Следующий пункт нашей политики безопасности, контрольный в сети позиционирования и разъединения. Если существует единое точки доступа или беспроводного моста в сети, ее развертывания прост: Plug адрес на WAN интерфейс достаточно в настройках firewalling устройства. Такое устройство может быть сложной коммерческой беспроводной узел, общих настройках ОС на базе брандмауэра, или даже SOHO таких, как межсетевой экран Cisco PIX 501 или Nokia SonicWall. Однако, если несколько точек доступа размещены и пользователи могут свободно перемещаются между этими APs, конфигурация становится более сложным. Можно разместить Мобильный ИС всей корпоративной сети. Однако это сделает осуществление слой 3 и выше VPNs серьезной проблемой. Решения этой проблемы существуют, но определенного уровня безопасности могут быть жертву обеспечить бесперебойную клиента роуминге. Вспомните Wavesec дела и kraker_jack нападения.
|
|
Более общей и разумным решением является поставить все точки доступа на эфир же домена, используя VLANs. Для реализации этого решения, в корпоративной сети коммутаторы должны поддерживать по крайней мере статические VLAN конфигурации. Таким образом, беспроводной сетью должна быть первоначальный частью общего проекта сети; Иначе, значительные дополнительные ресурсы могли бы быть израсходованы на получение VLAN - позволяет выключатели на этапе развертывания WLAN. Мы не можем описать подробные настройки VLAN тонкости в этой статье, потому что команды будут различаться в зависимости от вашего перехода производителя. Тем не менее, мы предоставим Вам примеры рассматривают VLAN и обеспечить развертывание беспроводной сети размещение и развертывание, используя различные оборудования Cisco. Это вопрос личного опыта, и мы не аффилированы с Cisco в любом случае.
Интересный собственности VLAN повышение особенностью является частным VLANs поддержке Cisco Catalyst 6000 коммутаторы. Представьте, что у вас есть беспроводные камеры A, B, C, D, и в тот же VLAN, но хотите ограничить роуминг между клеток, чтобы пользователи могли бродить либо A и B или C и D только и могут получить доступ к проводной локальной сети только в связи с клеток A. Таким образом вы можете сегментировать WLAN между компанией департаментов и различных местах без введения дополнительных VLANs и маршрутизаторов и сделать слой 3 логических структуры сети более сложная. Все эти прекрасные вещи можно с частными VLANs, которые позволяют слой 2 ограничения размещения: VLANs в VLANs.
Есть три вида частных VLAN порты:
Жизнь порты, что общаться со всеми другими частными VLAN портов. Эти порты обычно используются для подключения к шлюзу или маршрутизатору.
Изолированные порты, которые могут общаться с только жизнь порта.
Сообщество портов, что может общаться с портами в том же сообщество и жизнь порта.
Неудивительно, что существуют три типа частных VLANs. Начальное VLANs выполнения данных из портов жизнь в изолированных общин, и жизнь других портов. Изолированные VLANs выполнения данных из изолированных на жизнь порты. Наконец, сообщество VLANs передачи трафика между единым сообществом портах и порты жизнь.
В дополнение к безопасности, предоставляемых частными сегментации VLAN, существует также возможность написать VLAN списки контроля доступа (VACLs) отображается отдельно для первичного или вторичного VLANs. Вам не нужно маршрутизатор для осуществления VACLs; С Политика Характеристики карты (ПФУ) для вашего Catalyst будет достаточно. Дополнительную информацию о частном VLANs и VACL конфигурацию Cisco 6000 Catalyst коммутаторы, просмотрите http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a008013565f.shtml и http:/ / www.cisco.com/en/US/products/hw/switches/ps700/products_configuration_guide_chapter09186a008007f4ba.html.
Интересно, ARP записи уроков на слой 3 частных VLAN интерфейсов "поклейка ARP" записей, которые не истекает и не могут быть изменены. Представьте себе, одна ЗС вставлен в порт переключиться на частной VLAN, подсоединенный к шлюзу через порт жизнь. Атакующий управляет связать с WLAN и запускать ARP спуфинг нападение на шлюз. В липкой ARP в использовании, CAM стол не будет изменен такого нападения и журнальный сообщение будет создаваться.
Заметим, что во избежание использования мобильных ИС и обеспечить роуминг, мы умышленно сделать ужасно мудрый безопасности беспроводной сети развертывание ошибкой. Мы модуля точки доступа в выключателя, не безопасной беспроводной шлюз или, по крайней мере достойный маршрутизатор с firewal потенциал. В липкой ARP частично исправляет этот вопрос, не допуская как ARP базе человеком в самых среднего и CAM таблицу переполнения нападения. Однако, эта функция ограничена конкретной марки перейти на сторону дороже.
На других коммутаторов вам необходимо настроить ВКП фильтрации и безопасности порта, что означает жесткий кодирования ВКП адреса и ограничения количества хостов возможность подключения на порт. Заметим, что переключиться безопасности портов и фильтрации ВКП и точки доступа фильтрации MAC- адреса были похожими, но не одинаковыми. Оба переключателя и ЗС МАС-адресу фильтрации могут быть обойдены стучится законного пребывания беспроводной сети и вступлением его МАС-адресу. Однако перейти безопасности портов обеспечивает дополнительный уровень защиты, защищая против был фальсифицирован МАС-адресу ARP наводнений. Мы, как Cisco Catalyst коммутаторы, поскольку они очень hackable (в смысле "настраивается"), поэтому мы приводим вам пример переключателя безопасности портов конфигурации с помощью каталитических нейтрализаторов.
С IOS стиле командной строки (CLI), такие, как коммутаторы Catalyst 1900, использование постоянного ВКП записей построить перейти CAM таблице:
abrvalk (конфигурации) # проверки MAC- адрес столом постоянного 0040.1337.1337 сетевой 0 / 4
Введите все адреса нужно - скажем 20. Затем связывают сумма разрешенных подключений к числу постоянных МДК и определить меры, если это число превышается:
abrvalk (конфигурации) # безопасности портов действий ловушку abrvalk (конфигурации) # безопасности портов - Макс проверки MAC- подсчета 20 abrvalk (конфигурации) # адрес - нарушение приостановить
В такой конфигурации портов будет приостановлена при получении незаконного МАС-адресу рама и снова включили, когда действительный МАС-адресу кадр получен. В SNMP ловушки отчетности нарушения будут направлены. Конечно, злоумышленник может вызвать DoS нападение постоянно наводнения в порту случайными MAC- адреса, но временно отключены лучше, чем предоставление крекеры, и в мигающем сигналы будут срабатывает. Число MAC- адреса можно ввести на каждый порт стиле IOS CLI коммутаторов Catalyst является 132.
О Комплексе / Открытый CLI таких как коммутаторы Catalyst 5000, использовать набор безопасности порта команду:
eblec> (дать) комплекс безопасности портов 2 / 1, чтобы eblec> (дать) комплекс безопасности портов 2 / 1, чтобы 0040.1337.1337
Введите все 20 MAC- адреса вы хотите разрешить и устранить ряд с
eblec> (дать) комплекс безопасности портов 2 / 1 максимум 20
Определить нарушение мер безопасности:
eblec> (дать) комплекс безопасности портов 2 / 1 нарушение ограничения
Эта команда сообщает переключиться на падение в пакеты из незаконного МАС-адресу хостов, но порт будет оставаться выключен. Таким образом, МАС-адресу наводнений DoS нападение таких выключателей невозможно, если правильно настроить. Проверка конфигурации безопасности порта и статистики
eblec> (чтобы) показать безопасности портов 2 / 1
Объем статической ( "защищенная" в "ciscospeak") CAM таблицу записей по Комплекса / Открытый CLI коммутаторов Cisco является 1.024 плюс одно дополнительное обеспечение МАС-адресу каждый порт. Этот пул статических МДК распределяются между всеми портами переключения, так что если есть 1.024 статических ВКП записи на одном порту, остальные порты будут использовать один статический ВКП въезда. Если есть 512 записей, остальные порты должны разделить оставшиеся 512 плюс <amount остальных перейти ports> статических МДК.
Еще одним интересным аспектом использования оборудования Cisco для обоих VLAN и конфигурации беспроводных сетей, за VLAN WEP или TKIP развертывание точек доступа Cisco. Все верно, вы можете установить различные WEP или TKIP ключи и определить различные TKIP эфир основные интервалы ротации различных VLANs. Например, установить 128 - битного WEP ключ на Cisco Aironet 1200 точки доступа, которые будут использоваться по VLAN 13 только, введите
aironet # настроить терминал aironet (конфигурации) # настроить интерфейс dot11radio 0 aironet (конфигурации - если) # шифрования vlan 13 вида шифра wep128 aironet (конфигурации - ssid) # конец
К разделения беспроводной сети на различных VLANs и назначения несколько ключей WEP, можно уменьшить объем трафика закодирована в одном WEP ключ, делая WEP растрескивание сложнее. Однако мы настоятельно рекомендуем использовать TKIP вместо. В следующем примере один настроит Cisco Aironet 1200 точка доступа использовать WPA TKIP протоколе описано далее в этом руководстве и поворачивать ключ в эфир каждые 150 секунд по VLAN 13 только:
aironet # настроить терминал aironet (конфигурации) # настроить интерфейс dot11radio 0 aironet (конфигурации - если) # шифрования vlan 13 вида шифра tkip aironet (конфигурации - если) # эфир ключ vlan 13 изменений 150 aironet (конфигурации - ssid) # конец
Возможность проводить различные клавиши на беспроводной VLANs и менять их на различные интервалы времени дает лучший VLAN разделения и сегментации и обеспечивает дополнительную гибкость для безопасности единомышленников беспроводной сети дизайнер.
Online: 712 users browsing the articles directory
|
|