Разумевање претњи и како заштитити мрежу од њих
Погодност по цени
Повољност бежичних мрежа долази са ценом. Жични мрежни приступ се може контролисати јер се подаци налазе у кабловима који повезују рачунар са прекидачем. Са бежичном мрежом, "кабловање" између рачунара и прекидача се зове "ваздух", који може да приступи било ком уређају унутар опсега. Ако корисник може да се повеже са бежичном приступном тачком од 300 метара даље, онда у теорији може ико други у радијусу од 300 стопа бежичне приступне тачке.
Претње Безбедносној мрежи
- Рогуе ВЛАН - Да ли ваше предузеће има званично санкционисану бежичну мрежу или не, бежични рутери су релативно јефтини, а амбициозни корисници могу прикључити неовлашћену опрему у мрежу. Ове лажне бежичне мреже могу бити несигурне или непрописно осигуране и представљају ризик за мрежу у целини.
- Споофинг интерне комуникације - Напади ван мреже могу се обично идентифицирати као такви. Ако нападач може да се повеже са вашом ВЛАН мрежом, они могу ометати комуникације које изгледају да долазе из интерних домена. Корисници много вероватније вјерују и делују на омаловаженим интерним комуникацијама.
- Крађа мрежних ресурса - Чак и ако нападач не напада ваше рачунаре или не угрози ваше податке, они се могу повезати са ВЛАН-ом и угрозити вашу мрежну пропусност да сурфују путем Интернета. Они могу да искористе већи пропусни опсег на већини мрежа предузећа за преузимање музичких и видео снимака користећи своје драгоцене мрежне ресурсе и утичу на перформансе мреже за ваше легитимне кориснике.
Заштитите мрежу са ВЛАН мреже
Побољшана сигурност је одличан разлог за постављање ВЛАН мреже на властиту ВЛАН. Можете да дозволите свим бежичним уређајима да се повежу на ВЛАН, али да остатак ваше унутрашње мреже заштитите од било ког проблема или напада који се могу јавити на бежичној мрежи.
Коришћењем заштитног зида или рутера АЦЛ (листе контрола приступа), можете ограничити комуникацију између ВЛАН мреже и остатка мреже. Ако повежете ВЛАН са унутрашњом мрежом путем веб проки-а или ВПН-а, чак можете ограничити приступ бежичним уређајима тако да они могу сурфовати само на Вебу или су дозвољени само за приступ одређеним фасциклама или апликацијама.
Сецуре ВЛАН Аццесс
Бежично шифрирање
Један од начина за осигурање неовлашћених корисника не прислушкује вашу бежичну мрежу је шифровање ваших бежичних података. Првобитни метод шифрирања, ВЕП (приватна еквивалентност жичаним мрежама), у основи је погрешан. ВЕП се ослања на дељени кључ или лозинку да ограничи приступ. Свако ко зна ВЕП кључ може се придружити бежичној мрежи. У ВЕП-у није било механизама за аутоматско мењање кључа, а постоје доступни алати који могу пропустити ВЕП кључ за неколико минута, тако да неће трајати дуго за нападача да приступи ВЕП-енцриптед бежичној мрежи.
Док користи ВЕП може бити нешто бољи него што никако не користи шифрирање, није довољно за заштиту пословне мреже. Следећа генерација шифровања, ВПА (Ви-Фи Протецт Аццесс), дизајнирана је за кориштење сервера за потврђивање с 802.1Кс компатибилношћу, али може се покренути слично ВЕП-у у ПСК (Пре-Схаред Кеи) режиму. Главно побољшање од ВЕП-а до ВПА-а је коришћење ТКИП-а (Темпорал Кеи Интегрити Протоцол), који динамички мења кључ како би спречио врсте техник пукњења које се користе за прекидање ВЕП шифрирања.
Чак и ВПА је био приступ помоћи групацији. ВПА је био покушај произвођача бежичних хардвера и софтвера да спроведу довољну заштиту док чекају званични стандард 802.11и. Најновији облик шифрирања је ВПА2. ВПА2 енкрипција пружа још сложеније и сигурније механизме укључујући ЦЦМП, који се заснива на АЕС енкрипцијском алгоритму.
Да бисте заштитили бежичне податке од пресретања и спречили неовлашћени приступ вашој бежичној мрежи, ВЛАН мрежа би требала бити подешена са најмање ВПА енкрипцијом, а пожељно ВПА2 енкрипцијом.
Бежична аутентикација
Поред шифрирања бежичних података, ВПА може да се повезује са 802.1Кс или РАДИУС серверима за потврђивање како би обезбедио сигурнији начин контроле приступа ВЛАН-у. Тамо где ВЕП или ВПА у ПСК режиму омогућава виртуелно анониман приступ сваком ко има тачан кључ или лозинку, 802.1Кс или РАДИУС провјеру аутентичности захтијева корисницима да имају валидне акредитиве за корисничко име и лозинку или важећи сертификат за пријављивање у бежичну мрежу.
Захтевана провјера аутентичности на ВЛАН-у обезбеђује повећану сигурност ограничавајући приступ, али такође омогућава и логовање и форензички траг за испитивање да ли се нешто сумњичи наставља. Док бежична мрежа заснована на дељеном кључу може пријавити МАЦ или ИП адресе, те информације нису врло корисне када је у питању одређивање основног узрока проблема. Повећана поверљивост и обезбеђен интегритет се такође препоручује, ако није неопходно, за многе мандате за усклађивање безбедности.
Са ВПА / ВПА2 и 802.1Кс или РАДИУС сервером за аутентификацију, организације могу користити различите протоколе за потврду идентитета, као што су Керберос, МС-ЦХАП (Мицрософт Цхалленге Хандсхаке Аутхентицатион Протоцол) или ТЛС (Сецурити Лаиер Сецурити) и користе низ акредитивних аутентикација као што су корисничка имена / лозинке, сертификати, биометријска аутентикација или једнократне лозинке.
Бежичне мреже могу повећати ефикасност, побољшати продуктивност и учинити умрежавање ефикаснијом, али ако нису правилно имплементиране, они могу бити и Ацхиллесова штитност ваше мрежне сигурности и изложити вашу целу организацију компромису. Одложите време да бисте разумели ризике и како осигурати своју бежичну мрежу тако да ваша организација може искористити погодност бежичне везе без стварања могућности за кршење безбедности.