Oavsett storlek är de flesta företag intresserade av att skydda känslig information. Vi har lärt oss att försvåra eventuella intrång i den trådlösa kommunikationen mellan nätverket och de bärbara datorerna genom att använda olika typer av krypteringar, exempelvis wep och wpa. Krypteringen är nödvändig men inte tillräcklig. Det finns situationer där kryptering inte klarar av att hindra intrång.
Till hjälp finns i dag wireless intrusion prevention system, wips, också kallad sentry. En sentry lägger sig parallellt med det trådlösa nätverket och håller koll på aktiviteterna där och den kan automatiskt åtgärda eventuella riskbeteenden.
Vi har här testat Air Protect Sentry 5850 från 3 Com. Den ser ut som vilken accesspunkt som helst och smälter därmed lätt in i miljön. Faktum är att den till utseendet är så gott som identisk med företagets professionella serie accesspunkter. Den kopplas in till nätverket via en lan-port och kan därmed administreras centralt.
Administratören har makten
När enheten kopplas in första gången måste du gå igenom en procedur för att ange hur olika typer av riskbeteenden ska bemötas. Tanken är att inställningarna ska matcha företagets uppställda säkerhetspolicy för vad som ska godkännas respektive inte godkännas.
När alla inställningar är gjorda går sentryenheten ut och känner av wlan-miljön. Administratören får sedan en lista med accesspunkter och kan kategorisera dem som ”authorized”, ”rogue” eller ”external”. På samma sätt kan klienterna som finns listade klassificeras som ”authorized” eller ”unauthorized”.
Beroende på vilka säkerhetsregler som har satts upp kommer sentryenheten antingen låta trafiken vara ostörd eller, om det antas vara otillåten trafik, störa den.
Regeln när det gäller nytillkomna accesspunkter kan till exempel vara att en ny accesspunkt automatiskt ska antas vara rogue och helt störas ut tills dess administratören lägger till den som extern (grannens nätverk), tillåten eller som rouge. Ett annat alternativ är att nytillkomna accesspunkter med för låg wep eller ingen kryptering störs ut medan de med den bättre wpa-krypteringen kan få passera.
Överlag är Air Protect Sentry 5850 mycket enkel att sköta och vi behövde under testperioden i stort sett inte titta i handboken alls.
Exakt hur sentryenheten kan störa kommunikationen till och från en viss accesspunkt vill inte 3 Com avslöja, och det kanske är klokt med tanke på syftet med att använda en sentry. Att det ändå bygger på avancerad teknik skvallrar det faktum om att man vid installationen måste ange en lång licensnyckel. Utan licensnyckeln är den oanvändbar.
Fungerar nästan kusligt bra
Våra tester visar att det hela fungerar utmärkt. När vi i redaktionens testlabb kopplar in en accesspunkt på nätverket, där vi satt upp regeln att nya oidentifierade accesspunkter ska antas vara rogue och helt blockas ut, ser det för användaren ut som om accesspunkten har problem. För en klient är accesspunkten synlig på listan med tillgängliga nätverk och det går att koppla upp sig till den. Datorn rapporterar dock att det är begränsad eller ingen anslutning, och accesspunkten är i praktiken omöjlig att använda.
Så fort vi loggar på sentryenheten och ger den godkänd status i listan med nya accesspunkter kommer trafiken igång och accesspunkten fungerar som den ska. Det känns nästan kusligt! Användaren av nätverket ser aldrig att det finns en sentry som styr i bakgrunden.
Allt det här sker automatiskt och administratören får ett mejl om någon händelse inträffar som behöver uppmärksammas. Allt som sker loggas och administratören kan gå in och se vad som har hänt och vilka accesspunkter och klienter som finns eller tillkommit inom räckvidden för en viss sentry.
För att inte en sentry ska kopplas bort utan att administratören får reda på det skickar den ut ett regelbundet ”heartbeat”-meddelande. Uteblir dessa hjärtslag vet administratören att något är på tok.
Det primära syftet med en sentry är givetvis att skydda det egna nätverket, men vi kan även tänka oss andra användningsområden. Det kan till exempel vara så att man av någon anledning vill ha en wlan-fri zon, i en skola under en tentamen eller på ett sjukhus där man inte vill tillåta wlan-trafik.
Dålig mottagning förvånar
I teorin kan en sentry täcka ett nätverk med flera accesspunkter, men så ser det inte riktigt ut för Air Protect Sentry 5850. En bärbar dator med ett vanligt wlankort som klarar 802.11g ser fler accesspunkter än vad sentryenheten gör. Skillnaden är inte alarmerande men ändå en smula märklig. Sentryenheten med sina externa antenner borde ha bättre mottagning än en bärbar dator med inbyggda antenner.
Den testade enheten är en enkel sentry för det mindre nätverket. Är nätverket större finns en mer avancerad distribuerad lösning där sentrysensorer ersätter den mer självständiga sentry vi har testat. Sensorerna kopplas då in tillsammans med accesspunkterna i det vanliga nätverket och en central sentryenhet kopplas in tillsammans med den centralt belägna lan-controllern. Med flera sensorer kan otillåtna accesspunkter och klienter lokaliseras var de än befinner sig och det gör det enklare att rätta till eventuella problem.
Skyddar det lilla nätverket
Det finns konkurrerande lösningar på marknaden från bland andra Air Magnet, Network Chemistry, Aruba och Airdefence. Dessutom finns det en sentry från Airtight som är otroligt lik 3 Coms lösning, vilket gör att vi misstänker att de kommer från samma källa.
Air Protect Sentry 5850 från 3 Com verkar enligt vår mening vara den sentry som är mest lämpad för det mindre nätverket och den är ett bra komplement till de ips-verktyg som skyddar det fasta nätverket. Den är enkel att sköta och hittar inom loppet av några sekunder nya wlan-klienter och accesspunkter – och kan genast oskadliggöra dem.
Vi vill ändå påpeka att man inte kan utgå från att skyddet är hundraprocentigt. För de riktigt avancerade attackerna skyddar inte sentryenheten fullständigt.
TechWorlds slutsats
Som alltid är det en balans mellan användarvänligheten och säkerheten när det gäller att skydda ett företags nätverk. Det får inte bli för krångligt för användaren att använda alla skyddsmekanismer, samtidigt som det är viktigt att företagets information skyddas från intrång. 3 Coms lösning Air Protect Sentry 5850 fungerar helt transparent för användaren av det trådlösa nätverket och är enkel att sköta för administratören.
För det större nätverket kanske de större distribuerade systemen passar bättre, men för det mindre nätet med upp till en handfull accesspunkter är den här sentryenheten ett bra och enkelt komplement. Utan att försvåra för användaren höjer den säkerheten i nätverket.
Foto: Andreas Eklund
Till hjälp finns i dag wireless intrusion prevention system, wips, också kallad sentry. En sentry lägger sig parallellt med det trådlösa nätverket och håller koll på aktiviteterna där och den kan automatiskt åtgärda eventuella riskbeteenden.
Vi har här testat Air Protect Sentry 5850 från 3 Com. Den ser ut som vilken accesspunkt som helst och smälter därmed lätt in i miljön. Faktum är att den till utseendet är så gott som identisk med företagets professionella serie accesspunkter. Den kopplas in till nätverket via en lan-port och kan därmed administreras centralt.
Administratören har makten
När enheten kopplas in första gången måste du gå igenom en procedur för att ange hur olika typer av riskbeteenden ska bemötas. Tanken är att inställningarna ska matcha företagets uppställda säkerhetspolicy för vad som ska godkännas respektive inte godkännas.
När alla inställningar är gjorda går sentryenheten ut och känner av wlan-miljön. Administratören får sedan en lista med accesspunkter och kan kategorisera dem som ”authorized”, ”rogue” eller ”external”. På samma sätt kan klienterna som finns listade klassificeras som ”authorized” eller ”unauthorized”.
)) Koll på klienterna. Går du in i enhetsfliken får du i detalj se antingen klienternaeller, som i det här fallet, accesspunkterna.(klicka på bilden för att förstora den) |
Beroende på vilka säkerhetsregler som har satts upp kommer sentryenheten antingen låta trafiken vara ostörd eller, om det antas vara otillåten trafik, störa den.
Regeln när det gäller nytillkomna accesspunkter kan till exempel vara att en ny accesspunkt automatiskt ska antas vara rogue och helt störas ut tills dess administratören lägger till den som extern (grannens nätverk), tillåten eller som rouge. Ett annat alternativ är att nytillkomna accesspunkter med för låg wep eller ingen kryptering störs ut medan de med den bättre wpa-krypteringen kan få passera.
Överlag är Air Protect Sentry 5850 mycket enkel att sköta och vi behövde under testperioden i stort sett inte titta i handboken alls.
Exakt hur sentryenheten kan störa kommunikationen till och från en viss accesspunkt vill inte 3 Com avslöja, och det kanske är klokt med tanke på syftet med att använda en sentry. Att det ändå bygger på avancerad teknik skvallrar det faktum om att man vid installationen måste ange en lång licensnyckel. Utan licensnyckeln är den oanvändbar.
Fungerar nästan kusligt bra
Våra tester visar att det hela fungerar utmärkt. När vi i redaktionens testlabb kopplar in en accesspunkt på nätverket, där vi satt upp regeln att nya oidentifierade accesspunkter ska antas vara rogue och helt blockas ut, ser det för användaren ut som om accesspunkten har problem. För en klient är accesspunkten synlig på listan med tillgängliga nätverk och det går att koppla upp sig till den. Datorn rapporterar dock att det är begränsad eller ingen anslutning, och accesspunkten är i praktiken omöjlig att använda.
Så fort vi loggar på sentryenheten och ger den godkänd status i listan med nya accesspunkter kommer trafiken igång och accesspunkten fungerar som den ska. Det känns nästan kusligt! Användaren av nätverket ser aldrig att det finns en sentry som styr i bakgrunden.
)) Överblick. Operatören får en snabb överblick av nätverket som sentryenheten övervakar. Både accesspunkter och klienter kartläggs. Vi ser tydligt om det finns rogue accesspunkter och om det fi nns enheter i karantän som väntar på åtgärder. Dessutom kan vi se händelseloggen och de tio senaste händelserna.(klicka på bilden för att förstora den) |
Allt det här sker automatiskt och administratören får ett mejl om någon händelse inträffar som behöver uppmärksammas. Allt som sker loggas och administratören kan gå in och se vad som har hänt och vilka accesspunkter och klienter som finns eller tillkommit inom räckvidden för en viss sentry.
För att inte en sentry ska kopplas bort utan att administratören får reda på det skickar den ut ett regelbundet ”heartbeat”-meddelande. Uteblir dessa hjärtslag vet administratören att något är på tok.
Det primära syftet med en sentry är givetvis att skydda det egna nätverket, men vi kan även tänka oss andra användningsområden. Det kan till exempel vara så att man av någon anledning vill ha en wlan-fri zon, i en skola under en tentamen eller på ett sjukhus där man inte vill tillåta wlan-trafik.
Dålig mottagning förvånar
I teorin kan en sentry täcka ett nätverk med flera accesspunkter, men så ser det inte riktigt ut för Air Protect Sentry 5850. En bärbar dator med ett vanligt wlankort som klarar 802.11g ser fler accesspunkter än vad sentryenheten gör. Skillnaden är inte alarmerande men ändå en smula märklig. Sentryenheten med sina externa antenner borde ha bättre mottagning än en bärbar dator med inbyggda antenner.
Den testade enheten är en enkel sentry för det mindre nätverket. Är nätverket större finns en mer avancerad distribuerad lösning där sentrysensorer ersätter den mer självständiga sentry vi har testat. Sensorerna kopplas då in tillsammans med accesspunkterna i det vanliga nätverket och en central sentryenhet kopplas in tillsammans med den centralt belägna lan-controllern. Med flera sensorer kan otillåtna accesspunkter och klienter lokaliseras var de än befinner sig och det gör det enklare att rätta till eventuella problem.
Skyddar det lilla nätverket
Det finns konkurrerande lösningar på marknaden från bland andra Air Magnet, Network Chemistry, Aruba och Airdefence. Dessutom finns det en sentry från Airtight som är otroligt lik 3 Coms lösning, vilket gör att vi misstänker att de kommer från samma källa.
Air Protect Sentry 5850 från 3 Com verkar enligt vår mening vara den sentry som är mest lämpad för det mindre nätverket och den är ett bra komplement till de ips-verktyg som skyddar det fasta nätverket. Den är enkel att sköta och hittar inom loppet av några sekunder nya wlan-klienter och accesspunkter – och kan genast oskadliggöra dem.
Vi vill ändå påpeka att man inte kan utgå från att skyddet är hundraprocentigt. För de riktigt avancerade attackerna skyddar inte sentryenheten fullständigt.
TechWorlds slutsats
Som alltid är det en balans mellan användarvänligheten och säkerheten när det gäller att skydda ett företags nätverk. Det får inte bli för krångligt för användaren att använda alla skyddsmekanismer, samtidigt som det är viktigt att företagets information skyddas från intrång. 3 Coms lösning Air Protect Sentry 5850 fungerar helt transparent för användaren av det trådlösa nätverket och är enkel att sköta för administratören.
 Stopp! Firefox- eller Operaanvändare göre sig icke besvär. |
För det större nätverket kanske de större distribuerade systemen passar bättre, men för det mindre nätet med upp till en handfull accesspunkter är den här sentryenheten ett bra och enkelt komplement. Utan att försvåra för användaren höjer den säkerheten i nätverket.
Foto: Andreas Eklund
Den här artikeln har 0 kommentarer:
Molnigt på idg.se?
