O ponto seguinte em nossa lista de verificação da política da segurança é posicionar e separação da rede. Se houver um único ponto de acesso ou uma ponte wireless na rede, sua distribuição é direta: Plug o IP address na relação WAN de um dispositivo firewalling apropriadamente configurarado. Tal dispositivo pode ser uma passagem wireless comercial sofisticada, um guarda-fogo OS-baseado comum configurarado, ou mesmo um guarda-fogo de SOHO tal como Cisco PIX 501 ou Nokia SonicWall. Entretanto, se os pontos de acesso múltiplos forem desdobrados e estiverem permitidos aos usuários vaguear livremente entre este APs, a configuração torna-se mais complicada. Uma possibilidade deve desdobrar o IP móvel através da rede incorporada. Entretanto, isto fará a execução da camada 3 e de um VPNs mais elevado um problema significativo. As soluções para este problema existem, mas determinados níveis da segurança são prováveis sejam sacrificados para fornecer o cliente sem emenda que vagueia. Recorde o ataque do caso e do kraker_jack de Wavesec.
|
|
Uma solução mais comum e mais sensible deve colocar todos os pontos de acesso no mesmo domínio da transmissão usando VLANs. Para executar esta solução, os interruptores da rede incorporada têm que suportar ao menos a configuração de estática de VLAN. Assim, o projeto de rede wireless deve ser uma parte inicial do projeto de rede total; se não, o poder adicional significativo dos recursos tem que ser gastado em começar interruptores VLAN-permitidos no estágio da distribuição de WLAN. Nós não podemos descrever technicalities detalhados da instalação de VLAN neste artigo porque os comandos diferirão dependendo de seu fabricante do interruptor. Entretanto, nós fornecemo-lo com os exemplos que considera a distribuição de VLAN e fixamos posicionar e distribuição wireless da rede usando o vário equipamento do Cisco. Esta é uma matéria da experiência pessoal e nós não somos affiliated com o Cisco em nenhuma maneira.
Uma característica interessante do realce do proprietário VLAN é o VLANs confidencial suportado por interruptores de Cisco Catalizador 6000. Imagine que você tem as pilhas wireless A, B, C, e D no mesmo VLAN, mas queira-o restringir vaguear entre as pilhas de modo que os usuários possam vaguear A e B ou C e D somente e possa-o alcançar o LAN wired somente se associado com a pilha A. Esta maneira você pode segmentar o WLAN entre os departamentos da companhia e as posições físicas diferentes sem introduzir VLANs adicional e routers e fazer a estrutura lógica da rede da camada 3 mais complicada. Todas estas coisas maravilhosas são possíveis com VLANs confidencial, que permitem a colocação da limitação da camada 2: VLANs dentro de VLANs.
Há três tipos de portos confidenciais de VLAN:
Os portos promiscuous que se comunicam com o todo o o outro VLAN confidencial movem. Estes portos são usados geralmente conectar à passagem ou ao router.
Portos isolados que podem se comunicar com somente o porto promiscuous.
Portos da comunidade que podem se comunicar com os portos na mesma comunidade e no porto promiscuous.
Não surprisingly, há três tipos de VLANs confidencial. VLANs preliminar carrega dados dos portos promiscuous ao isolado, comunidade, e outros portos promiscuous. VLANs isolado carrega dados do isolado aos portos promiscuous. Finalmente, a comunidade VLANs carrega o tráfego entre únicos portos da comunidade e portos promiscuous.
Além à segurança fornecida pela segmentação confidencial de VLAN, há também a opção para escrever as listas do controle de acesso de VLAN (VACLs) traçadas separada a VLANs preliminar ou secundário. Você não necessita um router executar VACLs; ter um cartão de característica da política (PFC) para seu catalizador bastará. Para aprender mais sobre VLANs confidencial e a configuração de VACL em interruptores do catalizador do Cisco 6000, browse a http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a008013565f.shtml e a http://www.cisco.com/en/US/products/hw/switches/ps700/products_configuration_guide_chapter09186a008007f4ba.html.
Interessante, as entradas do ARP aprendidas em relações confidenciais da camada 3 VLAN são "as entradas do ARP pegajoso" que não expiram e não podem ser alteradas. Imagine um AP plugged no porto do interruptor em um VLAN confidencial que conecte à passagem através do porto promiscuous. Um atacante controla associar com o WLAN e lança um ARP que spoofing o ataque de encontro à passagem. Com um ARP pegajoso no uso, a tabela da CAME não seria modificada por tal ataque e uma mensagem do registro seria gerada.
Anote isso para evitar de usar o IP móvel e para fornecer vaguear, nós fazemos intencionalmente um erro wireless segurança-sábio terrível da distribuição da rede. Nós plug o ponto de acesso em um interruptor, não em uma passagem wireless segura ou ao menos em um router decent com potencialidade firewal. O ARP pegajoso corrige parcialmente esta edição impedindo ataques ARP-baseados homem-em-$$$-MÉDIOS e da CAME da tabela do excesso. Entretanto, esta característica é limitada a um tipo particular do interruptor no lado caro.
Em outros interruptores você tem que configurarar o MAC que filtra e a segurança portuária, que significa o duro-hard-coding o MAC dirige-se e limitando o número dos anfitriões permitidos conectar em um porto. Anote que a segurança portuária e o MAC do interruptor que filtram e filtrar do MAC address do ponto de acesso são similares, mas não o mesmos. o interruptor e filtrar do MAC address do AP podem ser contorneados batendo um anfitrião wireless legitimate fora de linha e supondo seu MAC address. Entretanto, o interruptor que a segurança portuária fornece uma camada adicional de defesa protegendo de encontro spoofed inundações do ARP do MAC address. Nós gostamos de interruptores do catalizador do Cisco porque são muito hackable (no sentido de "configurable"), assim que nós damos-lhe um exemplo da configuração da segurança do porto do interruptor usando catalizadores.
Na comando-linha relação do IOS-estilo (CLI) comuta como o catalizador 1900, usam entradas permanentes do MAC construir uma tabela da CAME do interruptor:
Ethernet 0/4 do permanent 0040.1337.1337 da abrvalk(config)#mac-dirij-tabela
Incorpore todos os endereços que você necessita—nos deixa a palavra 20. Então ligue a quantidade de conexões permitidas ao número de mACs permanentes e defina a ação feita exame se esse número for excedido:
a segurança do abrvalk(config)#port da armadilha da ação da segurança do abrvalk(config)#port máximo-mac-conta 20 que a abrvalk(config)#address-violação suspende
Com tal configuração o porto seria suspendido ao receber um frame illicit do MAC address e re-enabled quando um frame válido do MAC address é recebido. Uma armadilha do SNMP que relata a violação seria emitida. Naturalmente, um atacante pode causar a um ataque do DoS constantemente pelo flooding o porto por endereços aleatórios do MAC, mas temporariamente sendo desconectado é melhor do que deixando os biscoitos dentro, e os alarmes de piscamento serão provocados. O número de endereços que do MAC você pode incorporar por o porto em interruptores do catalizador do IOS-estilo CLI é 132.
Nos interruptores de Set/Clear CLI tais como o catalizador
5000, use o comando da segurança do porto do jogo:
a segurança portuária 2/1 do eblec>(enable)set permite o eblec>(enable)set que a segurança portuária 2/1 permite 0040.1337.1337
Incorpore todos os 20 endereços que do MAC você quer permitir e reparar esse número com
máximo portuário 20 da segurança 2/1 do eblec>(enable)set
Defina a ação da violação da segurança:
a violação portuária da segurança 2/1 do eblec>(enable)set restringe
Este comando diz o interruptor para deixar cair os pacotes que vêm dos anfitriões illicit do MAC address mas o porto remanescerá permitido. Assim, um ataque do DoS da inundação do MAC address de encontro a tais interruptores é impossível, se configurarado corretamente. Verifique a configuração e os statistics portuários da segurança com
segurança portuária 2/1 do eblec>(enable)show
A quantidade ("seguro" em um "ciscospeak") de entradas de estática da tabela da CAME em interruptores do Cisco de Set/Clear CLI é 1.024 mais um MAC address seguro adicional por o porto. Este pool de mACs de estática é compartilhado entre todos os portos do interruptor, assim que se houver 1.024 entradas de estática do MAC em um único porto, o descanso dos portos terá que usar uma única entrada de estática do MAC. Se houver 512 entradas, o descanso dos portos deve compartilhar das 512 < quantidades positivas restante de interruptor restante move > mACs de estática.
Um outro aspecto interessante de usar o equipamento do Cisco para a configuração de VLAN e o networking wireless é por-VLAN a distribuição de WEP ou de TKIP em pontos de acesso do Cisco. Isso é direito, você pode ajustar chaves diferentes de WEP ou de TKIP e definir intervalos diferentes da rotação da chave da transmissão de TKIP para VLANs diferente. Para o exemplo, para ajustar uma chave de 128-bit WEP em um ponto de acesso do Cisco Aironet 1200 a ser usado somente em VLAN 13, entre
do aironet(config-if)#encryption terminal da relação dot11radio 0 do aironet(config)#configure do aironet#configure aironet(config-ssid)#end vlan da cifra wep128 da modalidade 13
Rachando a rede wireless em VLANs diferente e atribuindo chaves múltiplas de WEP, você pode diminuir a quantidade de tráfego cifrada por uma única chave de WEP, fazendo WEP que racha mais difícil. Entretanto, nós recomendamos fortemente usar TKIP preferivelmente. O seguinte exemplo configurara um ponto de acesso do Cisco Aironet 1200 para usar o protocolo de WPA TKIP descrito mais tarde neste tutorial e para girar somente a chave da transmissão cada 150 segundos em VLAN 13:
do aironet(config-if)#encryption terminal da relação dot11radio 0 do aironet(config)#configure do aironet#configure a aironet(config-if)#broadcast-chave vlan 13 vlan do tkip da cifra de 13 modalidades muda o aironet(config-ssid)#end 150
A oportunidade de ter várias chaves em VLANs wireless e de mudá-las em intervalos diferentes fornece a separação melhor e a segmentação de VLAN e dá a flexibilidade adicional ao desenhador wireless segurança-ocupado da rede.
Online: 518 users browsing the articles directory
|
|