El punto siguiente en nuestra lista de comprobación de la política de la seguridad es colocación y separación de la red. Si hay un solo punto de acceso o un puente sin hilos en la red, su despliegue es directo: Tape el IP address en el interfaz WAN de un dispositivo firewalling apropiadamente configurado. Tal dispositivo puede ser una entrada sin hilos comercial sofisticada, un cortafuego OS-BASADO común configurado, o aún un cortafuego de SOHO tal como Cisco PIX 501 o Nokia SonicWall. Sin embargo, si se despliegan los puntos de acceso múltiples y se permite a los usuarios vagar libremente entre este APs, la configuración llega a ser más complicada. Una posibilidad es desplegar el IP móvil a través de la red corporativa. Sin embargo, esto hará la puesta en práctica de la capa 3 y de un VPNs más alto un problema significativo. Las soluciones para este problema existen, pero ciertos niveles de la seguridad son probables se sacrifiquen para proporcionar al cliente inconsútil que vaga. Recuerde el ataque del caso y del kraker_jack de Wavesec.
|
|
Una solución más común y más sensible es poner todos los puntos de acceso en el mismo dominio de la difusión usando VLANs. Para poner esta solución en ejecucio'n, los interruptores de la red corporativa tienen que apoyar por lo menos la configuración estática de VLAN. Así, el diseño de red sin hilos debe ser una parte inicial del diseño de red total; si no, la fuerza adicional significativa de los recursos tiene que estar pasada en conseguir los interruptores VLAN-permitidos en la etapa del despliegue de WLAN. No podemos describir tecnicidades detalladas de la disposición de VLAN en este artículo porque los comandos diferenciarán dependiendo de su fabricante del interruptor. Sin embargo, proveemos de usted ejemplos que considera el despliegue de VLAN y aseguramos la colocación y el despliegue sin hilos de la red usando el vario equipo del Cisco. Ésta es una cuestión de experiencia personal y no somos afiliados con el Cisco de ninguna manera.
Una característica interesante del realce del propietario VLAN es el VLANs privado apoyado por los interruptores de Cisco Catalyst 6000. Imagínese que usted tiene células sin hilos A, B, C, y D en el mismo VLAN, pero desee restringir vagar entre las células de modo que los usuarios puedan vagar A y B o C y D solamente y puede tener acceso al LAN atado con alambre solamente si está asociado a la célula A. Esta manera usted puede dividir el WLAN en segmentos entre los departamentos de la compañía y las diversas localizaciones físicas sin introducir VLANs adicional y las rebajadoras y la fabricación de la estructura lógica de la red de la capa 3 complicada. Todas estas cosas maravillosas son posibles con VLANs privado, que permiten la colocación de la restricción de la capa 2: VLANs dentro de VLANs.
Hay tres clases de puertos privados de VLAN:
Los puertos promiscuos que se comunican con todo el el otro VLAN privado viran hacia el lado de babor. Estos puertos se utilizan generalmente para conectar con la entrada o la rebajadora.
Puertos aislados que pueden comunicarse con solamente el puerto promiscuo.
Puertos de la comunidad que pueden comunicarse con los puertos en la misma comunidad y el puerto promiscuo.
No asombrosamente, hay tres tipos de VLANs privado. VLANs primario lleva datos de puertos promiscuos a aislado, comunidad, y otros puertos promiscuos. VLANs aislado lleva datos de aislado a los puertos promiscuos. Finalmente, la comunidad VLANs lleva tráfico entre los solos puertos de la comunidad y los puertos promiscuos.
Además de la seguridad proporcionada por la segmentación privada de VLAN, hay también la opción para escribir las listas del control de acceso de VLAN (VACLs) traz por separado a VLANs primario o secundario. Usted no necesita una rebajadora poner VACLs en ejecucio'n; tener una tarjeta de característica de la política (PFC) para su catalizador será suficiente. Para aprender más sobre VLANs privado y la configuración de VACL en los interruptores del catalizador del Cisco 6000, hojee a http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a008013565f.shtml y a http://www.cisco.com/en/US/products/hw/switches/ps700/products_configuration_guide_chapter09186a008007f4ba.html.
Interesante, las entradas del ARP aprendidas en interfaces privados de la capa 3 VLAN son las entradas del "ARP pegajoso" que no expiran y no pueden ser alteradas. Imagine un AP tapado en el puerto del interruptor en un VLAN privado que conecte con la entrada vía el puerto promiscuo. Un atacante maneja asociarse al WLAN y lanza un ARP spoofing ataque contra la entrada. Con un ARP pegajoso en uso, la tabla de la LEVA no sería modificada por tal ataque y un mensaje del registro sería generado.
Observe eso para evitar de usar el IP móvil y proporcionar vagar, incurrimos en intencionalmente una equivocación sin hilos seguridad-sabia tremenda del despliegue de la red. Tapamos el punto de acceso en un interruptor, no una entrada sin hilos segura o por lo menos una rebajadora decente con capacidad firewal. El ARP pegajoso corrige parcialmente esta edición previniendo ataques hombre-en-$$$-MEDIOS y de la LEVA ARP-basados de la tabla del desbordamiento. Sin embargo, esta característica se limita a una marca de fábrica particular del interruptor en el lado costoso.
En otros interruptores usted tiene que configurar el MAC que se filtra y la seguridad portuaria, que significa la duro-codificacio'n el MAC trata y limitando el número de los anfitriones permitidos conectar en un puerto. Observe que la seguridad portuaria y el MAC del interruptor que se filtran y filtración del MAC address del punto de acceso son similares, pero no iguales. El interruptor y la filtración del MAC address del AP pueden ser puenteados golpeando un anfitrión sin hilos legítimo fuera de línea y si se asume que su MAC address. Sin embargo, el interruptor que la seguridad portuaria proporciona una capa adicional de defensa protegiendo contra spoofed las inundaciones del ARP del MAC address. Tenemos gusto de los interruptores del catalizador del Cisco porque son muy hackable (en el sentido de "configurable"), así que le damos un ejemplo de la configuración de la seguridad del puerto del interruptor usando los catalizadores.
En la comando-li'nea interfaz (CLI) del IOS-ESTILO cambia por ejemplo el catalizador 1900, utilizan entradas permanentes del MAC para construir una tabla de la LEVA del interruptor:
Ethernet 0/4 de la permanente 0040.1337.1337 de la abrvalk(config)#mac-tratar-tabla
Incorpore todas las direcciones que usted necesita—nos deja la opinión 20. Después ate la cantidad de conexiones permitidas al número de mACs permanentes y defina la acción tomada si se excede ese número:
la seguridad del abrvalk(config)#port de la trampa de la acción de la seguridad del abrvalk(config)#port ma'ximo-mac-cuenta 20 que la abrvalk(config)#address-violacio'n suspende
Con tal configuración el puerto sería suspendido al recibir un marco ilícito del MAC address y vuelto a permitir cuando se recibe un marco válido del MAC address. Una trampa del SNMP que divulga la violación sería enviada. Por supuesto, un atacante puede causar a un ataque del DOS por constantemente flooding el puerto por direcciones al azar del MAC, pero temporalmente siendo desconectado es mejor que dejando las galletas adentro, y los alarmar que destellan serán accionados. El número de las direcciones del MAC que usted puede incorporar por puerto en los interruptores del catalizador del IOS-ESTILO CLI es 132.
En los interruptores de Set/Clear CLI tales como
catalizador 5000, utilice el comando de la seguridad del puerto del
sistema:
la seguridad portuaria 2/1 del eblec>(enable)set permite el eblec>(enable)set que la seguridad portuaria 2/1 permite 0040.1337.1337
Incorpore las 20 direcciones del MAC que usted desea permitir y fijar ese número con
máximo portuario 20 de la seguridad 2/1 del eblec>(enable)set
Defina la acción de la violación de la seguridad:
la violación portuaria de la seguridad 2/1 del eblec>(enable)set restringe
Este comando dice el interruptor caer los paquetes que vienen de los anfitriones ilícitos del MAC address pero el puerto seguirá permitido. Así, un ataque del DOS de la inundación del MAC address contra tales interruptores es imposible, si está configurado correctamente. Compruebe la configuración y la estadística portuarias de la seguridad con
seguridad portuaria 2/1 del eblec>(enable)show
La cantidad ("seguro" en un "ciscospeak") de entradas estáticas de la tabla de la LEVA en los interruptores del Cisco de Set/Clear CLI es 1.024 más un MAC address seguro adicional por puerto. Esta piscina de mACs estáticos se comparte entre todos los puertos del interruptor, así que si hay 1.024 entradas estáticas del MAC en un solo puerto, el resto de los puertos tendrá que utilizar una sola entrada estática del MAC. Si hay 512 entradas, el resto de los puertos debe compartir las 512 < cantidades más restante de interruptor restante vira > los mACs hacia el lado de babor estáticos.
Otro aspecto interesante de usar el equipo del Cisco para la configuración de VLAN y el establecimiento de una red sin hilos está por-VLAN el despliegue de WEP o de TKIP en puntos de acceso del Cisco. Eso correcto, usted puede fijar diversas llaves de WEP o de TKIP y definir diversos intervalos de la rotación de la llave de la difusión de TKIP para diverso VLANs. Por ejemplo, para fijar una llave de 128-bit WEP en un punto de acceso del Cisco Aironet 1200 que se utilizará en VLAN 13 solamente, entre
aironet(config-ssid)#end vlan de la cifra wep128 del modo del aironet(config)#configure del aironet#configure del aironet(config-if)#encryption terminal del interfaz dot11radio 0 13
Partiendo la red sin hilos sobre diverso VLANs y asignando llaves múltiples de WEP, usted puede disminuir la cantidad de tráfico cifrada por una sola llave de WEP, haciendo WEP que agrieta más difícil. Sin embargo, recomendamos fuertemente el usar de TKIP en lugar de otro. El ejemplo siguiente configura un punto de acceso del Cisco Aironet 1200 para utilizar el protocolo de WPA TKIP descrito más adelante en esta clase particular y para rotar la llave de la difusión cada 150 segundos en VLAN 13 solamente:
la aironet(config-if)#broadcast-llave vlan 13 vlan del tkip de la cifra de 13 modos del aironet(config)#configure del aironet#configure del aironet(config-if)#encryption terminal del interfaz dot11radio 0 cambia el aironet(config-ssid)#end 150
La oportunidad de tener varias llaves en VLANs sin hilos y de cambiarlas en diversos intervalos proporciona una separación mejor y la segmentación de VLAN y da flexibilidad adicional al diseñador sin hilos seguridad-importado de la red.
Online: 522 users browsing the articles directory
|
|