La première chose à commencer à partir de quand déployer et fixer un réseau sans fil de corporation est une conception d'une politique sans fil appropriée de sécurité. La meilleure source d'information sur écrire une politique sans fil détaillée et formelle de sécurité est l'annexe du guide du fonctionnaire CWSP. Nous nous concentrons sur ce que la politique sans fil de sécurité doit couvrir et quelques aspects techniques spécifiques elle devrait refléter.
En raison des dispositifs de compatibilité en arrière, un WLAN est seulement aussi bloqué que le moindre client bloqué sur le réseau. Si vous êtes dépendant sur la couche 2 802.11 dispositifs de sécurité tels que WEPPlus ou (à l'avenir) 802.11i, vous devez vous assurer que tous les dispositifs sur le réseau soutiennent ces dispositifs.
Si une certaine sorte de MAC address filtrant ou authentification Rayon-basée d'IMPER est utilisée, alors les bases de données des adresses de l'IMPER de tous les clients sans fil devraient être maintenues et mises à jour d'une façon opportune.
Quand de nouveaux dispositifs de sécurité sont mis en application dans de nouveaux dégagements de progiciels, les mises à jour de progiciels à travers le réseau doivent être synchronisées. Des centres serveurs qui ne sont pas mis à jour devraient être niés l'accès de réseau.
En conclusion, peut-être la manière la plus facile accéder à un WLAN si l'authentification dispositif-est basée vole, ou trouve un dispositif de client. Ainsi, chaque dispositif perdu ou volé devrait être rapporté à l'interface gestionnaire de sécurité et à l'accès de réseau nié immédiatement.
Des utilisateurs devraient être informés au sujet du contenu de la politique de corporation de sécurité et des fondations d'employer les dispositifs de sécurité utilisés (de sorte qu'ils ne les arrêtent pas par accident). Ils devraient également être encouragés à rapporter tous les dispositifs perdus ou volés immédiatement. Le même applique à tous les dispositifs peu familiers que les utilisateurs pourraient trouver par accident (par exemple, un client sans fil d'USB a branché à une des machines sur le LAN ou un PDA d'origine inconnue). Une installation non autorisée de n'importe quel dispositif sans fil, y compris des clients de Bluetooth par des utilisateurs, doit être strictement interdite. Des utilisateurs de corporation devraient également être dits pour ne pas prêter les centres serveurs sans fil-permis à d'autres et pour ne pas les éviter de les laisser sans surveillance.
Les utilisateurs devraient savoir une limite physique approximative de la zone d'assurance de réseau et l'éviter de se relier au WLAN de corporation d'une distance dépassant cette limite. Ceci pourrait aider à réduire des problèmes de rf noeud "" proche-loin "et de" caché.
En tant qu'élément d'une politique de corporation plus générale de sécurité, des utilisateurs devraient être informés au sujet des attaques sociales de technologie et des informations de révélation sur le réseau aux attaquants potentiels. Une telle information inclut des qualifications de l'authentification 802.1x, clefs secrètes, ESSIDs fermé, positionnement des points d'accès, et des frontières physiques de réseau.
En courant un point névralgique public, assurez-vous qu'un déni décrivant les règles politique-définies par sécurité du comportement d'utilisateur est présenté à toutes les parties se reliantes d'abord. Des utilisateurs devraient être requis de cliquer pour être d'accord avec le déni avant de procéder pas plus. Cette mesure de sécurité simple peut vous sauver de beaucoup d'ennui légal si le point névralgique est maltraité par les utilisateurs irresponsables lançant des attaques ou téléchargeant les matériaux illicites.
Des points d'accès, les ponts sans fil, les antennes, et les amplificateurs devraient être placés et montés de façon à empêcher le vol ou les dommages. Des gardes de sécurité devraient se rendre compte de la position extérieure d'équipement et être informés au sujet de l'aspect sans fil d'équipement et de la possibilité d'attaques. Ils devraient pouvoir repèrer une voiture soupçonneuse avec une antenne dans un sort de stationnement de compagnie ou un attaquant avec un ordinateur portatif sur le mettre hors jeu à côté des bureaux de corporation.
L'EIRP doit être dans la gamme de rendement de pouvoir légal. Un niveau de puissance raisonnable d'émission devrait être employé pour limiter la diffusion du réseau loin au delà des frontières utiles. La position de l'antenne devrait être choisie pour réduire au minimum le signal écarté aux secteurs nécessaires d'assurance. Si nécessaires, des réflecteurs paraboliques peuvent être utilisés pour bloquer la propagation sans fil de signal dans des directions indésirables. En conclusion, on devrait être vérifié et éliminé toutes les sources d'interférence, si possible.
L'déploiement de plusieurs points d'accès sur le WLAN augmente la résilience de réseau au DOS et aux attaques homme-dans-le-moyennes, sans compter que fournir la largeur de bande additionnelle de chute.
Le WLAN devrait être sur un domaine différent d'émission du LAN de câble. Dans le cas des points d'accès multiples liés à différents commutateurs, VLANs devrait être employé et tout l'aps être placé sur le même VLAN si possible. Un passage sans fil-à-de câble devrait assurer la séparation appropriée de réseau, les dispositifs d'authentification mis en application par appui et de chiffrage de données, et soit résilient au biscuit possible s'attaque.
WLAN ESSIDs ne devrait contenir aucune informations utiles sur les points de société et d'accès. Des mesures de sécurité de ligne de base telles que WEP et ESSIDs fermé devraient être employées. Le filtrage de MAC address devrait être employé si applicable. Ceci inclut l'association des clients limiteurs aux points d'accès de corporation par l'adresse de AP (BSSID). Le filtrage de protocole a pu être employé si disponible ou applicable.
On ne devrait pas compter dessus des mesures de sécurité de ligne de base pour la protection de WLAN. D'autres sauvegardes de sécurité comprenant 802.1x et VPNs devraient être mises en application. Leur procédé de choix et d'exécution devrait être complètement documenté et responsabilité d'entretien assignée. Si on compte dessus des dispositifs de propriété industrielle de sécurité tels que des améliorations à WEP, leur efficacité doit être vérifiée par un auditeur externe de sécurité avant l'étape d'déploiement de production. Le temps principal de rotation de WEP devrait être vérifié et documenté.
Une politique appropriée de sécurité de mot de passe pour l'accès sans fil devrait être assurée, et la ligne de base pour le choix principal bloqué de mot de passe et de secret devrait être imposée. Aucun protocole inutile ne devrait traverser le WLAN, et l'utilisation des ressources partagées (par exemple, NFS) à travers le WLAN devrait être restreinte.
Des opérations de réseau doivent être surveillées et baselined. Toutes les déviations significatives de la ligne de base doivent être adressées et documentées. Les identifications sans fil-spécifiques devraient être déployées et étées interoperable avec le système de notation centralisé. Si la taille de réseau est significative et des points d'accès multiples sont déployés, des sondes à distance d'identifications devraient être utilisées pour assurer la surveillance complète de réseau. La responsabilité de surveiller des notations et des alarmes d'identifications devrait être assignée et maintenue. Le stockage bloqué de notation devrait être fourni selon la politique de corporation générale de sécurité. Tous les cas d'intrusion devraient être identifiés, vérifiés, confirmés, et documentés. Une équipe de réponse d'incident se composant des spécialistes preassigned devrait être assemblée et doit prendre une mesure immédiate. L'action doit impliquer un rapport aux autorités légales appropriées. Toute l'évidence découverte (notations y compris, centres serveurs pénétrés, dispositifs sans fil escroc, ou d'autres dispositifs laissés par des attaquants ou confisqués d'eux) devrait être manipulée avec le soin extrême ainsi la chaîne de la garde n'est pas cassée. Assurez-vous que votre équipe de réponse d'incident est au courant des règles et des règlements locaux pour la manipulation d'évidence.
Des audits sans fil de corporation de sécurité devraient être exécutés de façon régulière par les professionnels externes avec une réputation établie dans le domaine et les accréditations de spécialisation et industrielles appropriées. Les audits de sécurité et de stabilité de réseau devraient inclure ce qui suit :
Enquête sans fil d'emplacement
Opérations de réseau et évaluation globales de stabilité
Évaluation sans fil de politique de sécurité
Détection sans fil escroc et identification de dispositif
Essai sans fil systématique approprié de pénétration semblable à cela décrit dans le calibre sans fil de liste de contrôle d'audit de sécurité et de stabilité de réseau
Soumission détaillée de rapport de contrôle
Le travail coopératif avec la gestion et l'administration de réseau sans fil pour résoudre les problèmes a découvert
|
|