽ vừa làm nhiệm vụ phát sóng không dây (phục vụ người dùng mạng không dây) vừa làm nhiệm vụ của một cảm biến của hệ thống AirDefense. Anten sẽ chỉ quét hệ thống theo chu kì vì thời gian còn lại sẽ dùng để phát sóng không dây
Hình 3: Chế độ Radio Share
- Với chế độ Dedicated: Access Point sẽ chỉ làm nhiệm vụ cảm biến cho hệ thống AirDefense. Khác với chế độ Radio-share, Access Point trong chế độ này sẽ sử dụng các anten để quét liên tục 24/7 các kênh, tần số (2.4GHz và 5Ghz). Với chế độ này, 1 sensor sẽ được triển khai cho trung bình từ 3-5 Access Point. Hệ thống AirDefense sử dụng Dedicated Sensor sẽ hỗ trợ nhiều tính năng hơn so với chế độ Part-time.
Hình 4: Chế độ Dedicated
Hình 5: So sánh Radio Share & Dedicated
Hình 6: Mô tả license
Hình 7: Bảng hỗ trợ các tính năng của các dòng AP
Chi tiết kết nối giữa các thành phần trong hệ thống AirDefense:
- Sensor tới AirDefense Server: mã hóa (Cổng 443)
- AirDefense server UI: Mã hóa (Cổng 8543)
- AirDefense Console: SSH cổng 22
Các tính năng của hệ thống AirDefense:
- AirDefense – Wireless Intrusion and Prevention (WIPS): AirDefense cung cấp sự bảo vệ toàn diện từ các mối đe dọa mạng không dây bao gồm: Rogue APs, Soft APs, Honeypots, WiFi DoS, Ad-hoc, Mobile hotspot, … Hệ thống sử dụng Dedicated Sensor sẽ phát hiện và phản hồi nhanh hơn nhiều so với hệ thống cảm biến Part-time ( Radio-share). Không những vậy với chính sách có thể tùy chỉnh và thư viện các mối đe dọa, hệ thống AirDefense có thể tự động phát hiện hơn 200 mối de dọa của mạng không dây, giúp giảm thiểu ảnh hưởng của các cuộc tấn công mạng vào hệ thống. AirDefense WIPS giúp bảo vệ hệ thống khỏi những phương thức tấn công mạng sau:
- Sensor tới AirDefense Server: mã hóa (Cổng 443)
- AirDefense server UI: Mã hóa (Cổng 8543)
- AirDefense Console: SSH cổng 22
Các tính năng của hệ thống AirDefense:
- AirDefense – Wireless Intrusion and Prevention (WIPS): AirDefense cung cấp sự bảo vệ toàn diện từ các mối đe dọa mạng không dây bao gồm: Rogue APs, Soft APs, Honeypots, WiFi DoS, Ad-hoc, Mobile hotspot, … Hệ thống sử dụng Dedicated Sensor sẽ phát hiện và phản hồi nhanh hơn nhiều so với hệ thống cảm biến Part-time ( Radio-share). Không những vậy với chính sách có thể tùy chỉnh và thư viện các mối đe dọa, hệ thống AirDefense có thể tự động phát hiện hơn 200 mối de dọa của mạng không dây, giúp giảm thiểu ảnh hưởng của các cuộc tấn công mạng vào hệ thống. AirDefense WIPS giúp bảo vệ hệ thống khỏi những phương thức tấn công mạng sau:
Hình 8: Các phương thức tấn công mạng Wireless
+ Reconnaissance (Do thám): Rouge AP ( Access Point giả mạo, độc hại); Open/Misconfigured Aps ( Nhưng Access Point cấu hình sai, không đúng với baseline của hệ thống); Ad Hoc và WiFi-Direct ( Nhưng mạng không dây với mô hình chia sẻ ngang hang peer-to-peer)
+ Sniffing: WEP, WPA, LEAP cracking ( Nhưng tiêu chuẩn bảo mật mạng không dây cũ đã lỗi thời và tồn tại nhiều lỗ hổng bảo mật); Dictionary Attacks ( tấn công từ điển; kẻ tấn công sử dụng một thư viên mật khẩu có sẵn để dò tìm mật khẩu của mạng không dây)
+ Masquerade ( Giả mạo): MAC spoofing ( giả mạo địa chỉ MAC của thiết bị hợp lệ), AirSnarf/Hotspot Attacks ( tạo ra các Hospot Access Point để lừa người kết nối để khai thác thông tin); Evil Twin (Giả mạo SSID của mạng không dây hợp lệ để lừa người dùng kết nối)
+ Insertion: Multicast/Broacast injection; Routing Cache poisoning; Man-in-the-Midle attack
+ Denial-of-Service: Disassociation ( Attacker làm cho các người dùng mạng không dây liên tục mất kết nối- kết nối lại-mất kết nối bằng việc phát ra các malicious broadcasts làm ngập các kênh sóng vô tuyến); EAP Manipulations (Lợi dụng giao thức EAP với mục tiêu là người dùng và Access Point để tấn công thông qua các lệnh (commands) như start, log-off, …)
- AirDefense – Wireless Vulnerability Assessment: một tính năng mô phỏng các cuộc tấn công không dây đang hoạt động từ quan điểm của hacker cho phép các quản trị viên chủ động tìm ra các lỗ hổng bảo mật. Việc đánh giá được thực hiện bằng cách sử dụng các cảm biến được triển khai như một máy khách không dây để kết nối với AP và quét tài nguyen hệ thống mạng. Vulnerability Assessment có thể được chạy tự động hoặc thủ công, cung cấp thông báo chủ động rằng tài nguyên mạng có thể bị xâm phạm. Cụ thể sẽ giúp quản trị viên:
+ Xác định các vấn đề hệ thống mạng không dây đang gặp phải
+ Quét từ xa và khám phá các lỗ hổng mạng không dây
+ Tạo báo động gây chú ý đến các lỗ hổng
+ Sniffing: WEP, WPA, LEAP cracking ( Nhưng tiêu chuẩn bảo mật mạng không dây cũ đã lỗi thời và tồn tại nhiều lỗ hổng bảo mật); Dictionary Attacks ( tấn công từ điển; kẻ tấn công sử dụng một thư viên mật khẩu có sẵn để dò tìm mật khẩu của mạng không dây)
+ Masquerade ( Giả mạo): MAC spoofing ( giả mạo địa chỉ MAC của thiết bị hợp lệ), AirSnarf/Hotspot Attacks ( tạo ra các Hospot Access Point để lừa người kết nối để khai thác thông tin); Evil Twin (Giả mạo SSID của mạng không dây hợp lệ để lừa người dùng kết nối)
+ Insertion: Multicast/Broacast injection; Routing Cache poisoning; Man-in-the-Midle attack
+ Denial-of-Service: Disassociation ( Attacker làm cho các người dùng mạng không dây liên tục mất kết nối- kết nối lại-mất kết nối bằng việc phát ra các malicious broadcasts làm ngập các kênh sóng vô tuyến); EAP Manipulations (Lợi dụng giao thức EAP với mục tiêu là người dùng và Access Point để tấn công thông qua các lệnh (commands) như start, log-off, …)
- AirDefense – Wireless Vulnerability Assessment: một tính năng mô phỏng các cuộc tấn công không dây đang hoạt động từ quan điểm của hacker cho phép các quản trị viên chủ động tìm ra các lỗ hổng bảo mật. Việc đánh giá được thực hiện bằng cách sử dụng các cảm biến được triển khai như một máy khách không dây để kết nối với AP và quét tài nguyen hệ thống mạng. Vulnerability Assessment có thể được chạy tự động hoặc thủ công, cung cấp thông báo chủ động rằng tài nguyên mạng có thể bị xâm phạm. Cụ thể sẽ giúp quản trị viên:
+ Xác định các vấn đề hệ thống mạng không dây đang gặp phải
+ Quét từ xa và khám phá các lỗ hổng mạng không dây
+ Tạo báo động gây chú ý đến các lỗ hổng
Hình 9: Lỗ hổng bảo mật mạng Wireless
- AirDefense – Forensic Analysis: Điều tra số (Forensic Analysis) cung cấp cho quản trị viên khả năng kiểm tra lại các dữ liệu lịch sử và xem xét các hồ sơ chi tiết về hoạt động của hệ thống mạng không dây, cái mà có thể hỗ trợ điều tra số hoặc xử lý sự cố. Quản trị viên có thể xem hoạt động của thiết bị nghi ngờ trong khoảng thời gian vài tháng với chi tiết từng phút nếu cần thiết. Những hồ sơ này có thể tạo ra sự khác biệt giữa một quản trị viên có khả năng chứng minh kẻ tấn công nhiều lần cố xâm nhập vào mạng không dây và quản trị viên đơn giản là không thể chứng minh rằng kẻ tấn công không dây đã từng kết nối với hệ thống mạng. Số lượng thống kê thiết bị được lưu trữ cho mỗi thiết bị không dây là khoảng 325 điểm dữ liệu trên mỗi kết nối trên mỗi thiết bị mỗi phút. Tự động Điều tra số về các điểm dữ liệu này cung cấp khả năng hiển thị nhiều hơn vào các thiết bị và đánh giá chính xác hơn về các mối đe dọa không dây, bao gồm các bất thường và các cuộc tấn công hàng ngày. AirDefense- Forensic Analysis hỗ trợ:
Hình 10: Forensic Analysis
+ Hơn 325 thống kê trên mỗi thiết bị mỗi phút
+ Xác định chính xác thời gian và tác động của sự cố an ninh
+ Lưu trữ dữ liệu lịch sử tuân theo các tiêu chuẩn như HIPAA, GLBA, Sarbanes-Oxley (SOX), PCI, …
+ Hỗ trợ phân tích xu hướng và phát hiện bất thường
+ Trực quan hóa dữ liệu
Hình 11: Forensic Analysis – Giao diện điều khiển
- AirDefense – Live View: cung cấp một công cụ để thực hiện phân tích lưu lượng hệ thống mạng không dây trong thời gian thực. Liveview cho phép quản trị viên biến một cảm biến thành một sniffer và chụp toàn bộ layer-2 frame nhìn thấy trên sóng. Sau đó, có thể xem gói chụp trên Liveview với khả năng kiểm tra gói tin riêng lẻ hoặc lưu dưới dạng tệp pcap để nhập vào các công cụ phân tích gói khác (ví dụ: Wireshark). Chụp gói tin từ xa được hỗ trợ đồng thời cho tối đa 5 cảm biến. LiveView cung cấp khả năng xử lý sự cố từ xa và phân tích dữ liệu tuyệt vời và có thể được quản lý từ một địa điểm tập trung, tạo điều kiện cho khả năng bắt gặp một vấn đề, sự cố trong khi nó đang xảy ra đồng thời cũng loại bỏ, giảm thiểu quản trị viên phải đến tận nơi (on-site) để xử lý sự cố
Hình 12: Live View
- AirDefense – Bluetooth Monitoring: có thể thực hiện giám sát tích cực các thiết bị Bluetooth. Tính năng này yêu cầu mô hình Access Point với phần cứng Bluetooth tích hợp. Chức năng này rất hữu ích để phát hiện các skimmer bluetooth cố gắng mở ra một lỗ hổng trong mạng có khả năng cho phép truy cập trái phép bằng giao thức Bluetooth. Ngoài ra, Extreme AirDefense cũng có thể nghe các quảng cáo URL / UUID trong các thẻ được bật Google Eddystone hoặc Apple iBeacon bằng giao thức BLE 4.0. Điều này giúp phát hiện các thẻ có thể quảng cáo các URL trái phép mở ra một con đường để khởi động một cuộc tấn công lừa đảo. White List có thể được định cấu hình để lọc các URL được phép (ví dụ: chứa tên miền riêng của tổ chức), đồng thời kích hoạt cảnh báo cho các URL trái phép tiềm năng
Related posts
- N-TEK Certified EXTREME Networks Distribution Vietnam / N-TEK DISTRIBUTION và EXTREME NETWORKS công bố hợp tác chính thức
- EXTREME X690 Series
- DANH HIỆU ĐỐI TÁC DISTRIBUTOR CỦA EXTREME NETWORKS
- EXTREME Networks SLX 9850 Router
- EXTREME Networks MLX Series Router
- N-TEK DISTRIBUTION và EXTREME NETWORKS tổ chức sự kiện Giải pháp tổng thể về Networking và Data center của Extreme Networks
- EXTREME NETWORKS (EXTR) Extreme Networks, Inc Connect Beyond the Networks
- SLX 9640 Next-Generation High Performance Fixed Router
- (News) X465 Premium Smart OmniEdge Switching Platform
- (News) VSP 7400 High-Performance 100Gb Fabric-enabled Core/Aggregation Switch