.
Die erste Sache, zum von abzufahren, wenn, ein korporatives drahtloses Netz zu entfalten und das Sichern ein Design einer korrekten drahtlosen Sicherheit Politik ist. Die beste Quelle der Informationen über das Schreiben einer ausführlichen und formalen drahtlosen Sicherheit Politik ist der Anhang des Führers des Beamt-CWSP. Wir konzentrieren uns auf, was die drahtlose Sicherheit Politik bedecken muß und einige spezifische technische Aspekte sie reflektieren sollte.
Wegen der rückwärtige Kompatibilität Eigenschaften ist ein WLAN nur so sicher wie der wenige sichere Klient im Netz. Wenn Sie auf Schicht 2 802.11 Sicherheit Eigenschaften wie WEPPlus oder (zukünftig) 802.11i vertrauensvoll sind, müssen Sie sichergehen, daß alle Vorrichtungen im Netz diese Eigenschaften stützen.
Wenn irgendeine Art von MAC address filternd oder Radius-gegründete MAC-Authentisierung eingesetzt wird, dann sollten die Datenbanken der MAC-Adressen aller drahtlosen Klienten in einer fristgerechten Weise beibehalten werden und aktualisiert werden.
Wenn neue Sicherheit Eigenschaften in den neuen Mikroprogrammaufstellungfreigaben eingeführt werden, müssen die Mikroprogrammaufstellungupdates über dem Netz synchronisiert werden. Wirte, die nicht aktualisiert sind, sollten Netzzugang verweigert werden.
Schließlich, möglicherweise die einfachste Weise, zu einem WLAN Zutritt zu erhalten, wenn die Authentisierung Vorrichtung-gegründet wird, stiehlt oder findet eine Klient Vorrichtung. So sollte jede verlorene oder gestohlene Vorrichtung den Sicherheit Systemverwalter und verweigerten den Netzzugang sofort berichtet werden.
Benutzer sollten über den Inhalt der korporativen Sicherheit Politik und die Grundlagen des Verwendens der eingesetzten worden Sicherheit Funktionen informiert werden (damit sie sie nicht durch Unfall abstellen). Sie sollten auch angeregt werden, über alle verlorenen oder gestohlenen Vorrichtungen sofort zu berichten. Dasselbe trifft auf alle nicht vertrauten Vorrichtungen zu, welche die Benutzer durch Unfall finden konnten (z.B., verstopfte ein USB drahtloser Klient in eine der Maschinen auf LAN oder einem PDA eines unbekannten Ursprung). Eine nicht autorisierte Installation jeder drahtlosen Vorrichtung, einschließlich Bluetooth Klienten durch Benutzer, muß ausschließlich verboten werden. Korporative Benutzer sollten auch erklärt werden, um drahtlos-ermöglichte Wirte nicht zu anderen zu verleihen und sie, unbeaufsichtigt zu lassen zu vermeiden.
Die Benutzer sollten eine ungefähre körperliche Begrenzung auf die Netzdeckungzone kennen und an, das korporative WLAN von einem Abstand anzuschließen vermeiden, der diese Begrenzung übersteigt. Dieses konnte helfen, "naher-weit" und "versteckter Nullpunkt" Rf Probleme zu verringern.
Als Teil einer allgemeineren korporativen Sicherheit Politik sollten Benutzer über Sozialtechnikangriffe informiert werden und nicht Freigebeninformationen über das Netz zu den möglichen Angreifern. Solche Informationen schließen Authentisierung 802.1x Bescheinigungen, geheime Schlüssel, geschlossenes ESSIDs, Positionierung der Zugangspunkte und der körperlichen Netzgrenzen mit ein.
Wenn Sie ein allgemeines hotspot laufen lassen, überprüfen Sie, ob ein Verzicht, der die Sicherheit Politik-definierten Richtlinien des Benutzerverhaltens umreißt, allen anschließenden Parteien zuerst dargestellt wird. Benutzer sollten erfordert werden zu klicken, um mit dem Verzicht übereinzustimmen, bevor man irgendwie weiter fortfährt. Diese einfache Sicherheitsmaßnahme kann Sie von einer Menge zugelassene Mühe speichern, wenn das hotspot von den unverantwortlichen Benutzern mißbraucht wird, die Angriffe ausstoßen oder unerlaubte Materialien downloaden.
Zugangspunkte, drahtlose Brücken, Antennen und Verstärker sollten in Position gebracht werden und angebracht worden in solch eine Weise hinsichtlich verhindern Sie Diebstahl oder Beschädigung. Sicherheit Schutz sollte die im Freienausrüstung Position berücksichtigen und über drahtloses Ausrüstung Aussehen und die Möglichkeit von Angriffen informiert werden. Er sollten in der LageSEIN, ein mißtrauisches Auto mit einer Antenne in einem Firmaparkenlos oder einem Angreifer mit einem Laptop auf der Bank nahe bei den Planungs- und Führungsstäben zu beschmutzen.
Das EIRP muß in der Rechtskraftausgang Strecke sein. Ein angemessenes Emissionenergie Niveau sollte benutzt werden, um die Verbreitung des Netzes weit über den nützlichen Grenzen hinaus einzuschränken. Die Position der Antenne sollte beschlossen werden, um das Signal herabzusetzen, das zu den notwendigen Deckungbereichen verbritten wird. Wenn sie benötigt werden, können Parabolische Reflektoren benutzt werden, um drahtlose Signalausbreitung in den nicht wünschenswerten Richtungen zu blockieren. Schließlich sollten alle Quellen der Störung überprüft werden und beseitigt werden, wenn möglich.
Die Entwicklung einiger Zugangspunkte auf dem WLAN erhöht die Netzbeweglichkeit auf DOS und Mann-in-d-mittlere Angriffe, außer dem Zur Verfügung stellen der zusätzlichen Rückfall Bandbreite.
Das WLAN sollte auf einem anderen Sendung Gebiet vom verdrahteten LAN sein. Im Kasten der mehrfachen Zugangspunkte, die mit unterschiedlichen Schaltern verbunden werden, sollte VLANs verwendet werden und alle APS auf das gleiche VLAN in Position gebracht werden, wenn möglich. Eine drahtlos-zu-verdrahtete Einfahrt sollte korrekte Netztrennung, Unterstützung eingeführte Authentisierung und Datenverschlüsselungeigenschaften sicherstellen, und ist zum möglichen Cracker sich in Angriff nimmt elastisch.
WLAN ESSIDs sollte keine nützlichen Informationen über die Korporation und die Zugangspunkte enthalten. Grundlinie Sicherheitsmaßnahmen wie WEP und geschlossenes ESSIDs sollten verwendet werden. Die MAC addressentstörung sollte verwendet werden, wenn anwendbar. Dieses schließt Verbindung der einschränkenden Klienten zu den korporativen Zugangspunkten durch die AP Adresse ein (BSSID). Die Protokollentstörung konnte verwendet werden, wenn vorhanden oder anwendbar.
Grundlinie Sicherheitsmaßnahmen sollten nicht für WLAN Schutz an gebaut werden. Weiterer Sicherheit Schutz einschließlich 802.1x und VPNs sollte eingeführt werden. Ihr Wahl- und Implementierungsverfahren sollte gänzlich dokumentiert werden und die zugewiesene worden Wartung Verantwortlichkeit. Wenn eigene Sicherheit Eigenschaften wie Verbesserungen zu WEP an gebaut werden, muß ihre Leistungsfähigkeit von einem externen Sicherheit Revisor vor dem Produktion Entwicklungstadium überprüft werden. WEP sollte Schlüsselumdrehung Zeit überprüft werden und dokumentiert werden.
Eine korrekte Kennwortsicherheit Politik für drahtlosen Zugang sollte sichergestellt werden, und die Grundlinie für sichere Kennwort- und Geheimnisschlüsselvorwähler sollte erzwungen werden. Keine nicht notwendigen Protokolle sollten das WLAN überqueren, und Gebrauch von geteilten Betriebsmitteln (z.B., NFS) über dem WLAN sollte eingeschränkt sein.
Netzbetriebe müssen überwacht werden und baselined. Alle bedeutenden Abweichungen von der Grundlinie müssen adressiert werden und dokumentiert werden. Sollten drahtlos-spezifische Identifikation mit dem zentralisierten Protokollierung System entfaltet werden und interoperable sein. Wenn die Netzgröße bedeutend ist und mehrfache Zugangspunkte entfaltet werden, sollten Remote-Identifikation Sensoren benutzt werden, um die komplette Netzüberwachung sicherzustellen. Die Verantwortlichkeit für die Überwachung der Maschinenbordbücher und DER Identifikation Warnungen sollte zugewiesen werden und beibehalten werden. Sicherer Maschinenbordbuchspeicher sollte in Übereinstimmung mit der allgemeinen korporativen Sicherheit Politik zur Verfügung gestellt werden. Alle mögliche Fälle vom Eindringen sollten gekennzeichnet werden, überprüft werden, bestätigt werden und dokumentiert werden. Eine Ereigniswartemannschaft, die aus preassigned Fachleuten besteht, sollte zusammengebaut werden und muß sofortige Maßnahmen ergreifen. Die Tätigkeit muß einen Report zu den passenden zugelassenen Behörden mit einbeziehen. Aller Beweis, der entdeckt wird (einschließlich Maschinenbordbücher, eingedrungene Wirte, drahtlose Vorrichtungen des Gauners oder andere Vorrichtungen gelassen durch Angreifer oder von ihnen konfisziert) sollte mit extremer Obacht also der Verwahrkette angefaßt werden ist gebrochen nicht. Stellen Sie sicher, daß Ihre Ereigniswartemannschaft mit den lokalen Richtlinien und den Regelungen für die Beweisbehandlung vertraut ist-.
Korporative drahtlose Sicherheit Bilanzen sollten regelmäßig von den externen Fachleuten mit einem hergestellten Renommee in auffangen durchgeführt werden und Spezialisierung und industrielle Beglaubigungen verwenden. Netzsicherheit und -stabilität Bilanzen sollten das folgende mit einschließen:
Drahtloses Aufstellungsortvermessen
Gesamte Netzbetriebe und Stabilität Einschätzung
Drahtlose Sicherheit Politikeinschätzung
Drahtlose Abfragung und Kennzeichnung Vorrichtung des Gauners
Korrekte systematische drahtlose Durchgriffprüfung ähnlich der umrissen in der drahtlosen Netz-Sicherheit und Stabilität Bilanz-Checkliste Schablone
Ausführliche Prüfungsberichtunterordnung
Kooperative Arbeit mit der drahtlosen Netzführung und der Leitung, zum der Ausgaben zu beheben entdeckte
. |