Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Wi-Fi против “плохих парней”

Дэйв Молта

Построение защищенной корпоративной БЛВС больше не является невыполнимой задачей благодаря новым стандартам и средствам мониторинга.

Стандарты безопасности беспроводных сетей чрезвычайно сложны. Некоторые даже считают их невразумительными. Например, значение термина “аутентификация” в серии стандартов 802.11 кардинально отличается от традиционного его истолкования ИТ-сообществом. Для того чтобы реализовать базовую схе-му “имя/пароль пользователя”, в БЛВС, помимо какого-нибудь протокола 802.1х, вам потребуется еще один протокол — Extensible Authentication Protocol с целым набором типов аутентификации ЕАР. Довольно запутанно, не правда ли?

Но не все так плохо. Давно ожидаемая спецификация 802.11i с поддержкой шифрования фреймов данных 802.11 на базе технологии AES, усовершенствованной аутентификацией и динамическим назначением ключей уже на подходе. Однако так или иначе она не решит всех проблем. Хотя спецификация и обеспечивает некий фундамент безопасности, но в процессе реализации решений на ее основе вы столкнетесь с рядом трудностей. Кроме того, ряд критичных проблем безопасности, включая обнаружение вторжений нелегальных устройств и физическую защиту точек доступа и их конфигураций, выходит за рамки данной спецификации. И наконец, комитету 802.11i не удалось стандартизировать механизм “быстрой передачи”, необходимый для поддержки роуминга в беспроводных VoIP-приложениях.

В помощь начинающим

Как и при любой реализации защиты сети, проектирование безопасной БЛВС следует начинать с анализа рисков и формирования политики безопасности. Одни организации разворачивают “грязные” БЛВС в “демилитаризованной зоне” и поступают с их трафиком так же, как и с трафиком Интернет, другие придерживаются строгой политики запрета в отношении БЛВС, что может потребовать значительных инвестиций в средства мониторинга.

БЛВС имеют много общего с сетями Ethernet, однако беспроводная технология отличается от применяющейся в последних главным образом тем, что среду передачи БЛВС почти невозможно контролировать физически. Хуже того, вооружившись недорогой направленной антенной, взломщик может расположиться неподалеку от вашего здания и спокойно перехватывать ваш трафик. Вот почему для БЛВС необходима сложная многоуровневая система защиты.

Основные требования к системе безопасности БЛВС подразделяются на три категории: аутентификация, конфиденциальность и авторизация. Необходимо обеспечить физическую безопасность всех компонентов инфраструктуры БЛВС, своевременное выявление уязвимостей и обнаружение вторжений.

Наиболее распространенный метод обеспечения аутентификации заключается в том, чтобы задействовать “защитное перекрытие” и беспроводные точки доступа. Использующие этом метод организации обычно разворачивают свои БЛВС перед межсетевым экраном, часто создавая виртуальные ЛВС, если беспроводной инфраструктурой охватывается несколько зданий. В этом случае, даже вторгнувшись в БЛВС, взломщик не получит прав доступа, помимо гостевых. Поскольку пользователи БЛВС “выглядят” как Интернет-пользователи, очевидным решением проблемы безопасности становится применение технологии VPN. Но такое решение дорого, требует инсталляции VPN-клиентов на всех конечных точках сети, при этом невозможно обеспечить интероперабельность с не-Windows-системами, добиться масштабируемости в условиях интенсивного трафика и безопасности на уровне 2. Защита на уровне 2 в БЛВС гораздо более важна, чем в прочих ЛВС: в беспроводной среде циркулирует служебная информация со сведениями о вашей сети.

Так называемая атака parking-lot является сущим кошмаром для администратора сети. Для борьбы с ней и ей подобными атаками компании AirDefense, AirMagnet, Network Chemistry и другие производители предлагают средства мониторинга БЛВС, интегрируемые с компонентами инфраструктуры или использующие выделенные радиочастотные сенсоры. Эти системы мониторинга позволяют обеспечивать соблюдение политики безопасности, выявлять уязвимости, вторжения и нелегальные устройства, а также местонахождение атакующего..





  
5 '2005
СОДЕРЖАНИЕ

бизнес

• Правила игры для операторов связи

• CeBIT 05 — новый виток конвергенции

• Информатизация в Югре

инфраструктура

• Маршрутизаторы для корпоративных сетей

• Лазеры VCSEL открывают новые возможности

• Тестируем WAN-акселераторы

• Обеспечение QoS в беспроводных ЛВС

информационные системы

• Как правильно выбрать систему CRM

сети связи

• Ethernet-сети общего пользования

кабельные системы

• Преимущества технологии PoE

• Экранированные витопарные кабели защитят от электромагнитных помех

защита данных

• Советы специалиста по информационной безопасности

• Фундамент информационной безопасности

• Доверяйте метрикам

• Обновляйте ПО!

• Узнайте лицо врага

• Конфиденциальность данных

• Wi-Fi против «плохих парней»

• Боремся с невеждами


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх