Beveiliging draadloze netwerken UvA & HvA

rogueBinnen de panden van de HvA en UvA heeft ICTS een groot aantal terugkerende, niet-geautoriseerde draadloze access-points gedetecteerd, d.w.z. waarvan aanschaf en installatie buiten ICTS om zijn gegaan.

Deze niet-geautoriseerde acces-points (eigen draadloze netwerken) brengen het gevaar met zich mee dat de diensten HvA en UvA draadloos niet of slecht functioneren. Daarnaast zijn deze draadloze netwerken niet altijd even goed beveiligd waardoor niets vermoedende, onwetende gebruikers beveiligingsrisico’s lopen t.a.v. data die over de ‘eigen niet-ICTS’ draadloze netwerken worden verzonden. Dit kan tot vervelende gevolgschade leiden.

De oplossing voor deze uitdagingen is locatie-gebaseerde beheer en intrusion detectie technologie. Door deze oplossingen is het mogelijk om realtime rogue access points op te sporen. Hierdoor kan de exacte fysieke locatie van alle draadloze 802.11-apparaten in en rond de panden bepaalt worden.

ROGUE AP

Een rogue ap is de meest voorkomende beveiligingsprobleem in een enterprise-omgeving. Een werknemer of hacker plaatst een meegenomen access point in een open, reeds bekabelde netwerkpoort. Dit access point zorgt voor het uitsturen van een wlan-signaal naar iedereen met een 802.11-apparaat, geautoriseerd of ongeautoriseerd. In de meeste gevallen heeft de werknemer geen idee wat de consequenties hiervan kunnen zijn en is de werknemer alleen maar op zoek naar de voordelen van mobiliteit van het netwerk. Echter, een ongeautoriseerd access point biedt toegang tot het volledige bekabelde netwerk op een manier die gemakkelijk door iedereen gerealiseerd kan worden met de aanschaf van een goedkope access point.

De detectie van ongeoorloofde ap’s werkt op basis van scans van zowel het bekabelde als het draadloze netwerk. Zodra op een van beide een nieuw apparaat wordt ontdekt, kan het systeem die correleren. Een ap heeft namelijk ook een bekabelde aansluiting. De mac-adressen van de aldus gevonden toestellen worden dan vergeleken met een database van oa. fabrikanten.

Ad hoc-modus

Wanneer een werknemer zijn laptop in ad-hoc-modus zet, zorgt hij hiermee ook dat zijn laptop een gateway wordt naar de rest van het netwerk. Ongeacht of de ad-hoc modus met opzet of per ongeluk is gekozen, kan elke toevallige netwerk ‘snooper’ of ‘hacker’ verbinding maken met het bedrijfsnetwerk via de ad hoc-modus van de netwerkkaart van de werknemer. Beide scenario’s (en andere nauw verwante onderwerpen zoals soft-AP configuraties) vormen enorme risico’s omdat ze alle investeringen die je hebt gemaakt in encryptie- en authenticatiesystemen kunnen omzeilen. Dit betekent dat iedereen met een draadloos apparaat verbinding kan maken met een netwerk zonder authenticatie. Ze kunnen hierdoor ook ongecodeerd netwerkverkeer ontvangen om hieruit bijvoorbeeld wachtwoorden te stelen, zodat ze andere onderdelen van de infrastructuur zouden kunnen aanvallen.

Hackers maken op dat moment gebruik van een reeks van aanvallen om toegang te krijgen tot het UvA en HvA-netwerk. Deze aanvallen komen neer op het systematisch proberen om de authenticatie- en encryptiesystemen te verslaan.

beleid

Het beleid t.a.v. het draadloze netwerk is dat het onderhoud en de operationele integriteit van het draadloze netwerk van de HvA en UvA te waarborgen en te behouden moeten zijn. Iedereen die binnen HvA- en UvA panden gebruik wil maken van netwerkfaciliteiten en daarbij een draadloze verbinding nodig heeft, moet gebruik maken van de netwerkinfrastructuur van de UvA of HvA. Dit houdt in dat alleen acces-points, geïnstalleerd en beheerd door ICTS Services, dienen te worden gebruikt, tenzij er aparte afspraken zijn gemaakt.

Officieel beleid in deze :

1. UvA : reglement UvAnet – ICT gedragregels, Artikel 2, lid 3

ICTS beheert en onderhoudt het gehele UvAnet en is uitsluitend bevoegd om netwerkapparatuur in het UvAnet te plaatsen alsmede om de routering binnen het UvAnet te regelen. ICTS monitort alle actieve netwerkapparatuur. ICTS verzorgt de aanleg van het UvAnet en brengt daarin, al dan niet op verzoek van de betrokken (onder)mandataris, wijzigingen aan. Aanleg en wijziging van het UvAnet gebeuren via een door het College van Bestuur vastgestelde procedure die regels kent ten aanzien van de prioritering. De(onder)mandataris stelt daartoe de naar het oordeel van ICTS benodigde technische ruimten beschikbaar.

2. HvA : huisregels van de HvA, artikel 4, lid 7

Het gebruik van zelf meegenomen elektrische apparatuur, anders dan voor directe onderwijsdoeleinden, is niet toegestaan. het gebruik van portable geluidsapparatuur en apparatuur die medegebruikers overlast bezorgen, is verboden.

Hoe kunnen we dit voorkomen/oplossen?

Een gelaagde aanpak door middel van onderwijs, detectie, rapportage en preventie is essentieel om de veiligheid en continuïteit te herstellen van HvA- en UvAdraadloos.

  • Leer gebruikers hoe zij de ad hoc-modus kunnen uitschakelen om te voorkomen dat onbevoegden gebruik kunnen maken van UvAdraadloos en HvAdraadloos
  • Rogue detectie/actieve opsporing kan de organisaties helpen controleren of draadloze signalen afkomstig zijn van UvAdraadloos, HvAdraadloos of van externen
  • Rapporteer maandelijks alle rogue access-points aan de organisatie en ga in gesprek met de verantwoordelijken.

De uitdaging is daarom om het draadloze verkeer binnen het gebouw te houden en andere draadloze netwerken buiten het gebouw te houden. De sleutel tot het voorkomen van wlan-inbraken is de mogelijkheid met een juiste nauwkeurigheid te kunnen bepalen wat de fysieke locatie is van de (niet UvA\HvA AP’s) draadloze apparaten.

Conclusie

Door accurate locatiebepaling is een koppeling te maken met de werkelijke fysieke ruimte, waardoor je verder kunt nadenken over de veiligheid in fysieke termen.

Door gebruik te maken van Location Based Services kan je apparaten terugvinden en hiermee bepalen wat de werkelijke fysieke locatie is van deze draadloze apparaten. Hierdoor kan je een virtueel schild optrekken langs de buitenmuren en/of ruimtes binnen de omgeving waarbinnen je het RF-verkeer volledig kunt controleren. Dit helpt je bij het voorkomen van inbraken op het UvAdraadloos, HvAdraadloos netwerk en elimineert verstoringen en veiligheidsrisico’s.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.