|
Первая линия
защиты, которую предлагает сетевой экран, связана с
предоставлением доступа в сеть определенным IP-адресам.
Например, компания может стремиться разрешить беспроводной
доступ только к ограниченному набору устройств. Поскольку
DHCP-сервер может определить набор IP-адре-сов, связанных с
беспроводными устройствами, достаточно просто создать
правило для сетевого экрана предоставлять или не
предоставлять доступ на основе IP-адреса. Чаще всего,
однако, беспроводные пользователи имеют такой же доступ к
сетевым ресурсам, как они имели бы со своих настольных
компьютеров. Это очень облегчает работу хакера! Это
означает, что даже если между ТД и остальной сетью
установлен сетевой экран, к счастью для хакера, он
ограничивает лишь небольшую часть активности в сети. Большая
часть сети по-прежнему открыта и ждет, чтобы ее обнаружили и
использовали. Чтобы правильно ограничить риск в сети,
политика безопасности должна четко формулировать, что
беспроводным пользователям не гарантирован полный доступ к
сети. Очень хорошо иметь в сети сетевой экран, но если он
установлен неправильно, то он абсолютно бесполезен, как
будто его нет совсем.
Фильтрация по портам
Фильтрация по портам аналогична фильтрации по адресам, за
исключением того, что она более избирательна. Вместо
предоставления доступа ко всем услугам, которые может
предложить сервер, фильтр портов определяет набор
разрешенных портов для каждого IP-адреса. Такая опция может
быть очень полезна при ограничении различных типов трафика
через WLAN.
Например, может быть принято решение, что только
SSH-соединения с Unix-узлами разрешены во WLAN. Фильтр
портов разрешит ТСР-соеди-нение через порт 22 и заблокирует
все соединения через порт 23 (Telnet). Другой пример -
разрешить HTTP-трафику проходить только через определенные
узлы в сети. Набор правил для сетевого экрана может
определять набор разрешенных узлов и, например, то, что
разрешается трафик только через порт 80. Тогда неплохо было
бы добавить Интернет прокси-сервер в вашу WLAN. Он был бы
соединен с определенным портом (не 80), и весь НТТР-трафик
проходил бы через него перед тем, как отправиться к серверу
своего назначения. Включение прокси-сервера может помочь в
очищении трафика, связанного с Интернетом, но вместе с этим
возникает угроза появления задержек в работе вашей сети.
Поскольку прокси-серверу придется проверять каждый
полученный пакет данных, это должен быть очень мощный
сервер, чтобы не возникло жалоб на задержки в работе сети.
Есть и определенные ограничения в эффективности фильтрации
по портам. Основная часть их связана с использованием
приложений. Если ваша компания использует широкий спектр
приложений, которые требуют коммуникаций через большое
количество портов, то может быть неразумно оставлять
«прорехи» в вашем сетевом экране для этих приложений. Именно
поэтому в беспроводной политике должно быть отмечено, что не
все сетевые услуги доступны беспроводным пользователям. |
