в этой статье далеко нетривиален,
Безусловно, вопрос обеспечения безопасности, поставленный в этой статье далеко нетривиален, но с чего-то надо начинать… И чтобы подступиться к решению этого вопроса, давайте определим доступные нам меры и средства, позволяющие сделать беспроводную сеть как можно более безопасной. Итак, нам необходимо:
- Уменьшить зону радиопокрытия (разумеется, до минимально приемлемой). В идеале, зона радиопокрытия сети не должна выходить за пределы контролируемой территории.
- Изменить пароль администратора, установленный по умолчанию
- Активизировать фильтрацию по MAC-адресам
- Запретить широковещательную рассылку идентификатора сети (SSID)
- Изменить идентификатор сети (SSID), установленный по умолчанию
- Периодически изменять идентификатор сети (SSID)
- Активизировать функции WEP
- Периодически изменять WEP-ключи
- Установить и настроить персональные МЭ и антивирусные программы у абонентов беспроводной сети
- Выполнить соответствующие настройки фильтрации трафика на телекоммуникационном оборудовании и межсетевых экранах
- Обеспечить резервирование оборудования, входящего в состав беспроводной сети
- Обеспечить резервное копирование ПО и конфигураций оборудования
- Осуществлять периодический мониторинг состояния защищенности беспроводной сети с помощью специализированных средств анализа защищенности для беспроводных сетей (см. например, www.iss.net, www.wildpackets.com или www.sniffer.com ).
Все эти методы защиты сегодня можно реализовать на оборудовании практически любого производителя, представленного на рынке беспроводных сетей стандарта 802.11 и имеющего логотип Wi-Fi1.
Назовем комплекс вышеперечисленных мер защиты "начальным" уровнем, ниже которого опускаться категорически нельзя при проектировании корпоративной беспроводной сети.
Допустим, весь комплекс мер реализован, но, увы, учитывая известные технические и технологические проблемы протокола WEР , и как следствие, низкий уровень сложности взлома подобной сети, беспроводную сеть с "начальным" уровнем безопасности лучше всего рассматривать как далеко небезопасную сеть. И, как следствие, точки доступа такой сети (даже при использовании WEP) не следует соединять с внутренней проводной сетью, - они должны находиться по внешнюю сторону от межсетевого экрана. Таким образом, обрабатывать конфиденциальную информацию в сети с описанным выше начальным уровнем безопасности нельзя.
Содержание Назад Вперед