가 장 먼저 배포시에서 시작하도록하고 확보하는 기업 무선 네트워크는 디자인의 적절한 무선 보안 정책입니다. 작성에가 장 좋은 소스의 정보에 대한 상세한와 공식 무선 보안 정책이은 부록의 공식 cwsp 안내합니다. 우리가 무엇을 무선 보안 정책에 집중할 표지 및 일부 특정 기술적인 측면을 반드시 반영해야한다.
때문에 하위 호환성을 특징으로 wlan는 전용으로 확보로 안전한 클라이언트가 네트워크에 최소한입니다. 하는 경우에는 '71 일 레이어 2802 911 보안 기능 등 wepplus 또는 (앞으로는) 802.11i, 너는 있도록하기 위해 네트워크에있는 모든 장치는 이러한 기능을 지원합니다.
만약 어떤 종류의 mac 주소를 필터링하거나 반경 - 기반 mac 인증이 취업을 클릭한 다음 데이터베이스의 모든 무선 클라이언트 'mac 주소를 유지 관리 및 업데이 트가 제때에해야한다.
새로운 보안 기능이 구현되면 새로운 펌웨어 버전, 네트워크를 통해 펌웨어를 업데이 트해야 할 수 동기화합니다. 호스트가 업데이 트되지 않은 네트워크 액세스를 거부해야한다.
|
|
마지막으로, 아마도가 장 쉬운 방법에 액세스하기 위해 wlan 경우에는 인증이 장치 - 기반이 도용, 또는 감지하는 클라이언트 장치가있습니다. 따라서, 모든 장치를 분실 또는 도난 신고를해야한다 보안 시스템 관리자 및 부인 네트워크에 대한 액세스를 즉시합니다.
사용자를해야한다 정보의 내용이 기업의 보안 정책과에 대한 기본 보안 기능을 사용하여 취업 (있도록하여 사고를 비활성화하지 않습니다). 그들도 격려해야한다 어떠한 분실 또는 도난당한 장치를 즉시에보고합니다. 어떤 낯선 장치가 동일한 제품을 사용자에 의해 찾을 수있습니다 사고 (e.g., usb 무선 클라이언트를 꽂으 중 하나가 기계에 대한 랜이나 pda의 알 수없는 출처). an 무단 설치의 모든 무선 장치를 포함한 블루투스 클라이언트를 통해 사용자를 엄격히 금지되어야합니다. 기업 사용자의 경우,도 이야기하지 않기로 빌려 무선 - 활성화된 호스트를 다른 사람과 피하는 떠나는 이들 무인입니다.
이 사용자는 알고있는 대략적인 물리적 한계의 네트워크 도달 범위가 영역을 피하기 기업 wlan 주소로의 연결이 한도를 초과하는 거리에있습니다. 줄이는 데 도움이있습니다 "근처 -까지"와 "숨겨진 노드"rf 문제가있습니다.
좀 더 일반적인 기업의 보안 정책의 일환으로, 사용자가되어야 사회 공학 공격에 대한 정보와 네트워크가 잠재적인 공격자에 대한 정보를 공개하지 않습니다. 같은 정보를 포함 802.1x 인증 자격 증명, 비밀 키, 닫힌 essid, 포지셔닝의 액세스 포인트, 그리고 실제 네트워크 경계를합니다.
를 실행하는 공공 핫스팟을되었는지 확인하십시오 면책 조항을 정리하여 보안 정책 - 정의된 규칙은 사용자의 행동이 제시하는 모든 당사자 먼저 연결합니다. 사용자가되어야 필요로 클릭하여 더 이상 진행하기 전에 면책 조항에 동의합니다. 이 간단한 보안 조치는 많은 법적 문제를 절약할 수있습니다 핫스팟이 학대를하는 경우에 무책임한 사용자를 발사 공격하거나 다운로드 불법 자료가있습니다.
액세스 포인트, 무선 브리지, 안테나, 앰프해야한다 탑재된 이와 같은 방식으로 배치하고 도난 또는 손상을 방지합니다. 보안 경비원을 알고 있어야합니다 아웃도어 장비의 위치 및 정보를 무선 장비 모양과가 능성을 공격합니다. 그들을 현물 수 있어야한다 의심스러운 차량으로 안테나에있는 회사 주차장이나 공격자는 노트북에있는 벤치 옆에는 회사 사무실입니다.
가 주의 법적 전원 출력 범위에 있어야합니다. 합리적인 방출 전원 수준의 확산을 제한하는 데 사용해야합니다 네트워크를 훨씬 초과하는 유용한 경계합니다. 안테나의 위치가 선정되어야을 최소화 신호가 전파를 필요한 범위 분야입니다. 필요한 경우, 포물선 발광체 무선 신호 전파를 차단하는 데 사용할 수있습니다 바람직하지 않은 방향으로합니다. 마지막으로, 모든 소스의 간섭을해야한다 검사 및 근절을가능한 경우입니다.
을 전개은 여러 개의 액세스 포인트가 네트워크에 wlan 상승 탄력을 dos와 남자 -이 -는 - 중간 공격, 외에 다른 대체 대역폭을 제공합니다.
가 wlan되어야에서 다른 브로드 캐스트 도메인을 유선 랜. 의 경우에 여러 개의 액세스 포인트에 연결된 다른 스위치를 구성하는 데 사용해야하고 모든 aps 위치를 같은 vlan능한 경우입니다. 무선 -가 - 유선 게이트웨이 올바르게 네트워크를 분리, 지원 구현된 인증 및 데이터 암호화 기능, 그리고 resilient 될가 능성으로 과자 공격 자체입니다.
wlan essid해서는 안에 대한 정보를 포함하지 유용 공사와 액세스 포인트입니다. 보안 조치 wep 및 폐쇄 essid과 같은 기준을 사용해야합니다. mac 주소를 필터링을 적용할 때 사용되어야합니다. 이 여기에 포함 제한하고 고객의 협회가 기업의 액세스 포인트는 통신 주소 (bssid)입니다. 프로토콜을 필터링하는 데 사용할 수있습니다 사용할 수있는 경우 또는 해당합니다.
기준 보안 조치를해서는 안된다 wlan 보호에 대한 의존합니다. 더 이상 보안 안전 장치를 포함한 802.1x와 vpn도해야한다. 자신의 선택과 이행 절차를 철저하게 문서화 및 유지 관리 책임을 할당해야한다. 만약 독점과 같은 보안 기능을 개선하기 위해 wep들이 의존, 그들의 효율성을 검증해야한다 외부 보안 감사 이전에 제작 배포를 무대입니다. wep 키 로테이션 시간을 확인 및 문서화해야한다.
적절한 비밀 번호 보안 정책에 대한 무선 액세스해야한다 보장, 그리고의 기준에 대한 보안 비밀 번호와 비밀 키를 선택을해야한다 시행합니다. 아니오 불필요한 프로토콜을해야한다 wlan 탐색 및 사용을 공유 자원 (e.g., 아키텍처)를 전체의 wlan 제한해야한다.
네트워크 작업을해야합니다 모니터하고 baselined. 모든 큰 편차를 기준으로 문의해야합니다와 문서화. 무선 - 특정 id해야한다과의 상호 운용을 배포하고 중앙 집중식 로깅 시스템입니다. 네트워크 크기가 중요하고 경우에 여러 개의 액세스 포인트가 배포된, 원격 id 센서 네트워크 모니터링을 완료할 수 있도록하는 데 사용해야합니다. 의 책임에 대한 모니터링을 모두 로그와 id 경보 및 유지 관리를 지정해야합니다. 보안 로그를 저장해야합니다에 따라 일반적인 기업의 보안 정책을 제공합니다. 어떤 사례 침입해야한다 발견, 검증, 확인하고 문서화합니다. 사건 응답 팀으로 이루어진 미리 고객 지원해야한다 조립하고 즉각적인 조치를 취해야합니다. 다음 동작을 포함해야한다 보고서를 적절한 법적 기관입니다. 모든 증거가 발견 (비롯한 로그, 그깟 호스트, 악의 무선 장치, 또는 기타 장치를 왼쪽으로 공격자 또는 몰수들로부터) 극단적인 치료와 함께 처리되어야하므로 체인의 구속되지 않은 깨졌습니다. 있도록하여 사건 응답 팀이 알고있는가 로컬 규칙 및 규정에 대한 증거를 처리합니다.
기업의 무선 보안 감사를 정기적으로 수행해야합니다 외부 전문으로하는 기존 명성에있는 필드와 적절한 특성화 및 산업 자격증입니다. 네트워크 보안과 안정성을 감사해야한다는 다음과 같습니다 :
무선 사이트 조사
전반적인 네트워크 운영과 안정성을 평
무선 보안 정책을 평가
악의 무선 장치를 탐지 및 식별
적절한 체계적인 무선 돌파 테스트와 유사하여 해당 설명에 무선 네트워크 보안 및 안정성 감사를 점검 목록 템플릿
상세한 감사 보고서 제출
협동 작업과 무선 네트워크 관리와 운영을 해결하는 문제를 발견
|
|