|
Из-за недостатка
знаний о WLAN многие внедрения беспроводных сетей происходят
неправильно, особенно если владельцы делают это впервые. ТД
располагаются внутри сетевого экрана безо всякого учета
соображений, связанных с безопасностью, как если бы это были
обычные элементы сетевого оборудования. Не рассматривая ТД
как удаленный сервер доступа, администраторы теряют
возможность организовать одну из первых и самых эффективных
линий обороны.
Благодаря тому что индустрия приняла стандарт 802.11Ь, стало
очень просто развернуть сети беспроводного доступа в офисе
или корпоративной сети. Все, что нужно для этого, -
организовать соединение ТД с общей сетью и выполнить
некоторые простые технические операции. Но простота
развертывания сетей подразумевает и простоту проникновения в
них. Как показал недавний обзор беспроводных сетей, около
40% WLAN работают, не изменив значений параметров, которые
были установлены в их устройства изначально.
Одна из наиболее распространенных ошибок - неизменность
значений SSID сети в ТД. Все знают, что на беспроводных
продуктах Cisco установлены значения SSID «tsunami», а
оборудование Linksys имеет SSID «Linksys», поэтому
идентификация оборудования с неизменным SSID становится
крайне простой. Необходимо изменить и управление доступом в
ТД. Многие ТД можно сконфигурировать через SNMP, Telnet или
незашифрованную сессию HTTP. Возможность Telnet может быть
отключена, к SNMP конфигурации могут быть добавлены пароли,
а доступ к Интернету можно жестко контролировать.
Административные пароли добавляют еще один уровень
управления доступом.
Хотя управление доступом в этом списке упомянуто последним,
о нем надо заботиться в первую очередь, когда вы планируете
развертывать WLAN. Вам предстоит создать проект сети,
который лучше всего сможет удовлетворять потребности ваших
пользователей в доступе и подвергать угрозе целостность
сети. Давайте предположим, что проводная часть вашей
беспроводной сети работает в другой виртуальной LAN и
перенаправляет трафик на сетевой экран для аутентификации,
перед тем как трафик будет допущен в вашу основную сеть. При
таком режиме работы, даже если устройство сможет подделать
свой МАС-адрес и пройти через другие меры безопасности, у
него будет запрошен дополнительный пароль, для того чтобы
получить доступ в ту сеть, куда хакер стремится попасть. |
