Beveiligd draadloos netwerk voor positiebepaling en VLAN's
Het volgende punt in ons veiligheidsbeleid checklist is het netwerk voor positiebepaling en scheiding. Als er een enkel toegangspunt of draadloze brug over het netwerk, is de inzet eenvoudig: Sluit het IP-adres in de WAN-interface van een afdoende firewall geconfigureerd apparaat. Zo'n apparaat kan een geavanceerde commerciële draadloze gateway, een geconfigureerde gemeenschappelijke OS-gebaseerde firewall, of zelfs een SOHO firewall zoals Cisco PIX 501 of Nokia SonicWall. Echter, als er meerdere toegangspunten worden ingezet en gebruikers mogen vrij rondlopen tussen deze AP's, wordt de configuratie ingewikkelder. Een mogelijkheid is de Mobile IP implementeren in het bedrijfsnetwerk. Dit zal echter de implementatie van Layer 3 en hoger VPN's een groot probleem. Oplossingen voor dit probleem bestaan, maar bepaalde niveaus van beveiliging zijn waarschijnlijk worden opgeofferd aan naadloze roaming cliënt te verstrekken. Roep de Wavesec zaak en kraker_jack aanval. Een meer gemeenschappelijke en verstandige oplossing is om alle toegangspunten plaats op dezelfde uitzending domein met behulp van VLAN's. Voor de uitvoering van deze oplossing, zakelijke netwerk-switches moeten ondersteunen ten minste statische VLAN-configuratie. Daarom moet het draadloze netwerk ontwerp wordt een eerste deel van het totale netwerk ontwerp, anders zou aanzienlijke extra middelen moeten worden besteed bij het krijgen van VLAN-enabled schakelaars in het stadium van WLAN-implementatie. We kunnen niet beschrijven gedetailleerd VLAN-technische installatie in dit artikel, omdat de commando's zal verschillen afhankelijk van uw schakelaar fabrikant. Maar we bieden u voorbeelden overweegt VLAN inzet en veilig draadloos netwerk voor positiebepaling en implementatie met behulp van verschillende Cisco-apparatuur. Dit is een kwestie van persoonlijke ervaring en we zijn niet verbonden met Cisco op geen enkele manier. Het gebruik van Cisco Catalyst switches en Aironet Access Points te optimaliseren Secure Wireless Network DesignEen interessante eigen VLAN toebehoren functie is de prive-VLAN's ondersteund door Cisco Catalyst 6000 switches. Stel je voor dat je draadloze cellen A, B, C en D, op hetzelfde VLAN, maar willen beperken roaming tussen de cellen, zodat gebruikers kunnen zwerven, hetzij A en B of C en D slechts en kan toegang tot het bekabelde netwerk alleen als geassocieerde met cel A. Deze manier kun je de WLAN-segment tussen het bedrijf afdelingen en verschillende fysieke locaties zonder invoering van aanvullende VLAN's en routers en het maken van de Layer 3 logische netwerk structuur ingewikkelder. Al deze mooie dingen mogelijk zijn met een eigen VLAN's, die Laag 2 beperking plaatsing: VLAN's in VLAN's mogelijk te maken. Er zijn drie soorten van private VLAN-poorten:
Niet verrassend, zijn er drie typen van prive-VLAN's. Primaire VLAN's voeren gegevens van promiscue havens geïsoleerd, gemeenschap, promiscue en andere havens. Geïsoleerde VLAN's voeren gegevens van geïsoleerd om promiscue havens. Ten slotte, de gemeenschap VLAN's voeren verkeer tussen enkele communautaire havens en promiscue havens. In aanvulling op de beveiliging die door private VLAN segmentatie, is er ook de mogelijkheid om VLAN write access control lists (VACLs) afzonderlijk toegewezen aan primaire of secundaire VLAN's. U hoeft niet een router te VACLs voeren; met een beleid Feature Card (PFC) voor uw Catalyst zal volstaan. Voor meer informatie over private VLAN's en VACL configuratie op Cisco Catalyst 6000 switches, bladert u naar http://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a008013565f.shtml en http://www.cisco.com/en/US/products/hw/switches/ps700/products_configuration_guide_chapter09186a008007f4ba.html. Interessant, ARP entries geleerd op Layer 3 private VLAN interfaces zijn "sticky ARP" items die niet vervallen en kunnen niet worden gewijzigd. Stel een AP aangesloten op de switch-poort op een prive-VLAN dat wordt aangesloten op de gateway via de promiscue poort. Een aanvaller beheert te associëren met de WLAN en lanceert een ARP spoofing-aanval op de gateway. Met een kleverige ARP in gebruik is, zou de CAM tabel niet gewijzigd worden door een dergelijke aanval en een log boodschap zou worden gegenereerd. Merk op dat om te voorkomen dat het gebruik van Mobile IP en roamende, hebben we het maken van een vreselijke security-wise draadloos netwerk inzet fout. Wij plug het toegangspunt in een schakelaar, voor een veilige draadloze gateway of op zijn minst een fatsoenlijke router met firewal mogelijkheden. De kleverige ARP corrigeert gedeeltelijk dit probleem door te voorkomen dat zowel op basis van ARP-man-in-the-middle-aanvallen en CAM tabel overflow. Toch is deze functie beperkt tot een bepaalde schakelaar merk op de dure kant. Op andere schakelaars u voor het configureren van MAC-filtering en de veiligheid van havens, wat betekent hard-codering van de MAC-adressen en de beperking van het aantal hosts mogen aansluiten op een poort. Merk op dat switch-poort veiligheid en MAC-filtering en access point MAC adres filtering zijn vergelijkbaar, maar niet hetzelfde. Zowel switch en AP MAC adres filtering kan worden omzeild door een legitiem kloppen draadloze host offline en speelt zijn MAC-adres. Echter, switch-poort zekerheid biedt een extra laag van de verdediging door deze te beschermen tegen vervalste MAC-adres ARP overstromingen. Wij willen Cisco Catalyst-switches want ze zijn heel gehackt (in de zin van "configureerbare"), dus we geven u een voorbeeld van een switch-poort veiligheid configuratie met behulp van katalysatoren. Op de IOS-style command-line interface (CLI) switches zoals Catalyst 1900, gebruik permanente MAC inzendingen voor een switch CAM tabel op te bouwen: abrvalk (config) # mac-adres-tafel permanente 0040.1337.1337 ethernet 0 / 4 Voer alle adressen die u nodig hebt, laten we zeggen 20. Dan bind het bedrag van de toegelaten verbindingen met het aantal vaste MK en definieer de genomen maatregelen als dat aantal wordt overschreden: abrvalk (config) # havenveiligheid actie val abrvalk (config) # havenveiligheid max-mac-count 20 abrvalk (config) # adres-schending schorten Met een dergelijke configuratie zou de poort worden opgeschort bij het ontvangen van een illegale MAC-adres frame en opnieuw ingeschakeld als een geldig MAC-adres frame is ontvangen. Een SNMP-trap de rapportage van de overtreding zou worden gestuurd. Natuurlijk kan een aanvaller een DoS aanval door voortdurend overstromingen van de haven door random MAC-adressen, maar die tijdelijk verbroken is beter dan laten de krakers in, en het knipperende alarm wordt geactiveerd. Het aantal MAC-adressen kunt u per poort op IOS-stijl CLI Catalyst-switches is 132. Op de Set / Clear CLI-switches, zoals Catalyst 5000, gebruik de set de veiligheid van havens commando: eblec> (enable) stellen de veiligheid van havens 2 / 1 staat eblec> (enable) stellen de veiligheid van havens 2 / 1 staat 0040.1337.1337 Voer alle 20 MAC-adressen die u wilt toestaan en dat aantal met fix eblec> (enable) stellen de veiligheid van havens 2 / 1 maximaal 20 Definieer de veiligheid schending actie: eblec> (enable) stellen de veiligheid van havens 2 / 1 overtreding beperken Dit commando vertelt de overstap naar de pakketten afkomstig uit de illegale MAC-adres gastheren daling, maar de poort blijft ingeschakeld. Zo is een MAC-adres overstroming DoS aanval tegen dergelijke schakelaars onmogelijk, indien goed geconfigureerd. Controleer de veiligheid van havens configuratie en statistieken met eblec> (kunnen) tonen aan de veiligheid van havens 2 / 1 Het bedrag van de statische ( "veilig" in een "ciscospeak") CAM tabel vermeldingen op Set / Clear CLI Cisco-switches is 1024 plus een extra beveiligde MAC-adres per poort. Deze pool van statische MAC's wordt gedeeld tussen alle switch poorten, dus als er 1.024 statische MAC-items op een enkele poort, zal de rest van de havens te gebruiken een statische MAC-entry. Als er 512 inzendingen, de rest van de havens moet het aandeel van de resterende 512 plus Een ander interessant aspect van het gebruik van Cisco-apparatuur voor zowel VLAN-configuratie en draadloze netwerken is per VLAN-WEP-of TKIP implementatie op Cisco toegangspunten. Dat klopt, kunt u verschillende WEP-of TKIP-toetsen en omschrijven verschillende TKIP uitzending sleutel rotatie intervallen voor verschillende VLAN's. Bijvoorbeeld, om een 128-bits WEP-sleutel op een Cisco Aironet 1200 access point worden gebruikt op VLAN 13 alleen, voer Aironet # configure terminal Aironet (config) # interface configureren dot11radio 0 Aironet (config-if) # encryptie vlan 13 modus cijfer WEP128 Aironet (config-SSID) # end Door het opsplitsen van de draadloze netwerk op verschillende VLAN's en het toewijzen van meerdere WEP-sleutels, kunt u de afname van de hoeveelheid verkeer versleuteld door een WEP-sleutel, waardoor kraken WEP moeilijker. Maar we raden u TKIP plaats. Het volgende voorbeeld configureert een Cisco Aironet 1200 access point tot de WPA-TKIP-protocol gebruiken verderop in deze tutorial en draai de uitzending de sleutels van iedere 150 seconden op 13 VLAN alleen: Aironet # configure terminal Aironet (config) # interface configureren dot11radio 0 Aironet (config-if) # encryptie vlan 13 modus cijfer TKIP Aironet (config-if) # broadcast-toets vlan 13 veranderen Aironet 150 (config-SSID) # end De mogelijkheid om verschillende toetsen op draadloze VLAN's hebben en veranderen ze op verschillende tijdstippen biedt betere scheiding en VLAN segmentatie en geeft extra flexibiliteit om de veiligheid-minded draadloos netwerk ontwerper. een artikel afkomstig van Hazrul Aaron
|
|||
|