La primera cosa a salir de cuando desplegar y asegurar una red sin hilos corporativa es un diseño de una política sin hilos apropiada de la seguridad. La mejor fuente de la información sobre escribir una política sin hilos detallada y formal de la seguridad es el apéndice de la guía del funcionario CWSP. Nos concentramos en lo que debe cubrir la política sin hilos de la seguridad y algunos aspectos técnicos específicos debe reflejar.
Debido a características de la compatibilidad hacia atrás, un WLAN es solamente tan seguro como el menos cliente seguro en la red. Si usted es confiado en la capa 2 802.11 características de la seguridad tales como WEPPlus o (en el futuro) 802.11i, usted tiene que asegurarse de que todos los dispositivos en la red apoyen estas características.
Si una cierta clase de MAC address que se filtra o autentificación Radio-basada del MAC se emplea, después las bases de datos de las direcciones del MAC de todos los clientes sin hilos se deben mantener y poner al día de una manera oportuna.
Cuando las nuevas características de la seguridad se ponen en ejecucio'n en nuevos lanzamientos de los soportes lógico inalterable, las actualizaciones de los soportes lógico inalterable a través de la red tienen que ser sincronizadas. Los anfitriones que no son actualizados se deben negar el acceso de red.
|
|
Finalmente, quizás la manera más fácil acceder a un WLAN si dispositivo-se basa la autentificación está robando, o está encontrando un dispositivo del cliente. Así, cada dispositivo perdido o robado se debe divulgar al administrador de sistema de la seguridad y al acceso de red negado inmediatamente.
Los usuarios deben ser informados sobre el contenido de la política corporativa de la seguridad y los fundamentos de usar las características de la seguridad empleadas (de modo que no les den vuelta apagado por accidente). También a les deben animan que divulguen cualquier dispositivo perdido o robado inmediatamente. Igual se aplica a cualquier dispositivo desconocedor que los usuarios pudieran encontrar por accidente (e.g., un cliente sin hilos del USB tapó en una de las máquinas en el LAN o un PDA de un origen desconocido). Una instalación desautorizada de cualquier dispositivo sin hilos, incluyendo los clientes de Bluetooth de los usuarios, debe ser prohibida terminantemente. Los usuarios corporativos deben también ser dichos para no prestar los anfitriones sin hilos-permitidos a otros y para no evitarlos de dejarlos desatendidos.
Los usuarios deben saber un límite físico aproximado de la zona de la cobertura de la red y evitarlo de conectar con el WLAN corporativo de una distancia que excede este límite. Esto pudo ayudar a reducir problemas del RF "nodo cercano-lejos" y del "ocultado".
Como parte de una política corporativa más general de la seguridad, los usuarios deben ser informados sobre ataques sociales de la ingeniería e información el no divulgar sobre la red a los atacantes potenciales. Tal información incluye las credenciales de la autentificación 802.1x, llaves secretas, ESSIDs cerrado, colocación de los puntos de acceso, y de los límites físicos de la red.
Al funcionar un hotspot público, cerciórese de que una negación que contornea las reglas poli'tica-definidas seguridad del comportamiento del usuario está presentada a todos los partidos que conectan primero. Los usuarios deben ser requeridos chascar para convenir con la negación antes de progresar. Esta medida de seguridad simple puede ahorrarle de muchos de apuro legal si el hotspot es abusado por los usuarios irresponsables que lanzan ataques o que descargan los materiales ilícitos.
Los puntos de acceso, los puentes sin hilos, las antenas, y los amplificadores deben ser colocados y montado en tal manera en cuanto a prevenga el hurto o el daño. Los protectores de seguridad deben estar enterados de la posición al aire libre del equipo y ser informados sobre aspecto sin hilos del equipo y la posibilidad de ataques. Deben poder manchar un coche sospechoso con una antena en una porción del estacionamiento de la compañía o un atacante con una computadora portátil en el banco al lado de las oficinas corporativas.
El EIRP debe estar en la gama de la salida de energía legal. Un nivel razonable de la energía de la emisión se debe utilizar para restringir la extensión de la red lejos más allá de los límites útiles. La posición de la antena se debe elegir para reducir al mínimo la señal separada a las áreas necesarias de la cobertura. Si están necesitados, los reflectores parabólicos se pueden utilizar para bloquear la propagación sin hilos de la señal en direcciones indeseables. Finalmente, todas las fuentes de interferencia deben ser comprobadas y ser eliminadas, si es posible.
El despliegue de varios puntos de acceso en el WLAN aumenta la resistencia de la red al DOS y a los ataques hombre-en-$$$-MEDIOS, además de proporcionar anchura de banda adicional del retraso.
El WLAN debe estar en un diverso dominio de la difusión del LAN atado con alambre. En la caja de puntos de acceso múltiples ligados a diversos interruptores, VLANs se debe ser utilizado y todo el APs colocar en el mismo VLAN si es posible. Una entrada sin hilos-a-atada con alambre debe asegurar la separación apropiada de la red, características puestas en ejecucio'n ayuda de la autentificación y del cifrado de datos, y sea resistente a la galleta posible se ataca.
WLAN ESSIDs no debe contener ninguna información útil sobre los puntos de la corporación y de acceso. Las medidas de seguridad de la línea de fondo tales como WEP y ESSIDs cerrado deben ser utilizadas. La filtración del MAC address debe ser utilizada cuando es aplicable. Esto incluye la asociación de los clientes de restricción a los puntos de acceso corporativos por la dirección del AP (BSSID). La filtración del protocolo podía ser utilizada si esta' disponible o aplicable.
Las medidas de seguridad de la línea de fondo no se deben confiar encendido para la protección de WLAN. Salvaguardias más futuras de la seguridad incluyendo 802.1x y VPNs deben ser puestas en ejecucio'n. Su procedimiento de la opción y de la puesta en práctica se debe documentar a fondo y responsabilidad del mantenimiento asignada. Si se confían las características propietarias de la seguridad tales como mejoras a WEP encendido, su eficacia se debe verificar por un interventor externo de la seguridad antes de la etapa del despliegue de la producción. El tiempo dominante de la rotación de WEP debe ser verificado y ser documentado.
Una política apropiada de la seguridad de la contraseña para el acceso sin hilos debe ser asegurada, y la línea de fondo para la selección dominante segura de la contraseña y del secreto debe ser hecha cumplir. Ningunos protocolos innecesarios deben atravesar el WLAN, y el uso de los recursos compartidos (e.g., NFS) a través del WLAN debe ser restricto.
Las operaciones de la red se deben supervisar y baselined. Todas las desviaciones significativas de la línea de fondo deben ser tratadas y ser documentadas. Las identificaciones sin hilos-especi'ficas deben ser desplegadas y ser interoperable con el sistema de registración centralizado. Si el tamaño de la red es significativo y se despliegan los puntos de acceso múltiples, los sensores alejados de las identificaciones se deben utilizar para asegurar la supervisión completa de la red. La responsabilidad de supervisar registros y alarmar de las identificaciones debe ser asignada y ser mantenida. El almacenaje seguro del registro se debe proporcionar de acuerdo con la política corporativa general de la seguridad. Cualquier caso de la intrusión debe ser identificado, ser verificado, ser confirmado, y ser documentado. Un equipo de la respuesta del incidente que consiste en especialistas preassigned se debe montar y debe tomar la acción inmediata. La acción debe implicar un informe a las autoridades legales apropiadas. Toda la evidencia descubierta (registros incluyendo, los anfitriones penetrados, los dispositivos sin hilos del granuja, u otros dispositivos dejados por los atacantes o confiscados de ellos) se debe manejar con cuidado extremo así que la cadena de la custodia no está rota. Asegúrese de que su equipo de la respuesta del incidente sea familiar con las reglas y las regulaciones locales para la dirección de la evidencia.
Las intervenciones sin hilos corporativas de la seguridad se deben realizar sobre una base regular por los profesionales externos con una reputación establecida en el campo y las acreditaciones apropiadas del especialización e industriales. Las intervenciones de la seguridad y de la estabilidad de la red deben incluir el siguiente:
Encuesta sobre sin hilos el sitio
Operaciones de la red y gravamen totales de la estabilidad
Gravamen sin hilos de la política de la seguridad
Detección e identificación sin hilos del dispositivo del granuja
Prueba sin hilos sistemática apropiada de la penetración similar a ésa contorneada en la plantilla sin hilos de la lista de comprobación de la intervención de la seguridad y de la estabilidad de la red
Sumisión detallada del informe de intervención
El trabajo cooperativo con la dirección y la administración sin hilos de la red para resolver las ediciones descubrió
|
|