Systém a spôsob na zisťovanie neautorizovaných bezdrôtových prístupových bodov

Číslo patentu: E 7020

Dátum: 27.06.2003

Autori: Whelan Robert, Morris Roy, Wagenen Lamar Van

Je ešte 6 strán.

Pozerať všetko strany alebo stiahnuť PDF súbor.

Text

Pozerať všetko

0001 Predkladaný vynález sa týka oblasti komunikačnýchpočítačových sietí. Špecificky sa predkladaný vynález týka zvýšenia bezpečnosti bezdrôtových sietí.0002 Citácia alebo identifikácia akéhokoľvek odkazu vtejto sekcii alebo v akejkoľvek sekcii tejto prihlášky sa nemá interpretovať tak, že tento odkaz znamená predchádzajúci stav techniky k predkladanému vynálezu.0003 Bezdrôtová miestna sieť (WLAN) umožňuje sieťovým zariadeniam komunikovať medzi sebou bezdrôtovo, typicky pomocou rádia. WLAN typicky zahrnuje drôtovú časť a bezdrôtovú časť. Drôtová časť je typicky spojená (napriklad prostrednictvom routera alebo ñrewallu) k väčšej sieti, ako je napríklad podniková rozsiahla sieť alebo internet.0004 Bezdrôtová časť WLAN typicky zahrnuje najmenej jeden prístupový bod (AP) a najmenej jednu mobilnú jednotku (MU). Prístupový bod je bezdrôtové zariadenie, ktoré poskytuje WLAN konektivitu k mobilným jednotkám. Prístupový bod je typicky fyzicky pripojený k drôtovej časti WLAN a je spôsobilý vysielať a prijimat komunikácie medzi drôtovou časťou WLAN a bezdrôtovou časťou WLAN. Niektoré prístupové body sú však konfigurované ako Opakovače a nemajú fyzicke pripojenie k drôtovej časti WLAN na rozdiel od pripojenia k WLAN prostredníctvom ďalšieho pristupového bodu. Jak sa tu použilo, mobilná jednotka je bezdrôtové zariadenie (či už aktuálne mobilná, ale nie) schopné komunikovať bezdrôtovo s prístupovým bodom alebo iným zariadením vo WLAN, a ktoré aspoň časť času nie je fyzicky drôtovo spojené k drôtovej časti WLAN. Mobilné jednotky zvyčajne neposkytujú WLAN konektivitu k ďalším mobilným jednotkám. Každý prístupový bod je spôsobilý komunikovať s bezdrôtovými zariadeniami v rámci svojich buniek (operačný rozsah). Súbor mobilných jednotiek v rámci bunky pristupového bodu a pristupového bodu sa obvykle označuje ako základný súbor služieb(BSS). Ak je druhý prístupový bod pripojený k drôtovej časti WLAN v rámci prvého pristupového bodu,BSS prvého pristupového bodu sa bude prekrývať s BSS druhého pristupového bodu. Typicky je každý prístupový bod vtomto usporiadani spôsobilý zistiť ďalší prístupový bod a mobilné jednotky sa môžu pohybovať od prvej bunky k druhej bunke bez prerušenia komunikácie so sieťou. Súbor sieťových zariadeni, zahrnujúci najmenej dva prístupové body, spôsobilé drôtových alebo bezdrôtových komunikácii s každým ďalším sa obvykle označuje ako rozšírený súbor služieb (ESS).0005 súčinnosť medzi pristupovými body a mobilnými jednotkami od rôznych výrobcov je umožnená designovanlm každého pristupového bodu a mobilnej jednotky podľa bežného štandardu, ako je IEEE 802.11. Štandardy IEEE 802.11 definujú bežný súbor služieb, ktoré zhruba zodpovedajú OSI vrstvám 1(fyzická) a 2 (dátový spoj). Rozšírené osvojenie štandardu 802.11 viedlo k rýchlemu nárastu realizácií WLAN.0006 Schopnosť prístupu k zdrojom siete bez fyzického pripojenia k sieti zvyšuje bezpečnostné riziká siete, pretože kontrolovanie fyzických prístupov ku všetkým mobilným jednotkám schopným komunikovať s pristupovými bodmi vo WLAN je zvyčajne náročné alebo nemožné. Okrem toho bezdrôtová časť WLAN sa typicky zakladá na rádiových signáloch, ktoré sa môžu prijímať akýmkoľvek zariadením spôsobilým prijímať alebo vysielat takýto signál.0007 Administrátori sieťovej bezpečnosti poznajú potenciálne bezpečnostné riziká pripájajúcich sa prístupových bodov do ich LAN sietí a zvyčajne zavádzajú základné spôsoby na zaistenie bezpečnosti siete, ako sú údržba databázy autorizovaných zariadení pripojených k LAN, ako je zoznam pre riadenie pristupu (ACL). ACL sa zvyčajne realizuje ako štruktúra elektronických dát udržovaná manažérom podnikovej siete pôsobiacim na drôtovej časti siete.0008 Prácu administrátora ďalej komplikujú nizke náklady a relatívne jednoduchá inštalácia pristupového bodu pre miestnu pracovnú skupinu. Mnoho prístupových bodov (napríklad prístupové body 802.11) používa jednoduchý protokol premostenia a môžu sa pridať ku kompatibilnej drôtovej sieti bez akejkoľvek centralizovanej kontroly alebo akcie. Okrem toho mnohé lacné prístupové body sa ťažko zisťujú, ked sa inštalujú. Mnohé miestne pracovné skupiny inštalujú prístupový bod na existujúcu-2 sieť spoloćnosti bez toho, aby si uvedomili zvýšené riziko pre celú sieť, spôsobené novým pripojeným pirátskym prístupovým bodu, pričom sa nenamáhajú informovat administrátora siete o pirátskom pristupovom bode. Pirátske prístupové body sú okrem toho často koníigurované použitím nastaveni,ako sú štandardné nastavenia výrobcom, ktoré nevyhovujú bezpečnostným nastaveniam autorizovaných sieťových zariadení, a preto predstavujú vážne bezpečnostné riziko pre celú sieť. 0009 Administrátori sietí majú obvykle najmenej jednu utilitu sieťového manažmentu, ktorá je schopná objavit väčšinu sieťových zariadení pripojených do siete. Avšak takmer všetky takéto utility vyžadujú bud otázku/odpoved medzi agentom manažmentu a sieťovým zariadením, alebo agenta pôsobiaceho na sieťovom zariadení a hlásenie agentovi manažmentu. Avšak mnohé lacné prístupové body nie sú konñgurované na odpoved na štandardné žiadosti manažmentu, a preto sa ťažko zisťujú. 0010 Preto existuje potreba detekcie neautorizovaných pirátskych prístupových bodov pripojených k sieti.0011 Článok Boba Brewina IBM develops tool to detect rogue wireless LAN access points,Computerworld. jún 17, 2002, str. 1-3, XP-O 02263355, opisuje detekcíu pirátskeho prístupového bodu bezdrôtovej LAN pre automatické detegovanie prítomnosti neautorizovaných prístupových bodov v rozmanitých podnikových sieťach.Predkladany ynález e definovaný nezávislýmí gatentovými nárokmi. Závislé gatentové nároky súvisia s výhodnými uskutočneniami.0012 Predkladaný vynález sa ucelenejšie pochopí pravdepodobne pomocou odkazu na nasledujúci podrobný opis výhodného uskutočnenia predkladaného vynálezu, pomocou ilustratívnych príkladov špecifických uskutočnení vynálezu a priložených nákresov, kdeObr. 1 zobrazuje schematický diagram časti bezdrôtovej siete vjednom uskutočnení predkladaného vynálezu.Obr. 2 zobrazuje vývojový diagram jedného z uskutočnení predkladaného vynálezu. Obr. 3 zobrazuje vývojový diagram ďalšieho uskutočnenia predkladaného vynálezu. Obr. 4 zobrazuje vývojový diagram ďalšieho uskutočnenia predkladaného vynálezu.Obr. 5 zobrazuje vývojový diagram ďalšieho uskutočnenia predkladaného vynálezu.Podrobný ogis výhodného uskutočnenia vynálezu0013 vjednom aspekte predložený vynález zahrnuje spôsob a sy stém na zisťovanie neautorizovaných bezdrôtových prístupových bodov, zahrnujúcich najmenej jeden monitor siete a jeden alebo viac bezdrôtových prijímačov, bezdrôtové prijímače sú konfigurované na hlásenie informácií o identifikácii bezdrôtového zariadenia monitoru siete, a monitor siete je konfigurovaný na určenie toho, či sú hlásené bezdrôtové zariadenia pripojené do siete a v prípade, že sú, či je pripojenie uskutočnené prostredníctvom známeho alebo autorizovaného prístupového bodu. Výhodne monitor siete vyžaduje databázu alebo udržuje databázu známych alebo autorizovaných bezdrôtových zariadení, výhodne známych alebo autorizovaných prístupových bodov.0014 Autorizované bezdrôtové zariadenia sú bezdrôtové zariadenia, ktoré sú autorizované na pripojenie sa k drôtovej časti monitorovanej siete. Známe bezdrôtové zariadenia sú zariadenia, ktoré sa zisťovali, či sú, alebo nie sú pripojené k drôtovej časti monitorovanej siete, a môžu zahmovat napriklad bezdrôtové zariadenia používané vsusednom umiestnení, ktoré nie sú pripojené do monitorovanej siete. Pirátske prístupové body sú prístupové body, ktoré sú pripojené do drôtovej časti monitorovanej siete, ale nie sú autorizované na pripojenie do drôtovej časti siete.3 0015 Monitor siete určuje, či sú hlásené zariadenia pripojené kdrôtovej sieti prostredníctvom monitorovania siete na pakety, zahrnujúce identifikačné informácie bezdrôtového zariadenia hláseného pomocou jedného alebo viacerých bezdrôtových prijímačov. Identifikačné informácie bezdrôtového zariadenia obsahujú adresu kontroly prístupu na médium (MAC) hláseného bezdrôtového zariadenia. Monitorovaním siete na MAC adresu hlásenú bezdrôtovým prijímačom môže monitor siete stanoviť, či sa prevádzka z hláseného bezdrôtového zariadenia uskutočňuje monitorovanou sieťou.0016 Keď sa zistí neznámy prístupový bod, monitor siete sa výhodne pokúsi identiñkovat neznámy prístupový bod na sieti a neznámy prístupový bod izolovat.0017 vjednom výhodnom uskutočnené bezdrôtové prijímače obsahujú autorizované mobilné jednotky, ktoré sa použijú na zachytenie neznámych prístupových bodov alebo mobilných jednotiek. Mobilná jednotka je všeobecne naprogramovaná na spracovanie iba prenosov nasmerovaných k mobilnej jednotke. V jednom uskutočnení predkladaného vynálezu je však mobilný agent inštalovaný na pluralite mobilných jednotiek autorizovanej siete a konfigurovaný na spracovanie všetkých prenosov zistených každou mobilnou jednotkou, na ktorej mobilný agent pôsobí. Výhodne mobilný agent pôsobí aj vtedy, ked mobilné jednotky nie sú spojené s prístupovým bodom. Mobilní agenti výhodne podávajú hlásenie opristupovom bode/informáciách prevádzky prístupového bodu do monitoru siete alebo skladujú informácie prevádzky na podanie hlásenia neskôr do monitoru. Hlásenie môže iniciovať mobilná jednotka alebo monitor siete.0018 Vjednom výhodnom uskutočnení predkladaného vynálezu najmenej jedna mobilná jednotka je spôsobilá určiť svoje umiestnenie, napríklad prostredníctvom GPS, a zahrnie tieto informácie vo svojom hlásení do monitora. Hlásením o bezdrôtovej prevádzke majú mobilní agenti väčšiu pravdepodobnosť zistiť neznáme prístupové body alebo mobilné jednotky, ktoré môžu predstavovať bezpečnostnú hrozbu siete. Výhodne hlásiace mobilné jednotky zahrnujú aj informácie identitikujúce prístupový bod, s ktorým hlásená mobilná jednotka komunikuje, napriklad BSSlD prístupového bodu. a lP adresu použitú mobilnou jednotkou, ak je nejaká použitá.0019 V inom uskutočnení predkladaného vynálezu sa agent prístupového bodu nainštaluje na autorizovaný prístupový bod v sieti a neustále počúva bezdrôtovú prevádzku vo vnútri bunky prístupového bodu, na ktorom je nainštalovaný. Na rozdiel od konvenčných prístupových bodov, ktoré iba hlásia mobilné jednotky, ktoré sa úspešne spojili s prístupovým bodom alebo ktorým sa nepodarilo pripojiť z rôznych dôvodov, napríklad preto, že nie sú členom zoznamu pre riadenie pristupu (ACL),agenti prístupových bodov sa kontigurujú na hlásenie alebo uloženie pre neskoršie opätovné získanie všetkých bezdrôtových zariadení, ktoré prístupový bod počul.0020 Obr. 1 zobrazuje schematický diagram častí príkladu bezdrôtovej siete. Príklad WLAN 100 zahrnuje drôtovú časť 110 siete obsahujúcej sieťové zariadenia fyzicky pripojené do siete pomocou drôtov (ako sú kovové káble alebo optické káble). Príklad WLAN 100 zahmuje najmenej jeden autorizovaný prístupový bod 150 a najmenej jednu mobilnú jednotku 170. Prístupový bod 150 je pripojený k drôtovej časti 110 siete a je spôsobilý komunikovať bezdrôtovo s mobilnou jednotkou 170 v rámci bunky 155 prístupového bodu. Prístupový bod 150 je typicky konfigurovaný na fungovanie ako most medzi bezdrötovou a drôtovou časťou WLAN, čo umožňuje komunikáciu mobilnej jednotky 170 s akýmkoľvek pripojeným zariadením v sieti 100. Neautorizovaný pirátsky prístupový bod 180 sa môže tiež fyzicky pripojiť k drôtovej časti 110 siete. Neautorizovaná pirátska mobilná jednotka 190 vrámci autorizovanej bunky 155 sa tiež môže dostat k sieti 100 cez autorizovaný prístupový bod 150. Ak sa pirátska mobilná jednotka 190 pohybuje vo vnútri bunky i 85 pirátskeho prístupového bodu 180,pirátska mobilná jednotka 190 sa tiež môže dostať k sieti 100 prostredníctvom pirátskeho prístupového bodu 180.0021 Pred komunikáciou mobilnej jednotky s ďalšími sieťovými zariadeniami vsieti sa mobilná jednotka najprv musí pripojiť k sieti. V 802.11 WLAN môže mobilná jednotka pasívne skenovať každý komunikačný kanál na monitorovací rámec vysielaný z prístupového bodu. Monitorovací rámec poskytuje signál časovej synchronizácíe pre všetky mobilné jednotky spojené s prístupovým bodom a zahrnuje identifikáciu základného súboru služieb (BSSID) prístupového bodu. BSSlD je unikátny identifikátor pre každý prístupový bod v sieti. Väčšina výrobcov prístupových bodov používa MAC adresu prístupového bodu ako jeho BSSlD. Ak je mobilná jednotka vo vnútri bunky prístupového bodu,ked sa vysiela monitorovací rámec, mobilná jednotka môže vytvoriť spojenie s prístupovým bodom pomocou vysielania testovacieho rámca. Akákoľvek pirátska mobilná jednotka vo vnútri bunky prístupového bodu však bude tiež počuť monitorovací rámec a môže sa pokúsiť dostať sa k sieti4 prostrednictvom prístupového bodu. Preto sa prístupový bod môže nakonfigurovať na tichú činnosť,čím sa potlači vysielanie BSSID, a aby iba čakal na testovacie rámce z mobilných jednotiek vo vnútri bunky prístupového bodu. Ak je prístupový bod nakonfigurovaný na tichú činnosť, prístupový bod bude čakať na vysielanie všetkých žiadostí testu v bunke, kontrolovať adresu stanice žiadosti a dokončí príjem rámca, ak sa adresa stanice zhoduje s adresou prístupového bodu. Prístupový bod vysiela odpoved testu do mobilnej jednotky obsahujúcu informácie potrebné na vytvorenie komunikácie s prístupovým bodom.0022 Len čo mobilná jednotka 802.11 objaví prístupový bod, mobilná jednotka vysiela rámec žiadosti o spojenie s prístupovým bodom, aby sa mohla spojiť s prístupovým bodom. Prístupový bod vysiela rámec odpovede k spojeniu s mobiinou jednotkou, akceptujúc alebo odmietajúc spojenie. Ak je spojenie akceptované, prístupový bod priradí spojeniu ID spojenia.0023 Vjednom výhodnom uskutočnení sa bezdrôtové zariadenia, ako je mobilná jednotka 170,používa na odhalenie prístupových bodu, ako je pirátsky prístupový bod 180, prostredníctvom vysielania testovacích žiadostí a hlásenim všetkých testovacích odpovedí do monitora siete. Monitor siete je výhodne agent pôsobiaci na prístroji pripojenom k drôtovej časti siete. Monitor siete výhodne udržuje informácie identiñkujúce známe prístupové body a autorizované prístupové body a voliteľne známe mobilné jednotky.0024 Obr. 2 zobrazuje vývojový diagramjedného uskutočnenia predkladaného vynálezu. Monitor siete prijme informáciu identifikácie prístupového bodu od bezdrôtového prijímača v kroku 210. Identifikácia prístupového bodu môže byt BSSID prístupového bodu (typicky MAC adresa) alebo iná adresa prístupového bodu, akoje IP adresa. Vjednom uskutočnení počuje mobilný agent pôsobiaci na známej mobilnej jednotke prístupový bod prijatím monitorovacieho rámca z prístupového bodu. Mobilný agent hlási MAC adresu prístupového bodu do monitora siete. Mobilný agent môže hlásiť informáciu priamo monitoru siete, alebo skladovať informácie identiñkujúce prístupový bod, kým monitor nepožiada mobilného agenta za použitia protokolu ako je SNMP, aby znovu ziskal informácie z mobilnej jednotky. 0025 Monitor siete určuje, či prijatá informácia identifikácie prístupového bodu zodpovedá známemu alebo autorizovanému prístupovému bodu 220. Ak je prijatá identifikácia prístupového bodu známa alebo autorizované, monitor siete sa vráti do kroku 210, aby prijal ďalšiu identifikáciu prístupového bodu(systém sa tiež periodicky pokúsi overiť, že známe ale neautorizované prístupové body nie sú pripojené k sieti). Ak prijatá identifikácia prístupového bodu nie je známa, ani autorizované, monitor sa pokúsi určiť, či je neznámy prístupový bod pirátskym prístupovým bodom pripojeným do siete vkroku 230. Monitor výhodne používa MAC adresu prístupového bodu hlásenú mobilnou jednotkou. aby vydal žiadosť protokolu rozhodnutia reverznej adresy (RARP) na identifikáciu zodpovedajúcej IP adresy pirátskeho prístupového bodu. Príjem odpovede z neznámeho prístupového bodu potvrdí, že neznámy prístupový bod je pirátskym prístupovým bodom, ktorý je pripojený k sieti.0026 Niektoré prístupové body, zvlášť lacné prístupové body, nepodporujú RARP, čím sa určenie ich pripojenia k drôtovej časti siete stáva ťažšim. V jednom výhodnom uskutočnení monitor siete žiada tabuľku informácií MAC adresy na výstupu, aby určila, či prístupový bod identifikovaný prijatými informáciami podporuje RARP alebo iný sieťový spôsob, pomocou ktorého sa môže stanoviť prítomnost prístupového bodu na drôtovej časti WLAN. Na základe výsledkov požiadavky môže monitor siete použit RARP alebo niektorý iný spôsob na overenie prítomnosti pirátskeho prístupového bodu na drôtovej časti WLAN. voliteľne sa monitor siete môže dožadovať tabuliek rozhraní jedného alebo viacerých prepínačov na podsieti za určenia, či je prítomná adresa neznámeho prístupového bodu.0027 Len čo došlo k overeniu pirátskeho prístupového bodu, monitor výhodne automaticky oznamuje operátorovi siete alebo manažérovi podnikovej siete existenciu pirátskeho prístupového bodu na sieti v kroku 240. Oznámenie sa môže uskutočniť cez email, pasce, SNMP alebo inými spôsobmi známymi odborníkom v danej oblasti techniky.0028 Monitor siete znemožňuje komunikácie medzi sieťou a pirátskym prístupovým bodom zo siete v kroku 250. Monitor zmeni nastavenia filtru MAC adresy na pirátskom pristupovom bode, aby vylúčil všetky MAC adresy, čím účinne zabráni použitiu pirátskeho prístupového bodu na sieti. Vďalšom uskutočnení monitor zmeni nastavenia routovacej tabulky sieťových zariadeni, ako sú routery alebo prepínače, aby zabránil prevádzke siete do pirátskeho prístupového bodu a z pirátskeho prístupového bodu, a tak minimalizoval riziko pre sieť. Monitor siete sa tiež môže pokúsiť znemožniť prevádzku rádia

MPK / Značky

MPK: H04W 12/00, H04L 12/28, H04L 29/06

Značky: bezdrôtových, spôsob, prístupových, zisťovanie, systém, neautorizovaných, bodov

Odkaz

<a href="http://skpatents.com/14-e7020-system-a-sposob-na-zistovanie-neautorizovanych-bezdrotovych-pristupovych-bodov.html" rel="bookmark" title="Databáza patentov Slovenska">Systém a spôsob na zisťovanie neautorizovaných bezdrôtových prístupových bodov</a>

Podobne patenty