Monday, December 11th, 2017

Защита корпоративных беспроводных сетей

Published on Февраль 2, 2009 by   ·   Комментариев нет

Недавно, я подробно рассказал вам о том, как обеспечить безопасность ваших домашних беспроводных сетей в своей пошаговой статье. Правильная конфигурация ваших беспроводных сетей является основой их безопасности. В этой статье я расскажу о том, как обеспечить безопасность корпоративной беспроводной сети. WiFi и корпоративная сеть

Я хочу начать эту статью с упоминания одного ключевого момента, о котором многие люди не знают. Беспроводные сети в действительности являются стандартом IEEE 802.11, который отличается от всем известного Ethernet IEEE 802.3. Основные различия между этими двумя стандартами заключаются в физическом и MAC слоях. Кроме того, оба они сравнимы в терминах стандартов. Все вышеупомянутое означает, что беспроводную технологию необходимо рассматривать, как готовую технологию, хотя и очень быстро развивающуюся. IEEE 802.11a, 802.11b, 802.11g и т.д. Эти различные наборы 802.11 означают изменения в скорости и пропускной способности для внутренних беспроводных сетей. Быстрое развитие беспроводной технологии привлекло внимание сетевых корпораций по всему миру, и теперь они повсеместно используют их в своем бизнесе. Многие компании теперь думают о беспроводной технологии, как «должна присутствовать». Благодаря высокой степени адаптации беспроводной технологии для большого бизнеса, возникла необходимость обеспечения ее защиты.

Та же самая технология, но другие проблемы

Беспроводные сети, используются ли они дома или крупными корпорациями, работают на одной и той же технологии: спецификации 802.11. Но существуют некоторые различия в ее реализации. Использование небольшого домашнего беспроводного маршрутизатора в корпоративной сети просто нереально. Для крупной компании маршрутизаторы должны быть достаточно мощными, чтобы данные достигали различных концов. Крупная компания может занимать целое здание или даже не одно. Обозначив такие требования, мы уже получили дополнительный уровень сложности, т.к. для домашней сети было достаточно использование, обслуживание и поддержка всего одного беспроводного маршрутизатора. А в вышеупомянутой крупной компании у вас может быть их большое количество, чтобы обеспечить беспроводной доступ для всех сотрудников. Как управлять проводными и беспроводными?

Я слышал некоторые разговоры о том, что компании собираются полностью перейти на беспроводные сети, но до сих пор не слышал ни об одной компании, которая бы сделала это. Реальность заключается в том, что большинство сетей корпоративного уровня используют, как проводные, так и беспроводные сети. Необходимость управлять ими обоими является первым уязвимым местом в сетевой обороне. Установка беспроводной сети вместо существующей проводной может быть обескураживающим заданием. Как было сказано ранее, сложность и безопасность не ходят рядом, и это выражение справедливо и на сегодняшний день. Именно поэтому очень важно иметь некоторый центральный пункт управления, с помощью которого вы сможете отлеживать и настраивать вашу смешанную сеть. Хотя лично я рекомендую использовать различных поставщиков для смешанных сетей, факт остается таким, что Cisco великолепно выполняет свою работу. Плюс к этому, большая вероятность того, что многие люди уже использовали их оборудование для построения сетевой инфраструктуры.

Основы

Основами беспроводной безопасности для пользователя SoHo – это то, а чем я ранее рассказывал в своих статьях. В них подробно рассказывается о том, как правильно настраивать ваш беспроводной маршрутизатор, что также справедливо и для корпоративной среды. Если вы работаете системным администратором в сети корпоративного уровня, то вы должны убедиться, что реализованы эти основные этапы. Существуют другие методы улучшения безопасности вашей беспроводной сети. Почти все теперь слышали о WEP, и о том, что она может для вас сделать. Проблема заключается в том, что WEP не является более реальностью в условиях шифрованного трафика. Наиболее хорошо известные методы, которые были перенесены из WEP в корпоративную среду, известны как 802.1x. Они гораздо более безопасны для процесса аутентификации доступа к корпоративной беспроводной сети (corporate wireless network). Чаще всего совместно с 802.1x используется RADIUS.

Как насчет TKIP?

Немногие люди слышали о TKIP и о том, как он может помочь вам усилить безопасность вашей беспроводной сети. Протокол Temporal Key Integrity Protocol (TKIP) часто рассматривают как эволюционное развитие ослабевающего WEP. Об относительных слабостях WEP было рассказано в двух моих предыдущих статьях. Благодаря TKIP мы получаем улучшенную безопасность, новые алгоритмы по шифрования, а также сам по себе постоянно изменяющийся ключ шифрования. Таким образом злоумышленнику гораздо сложнее подобрать правильный ключ. Кроме всего этого, ключ шифрования также шифруется. По сути, даже если злоумышленник сможет получить ключ, то он не сможет им воспользоваться, т.к. сам ключ зашифрован. К тому времени, когда ключ будет взломан, существует большая вероятность того, что он уже снова изменится. В конечном счете это очень мощное решение для любой беспроводной корпоративной сети. Если вы думаете, что это решение для вас, то не забывайте, что есть некоторые подводные камни при его реализации. Не все беспроводные маршрутизаторы и беспроводные карты поддерживают TKIP. Убедитесь в этом, перед тем как вы начнете обновление, что ваше аппаратное обеспечение поддерживает TKIP.

Как насчет того, чтобы смешать и сравнить?

В довершение ко всем общим рекомендациям по настройке вашего беспроводного маршрутизатора, можно ли осуществить поэтапное объединение различных защит? Если коротко ответить на этот вопрос, то да, вы можете. Вы можете использовать WEP, TKIP и использовать Virtual Private Networks (VPN) в вашей корпоративной беспроводной сети. Если вы сможете объединить все эти меры, то вы получите очень безопасную беспроводную сеть. Существует однако один недостаток, который заключается в том, что использование VPN может привести к возникновению сетевых проблем. Повсеместное использование VPN может привести к возникновению проблем с производительностью в вашей сети. Такую проблему снижения производительности можно обойти путем использования концентраторов VPN. Это не единственное решение проблемы, которая может быть вызвана повышенными мерами безопасности в вашей сети.

Все возвращается к планированию

В предыдущем параграфе мы видели, что существует большое множество решений для обеспечения безопасности корпоративной беспроводной сети. Лишь несколько небольших книг было написано относительно усиления безопасности беспроводных сетей. Многие проблемы с безопасностью, относящиеся к проводной сети (Ethernet, если вы помните, официально называется IEEE 802.3), также относятся и к беспроводным сетям (Wireless официально называются IEEE 802.11). Сами по себе беспроводные сети не имеют защиты от атак типа DDoS или DoS.

Если вы задумываетесь об интеграции беспроводных компонентов в вашу существующую проводную корпоративную сеть, то вы сначала должны проконсультироваться у специалистов и тщательно все спланировать. Внимательно посмотрите на свою существующую инфраструктуру, и какое оборудование у вас есть в плане совместимости с беспроводными сетями. Я всегда советую использовать оборудование того же самого поставщика, что облегчит интеграцию. Вы также должны внимательно посмотреть на различные типы программного обеспечения по централизованному мониторингу. Это позволит вам быстро и легко отслеживать все аспекты вашей смешанной сети в одной программе.

Целью этой статьи было помочь системному администратору корпоративной сети сделать осмысленные шаги по обеспечению безопасности для корпоративной беспроводной сети. Время, потраченное на изучение вашей существующей гибридной сети, на возникновение возможных проблем с производительностью и безопасность, — это хорошо потраченное время. Также помните, что существует большого множество продуктов на сегодняшний день, способных помочь вам в обеспечении безопасности вашей смешанной корпоративной сети. Как всегда, жду ваших отзывов и комментариев. На этой ноте прощаюсь с вами.

Источник www.windowsecurity.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]