.
A primeira coisa a partir de quando desdobrar e fixar uma rede wireless incorporada forem um projeto de uma política wireless apropriada da segurança. A mais melhor fonte da informação em escrever uma política wireless detalhada e formal da segurança é o apêndice da guia do oficial CWSP. Nós concentramos em o que a política wireless da segurança deve cobrir e alguns aspectos técnicos específicos deve refletir.
Por causa das características de compatibilidade inversa, um WLAN é somente tão seguro quanto menos cliente seguro na rede. Se você for reliant na camada 2 802.11 características da segurança tais como WEPPlus ou (no futuro) 802.11i, você tem que assegurar-se de que todos os dispositivos na rede suportem estas características.
Se alguma sorte do MAC address que filtra ou authentication Raio-baseado do MAC for empregada, a seguir as bases de dados de endereços do MAC de todos os clientes wireless devem ser mantidas e atualizado em uma maneira oportuna.
Quando as características novas da segurança são executadas em liberações novas dos firmware, os updates dos firmware através da rede têm que ser sincronizados. Os anfitriões que não são updated devem ser negados o acesso de rede.
Finalmente, talvez a maneira a mais fácil ganhar o acesso a um WLAN se o authentication dispositivo-for baseado está roubando, ou está encontrando um dispositivo do cliente. Assim, cada dispositivo perdido ou roubado deve ser relatado ao administrador de sistema da segurança e ao acesso de rede negado imediatamente.
Os usuários devem ser informados sobre os índices da política incorporada da segurança e os princípios de usar as características da segurança empregadas (de modo que não as desligam pelo acidente). Devem também ser incentivados relatar imediatamente todos os dispositivos perdidos ou roubados. O mesmo aplica-se a todos os dispositivos que estranhos os usuários possam encontrar pelo acidente (por exemplo, um cliente wireless do USB plugged em uma das máquinas no LAN ou em um PDA de uma origem desconhecida). Uma instalação desautorizada de todo o dispositivo wireless, including clientes de Bluetooth por usuários, deve estritamente ser proibida. Os usuários incorporados devem também ser ditos para não emprestar anfitriões wireless-permitidos a outros e para não os evitar de deixá-los desacompanhados.
Os usuários devem saber um limite físico aproximado da zona da cobertura da rede e evitá-lo de conectar ao WLAN incorporado de uma distância que excede este limite. Isto pôde ajudar reduzir problemas do RF "do nó próximo-distante" e "escondido".
Como a parte de uma política incorporada mais geral da segurança, os usuários devem ser informados sobre ataques sociais da engenharia e informação não divulgar sobre a rede aos atacantes potenciais. Tal informação inclui credentials do authentication 802.1x, chaves secretas, ESSIDs closed, posicionar de pontos de acesso, e de limites físicos da rede.
Ao funcionar um hotspot público, certifique-se de que um disclaimer que esboça as réguas política-definidas segurança do comportamento do usuário está apresentado a todos os partidos conectando primeiramente. Os usuários devem ser requeridos estalar para concordar com o disclaimer antes de proseguir mais mais. Esta medida de segurança simples pode conservá-lo dos muitos do problema legal se o hotspot for abusado pelos usuários irresponsible que lançam ataques ou que downloading materiais illicit.
Os pontos de acesso, as pontes wireless, as antenas, e os amplificadores devem ser posicionados e montado em tal maneira a respeito de impeça o roubo ou os danos. Os protetores de segurança devem estar cientes da posição ao ar livre do equipamento e ser informados sobre a aparência wireless do equipamento e a possibilidade de ataques. Devem poder manchar um carro suspicious com uma antena em um lote do estacionamento da companhia ou um atacante com um laptop no banco ao lado dos escritórios incorporados.
O EIRP deve estar na escala da saída de poder legal. Um nível razoável do poder da emissão deve ser usado restringir a propagação da rede distante além dos limites úteis. A posição da antena deve ser escolhida minimizar o sinal espalhado às áreas necessárias da cobertura. Se necessitados, os refletores parabólicos podem ser usados obstruir a propagação wireless do sinal em sentidos indesejáveis. Finalmente, todas as fontes da interferência devem ser verificadas e eliminado, se possível.
A distribuição de diversos pontos de acesso no WLAN aumenta o resilience da rede ao DoS e aos ataques homem-em-$$$-MÉDIOS, além de fornecer a largura de faixa adicional do recuo.
O WLAN deve estar em um domínio diferente da transmissão do LAN wired. Na caixa dos pontos de acesso múltiplos ligados aos interruptores diferentes, VLANs deve ser usado e todo o APs ser posicionado no mesmo VLAN se possível. Uma passagem wireless-à-wireless-to-wired deve assegurar a separação apropriada da rede, características executadas sustentação do authentication e do encryption de dados, e seja resilient ao biscoito possível ataca-se.
WLAN ESSIDs não deve conter nenhuma informação útil sobre os pontos do corporation e de acesso. As medidas de segurança da linha de base tais como WEP e ESSIDs closed devem ser usadas. Filtrar do MAC address deve ser usado quando aplicável. Isto inclui a associação dos clientes de restrição aos pontos de acesso incorporados pelo endereço do AP (BSSID). Filtrar do protocolo podia ser usado se disponível ou aplicável.
As medidas de segurança da linha de base não devem ser confiadas sobre para a proteção de WLAN. Umas proteções mais adicionais da segurança including 802.1x e VPNs devem ser executadas. Seu procedimento da escolha e da execução deve completamente ser documentado e responsabilidade da manutenção atribuída. Se as características proprietárias da segurança tais como melhorias a WEP forem confiadas sobre, sua eficiência deve ser verificada por um revisor de contas externo da segurança antes do estágio da distribuição da produção. O tempo chave da rotação de WEP deve ser verificado e documentado.
Uma política apropriada da segurança da senha para o acesso wireless deve ser assegurada, e a linha de base para a seleção chave segura da senha e do segredo deve ser reforçada. Nenhum protocolo desnecessário deve atravessar o WLAN, e o uso dos recursos compartilhados (por exemplo, NFS) através do WLAN deve ser restrito.
As operações da rede devem ser monitoradas e baselined. Todos os desvios significativos da linha de base devem ser dirigidos e documentado. Os IDS wireless-específicos devem ser desdobrados e sido interoperable com o sistema registrando centralizado. Se o tamanho da rede for significativo e os pontos de acesso múltiplos estiverem desdobrados, os sensores remotos dos IDS devem ser usados assegurar a monitoração completa da rede. A responsabilidade para monitorar registros e alarmes dos IDS deve ser atribuída e mantido. O armazenamento seguro do registro deve ser fornecido de acordo com a política incorporada geral da segurança. Todos os casos do intrusion devem ser identificados, verificado, confirmado, e documentado. Uma equipe da resposta do incident que consiste em specialists preassigned deve ser montada e deve fazer exame da ação imediata. A ação deve envolver um relatório às autoridades legais apropriadas. Toda a evidência descoberta (registros including, anfitriões penetrados, dispositivos wireless do rogue, ou outros dispositivos deixados por atacantes ou confiscated deles) deve ser segurada com cuidado extremo assim que a corrente de custódia não é quebrada. Assegure-se de que sua equipe da resposta do incident esteja familiar com as réguas e os regulamentos locais para a manipulação da evidência.
Os exames wireless incorporados da segurança devem ser executados em uma base regular por profissionais externos com uma reputação estabelecida no campo e nos accreditations apropriados do specialization e os industriais. Os exames da segurança e da estabilidade da rede devem incluir o seguinte:
Examinar wireless do local
Operações da rede e avaliação totais da estabilidade
Avaliação wireless da política da segurança
Deteção e identificação wireless do dispositivo de Rogue
Testar wireless sistemático apropriado da penetração similar àquele esboçado no molde wireless da lista de verificação do exame da segurança e da estabilidade da rede
Submissão detalhada do relatório de exame
O trabalho cooperativo com a gerência e a administração wireless de rede para resolver as edições descobriu
. |