安全的无线网络定位和vlan的
第二点是,在我们的安全政策清单,是网络的定位和分离。 如果有一个单一的接入点或无线网桥,对网络,其部署是直截了当:堵塞ip地址进入广域网接口的一个适当配置防火墙设备。 这种装置可以是一个复杂的商业无线网关,配置常见操作系统为基础的防火墙,甚至是一个苏豪防火墙,如思科pix 501或诺基亚的sonicwall 。 不过,如果多址接入点部署和用户可以自由漫游之间的这些接入点,配置变得更加复杂。 其中一个可能性是部署移动ip整个企业网络。 不过,这会令执行的第3层和较高vpn的一个重大问题。 解决这个问题确实存在,但在一定的安全水平,很可能会被牺牲,以提供客户端无缝漫游。 记得wavesec案件和kraker_jack攻击。 更常见和明智的解决办法是把所有的接入点就同一广播域使用vlan的。 实施这一解决方案,企业网络交换机都支持至少静态vlan的配置。 因此,无线网络的设计应该有一个初步的一部分,该网络的整体设计;否则,大量额外资源,可能要花费越来越虚拟局域网功能的开关在现阶段的无线局域网的部署。 我们不能描述详细的vlan设置的技术性问题,在这篇文章中,因为该命令将有所不同,视乎你的交换机制造商。 不过,我们认为你提供的例子,考虑vlan的部署和安全的无线网络定位和部署,运用多种思科设备。 这是一个属于个人的经验,和我们是不隶属于思科以任何方式。 使用思科催化剂交换机和的aironet接入点,以优化安全的无线网络设计一个有趣的专有vlan的强化特征是私人vlans支持思科催化剂6000个开关。 可想而知,你有无线细胞中的a , b , c和d对同一vlan的,但要限制漫游之间的细胞,使用户可以漫游无论是a和b或c和d只可以访问有线局域网,只有当与细胞甲这样你可以部分无线局域网之间的公司部门及不同的物理位置,没有引入额外vlans和路由器,使第3层合理的网络结构变得更加复杂。 所有这些美好的事物都可能与私人vlans ,使第2层的限制,安置: vlan的内部vlan的。 有三种私人vlan的端口:
毫不奇怪,有三种类型的私人vlans 。 小学vlan的携带数据,从滥交港口,以孤立的,社会的贡献,以及其他滥交的港口之一。 孤立vlan的携带数据从孤立的,以滥交的港口之一。 最后,社区开展的vlan间的交通单一社区港口和滥交的港口之一。 除了安全提供私人vlan的分割,也有一些选择写vlan的访问控制表( vacls )绘制分别向小学或中学vlan的。 你不需要有一个路由器,以落实vacls ;有一个政策专题卡(全氟化碳) ,为您的催化剂就够了。 为了更多地了解私人vlans和vacl配置思科6000个催化剂开关后,浏览到http://www.cisco.com/en/us/products/hw/switches/ps700/products_tech_note09186a008013565f.shtml和http:/ / www.cisco.com/en/us/products/hw/switches/ps700/products_configuration_guide_chapter09186a008007f4ba.html 。 有趣的是,在参赛作品中arp据悉,对第3层私人vlan的界面是"粘粘的arp "的作品,不到期不能有任何改变。 试想一个鸭堵塞,进入交换机端口对一个私人虚拟局域网连接到网关通过滥交的港口。 攻击者管理与之交往,无线局域网,并发射一个arp欺骗攻击网关。 具有粘性的arp在使用后,凸轮表将不会修改这种攻击和日志信息,将产生的。 注意,为了避免使用移动ip ,并提供漫游功能,我们故意作脸难看安全上的无线网络部署的错误。 我们堵塞接入点到交换机,而不是一个安全的无线网关或者至少是一个体面的路由器firewal能力。 棘手的arp部分纠正这个问题,既防止arp协议为基础的人在该中和锦雯表溢出攻击。 不过,这个特点是,只限于某一特定交换机品牌对昂贵的一面。 对其他开关,你必须配置陆委会过滤和港口的安全,这意味着硬编码的mac地址,并限制人数,主持人允许连接上一个港口。 注意交换机端口安全和mac过滤和接入点mac地址过滤类似,但不相同。 这两个开关及鸭mac地址过滤,可以绕过敲开一个合法的无线主机离线,并假设其mac地址。 不过,交换机端口安全提供额外的一层防御的保护儿童不受欺骗性mac地址arp的洪灾。 我们喜欢思科催化剂开关,因为他们都非常hackable (在一定意义上的"配置" ) ,所以,我们给你一个例子,交换机端口安全配置使用的催化剂。 对内部监督办公室式的命令行界面( cli的)开关等催化剂, 1900年,使用永久性陆委会作品,以建立一个开关凸轮表: abrvalk (配置) #的mac地址分配表永久0040.1337.1337以太网0 / 4 进入所有地址,你需要出租的说, 20 。 然后约束金额允许连接到一些常驻互助委员会,并确定所采取的行动,如果这一数字超过了: abrvalk (配置) #港口安全行动陷阱abrvalk (配置) #港口安全最大陆委会计数20 abrvalk (配置) #处理违反暂停 这样的一个配置港口将暂停时,接到一个非法的mac地址帧,并重新启用时,持有有效的mac地址帧收到。 一个snmp陷阱举报违规将被送往。 当然,攻击者可以导致拒绝服务攻击,不断泛滥的港口随机mac地址,但暂时断开总比让饼干,并闪动报警将触发。 数目mac地址,你可以进入每端口对内部监督办公室式cli的催化剂开关是132 。 关于设置/清楚cli的交换机如催化剂5000 ,使用既定港口保安司令部: eblec > (激活)设置港口安全2 / 1 ,使eblec > (激活)设置港口安全2 / 1 ,使0040.1337.1337 进入所有20 mac地址,你要允许和修补号码 eblec > (激活)设置港口安全2 / 1最高20 界定安全违规行动: eblec > (激活)设置港口安全2 / 1违反限制 这个命令告诉交换机放下邮包来自非法mac地址的主机,但该港口将仍然被激活。 因此,一个mac地址洪水拒绝服务攻击对这种开关是不可能的,如果适当地配置。 检查港口安全配置和统计数字 eblec > (使) ,显示港口安全2 / 1 数额静态( "可靠" ,在一份" ciscospeak " )凸轮表作品集/清晰的来电线路识别思科交换机是1,024加一额外的安全mac地址,每端口。 这一池的静态互委会是两国共同所有交换机端口,所以如果有1,024静态陆委会作品就一个单一的港口,其余的港口,将有机会使用一个单一的静态陆委会入境。 如果有512个参赛作品,其余的港口必须分担其余的512多<amount剩余开关ports>静态互助委员会。 另一个有趣的方面使用思科设备都vlan的配置和无线网络是每虚拟局域网的wep或tkip部署思科接入点。 你没看错,您可以设定不同的wep或tkip钥匙,并界定不同tkip播出关键轮换间隔为不同vlan的。 例如,要订出一个128位wep关键就思科的aironet 1200个接入点,以用于对vlan的13只,进入 的aironet #配置终端的aironet (配置) #配置接口dot11radio 0的aironet (配置-如果) #加密的vlan 13模式密码wep128的aironet (配置-的ssid ) #结束 由分裂无线网络上的不同vlan的,并指派多的wep键,您可以减少数据量将加密的,由一个单一的wep关键,决策的wep打击更加困难。 然而,我们强烈建议使用tkip代替。 下面的例子配置一个思科的aironet 1200个接入点,以利用湿法磷酸tkip叙述议定书后,在本教程中,并轮流播放的关键,每150秒就vlan的13只: 的aironet #配置终端的aironet (配置) #配置接口dot11radio 0的aironet (配置-如果) #加密的vlan 13模式密码tkip的aironet (配置-如果) #广播关键的vlan 13改变150的aironet (配置-的ssid ) #结束 有机会以各种钥匙无线vlans和变化,他们在不同的时间间隔提供了更佳的vlan分离和分割,并赋予更多的灵活性,向安全理事会志同道合的无线网络设计师。 这是一篇文章说,由hazrul阿伦
|
|||
|