Опубликован: 20.02.2006 | Уровень: специалист | Доступ: платный
Лекция 10:

Средства для беспроводных сетей

Меры по повышению безопасности беспроводной ЛВС

Весьма вероятно, что со временем вам придется реализовать беспроводную технологию. Даже если вы не собираетесь этого делать, все равно необходимо периодически проверять сеть, чтобы убедиться, что никто не завел зловредную точку беспроводного доступа. Хотя применение любого беспроводного доступа связано с риском, можно уменьшить свою незащищенность, принимая следующие предупредительные меры.

Включите WEP

Шифруя свои данные, вы заставите хакеров затратить существенно больше времени и усилий, чтобы добраться до ваших беспроводных данных и сети. Это отвадит случайных хакеров и заставит злоумышленников провести в вашем районе день или больше, увеличивая вероятность того, что они будут замечены персоналом службы безопасности или бдительными служащими.

Применяйте беспроводное оборудование с улучшенным протоколом шифрования

Как упоминалось выше, в оборудовании Cisco применяется улучшенная версия протокола WEP, называемая LEAP, которая показала себя невосприимчивой к попыткам взлома. Имеется также новый стандарт 802.11i, исправляющий проблемы WEP. К сожалению, 802.11i был одобрен как стандарт совсем недавно, и оборудование на его основе только начало появляться. Если вы можете его приобрести, то сделайте это. Цены не должны существенно отличаться от цен более старых устройств в стандартах 802.11a или 802.11b.

Требуйте, чтобы беспроводные пользователи входили через туннель виртуальных защищенных сетей

Обычно подобный туннель становится непреодолимым препятствием для возможных беспроводных взломщиков. Даже если им удастся взломать шифрование WEP, им придется побороться с шифрованием виртуальных защищенных сетей. Некоторые производители (такие как SonicWALL с Wi-FiSec) добавили такую возможность в свое оборудование. Недостатком является то, что возникает дополнительный уровень сложности для ваших пользователей, затрудняется поддержка гостевых пользователей, так как для доступа к беспроводной ЛВС им придется загружать программное обеспечение клиента виртуальной защищенной сети, а также ключ WEP.

Считайте свою беспроводную сеть недоверенной

Так как вы не можете контролировать трафик, приходящий по воздуху в точки доступа, вы должны относиться к нему так же, как к общедоступной стороне межсетевого экрана. Если позволяют средства, поместите межсетевой экран между беспроводной сетью и ЛВС (некоторые варианты с открытыми исходными текстами см. в "Межсетевые экраны" ) или разместите ее в своей демилитаризованной зоне. Тогда у вас будет возможность отфильтровать определенные виды атакующих пакетов, ограничить некоторые виды трафика и отслеживать любую активность на этом интерфейсе.

Регулярно проверяйте свой беспроводной периметр

Это особенно важно, если вы находитесь в одной из вышеупомянутых перегруженных областей. Проверьте, насколько далеко ловится ваш сигнал и перекрывается ли ваша сеть с соседними. Даже если вы официально не разрешаете беспроводной доступ, необходимо делать это периодически, чтобы обнаружить любые неконтролируемые или "неофициальные" точки доступа. Беспроводной доступ стал настолько дешевым и простым в организации, что бездумные или безответственные менеджеры нередко просто идут в местный магазин электроники и устанавливают точку доступа для некоторой временной цели, например демонстрации в не оборудованном сетью конференц-зале, подставляя вашу сеть под беспроводную атаку. Кроме того, помните, что множество новых ПК, особенно ПК-блокнотов, поставляются со встроенными платами Wi-Fi, и их включение не составляет особого труда. Беспроводной доступ в сети может использоваться без вашего ведома. Беспроводной аудит - единственный способ прояснить ситуацию.

Переместите точки доступа

Иногда простым перемещением базовой станции во внутреннее помещение можно существенно сузить зону распространения сигнала беспроводной сети. Используйте результаты беспроводного аудита для выявления проблемных точек доступа. Поэкспериментируйте с размещением, чтобы добиться оптимального приема внутри здания, но минимизировать прием снаружи. Например, если перед вашим зданием располагается большая автостоянка, а сзади - заросший деревьями участок, то перемещение базовой станции к задней стене здания сохранит, вероятно, ее доступность для большинства внутренних пользователей, но ограничит распространение сигнала областью, которая не так легко доступна для агрессивных ездоков.

Должным образом сконфигурируйте беспроводную сеть

Имеется много возможностей и настроек, которые позволяют существенно повысить безопасность. Не всякое оборудование поддерживает эти возможности, но вот что, тем не менее, можно сделать:

  • Отключите широковещание SSID. В этом случае пользователь должен знать идентификатор набора сервисов, чтобы открыть сеанс с базовой станцией. Это действует как слабый пароль. Однако, если злоумышленник сможет взломать ваше шифрование, он сможет легко получить SSID.
  • Ограничьте доступ по MAC-адресам. Это затруднит получение доступа к вашей сети через беспроводную базовую станцию. На большинстве базовых станций можно ограничить доступ для определенных аппаратных MAC-адресов. Это довольно сильный метод аутентификации, так как только пользователи с сетевыми картами подходящих серий смогут получить доступ. Однако администрирование авторизованных плат может быть обременительным, да и новым пользователям, пришедшим в офис, доступ будет разрешен не сразу. Кроме того, если атакующий узнает один из авторизованных MAC-адресов, он сможет подделать его на своей плате и замаскироваться под легального пользователя.

Обучите свой персонал

Как и вообще в компьютерной безопасности, человеческий фактор может быть самым слабым или самым сильным звеном. Убедитесь, что охрана, служащие в приемной и другой персонал знают, как определять подозрительное поведение, ассоциированное с агрессивным объездом. Например, если они заметят кого-то, длительное время сидящего в машине на вашей стоянке, возможно, со странной антенной на крыше, то, весьма вероятно, что он нацелен на вашу беспроводную сеть.

Разработайте также политику и получите санкцию на уровне компании на развертывание беспроводных ЛВС. Доведите до сведения менеджеров, что им нельзя самостоятельно устанавливать беспроводные ЛВС; им следует связаться с вами, чтобы получить официальное подключение. Они должны понимать, что таким поведением подвергают риску всю организацию. Зачастую демонстрация является лучшим способом показать опасность неофициального беспроводного доступа. Информированные сотрудники - лучшая защита.

Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Александр Путятинский
Александр Путятинский

Добрый день по окончании данного курса выдается сертификат?

Гончик Цымжитов
Гончик Цымжитов
Россия, Санкт-Петербург
Александр Косенко
Александр Косенко
Украина, Днепропетровск