Sichern Sie die drahtlose Netz Positionierung und VLANs


  Share  
|


Der folgende Punkt in unserer Sicherheit Politikcheckliste ist Netzpositionierung und -trennung. Wenn es einen einzelnen Zugangspunkt oder eine drahtlose Brücke im Netz gibt, ist seine Entwicklung direkt: Verstopfen Sie das IP address in die WAN Schnittstelle einer passend zusammengebauten firewalling Vorrichtung. Solch eine Vorrichtung kann eine hoch entwickelte kommerzielle drahtlose Einfahrt, eine zusammengebaute allgemeine OS-GEGRÜNDETE Brandmauer oder sogar eine SOHO Brandmauer wie Cisco PIX 501 oder Nokia SonicWall sein. Jedoch wenn mehrfache Zugangspunkte entfaltet werden und Benutzern erlaubt werden, zwischen dieser APS frei zu durchstreifen, wird die Konfiguration schwieriger. Eine Möglichkeit soll bewegliches IP über dem privaten kommunikationsnetz entfalten. Jedoch bildet dieses die Implementierung von Schicht 3 und von höherem VPNs ein bedeutendes Problem. Lösungen für dieses Problem bestehen, aber bestimmte Niveaus der Sicherheit sind werden geopfert, um den nahtlosen durchstreifenden Klienten zur Verfügung zu stellen wahrscheinlich. Erinnern an Sie den Wavesec Fall- und kraker_jackangriff.

Eine allgemeinere und vernünftigere Lösung soll alle Zugangspunkte auf das gleiche Sendung Gebiet mit VLANs setzen. Um diese Lösung einzuführen, müssen kommunikationsnetzschalter mindestens statische VLAN Konfiguration stützen. So sollte die drahtlose Netzgestaltung ein Ausgangsteil der gesamten Netzgestaltung sein; andernfalls müssen bedeutende zusätzliche Betriebsmittelmacht auf dem Erhalten der VLAN-ermöglichten Schalter am Stadium der WLAN Entwicklung aufgewendet werden. Wir können nicht ausführliche VLAN Einstellung Techniken in diesem Artikel beschreiben, weil die Befehle abhängig von Ihrem Schalterhersteller sich unterscheiden. Jedoch versehen wir Sie mit Beispielen VLAN Entwicklung betrachtend und sichern die drahtlose Netzpositionierung und -entwicklung mit verschiedener Cisco Ausrüstung. Dieses ist eine Angelegenheit der persönlichen Erfahrung und wir sind nicht mit Cisco in jeder Hinsicht angeschlossen.

Mit Cisco Katalysator-Schaltern und Aironet Zugangspunkten zu optimieren sichern Sie drahtlose Netzgestaltung

Eine interessante Eigenschaft Verbesserung des Eigentümers VLAN ist das private VLANs, das durch Cisco Catalyst 6000 Schalter gestützt wird. Stellen Sie, sich daß Sie drahtlose Zellen A, B, C und D auf dem gleichen VLAN haben vor, aber möchten das Durchstreifen zwischen den Zellen einschränken, damit Benutzer entweder nur A und B oder C und D durchstreifen können und kann den verdrahteten LAN zugänglich machen, nur wenn Sie mit Zelle A verbunden. Auf diese Weise können Sie das WLAN zwischen den Firmaabteilungen und den unterschiedlichen körperlichen Positionen segmentieren, ohne zusätzliches VLANs und Fräser einzuführen und die logische erschwerte Netzstruktur der Schicht 3 zu bilden. Alle diese wundervollen Sachen sind mit privatem VLANs möglich, die Plazierung Beschränkung der Schicht 2 erlauben: VLANs innerhalb VLANs.

Es gibt drei Arten private VLAN Tore:

  • Gemischte Tore, die alles sind, anderes privates VLAN trägt. Diese Tore werden normalerweise benutzt, um an die Einfahrt oder den Fräser anzuschließen.

  • Lokalisierte Tore, die nur das gemischte Tor sein können.

  • Gemeinschaftstore, die Tore in der gleichen Gemeinschaft und im gemischten Tor sein können.

Nicht überraschend, gibt es drei Arten privates VLANs. PrimärvLANs tragen Daten von den gemischten Toren nach lokalisiert, Gemeinschaft und andere gemischte Tore. Lokalisiertes VLANs tragen Daten von lokalisiert zu den gemischten Toren. Schließlich tragen Gemeinschaft VLANs Verkehr zwischen einzelnen Gemeinschaftstoren und gemischten Toren.

Zusätzlich zur Sicherheit, die von der privaten VLAN Segmentation bereitgestellt wird, gibt es auch die Wahl, zum der VLAN Zugriffssteuerunglisten (VACLs) separat abgebildet zu schreiben Primär- oder SekundärvLANs. Sie benötigen nicht einen Fräser, VACLs einzuführen; Haben einer Politik-Eigenschaft Karte (PFC) für Ihren Katalysator genügt. Um mehr über privates VLANs und VACL Konfiguration auf Cisco 6000 zu erlernen Katalysatorschaltern, grasen Sie zu http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a008013565f.shtml und zu http://www.cisco.com/en/US/products/hw/switches/ps700/products_configuration_guide_chapter09186a008007f4ba.html.

Interessant sind die ARP Eintragungen, die auf privaten VLAN Schnittstellen der Schicht 3 erlernt werden, "klebriger ARP" Eintragungen, die nicht geändert werden ablaufen nicht und können. Stellen Sie sich ein AP vor, das in das Schaltertor auf einem privaten VLAN verstopft wird, das an die Einfahrt über das gemischte Tor anschließt. Ein Angreifer handhat, mit dem WLAN zu verbinden und stößt einen ARP aus, der Angriff gegen die Einfahrt spoofing ist. Mit einem klebrigen ARP im Gebrauch, würde die NOCKEN-Tabelle nicht durch solch einen Angriff geändert und eine Maschinenbordbuchanzeige würde erzeugt.

Merken Sie das, um bewegliches, IP zu verwenden zu vermeiden und das Durchstreifen zur Verfügung zu stellen, machen wir absichtlich einen schrecklichen Sicherheit-klugen drahtlosen Netzentwicklungfehler. Wir verstopfen den Zugangspunkt in einen Schalter, nicht in eine sichere drahtlose Einfahrt oder mindestens in einen annehmbaren Fräser mit firewal Fähigkeit. Der klebrige ARP behebt teilweise diese Ausgabe, indem es ARP-gegründete Mann-in-d-mittlere und NOCKEN-Tabelle Sammelangriffe verhindert. Jedoch wird diese Eigenschaft auf eine bestimmte Schaltermarke auf der kostspieligen Seite begrenzt.

Auf anderen Schaltern müssen Sie den filternden MAC zusammenbauen und Portsicherheit, die Hartkodierung der MAC bedeutet, wendet und die Zahl den Wirten begrenzend, die auf einem Tor anschließen lassen werden. Merken Sie, daß Schalter Portsicherheit und der MAC, die filtert und Zugangspunkt MAC addressfiltert, ähnlich sind, aber nicht dieselben. können Schalter und die AP MAC addressentstörung überbrückt werden, indem man einen gesetzmaßigen drahtlosen indirekten Wirt klopft und sein MAC address annimmt. Jedoch spoofed Schalter, den Portsicherheit eine zusätzliche Schicht Verteidigung vom Schützen gegen zur Verfügung stellt, MAC address ARP Fluten. Wir mögen Cisco Katalysatorschalter, weil sie (in der Richtung von "konfigurierbarem") sehr hackable sind, also geben wir Ihnen ein Beispiel der Schaltertor-Sicherheit Konfiguration mit Katalysatoren.

Auf der IOS-Art Befehl-Linie Schnittstelle (CLI) schaltet wie Katalysator 1900, benutzen dauerhafte MAC-Eintragungen, um eine Schalter NOCKEN-Tabelle zu errichten: 


  Ethernet 0/4 des Abrvalk(config)#mac-adressierentabelle 
Dauerhaften 0040.1337.1337

Tragen Sie alle Adressen ein, die Sie lassen—uns Sagen 20 benötigen. Dann binden Sie die Menge der erlaubten Anschlüsse zur Zahl dauerhaften MACs und definieren Sie die ergriffenen Maßnahmen, wenn diese Zahl überstiegen wird: 


  abrvalk(config)#port Sicherheit Tätigkeit 
Blockierabrvalk(config)#port Sicherheit Maximum-mac-zählen 20, die 
Abrvalk(config)#addressverletzung verschieben

Mit solch einer Konfiguration würde das Tor verschoben, als, einen unerlaubten MAC addressrahmen empfangend und wann ein gültiger MAC addressrahmen re-enabled, empfangen wird. Eine SNMP Falle, welche über die Verletzung berichtet, würde gesendet. Selbstverständlich kann ein Angreifer einem DOS Angriff durch Überschwemmung das Tor ständig verursachen durch gelegentliche MAC-Adressen, aber vorübergehend trennend ist besser als, die Cracker innen lassend, und die blinkenden Warnungen werden ausgelöst. Die Zahl MAC-Adressen, die Sie pro Tor auf IOS-Art CLI eintragen können Katalysatorschaltern, ist 132.

Auf den Set/Clear CLI Schaltern wie Katalysator 5000, verwenden Sie den Satztor-Sicherheit Befehl:

  eblec>(enable)set Portsicherheit 2/1 ermöglichen 
eblec>(enable)set, das Portsicherheit 2/1 0040.1337.1337 ermöglichen

Tragen Sie alle 20 MAC-Adressen ein, die Sie diese Zahl mit erlauben und regeln möchten 


  eblec>(enable)set Portsicherheit 2/1 Maximum 20

Definieren Sie die Sicherheit Verletzung Tätigkeit: 


  eblec>(enable)set schränken Portsicherheit 2/1 Verletzung
ein

Dieser Befehl erklärt den Schalter, die Pakete fallenzulassen, die von den unerlaubten MAC addresswirten kommen, aber das Tor bleibt ermöglicht. So ist ein MAC addressflut DOS Angriff gegen solche Schalter unmöglich, wenn er richtig zusammengebaut wird. Überprüfen Sie die Portsicherheit Konfiguration und die Statistiken mit 


  eblec>(enable)show Portsicherheit 2/1

Die Menge der statischen ("sicher" in einem "ciscospeak") NOCKEN-Tabelle Eintragungen auf Set/Clear CLI Cisco Schaltern ist 1.024 plus ein zusätzliches sicheres MAC address pro Tor. Diese Lache der statischen MACs wird zwischen allen Schaltertoren geteilt, also, wenn es 1.024 statische MAC-Eintragungen auf einem einzelnen Tor gibt, muß der Rest der Tore eine einzelne statische MAC-Eintragung benutzen. Wenn es 512 Eintragungen gibt, muß der Rest der Tore die restliche 512 Plus< Menge des restlichen Schalters teilen trägt > statische MACs.

Ein anderer interessanter Aspekt des Verwendens der Cisco Ausrüstung für VLAN Konfiguration und drahtlosen Netzwerkanschluß ist pro-VLAN WEP oder TKIP Entwicklung in den Cisco Zugangspunkten. Das ist recht, können Sie unterschiedliche WEP oder TKIP Schlüssel einstellen und unterschiedliche TKIP Sendung Schlüssel-Umdrehung Abstände für unterschiedliches VLANs definieren. Z.B. um einen 128-bit WEP Schlüssel in einem auf VLAN 13 nur verwendet zu werden Cisco Aironet 1200 Zugangspunkt einzustellen, kommen Sie herein 


  aironet#configure 
Terminalaironet(config)#configure Schnittstelle dot11radio 0 
aironet(config-if)#encryption vlan 13 Modus-Ziffer wep128 
aironet(config-ssid)#end

Indem Sie das drahtlose Netz auf unterschiedliches VLANs aufspalten und mehrfache WEP Schlüssel zuweisen, können Sie die Menge des Verkehrs verringern verschlüsselt durch einen einzelnen WEP Schlüssel und WEP bilden, das schwierigeres knackt. Jedoch empfehlen uns wir stark, TKIP anstatt zu verwenden. Das folgende Beispiel baut einen Cisco Aironet 1200 Zugangspunkt, um das WPA TKIP Protokoll zu verwenden zusammen, das später in diesem Tutorial und den Sendung Schlüssel nur zu drehen alle 150 Sekunden auf VLAN 13 beschrieben wird: 


  aironet#configure Terminalaironet(config)#configure 
Schnittstelle dot11radio 0 aironet(config-if)#encryption ändern vlan 
Aironet(config-if)#broadcastschlüssel vlan 13 tkip die Ziffer mit 13 
Modi aironet(config-ssid)#end 150

Die Gelegenheit, verschiedene Schlüssel auf drahtlosem VLANs zu haben und sie in unterschiedlichen Abständen zu ändern liefert bessere VLAN Trennung und Segmentation und gibt dem Sicherheit-gekümmerten drahtlosen Netzentwerfer zusätzliche Flexibilität.

dieses ist ein Artikel, der von Hazrul Aaron hinzugefügt wird


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions