.
La prima cosa da partire da quando schierare ed assicurare una rete senza fili corporativa sono un disegno di una politica senza fili adeguata di sicurezza. La fonte migliore delle informazioni sulla scrittura della politica senza fili dettagliata e convenzionale di sicurezza è l'appendice della guida del funzionario CWSP. Ci concentriamo su che cosa la politica senza fili di sicurezza deve coprire ed alcune funzioni tecniche specifiche dovrebbe riflettere.
A causa delle caratteristiche di compatibilità a rovescio, un WLAN è soltanto sicuro quanto il meno cliente sicuro sulla rete. Se siete fiduciosi nello strato 2 802.11 caratteristiche di sicurezza quali WEPPlus o (in avvenire) 802.11i, dovete accertarsi che tutti i dispositivi sulla rete sostengano queste caratteristiche.
Se una certa specie del MAC address che filtra o l'autenticazione Raggio-basata del MAC è impiegata, quindi le basi di dati degli indirizzi del MAC di tutti i clienti senza fili dovrebbero essere effettuate ed aggiornate in un modo attuale.
Quando le nuove caratteristiche di sicurezza sono effettuate nei nuovi rilasci dei firmware, gli aggiornamenti dei firmware attraverso la rete devono essere sincronizzati. Gli ospiti che non sono aggiornati dovrebbero essere negati l'accesso di rete.
Per concludere, forse il senso più facile accedere ad un WLAN se l'autenticazione dispositivo-è basata sta rubando, o sta trovando un dispositivo del cliente. Quindi, ogni dispositivo perso o rubato dovrebbe essere segnalato immediatamente al coordinatore di sistema di sicurezza ed all'accesso di rete negato.
Gli utenti dovrebbero essere informati circa il contenuto della politica corporativa di sicurezza ed i principi fondamentali di usando le caratteristiche di sicurezza impiegate (in modo che non le spengano dall'incidente). Dovrebbero anche essere consigliati a segnalare immediatamente tutti i dispositivi persi o rubati. Lo stesso si applica a tutti i dispositivi che non pratici gli utenti potrebbero trovare dall'incidente (per esempio, un cliente senza fili del USB ha inserito una delle macchine sulla lan o su un PDA di un'origine sconosciuta). Un'installazione non autorizzata di tutto il dispositivo senza fili, compreso i clienti di Bluetooth dagli utenti, deve essere proibita rigorosamente. Gli utenti corporativi dovrebbero anche dirsi a per non prestare gli ospiti senza fili-permessi ad altri e per non evitare di lasciarle incustodite.
Gli utenti dovrebbero conoscere un limite fisico approssimativo della zona di riempimento della rete ed evitare di collegare al WLAN corporativo da una distanza che eccede questo limite. Ciò ha potuto contribuire a ridurre i problemi di rf "di nodo" vicino-lontano "e" nascosto.
Come componente di una politica corporativa più generale di sicurezza, gli utenti dovrebbero essere informati circa gli attacchi sociali di ingegneria e le informazioni di rilevazione sulla rete ai attackers potenziali. Tali informazioni includono le credenziali di autenticazione 802.1x, le chiavi segrete, ESSIDs chiuso, posizionare dei punti di accesso e dei contorni fisici della rete.
Nel fare funzionare un hotspot pubblico, assicurisi che un diniego che descrive le regole politica-definite sicurezza di comportamento dell'utente è presentato a tutti i partiti di collegamento in primo luogo. Gli utenti dovrebbero essere tenuti a scattarsi per accosentire con il diniego prima di continuare affatto più ulteriormente. Questa misura di sicurezza semplice può conservarla da difficoltà legale molto se il hotspot è abusato dagli utenti irresponsabili che lanciano gli attacchi o che trasferiscono i materiali dal sistema centrale verso i satelliti illeciti.
I punti di accesso, i ponticelli senza fili, le antenne e gli amplificatori dovrebbero essere posizionati e montati in modo da impedire il furto o danni. Le protezioni di sicurezza dovrebbero essere informate della posizione esterna dell'apparecchiatura ed essere informate circa l'apparenza senza fili dell'apparecchiatura e la possibilità di attacchi. Dovrebbero potere macchiare un automobile sospettoso con un'antenna in un lotto di parcheggio dell'azienda o un attacker con un laptop sul banco vicino agli uffici corporativi.
Il EIRP deve essere nella gamma dell'uscita di alimentazione legale. Un livello ragionevole di alimentazione dell'emissione dovrebbe essere usato per limitare la diffusione della rete lontano oltre i contorni utili. La posizione dell'antenna dovrebbe essere scelta per minimizzare il segnale sparso alle zone necessarie di riempimento. Se avuti bisogno di, i riflettori parabolici possono essere utilizzati per ostruire la propagazione senza fili del segnale nei sensi indesiderabili. Per concludere, tutte le fonti di interferenza dovrebbero essere controllate ed eliminate, se possibile.
Lo schieramento di parecchi punti di accesso sul WLAN aumenta la resilienza della rete al DOS ed agli attacchi uomo-in-$$$-CENTRALI, oltre a fornire la larghezza di banda supplementare di ritorno.
Il WLAN dovrebbe essere su un dominio differente di radiodiffusione dalla lan metallica. Nella cassa dei punti di accesso multipli collegati agli interruttori differenti, VLANs dovrebbe essere usato e tutto il APs essere posizionato sullo stesso VLAN se possibile. Un Gateway senza fili-$$$-METALLICO dovrebbe accertare la separazione adeguata della rete, le caratteristiche di crittografia di dati e di autenticazione effettuate supporto ed è resiliente al cracker possibile si attaca.
WLAN ESSIDs non dovrebbe contenere alcune informazioni utili sui punti di accesso e di società. Le misure di sicurezza della linea di base quali WEP ed ESSIDs chiuso dovrebbero essere usate. La filtrazione di MAC address dovrebbe essere usata una volta applicabile. Ciò include l'associazione dei clienti di limitazione ai punti di accesso corporativi dall'indirizzo di AP (BSSID). La filtrazione di protocollo ha potuto essere usata se disponibile o applicabile.
Le misure di sicurezza della linea di base non dovrebbero essere contate sopra per protezione di WLAN. Ulteriori misure di sicurezza di sicurezza compreso 802.1x e VPNs dovrebbero essere effettuate. La loro procedura di esecuzione e di scelta dovrebbe essere documentata completamente e la responsabilità di manutenzione assegnata. Se le caratteristiche riservate di sicurezza quali i miglioramenti a WEP sono contate sopra, la loro efficienza deve essere verificata da un revisore dei conti esterno di sicurezza prima della fase di schieramento di produzione. Il tempo chiave di rotazione di WEP dovrebbe essere verificato e documentato.
Una politica adeguata di sicurezza di parola d'accesso per accesso senza fili dovrebbe essere accertata e la linea di base per la selezione chiave sicura di segreto e di parola d'accesso dovrebbe essere fatta rispettare. Nessun protocollo inutile dovrebbe attraversare il WLAN e l'uso delle risorse comuni (per esempio, NFS) attraverso il WLAN dovrebbe essere limitato.
I funzionamenti della rete devono essere controllati e baselined. Tutte le deviazioni significative dalla linea di base devono essere indirizzate e documentate. Le identificazioni di wireless-specifico dovrebbero essere schierate ed essere interoperable con il sistema di registrazione centralizzato. Se il formato della rete è significativo ed i punti di accesso multipli sono schierati, i sensori a distanza di identificazioni dovrebbero essere utilizzati per accertare il controllo completo della rete. La responsabilità del controllo sia i ceppi che degli allarmi di identificazioni dovrebbe essere assegnata ed effettuata. L'immagazzinaggio sicuro del ceppo dovrebbe essere fornito in conformità con la politica corporativa generale di sicurezza. Tutti i casi dell'intrusione dovrebbero essere identificati, verificati, confermati ed essere documentati. Una squadra di risposta di avvenimento che consiste degli esperti preassigned dovrebbe essere montata e deve intraprendere l'azione immediata. L'azione deve coinvolgere un rapporto alle autorità legali adatte. Tutta la prova scoperta (ceppi compresi, ospiti penetrati, dispositivi senza fili del rogue, o altri dispositivi lasciati dai attackers o confiscati da loro) dovrebbe essere maneggiata con cura estrema in modo da la catena della custodia non è rotta. Accertisi che la vostra squadra di risposta di avvenimento abbia una conoscenza di con le norme e le regolazioni locali per il maneggiamento di prova.
Le verifiche senza fili corporative di sicurezza dovrebbero essere effettuate in maniera regolare dai professionisti esterni con una reputazione stabilita nel campo e negli accreditamenti industriali adatti e di specializzazione. Le verifiche di sicurezza e di stabilità della rete dovrebbero includere quanto segue:
Indagine senza fili del luogo
Funzionamenti della rete e valutazione generali di stabilità
Valutazione senza fili di politica di sicurezza
Rilevazione ed identificazione senza fili del dispositivo di Rogue
Prova senza fili sistematica adeguata di penetrazione simile a quella descritta nella mascherina senza fili della lista di controllo di verifica di sicurezza e di stabilità della rete
Presentazione dettagliata di rapporto di verifica
Il lavoro cooperativo con l'amministrazione e la gestione di rete senza fili per risolvere i problema ha scoperto
. |