Fixez le positionnement sans fil et le VLANs de réseau


  Share  
|


Le prochain point dans notre liste de contrôle de politique de sécurité est positionnement et séparation de réseau. S'il y a un seul point d'accès ou un pont sans fil sur le réseau, son déploiement est franc : Branchez le IP address à l'interface BLÊME d'un dispositif firewalling convenablement configuré. Un tel dispositif peut être un passage sans fil commercial sophistiqué, un mur à l'épreuve du feu OS-BASÉ commun configuré, ou même un mur à l'épreuve du feu de SOHO tel que Cisco PIX 501 ou Nokia SonicWall. Cependant, si des points d'accès multiples sont déployés et des utilisateurs sont permis d'errer librement entre ces aps, la configuration devient plus compliquée. Une possibilité doit déployer l'IP mobile à travers le réseau de corporation. Cependant, ceci fera l'exécution d'une couche 3 et de plus haut VPNs un problème significatif. Les solutions pour ce problème existent, mais certains niveaux de sécurité sont probables soient sacrifiés pour fournir le client sans couture errant. Rappelez l'attaque de cas et de kraker_jack de Wavesec.

Une solution plus commune et plus sensible est de placer tous les points d'accès sur le même domaine d'émission en utilisant VLANs. Pour mettre en application cette solution, les commutateurs de réseau de corporation doivent soutenir au moins la configuration statique de VLAN. Ainsi, la conception de réseau sans fil devrait être une première partie de la conception de réseau globale ; autrement, la force additionnelle significative de ressources doivent être dépensées sur obtenir les commutateurs VLAN-permis à l'étape de l'déploiement de WLAN. Nous ne pouvons pas décrire des technicités détaillées d'installation de VLAN en cet article parce que les commandes différeront selon votre fabricant de commutateur. Cependant, nous vous fournissons des exemples considérant l'déploiement de VLAN et fixons le positionnement et l'déploiement sans fil de réseau à l'aide du divers équipement de Cisco. C'est une question d'une expérience personnelle et nous ne sommes pas filiales avec le Cisco de quelque façon.

En utilisant des commutateurs de catalyseur de Cisco et des points d'accès d'Aironet pour optimiser fixez la conception de réseau sans fil

Un dispositif intéressant de perfectionnement de la classe des propriétaires VLAN est le VLANs privé soutenu par des commutateurs de Cisco Catalyst 6000. Imaginez que vous avez les cellules sans fil A, B, C, et D sur le même VLAN, mais voulez limiter errer entre les cellules de sorte que les utilisateurs puissent errer A et B ou C et D seulement et pouvez accéder au LAN de câble seulement si lié à la cellule A. De cette façon vous pouvez segmenter le WLAN entre les services de compagnie et les différents endroits physiques sans présenter VLANs additionnel et couteaux et faire la structure logique de réseau de la couche 3 plus compliquée. Toutes ces choses merveilleuses sont possibles avec VLANs privé, qui permettent le placement de restriction de la couche 2 : VLANs dans VLANs.

Il y a trois genres de ports privés de VLAN :

  • Les ports promiscueux qui communiquent avec le tout l'autre VLAN privé met en communication. Ces ports sont habituellement employés pour se relier au passage ou au couteau.

  • Ports d'isolement qui peuvent communiquer avec seulement le port promiscueux.

  • Ports de la Communauté qui peuvent communiquer avec des ports dans la même communauté et le port promiscueux.

Pas étonnamment, il y a trois types de VLANs privé. VLANs primaire portent des données des ports promiscueux à d'isolement, la communauté, et d'autres ports promiscueux. VLANs d'isolement portent des données d'd'isolement aux ports promiscueux. En conclusion, la communauté VLANs portent le trafic entre les ports simples de la communauté et les ports promiscueux.

En plus de la sécurité a fourni par segmentation privée de VLAN, il y a également l'option pour écrire les listes de contrôle d'accès de VLAN (VACLs) tracées séparément à VLANs primaire ou secondaire. Vous ne avez pas besoin d'un couteau pour mettre en application VACLs ; avoir une carte de dispositif de politique (PFC) pour votre catalyseur suffira. Pour apprendre plus au sujet de VLANs privé et la configuration de VACL sur des commutateurs de catalyseur de Cisco 6000, passez en revue à http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a008013565f.shtml et à http://www.cisco.com/en/US/products/hw/switches/ps700/products_configuration_guide_chapter09186a008007f4ba.html.

Intéressant, les entrées d'arp apprises sur les interfaces privées de la couche 3 VLAN sont des entrées "d'arp collant" qui n'expirent pas et ne peuvent pas être changées. Imaginez AP branché au port de commutateur sur un VLAN privé qui se relie au passage par l'intermédiaire du port promiscueux. Un attaquant parvient à s'associer au WLAN et lance un arp charriant l'attaque contre le passage. Avec un arp collant en service, la table de CAME ne serait pas modifiée par une telle attaque et un message de notation serait produit.

Notez cela pour éviter d'employer l'IP mobile et fournir errer, nous faisons intentionnellement une erreur sans fil sécurité-sage terrible d'déploiement de réseau. Nous branchons le point d'accès à un commutateur, pas à un passage sans fil bloqué ou au moins à un couteau décent avec des possibilités firewal. L'arp collant corrige partiellement cette issue en empêchant des attaques Arp-basées homme-dans-le-moyennes et de CAME de table de débordement. Cependant, ce dispositif est limité à une marque particulière de commutateur du côté cher.

Sur d'autres commutateurs vous devez configurer l'IMPER filtrant et la sécurité gauche, qui signifie le dur-codage l'IMPER adresse et limitant le nombre de centres serveurs permis de se relier sur un port. Notez que le degré de sécurité gauche et l'IMPER de commutateur filtrant et filtrage de MAC address de point d'accès sont semblables, mais pas les mêmes. Le commutateur et le filtrage de MAC address de AP peuvent être déviés en frappant un centre serveur sans fil légitime en différé et en assumant son MAC address. Cependant, le degré de sécurité gauche de commutateur fournit une couche additionnelle de la défense par la protection contre les inondations charriées du MAC address arp. Nous aimons des commutateurs de catalyseur de Cisco parce qu'elles sont très piratables (dans le sens de "configurable"), ainsi nous vous donnons un exemple de configuration de sécurité de port de commutateur en utilisant des catalyseurs.

Sur la commande-ligne l'interface (CLI) d'IOS-MODÈLE commute comme le catalyseur 1900, emploient les entrées permanentes d'IMPER pour construire une table de CAME de commutateur : 


  Ethernet 0/4 de la constante 0040.1337.1337 
d'abrvalk(config)#mac-adresser-table

Écrivez toutes les adresses que vous avez besoin—nous laissez la parole 20. Alors liez la quantité de raccordements permis au nombre d'impers permanents et définissez l'action prise si ce nombre est excédé : 


  la sécurité d'abrvalk(config)#port de piège d'action de
sécurité d'abrvalk(config)#port maximum-imper-comptent 20 que 
l'abrvalk(config)#address-violation suspendent

Avec une telle configuration le port serait suspendu en recevant une armature illicite de MAC address et permis à nouveau quand une armature valide de MAC address est reçue. Un piège de SNMP rapportant la violation serait envoyé. Naturellement, un attaquant peut causer à une attaque de DOS par constamment inondation le port par des adresses aléatoires d'IMPER, mais étant temporairement débranché est meilleur que laissant les biscuits dedans, et les alarmes de clignotant seront déclenchées. Le nombre d'adresses d'IMPER que vous pouvez écrire par port sur des commutateurs de catalyseur du l'IOS-MODÈLE CLI est 132.

Sur les passages de Set/Clear CLI tels que le catalyseur 5000, employez la commande de sécurité de port d'ensemble :

  la sécurité gauche 2/1 d'eblec>(enable)set permettent 
l'eblec>(enable)set la sécurité que gauche 2/1 permettent 
0040.1337.1337

Écrivez chacune des 20 adresses d'IMPER que vous voulez permettre et fixer ce nombre avec 


  maximum gauche 20 de la sécurité 2/1 
d'eblec>(enable)set

Définissez l'action de violation de sécurité : 


  la violation gauche de la sécurité 2/1 
d'eblec>(enable)set limitent

Cette commande indique le commutateur laisser tomber les paquets venant des centres serveurs illicites de MAC address mais le port restera permis. Ainsi, une attaque de DOS d'inondation de MAC address contre de tels commutateurs est impossible, si correctement configurée. Vérifiez la configuration et les statistiques gauches de sécurité avec 


  sécurité gauche 2/1 d'eblec>(enable)show

La quantité ("bloqué" dans un "ciscospeak") d'entrées statiques de table de CAME sur des commutateurs de Cisco de Set/Clear CLI est 1.024 plus un MAC address bloqué additionnel par port. Cette piscine des impers statiques est partagée entre tous les ports de commutateur, ainsi s'il y a 1.024 entrées statiques d'IMPER sur un port simple, le reste des ports devra employer une entrée statique simple d'IMPER. S'il y a 512 entrées, le reste des ports doit partager les 512 < quantités positives restante de commutateur restant met en communication > les impers statiques.

Un autre aspect intéressant d'utiliser l'équipement de Cisco pour la configuration de VLAN et la gestion de réseau sans fil est par-VLAN déploiement de WEP ou de TKIP sur des points d'accès de Cisco. C'est exact, vous pouvez placer différentes clefs de WEP ou de TKIP et définir différents intervalles de rotation de clef d'émission de TKIP pour VLANs différent. Par exemple, pour placer une clef de 128-bit WEP sur un point d'accès de Cisco Aironet 1200 à employer sur VLAN 13 seulement, entrez 


  aironet(config-ssid)#end vlan du chiffre wep128 de
mode d'aironet(config)#configure d'aironet#configure 
d'aironet(config-if)#encryption terminal de l'interface dot11radio 0 
13

En dédoublant le réseau sans fil sur VLANs différent et en assignant des clefs multiples de WEP, vous pouvez diminuer la quantité du trafic chiffrée par une clef simple de WEP, faisant WEP fendant plus difficile. Cependant, nous recommandons vivement d'employer TKIP à la place. L'exemple suivant configure un point d'accès de Cisco Aironet 1200 pour employer le protocole de WPA TKIP décrit plus tard dans ce cours d'instruction et pour tourner la clef d'émission toutes les 150 secondes sur VLAN 13 seulement : 


  l'aironet(config-if)#broadcast-clef vlan 13 vlan de tkip 
de chiffre de 13 modes d'aironet(config)#configure d'aironet#configure
d'aironet(config-if)#encryption terminal de l'interface dot11radio 0 
changent l'aironet(config-ssid)#end 150

L'occasion d'avoir de diverses clefs sur VLANs sans fil et de les changer à différents intervalles fournit une meilleure séparation et une segmentation de VLAN et donne la flexibilité additionnelle au concepteur sans fil sécurité-occupé de réseau.

c'est un article supplémentaire par Hazrul Aaron


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions