Безопасность и Internet



              

Вопросы обеспечения безопасности - часть 2


Безусловно, вопрос обеспечения безопасности, поставленный в этой статье далеко нетривиален, но с чего-то надо начинать… И чтобы подступиться к решению этого вопроса, давайте определим доступные нам меры и средства, позволяющие сделать беспроводную сеть как можно более безопасной. Итак, нам необходимо:

  • Уменьшить зону радиопокрытия (разумеется, до минимально приемлемой). В идеале, зона радиопокрытия сети не должна выходить за пределы контролируемой территории.
  • Изменить пароль администратора, установленный по умолчанию
  • Активизировать фильтрацию по MAC-адресам
  • Запретить широковещательную рассылку идентификатора сети (SSID)
  • Изменить идентификатор сети (SSID), установленный по умолчанию
  • Периодически изменять идентификатор сети (SSID)
  • Активизировать функции WEP
  • Периодически изменять WEP-ключи
  • Установить и настроить персональные МЭ и антивирусные программы у абонентов беспроводной сети
  • Выполнить соответствующие настройки фильтрации трафика на телекоммуникационном оборудовании и межсетевых экранах
  • Обеспечить резервирование оборудования, входящего в состав беспроводной сети
  • Обеспечить резервное копирование ПО и конфигураций оборудования
  • Осуществлять периодический мониторинг состояния защищенности беспроводной сети с помощью специализированных средств анализа защищенности для беспроводных сетей (см. например, www.iss.net, www.wildpackets.com или www.sniffer.com ).
  • Все эти методы защиты сегодня можно реализовать на оборудовании практически любого производителя, представленного на рынке беспроводных сетей стандарта 802.11 и имеющего логотип Wi-Fi.

    Назовем комплекс вышеперечисленных мер защиты "начальным" уровнем, ниже которого опускаться категорически нельзя при проектировании корпоративной беспроводной сети.

    Допустим, весь комплекс мер реализован, но, увы, учитывая известные технические и технологические проблемы протокола WEР , и как следствие, низкий уровень сложности взлома подобной сети, беспроводную сеть с "начальным" уровнем безопасности лучше всего рассматривать как далеко небезопасную сеть. И, как следствие, точки доступа такой сети (даже при использовании WEP) не следует соединять с внутренней проводной сетью, - они должны находиться по внешнюю сторону от межсетевого экрана. Таким образом, обрабатывать конфиденциальную информацию в сети с описанным выше начальным уровнем безопасности нельзя.




    Содержание  Назад  Вперед