18.01.2008 | Autor / Redakteur: Lisa Phifer und Peter Riedlberger / Stephan Augsten
Überwachungssysteme für Funknetze beschränken sich nicht länger allein auf das Entdecken unautorisierter Geräte. Viele Systeme bieten die Option, unautorisierte Rogue-Geräte in Schach zu halten (engl.: „containment“) und sie dem WLAN oder LAN vom Leibe zu halten. SearchSecurity erläutert Ihnen wie Rogue-Containment funktioniert, welche Nebeneffekte auftreten können und was der Administrator generell beachten sollte.
Im Kabelnetzwerk kann ein Rogue ein unautorisierter Access Point (AP) sein, den ein Mitarbeiter aus Bequemlichkeit installiert hat. Ebenso könnte es sich um einen AP handeln, der als Funkhintertür ins Unternehmen geschmuggelt wurde. Vielleicht ist es auch ein SoftAP, der Angriffstraffic ins kabelgebundene Netz weiterleitet.
All diesen Fällen ist gemein, dass der Rogue physikalisch mit dem Netzwerk verbunden ist. Schaltet man den Upstream-Switchport ab, dann unterbricht man diese Verbindung sofort.
Beim Rogue-Containment identifiziert man zunächst den entsprechenden Switchport. Dazu scannt man das LAN auf ein Gerät mit der MAC-Adresse des Rogues. Man kann sich aber auch beim Rogue anmelden und den Weg des Rogues im Netzwerk mittels traceroute nachvollziehen. Ein WIDS (Wireless Intrusion Detection System) unterstützt entweder eine oder beide dieser Methoden.
Lässt sich der vom Rogue verwendete Switchport identifizieren, kann das WIDS den Port mithilfe einer SNMP-Anfrage abschalten. Alternativ sendet es die Anfrage an ein Network Management System. Beispielsweise übermittelt AirDefense aus dem LAN Anfragen an WLSE, das WLAN-Management von Cisco.
Das Containment im LAN erfordert eventuell ein paar Konfigurationsänderungen. So muss das WIDS möglicherweise verwaltete Subnetze und SNMP-Community-Strings kennen, um Switches zu entdecken. Spezielle Switches müssen unter Umständen in eine Suchliste aufgenommen werden.
Mitunter werden Switches nicht über SNMP verwaltet oder sie befinden sich in Subnetzen, die ein WIDS-Sensor oder -Server nicht erreicht. Und selbst wenn LAN-Containment technisch möglich wäre, könnte es aufgrund von Unternehmensrichtlinien verboten sein.
Sollte das Containment im LAN nicht möglich, praktikabel oder erlaubt sein, bleibt immer noch das WLAN-Containment. Damit lassen sich nicht nur Rogue-Aps ausschalten. Gleiches gilt auch für Ad-Hoc-Clients sowie Rogue-Stationen, die sich an legitimen APs anmelden. Es gibt verschiedene Wege des WLAN-Containments. Hier einige Beispiele:
Im Gegensetz zu LAN-Containment ist es bei WLAN-Containment üblicherweise nicht notwendig, andere Netzwerkgeräte oder -server in die Konfiguration einzubeziehen. Aber das WLAN-Containment frisst Bandbreite und kostet WIDS-Sensor-Ressourcen.
Manche Sensoren können mehrere Dinge zugleich leisten, sodass sich die Überwachungsintervalle lediglich verkürzen. Andere Sensoren können beispielsweise keine Kanäle überwachen, solange sie sich um das Containment kümmern. Bestimmte Sensoren halten mehrere Rogues gleichzeitig in Schach. Aber je mehr ein Sensor gleichzeitig leisten soll, desto ineffizienter arbeitet er möglicherweise beim Containment und der WIDS-Überwachung.
Containment hat seine Vor- und Nachteile. Es ist sehr wichtig, den Schaden zu minimieren, bis ein Rogue untersucht und eliminiert ist. Schickt man Mitarbeiter zu einem anderen Standort dauert das unter Umständen das Tage, während ein Rogue seinen Schaden in Minuten anrichten und sich dann aus dem Staub machen kann. Doch überzogene Containment-Maßnahmen können die eigene Produktivität verringern, den Nachbarn finanziellen Schaden zufügen und sogar zu einem rechtlichen Nachspiel führen.
Es ist daher entscheidend, dass man genau um die Wirkung vorhandener Containment-Features weiß, ehe man sie aktiviert. Am besten experimentiert man in einem isolierten Test-WLAN, bis man beabsichtigte Folgen und unerwünschte Konsequenzen einschätzen kann.
Geht man dann zum Produktions-WLAN über, sollte man die Containment-Features zunächst sparsam einsetzen. Das Automatisieren des Containments ist erst nach einer sorgfältigen Analyse und der Genehmigung durch das Management angebracht.
Man sollte Richtlinien entwickeln, wann das Containment eingesetzt werden soll und wer Containment-Entscheidungen fällen darf. Beispielsweise könnte immer erst ein Administrator nachforschen – außer bei ganz dramatischen Rogue-Attacken, die missionskritische Systeme oder vertrauliche Daten betreffen.
Konservative Containment-Szenarien könnten auch automatisiert ablaufen, während aggressivere Methoden für die Eskalation reserviert bleiben. Wer etwa nur die eigenen Switchports abschaltet oder selektiv Rogues von eigenen APs abmeldet, wird seinem Nachbarn in der Regel nicht versehentlich schaden.
Geleichzeitig sollte man festlegen, welche Containment-Maßnahmen wieder aufgehoben werden und welche permanent gelten sollen. Üblicherweise wird Containment nur kurzfristig eingesetzt, bis der Rogue die Lust verliert und sich anderen Zielen zuwendet. Doch ein WIPS kann Containment auch dazu verwenden, dauerhaft bestimmte Richtlinien durchzusetzen –indem es beispielsweise legitime Stationen davon abhält, überhaupt Verbindung mit unautorisierten APs aufzunehmen.
Trotz aller warnenden Hinweise gilt natürlich: Containment kann im Kampf gegen Rogues eine extrem effektive Waffe sein – solange man die Gegenschlagsfähigkeit mit dem nötigen Respekt einsetzt.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2010184)
