Fissi posizionare senza fili e VLANs della rete

Dutch French Spanish Portuguese Italian German Japanese Chinese Korean Russian Arabic Bookmark and Share this Article Original English article
  

Il punto seguente nella nostra lista di controllo di politica di sicurezza è posizionare e separazione della rete. Se ci è un singolo punto di accesso o un ponticello senza fili sulla rete, il relativo schieramento è diretto: Inserisca il IP address l'interfaccia PALLIDA di un dispositivo firewalling giustamente configurato. Un tal dispositivo può essere un Gateway senza fili commerciale specializzato, una parete refrattaria OS-BASATA comune configurata, o persino una parete refrattaria di SOHO quali il Cisco PIX 501 o Nokia SonicWall. Tuttavia, se i punti di accesso multipli sono schierati ed agli utenti sono permessi vagare liberamente fra questo APs, la configurazione diventa più complicata. Una possibilità deve schierare il IP mobile attraverso la rete corporativa. Tuttavia, questo farà l'esecuzione dello strato 3 e di più alto VPNs un problema significativo. Le soluzioni per questo problema esistono, ma determinati livelli di sicurezza sono probabili sono sacrificati per fornire al cliente senza giunte che vaga. Ricordi l'attacco di caso e del kraker_jack di Wavesec.

Una soluzione più comune e più ragionevole deve disporre tutti i punti di accesso sullo stesso dominio di radiodiffusione usando VLANs. Per effettuare questa soluzione, gli interruttori della rete corporativa devono sostenere almeno la configurazione statica di VLAN. Quindi, il disegno di rete senza fili dovrebbe essere una parte iniziale del disegno di rete generale; altrimenti, la forza supplementare significativa delle risorse deve essere spesa sull'ottenere gli interruttori VLAN-permessi nella fase di schieramento di WLAN. Non possiamo descrivere le tecnicità dettagliate di messa a punto di VLAN in questo articolo perché gli ordini differiranno da secondo il vostro fornitore dell'interruttore. Tuttavia, vi forniamo gli esempi che considerate lo schieramento di VLAN ed assicuriamo posizionare e lo schieramento senza fili della rete per mezzo di varia apparecchiatura del Cisco. Ciò è un aspetto di esperienza personale e non siamo affiliated con il Cisco in alcun senso.

Usando gli interruttori del catalizzatore del Cisco ed i punti di accesso di Aironet per ottimizzare assicuri il disegno di rete senza fili

Una caratteristica interessante di aumento del proprietario VLAN è il VLANs riservato sostenuto dagli interruttori del Cisco Catalyst 6000. Immagini che avete cellule senza fili A, B, C e D sullo stesso VLAN, ma desideri limitare vagare fra le cellule in moda da potere vagare gli utenti A e B o C e D soltanto e può accedere alla lan metallica soltanto se connesso con la cellula A. Questo senso potete suddividere il WLAN fra i servizi dell'azienda e le ubicazioni fisiche differenti senza introdurre VLANs supplementare ed i routers e fare la struttura logica della rete di strato 3 complicata. Tutte queste cose meravigliose sono possibili con VLANs riservato, che permettono la disposizione di limitazione di strato 2: VLANs all'interno di VLANs.

Ci sono tre generi di orificii riservati di VLAN:

  • Gli orificii promiscui che comunicano con il tutto l'altro VLAN riservato ports. Questi orificii sono usati solitamente per collegare al Gateway o al router.

  • Orificii isolati che possono comunicare con soltanto l'orificio promiscuo.

  • Orificii della Comunità che possono comunicare con gli orificii nella stessa Comunità e nell'orificio promiscuo.

Non sorprendentemente, ci sono tre tipi di VLANs riservati. VLANs primario trasporta i dati dagli orificii promiscui all'isolato a, Comunità ed altri orificii promiscui. VLANs isolato trasporta i dati dall'isolato da agli orificii promiscui. Per concludere, la Comunità VLANs trasporta il traffico fra i singoli orificii della Comunità e gli orificii promiscui.

Oltre che la sicurezza ha fornito tramite segmentazione riservata di VLAN, ci è inoltre l'opzione per redigere le liste di controllo di accesso di VLAN (VACLs) tracciate esclusivamente a VLANs primario o secondario. Non avete bisogno di un router di effettuare VACLs; avere una scheda di caratteristica di politica (PFC) per il vostro catalizzatore basterà. Per imparare più circa VLANs riservato e la configurazione di VACL sugli interruttori del catalizzatore del Cisco 6000, passi in rassegna a http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a008013565f.shtml ed a http://www.cisco.com/en/US/products/hw/switches/ps700/products_configuration_guide_chapter09186a008007f4ba.html.

Interessante, le entrate di ARP imparate sulle interfacce riservate di strato 3 VLAN sono "entrate di ARP appiccicoso" che non espirano e non possono essere alterate. Immagini un AP inserito l'orificio dell'interruttore su un VLAN riservato che collega al Gateway via l'orificio promiscuo. Un attacker riesce a associarsi con il WLAN e lancia un ARP che spoofing l'attacco contro il Gateway. Con un ARP appiccicoso in uso, la tabella della CAMMA non sarebbe modificata tramite un tal attacco e un messaggio del ceppo sarebbe generato.

Si noti che per evitare di usando il IP mobile e fornire vagare, facciamo intenzionalmente un errore senza fili sicurezza-saggio terribile di schieramento della rete. Inseriamo il punto di accesso un interruttore, non un Gateway senza fili sicuro o almeno un router decent con possibilità firewal. Il ARP appiccicoso parzialmente corregge questa edizione impedendo sia gli attacchi ARP-basati della CAMMA che uomo-in-$$$-CENTRALI della tabella di trabocco. Tuttavia, questa caratteristica è limitata ad una marca particolare dell'interruttore dal lato costoso.

Su altri interruttori dovete configurare il MAC che filtra e la sicurezza port, che significa la duro-codificazione il MAC richiama e limitando il numero di ospiti permessi collegare su un orificio. Si noti che la sicurezza port ed il MAC dell'interruttore che filtrano e filtrazione di MAC address del punto di accesso sono simili, ma non lo stessi. Sia l'interruttore che la filtrazione di MAC address di AP possono essere esclusi battendo un ospite senza fili legittimo fuori linea e presupponendo il relativo MAC address. Tuttavia, l'interruttore che la sicurezza port fornisce uno strato supplementare di difesa proteggendo contro spoofed gli inondazioni di ARP di MAC address. Gradiamo gli interruttori del catalizzatore del Cisco perché sono molto hackable (nel senso "di configurabile"), in modo da vi forniamo un esempio della configurazione di sicurezza dell'orificio dell'interruttore usando i catalizzatori.

Sulla ordine-linea l'interfaccia (CLI) di IOS-STILE commuta quale il catalizzatore 1900, usano le entrate permanente del MAC per costruire una tabella della CAMMA dell'interruttore: 


  Ethernet 0/4 di permanent 0040.1337.1337 della 
abrvalk(config)#mac-richiam-tabella

Entri in tutti gli indirizzi che avete bisogno di—li lasciate opinione 20. Allora leghi la quantità di collegamenti permessi al numero di mACs permanente e definisca l'azione intrapresa se quel numero è oltrepassato: 


  la sicurezza del abrvalk(config)#port della presa di 
azione di sicurezza del abrvalk(config)#port massimo-mac-conta 20 che 
la abrvalk(config)#address-violazione sospende

Con una tal configurazione l'orificio sarebbe sospeso quando riceve una struttura illecita di MAC address e re-enabled quando una struttura valida di MAC address è ricevuta. Una presa dello SNMP che segnala la violazione sarebbe trasmessa. Naturalmente, un attacker può causare ad un attacco del DOS tramite costantemente il flooding l'orificio dagli indirizzi casuali del MAC, ma temporaneamente essendo staccando è migliore del lasciando i cracker dentro e gli allarmi di lampeggio saranno innescati. Il numero di indirizzi che del MAC potete fornire per orificio sugli interruttori del catalizzatore di IOS-STILE CLI è 132.

Sugli interruttori di Set/Clear CLI quale il catalizzatore 5000, usi l'ordine di sicurezza dell'orificio dell'insieme:

  la sicurezza port 2/1 del eblec>(enable)set permette il 
eblec>(enable)set che la sicurezza port 2/1 permette 0040.1337.1337

Entri in tutti e 20 gli indirizzi che del MAC desiderate permettere e riparare quel numero con 


  massimo port 20 di sicurezza 2/1 del 
eblec>(enable)set

Definisca l'azione di violazione di sicurezza: 


  la violazione port di sicurezza 2/1 del eblec>(enable)set 
limita

Questo ordine dice all'interruttore di cadere i pacchetti che vengono dagli ospiti illeciti di MAC address ma l'orificio rimarrà permesso. Quindi, un attacco del DOS dell'inondazione di MAC address contro tali interruttori è impossibile, se configurato correttamente. Controlli la configurazione e le statistiche port di sicurezza con 


  sicurezza port 2/1 del eblec>(enable)show

La quantità ("sicuro" "in un ciscospeak") di entrate statiche della tabella della CAMMA sugli interruttori del Cisco di Set/Clear CLI è 1.024 più un MAC address sicuro supplementare per orificio. Questo stagno dei mACs statici è ripartito fra tutti gli orificii dell'interruttore, in modo da se ci sono 1.024 entrata statica del MAC su un singolo orificio, il resto degli orificii dovrà usare una singola entrata statica del MAC. Se ci sono 512 voci, il resto degli orificii deve ripartire le 512 < quantità più restante di interruttore restante ports > i mACs statici.

Un'altra funzione interessante di per mezzo dell'apparecchiatura del Cisco per sia la configurazione di VLAN che la rete senza fili è per-VLAN schieramento di TKIP o di WEP sui punti di accesso del Cisco. Quello è di destra, potete regolare le chiavi differenti di TKIP o di WEP e definire gli intervalli differenti di rotazione di chiave di radiodiffusione di TKIP per VLANs differente. Per esempio, per regolare una chiave di 128-bit WEP su un punto di accesso del Cisco Aironet 1200 da usare soltanto su VLAN 13, entri 


  aironet(config-ssid)#end vlan di cifra wep128 di 
modo di aironet(config)#configure di aironet#configure di 
aironet(config-if)#encryption terminale dell'interfaccia dot11radio 0 
13

Spaccando la rete senza fili su VLANs differente ed assegnando le chiavi multiple di WEP, potete fare diminuire la quantità di traffico cifrata da una singola chiave di WEP, facente WEP che spezza più difficile. Tuttavia, suggeriamo vivamente usando TKIP preferibilmente. Il seguente esempio configura un punto di accesso del Cisco Aironet 1200 per usare il protocollo di WPA TKIP descritto più successivamente in questa lezione privata e per ruotare soltanto la chiave di radiodiffusione ogni 150 secondi su VLAN 13: 


  la aironet(config-if)#broadcast-chiave vlan 13 vlan del 
tkip di cifra di 13 modi di aironet(config)#configure di 
aironet#configure di aironet(config-if)#encryption terminale 
dell'interfaccia dot11radio 0 cambia il aironet(config-ssid)#end 150

L'occasione avere varie chiavi su VLANs senza fili e cambiarle a intervalli differenti fornisce la separazione migliore e la segmentazione di VLAN e dà la flessibilità supplementare al progettista senza fili sicurezza-occupato di della rete.

ciò è un articolo aggiunto da Hazrul Aaron


Diniego: Il nostro Web site non è responsabile delle informazioni contenute da questo articolo. Questo articolo in nessun modo riflette le viste, le opinioni, i pensieri o la credenza del personale dell'indice degli articoli.

Avviso di traduzione: L'articolo "assicura la rete senza fili che posiziona e VLANs" è stato tradotto usando un servizio di traduzione automatizzato. Chiediamo scusa francamente per tutti gli errori di traduzione che hanno accaduto. Grazie per capire.


Online: 1680 users browsing the articles directory