والنقطه التالية في سياستنا الأمنية المرجعيه شبكة تحديد المواقع والانفصال. واذا كان هناك واحد او نقطة وصول لاسلكيه جسر على الشبكه ، وزعها واضح ومباشر : سد العجز في معالجة الملكيه الفكريه الواسعه للتفاعل مناسب تهيئتها firewalling جهاز. وبهذه الاداه يمكن ان تكون بوابة لاسلكيه متطوره التجارية ، وتهيئتها نظام التشغيل المشترك القائم على جدار ناري ، او حتى SOHO جدار ناري مثل سيسكو pix 501 او نوكيا sonicwall. ولكن ، إذا كان تعدد نقاط الوصول تنتشر ويسمح للمستخدمين تجول بحرية بين هذين نظام الصورة المتقدم ، التشكيل يصبح اكثر تعقيدا. واحد الاحتمالات هو الى نشر الملكيه الفكريه المتنقله عبر شبكة الشركات. ومع ذلك ، وهذا سيجعل من تنفيذ طبقة 3 واعلى vpns مشكلة كبيرة. حلول لهذه المشكلة موجودة بالفعل ، ولكن مستويات معينة من الامن ومن المرجح ان لا بد من التضحيه بأحد العملاء لتوفير سلس المتجولين. اذكر wavesec القضية وkraker_jack الهجوم.
|
|
أ الاكثر شيوعا هو الحل المعقول واخضاع جميع نقاط الوصول على نفس النطاق باستخدام البث vlans. لتنفيذ هذا الحل ، وقد مفاتيح شبكة الشركات لدعم الاقل ساكنة vlan التشكيل. وهكذا ، وتصميم الشبكات اللاسلكيه ينبغي اولية جزء من مجمل شبكة تصميم ؛ خلاف ذلك ، موارد اضافية كبيرة قد تضطر الى أن تنفق على الحصول على vlan - مكنت المفاتيح في مرحلة البث النشر. لا يمكننا وصف مفصل vlan اعداد تفاصيل في هذه المادة لان الاوامر سوف تختلف باختلاف مفتاح المنتج الخاص بك. ومع ذلك ، ونحن نفعل توفر لك أمثلة النظر vlan نشر شبكة لاسلكيه آمنة وتحديد المواقع باستخدام مختلف والنشر سيسكو المعدات. وهذه مسألة تجربة شخصية ونحن لا ينتمي الى سيسكو بأي شكل من الاشكال.
جديرا بالاهتمام بحقوق الملكيه vlan تعزيز الميزه الخاصة التي تدعمها vlans محفز سيسكو 6000 المفاتيح. تخيل ان لديك اللاسلكيه خلايا أ ، ب ، ج ، د ، وعلى نفس vlan ، ولكن نريد لتقييد المتجولين بين الخلايا بحيث يمكن للمستعملين تجول أما الف وباء وجيم أو دال فقط ويمكن الوصول الى الشبكه المحلية سلكي الا اذا صاحبتها مع الف خلية وبهذه الطريقة يمكنك جزء البصري بين ادارات الشركة المختلفة والماديه المواقع بدون ادخال اضافية vlans والمسارات وجعل طبقة 3 منطقيه هيكل شبكة اكثر تعقيدا. كل هذه الامور ممكن الرائع مع vlans الخاص ، والتي تسمح طبقة 2 تقييد التنسيب : vlans داخل vlans.
وهناك ثلاثة انواع من القطاع الخاص vlan الموانئ :
منحل الموانئ ان يتواصل مع كل القوى الأخرى الخاصة vlan الموانئ. هذه الموانئ عادة ما تستخدم لوصل الى بوابة او مسار.
معزوله الموانىء التي يمكن الاتصال فقط منحل الميناء.
المجتمع الموانىء التي يمكن التواصل مع الموانئ فى نفس المجتمع ومنحل الميناء.
وليس من المدهش ، وهناك ثلاثة انواع من vlans الخاص. الابتدائي vlans تحمل بيانات من الموانئ الى منحل معزوله ، والمجتمع ، وغيرها من الموانئ منحل. معزوله vlans تحمل بيانات من معزوله منحل الى الموانئ. واخيرا ، المجتمع vlans تحمل حركة المرور بين الموانئ وحيد للمجتمع منحل الموانئ.
وبالاضافة الى الامن الذي توفره الخاص vlan الانقسام ، وهناك أيضا خيار لكتابة vlan مراقبة الدخول الى القوائم (vacls) رسم منفصل لvlans الابتدائي او الثانوي. انك لا تحتاج الى مسار تنفيذ vacls ؛ وبعد سياسة سمة بطاقه (البيرفلوروكربون) لجهودكم محفز سيكون كافيا. لمعرفة المزيد عن القطاع الخاص وvlans vacl التشكيل على سيسكو 6000 محفز المفاتيح ، لتصفح http://www.cisco.com/en/us/products/hw/switches/ps700/products_tech_note09186a008013565f.shtml وhttp:/ / Www.cisco.com/en/us/products/hw/switches/ps700/products_configuration_guide_chapter09186a008007f4ba.html.
ومن المثير للاهتمام ، وتأهيل مداخل المستفاده على طبقة الخاصة vlan 3 وصلات هي "اللزجه الدموي" الادخالات التي لا تنتهي ولا يمكن تغييرها. تصور أ ب تسد التحول الى الميناء على القطاع الخاص vlan ان يربط الى البوابه عبر ميناء منحل. وهو يدير المهاجم لمعاون مع البث والاطلاق وجود الغش الهجوم الدموي ضد البوابه. مع اللزجه استخدامها في الزراعة ، كأم الجدول لن يتم تعديلها من قبل مثل هذا الهجوم وسجل الرسالة التي سيتم توليدها.
علما ان لتفادي استخدام الجوال الملكيه الفكريه وتوفير المتجولين ، ونحن عمدا جعل فظيعه الأمن - من الحكمة نشر شبكة لاسلكيه خطأ. نحن سد الوصول الى نقطة التحول ، لا مدخل لاسلكيه امنه او على الاقل لاءقه مع مسار firewal القدرة. فان اللزجه تأهيل جزئيا يصحح هذه القضية سواء من خلال منع الحاق قائم على رجل - في - اي - الشرق - وكأم الجدول الفيض الهجمات. ومع ذلك ، وهذه السمة هي مقصوره على نوع معين التحول عن تكلفة الجانب.
على مفاتيح اخرى لديكم لجنة الهدنه العسكرية وفق الترشيح وأمن الموانئ ، مما يعني بجد الترميز لجنة الهدنه العسكرية العناوين والتي تحد من عدد المضيفين على السماح لربط الميناء. علما أن مفتاح الأمن في الموانئ وماك الترشيح نقطة وصول لجنة الهدنه العسكرية هي التصدي لترشيح مشابهة ، ولكنها ليست واحدة. كلا التبديل وآب ماك معالجة ترشيح يمكن تجاوزه عن طريق ضرب مشروعه لاسلكيه غير متصل المضيفه وعلى افتراض دورته ماك معالجة. بيد أن مفتاح الأمن في الموانئ ويوفر طبقة اضافية من الدفاع عن طريق حمايه ضد مغشوش ماك معالجة تأهيل الفيضانات. احببنا محفز سيسكو مفاتيح لانهم جدا hackable (بمعنى "شكلى") ، حتى ونحن نعطيكم مثالا على مفتاح أمن الموانئ التشكيل باستخدام المواد الحفازه.
على اقامتها - أسلوب القيادة الخط بينيه (المبادرة) مفاتيح مثل محفز 1900 ، والاستخدام الدائم لماك مداخل لبناء مفتاح كام الجدول :
Abrvalk (التكوين) # ماك - معالجة ماءده الدائم 0040.1337.1337 الايثرنت 0 / 4
أدخل كل العناوين عليك - دعنا نقول 20. ثم الزام المبلغ المسموح بها وصلات إلى عدد الداءمه المعنية بالاعمال وتحديد الاجراءات المتخذة اذا تجاوزت هذا العدد هو :
Abrvalk (التكوين) # امن الموانئ العمل فخ abrvalk (التكوين) # امن الموانئ ماكس - ماك - العد 20 abrvalk (التكوين) # - معالجة انتهاك تعليق
مع مثل هذا التشكيل الميناء سيتم تعليق عندما تلقى لجنة الهدنه العسكرية غير المشروعة والتصدي اطار اعادة مكن عندما صالحا ماك معالجة الاطار تحصيله. وهو تجميعيه فخ الابلاغ انتهاك سترسل. وبطبيعة الحال ، يمكن ان يسبب المهاجم دوس الهجوم المستمر للفيضانات الميناء من قبل لجنة الهدنه العسكرية عناوين عشواءيه ، ولكن يجري منقطعة مؤقتا هو أفضل مما ترك في المفرقعات ، واجهزة انذار اللمعان سوف تسبب. عدد العناوين ماك يمكنك ان تدخل لكل ميناء على اقامتها على النمط المبادرة حافزا على مفاتيح هو 132.
على مجموعة / القطريه مفاتيح واضحة مثل محفز 5000 ، واستخدام مجموعة امن الموانئ القيادة :
Eblec> (يمكن) ان يضع امن الموانئ 2 / 1 تمكين eblec> (يمكن) ان يضع امن الموانئ 2 / 1 تمكين 0040.1337.1337
أدخل كل 20 ماك يتناول اردت ان تسمح لوفيكس مع ان عدد
Eblec> (يمكن) ان يضع امن الموانئ 2 / 1 على الاكثر (20)
تعريف الأمن انتهاكا العمل :
Eblec> (يمكن) ان يضع امن الموانئ 2 / 1 انتهاك تقييد
هذه القيادة يروي التحول الى اسقاط العبوات غير المشروعة القادمة من ماك معالجة يستضيف الميناء ولكن سيبقى مكن. وهكذا ، فان ماك معالجة الفيضان دوس الهجوم ضد هذه المفاتيح هي مستحيلة ، اذا ما احسن تكوينها. التحقق من أمن الموانئ والاحصاءات مع التشكيل
Eblec> (تمكين) تظهر امن الموانئ 2 / 1
مبلغ ساكنة ( "آمنة" في "ciscospeak" (كأم الجدول الادخالات على مجموعة / اضحة القطريه سيسكو مفاتيح 024 1 زائد واحد هو تأمين اضافية ماك التصدي لكل ميناء. هذا المجمع من ساكنة المعنية بالاعمال هو مشترك بين جميع الموانئ التبديل ، حتى اذا كانت هناك 024 1 ساكنة لجنة الهدنه العسكرية على مداخل الميناء واحدة ، وبقية الموانئ سيتعين على استخدام واحد ساكنة ماك دخول. واذا كانت هناك 512 المدخلات ، وبقية الموانئ يجب ان تتقاسم بقية زائد 512 <amountالمتبقية من التبديل ports> ساكنة المعنية بالاعمال.
آخر جانب مثير للاهتمام باستخدام معدات سيسكو لكلا vlan تشكيل واقامة الشبكات اللاسلكيه هي لكل vlan الارشاد او tkip وزع على سيسكو نقاط الوصول. ان حق ، يمكنك ان تحدد مختلف الرز او tkip المفاتيح وتحديد مختلف tkip البث الرئيسية للتناوب فترات مختلفة vlans. على سبيل المثال ، الى وضع 128 بت الارشاد الرئيسية على سيسكو aironet 1200 نقطة وصول لاستخدامها على vlan 13 فقط ، أدخل
# Aironet تهيئة محطة aironet (التكوين) # بينية وفق dot11radio 0 aironet (التكوين - لو) # 13 vlan التشفير والشفرات واسطة wep128 aironet (التكوين - ssid) # نهاية
عن طريق تقسيم اللاسلكي على شبكة مختلفة vlans واسناد متعددة الارشاد المفاتيح ، يمكنك ان خفض كمية حركة المرور المشفره عن طريق الارشاد واحد رئيسي ، مما يجعل من الرز تصدع اكثر صعوبة. ومع ذلك ، ونحن نوصي بشدة باستخدام tkip بدلا من ذلك. المثال التالي بتكوين أ سيسكو aironet 1200 نقطة الوصول إلى استخدام النفسي tkip البروتوكول وصف فى وقت لاحق من هذه الدورة التعليميه وتدوير مفتاح بث كل 150 ثانية فقط على vlan 13 :
# Aironet تهيئة محطة aironet (التكوين) # بينية وفق dot11radio 0 aironet (التكوين - لو) # 13 vlan التشفير والشفرات واسطة tkip aironet (التكوين - لو) # البث vlan 13 - مفتاح التغيير aironet 150 (التكوين - ssid) # نهاية
فرصة لها على مختلف مفاتيح لاسلكيه vlans وتغييرها في فترات مختلفة ويقدم افضل vlan الانفصال والانقسام ويعطي مرونة اضافية الى الامن الذهن مصمم شبكة لاسلكيه.
Online: 518 users browsing the articles directory
|
|