San_dok
Зарегистрирован: 21.07.2006 Сообщения: 1649 Откуда: Rus\23
|
Добавлено: Чт Сен 07 2006 16:04 Заголовок сообщения: Re: Безопасность беспроводных сетей |
|
|
Eugeny писал(а): | Каким образом лучше обеспечить безопасность? Широко описанные средства типа фильтрации по MAC-адресам и WEP шифрование уже применены.
В некоторых статьях встречается мысль о том что лучшее решение для беспроводных сетей это VPN-подключение, однако как его использовать для распределенной сети? Это что же получается в каждом сегменте необходимо ставить VPN сервер? |
Прежде всего советую проверить, насколько тщательно вы прошлись по MAC и WEP.
Ежели надобно много много % защищённости, то могу посоветовать так:
1.Уменьшить зону радиопокрытия (разумеется, до минимально приемлемой). В идеале, зона радиопокрытия сети не должна выходить за пределы контролируемой территории.
2.Изменить пароль администратора, установленный по умолчанию.
3.Запретить широковещательную рассылку идентификатора сети (SSID).
4.Изменить идентификатор сети (SSID), установленный по умолчанию.
5.Периодически изменять ID сети (SSID)
6.Раз WEP вы уже активизировали, надобно и периодически изменять WEP-ключи.
7.Установить и отстроить персональные МЭ и антивири у юзеров беспроводной сети.
8.Выполнить соответствующие настройки фильтрации трафика на телекоммуникационном оборудовании и межсетевых экранах.
9.Обеспечить резервирование оборудования, входящего в состав беспроводной сети.
10.Обеспечить бэкап усего.
11.Периодический мониторинг состояния защищенности беспроводной сети с помощью специализированных средств анализа защищенности для беспроводных сетей. Ежели конечно они у вас имется.
Ну для начального уровня в принципе усё, но ниже этого опускаться уже категорически запрещено!
Теперича о том, что вы WEP шифрование считаете применили (как его не крутили , по моему года с 87-го, так ума и не дали )
Даже увеличение длинны ключа аж до 256 бит, лишь увеличивает количество пакетов, которые должен простучать злодей. Анализаторов сейчас куча. Но эту тему тут не трогаем. да и если честно, в сумку такой кампутер не поместиться
Далее рулим к макам. Если есть дыра в алгоритме смены ключей, протокола WEP, заменить MAC-адрес своей карты доступа на MAC-адрес карты доступа легального пользователя ежу понятно злодею влёт.
Короче. в любом случае точки доступа беспровода не советую соединять с внутренней проводной. В идеале они должны находиться по внешнюю сторону от межсетевого экрана.
Ну уже раз настроили, то посоветую дополнительно пользовать ещё MIC и TKIP.
Ну и непосредственно о вашем VPN. Раз одной из базовых технологий защиты инфы в беспроводных сетях- криптография, то выход в оптимальном решении - именно ИМХО в VPN.
Плюсы сего:
1.VPN завязанный на IPSec поддерживает архитектуру SAFE и благополучно рулит на Cisco Systems! Актуальность обьяснять не надо?
2.Раз вы пользуете протокол 802.1х то успокаиваетесь за легала ВАШЕЙ сети,а реализуя дополнительную авторизацию средствами VPN убеждаемся о допуске пользователей, которые имеют на это право. Это я говорю за легитивность, продукты сертифицированные ФАПСИ и Гостехкомиссией России! Разницу понимаете ?
3.Настройка функций межсетевого экранирования на устройстве VPN-шлюз, позволяет назначать различные права доступа внутри группы пользователей, имеющих доступ к конфиденциальной инфе.
4.Прокол 802.1х имеет ряд уязвимостей к атакам типа man-in-the-middle и session hijacking7. VPN же позволит создать внешнюю защитную оболочку беспроводной сети передачи данных.
Ежели у вас всё так серьезно,то конечно надобно ставить VPN.
Схема в трёх словах такая: центральный маршрутизатор на инет и VPN шлюз+кластер сервера доступа и всё накрыть межсетевым экраном. VPN туннели от шлюза через каждую точку доступа непосредственно на сапликантов.
Скажу ещё минусы.
1.Снижение общей пропускной способности сети. С использованием IPSec сертифицированных криптоядер, снижение производительности от 20 до 30%.
2.При использовании PDA или беспроводных IP-телефонов найти VPN агента и криптографическое ядро для энтих платформ-караул.
3.Как всегда - денюшки, включая и ТСО решения.
Усё. пользуйте |
|