|
Естественно, пути для перехвата трафика остаются, но такое
незначительное ограничение в политике экспоненциально
увеличивает сложности доступа для хакера.
Эта политика безопасности работает хорошо в беспроводной
среде WLAN до тех пор, пока технически грамотный, но
незнакомый с проблематикой безопасности пользователь
устанавливает «ложную» ТД, поскольку хочет иметь собственную
ТД, связанную с WLAN. Мы познакомимся в деталях с работой
такой «ложной» ТД и узнаем, что она является серьезной
угрозой для безопасности всей сети и должна быть запрещена.
В чем суть имени? Стандартная конвенция наименований в
сочетании с политикой WEP должны использоваться для того,
чтобы избежать использования наименований, заложенных в
стандарте по умолчанию. Согласитесь, никто не захочет, чтобы
его пароль был опубликован в списке инструкций о пользовании
оборудованием, но ведь именно так и обстоит дело с WLAN. Все
пароли опубликованы, задокументированы и представляют собой
значения «по умолчанию» в беспроводном пространстве,
построенном из специального оборудования, и это хорошо. Без
этой информации никто не смог бы внедрять оборудование.
Однако для того чтобы предотвратить несанкционированный
доступ, очень важно не оставлять эти изначальные значения
паролей неизменными навсегда. Кроме того, в паролях не
следует использовать легкоугадываемые имена, такие,
например, как название компании. Эти простые меры должны
стать частью вашей политики безопасности при интеграции
нового оборудования и ПО и несомненно снижать риск перехвата
радиотрафика в сети.
В отношении роуминга политика не должна меняться при
переходе от одной ТД к другой. Согласованный набор правил
(более жестких, чем для обычных пользователей) должен быть
установлен для тех ТД, где пользователи переходят от одной
ТД к другой, сохраняя беспроводное соединение. Выбирая тип
ТД, вы должны учитывать простоту доступа беспроводных
пользователей к оборудованию, которое поддерживает роуминг,
и не допускать потери соединения при переходе от одной ТД к
другой. Временная потеря соединения может привести к его
блокировке и необходимости повторной аутентификации в
верхних слоях сети. И наконец, сильные методы аутентификации
и шифрования делают еще более сложной атаку на механизм
доступа, вот почему компания должна включать в свою политику
соответствующие методы аутентификации и шифрования.
Использование решений RADISU или VPN для аутентификации и
туннелирования хорошо действует в качестве дополнительной
защиты. Эти средства аутентификации служат отдельной
функцией обеспечения безопасности для открытых сетей, где
невозможно отключить SSID.
Вернуться назад |
