Shunday qilib, siz simsiz adapter sotib oldingiz, uni tarmoqqa ulab, internetga ulanishni o'rnatdingiz va siz to'liq simsiz erkinlikka egasiz
Download 156.54 Kb.
|
kiber
- Bu sahifa navigatsiya:
- SSIDni yashirish
|
MAC-manzilni filtrlash
Mahalliy tarmoqlarni MAC manzillari orqali filtrlash sifatida himoya qilishning bunday usuli juda samarali. MAC-manzil, tarmoq interfeysining yagona raqamidir (tarmoq kartasi). Shunday qilib, ishonchli qurilmalarning MAC manzillarini oldindan bilish orqali simsiz tarmog'ingizni xavfsizligini sozlashingiz mumkin. Biroq, zamonaviy MAC manzilini zamonaviy tarmoq uskunalari bilan almashtirganingiz uchun tarmoqdagi ma'lumotlarni himoya qilish usuli samarasiz bo'lishi mumkin. Axir, agar buzg'unchiga biron-bir tarzda ishonchli qurilmaga kirish imkoni bo'lsa, u o'zining MAC-manzilini nusxalashi mumkin va keyinchalik uni boshqa qurilmadan tarmoqqa kirish uchun ishlatishi mumkin (agar u, albatta, MAC-manzilini o'zgartirishni qo'llab-quvvatlasa). Biroq, bu usul boshqalar bilan birga ishlatilishi mumkin va shu bilan simsiz tarmoq himoyasini kuchaytiradi. SSIDni yashirish Biror narsalarni kesish uchun, siz ko'rishingiz kerak bo'lgan narsa, yoki hech bo'lmasa uning borligi haqida bilish kerak. Agar ushbu usul mahalliy tarmoqni himoya qilishga mos kelmasa (simlarni yashirishga urinib ko'ring), unda simsiz tarmoqlarni himoya qilish uchun bu juda yaxshi usul. Aslida kirish nuqtasi, odatda, SSID - simsiz tarmoq identifikatorini uzluksiz uzatadi. Tarmoq noutbukingiz yoki kommunikatoringizning tarmoq kartasini ogohlantiruvchi ushbu identifikator, yangi simsiz tarmoq aniqlanganligini bildiruvchi xabar paydo bo'lganda. SSID tarqatilishini bekor qilish, tarmoqni kashf qilishning printsipial jihatdan mumkin emasligiga qaramasdan, tajovuzkorni uni aniqlash va hatto bunday tarmoqqa ulanish ham qiyinlashadi. Shu bilan birga, tarmoqlarda axborotni himoya qilishning ushbu uslubi muayyan kamchiliklarga ega: yangi qurilmalarni mavjud simsiz tarmoqqa ulaganda siz tarmoqning nomini qo'lda kiritishingiz kerak bo'ladi. Umuman olganda, VPN kabi axborotni himoya qilishning ushbu usuli simsiz tarmoqlarni himoya qilish uchun emas, balki uzoq masofali lokal tarmog'iga Internet orqali xavfsiz ulanishni o'rnatish uchun ixtiro qilingan. Biroq, bu texnologiya simsiz tarmoqlarda katta ishlaydi va mahalliy tarmoqlarni himoya qilish uchun ajoyib. Bunday holda, simsiz tarmoqning o'zi boshqa himoyadan butunlay mahrum bo'lishi mumkin, ammo u ochiq resurslarga ega bo'lmaydi - barcha himoyalanmagan resurslar virtual tarmoq ichida, faqat interfeysga faqat simsiz tarmoq orqali kirish mumkin. Zamonaviy shifrlash algoritmlari kompyuter tarmog'ida bunday ulanishning yuqori darajadagi qarshiligini va ishonchli axborot muhofazasini ta'minlaydi. Simsiz tarmoqlarni himoya qilish mavzusi juda kengdir, lekin tarmoqlar bo'yicha axborotni muhofaza qilishning umumiy qoidalari asosan bir xil. Agar siz kompyuter tarmoqlarini himoyalashga qarshi chidamli bo'lishni istasangiz, himoya qilishning bir necha usullarini birlashtirish kerak. Ko'p qavatli lokal tarmoqni himoya qilish tizimi (SSID, MAC-manzilni filtrlash va VPN orqali ma'lumotlarni uzatish) bo'yicha eng ilg'or shifrlash opsiyasi kombinatsiyasi kompyuter tarmoqlarida samarali axborot muhofazasini ta'minlaydi. Biroq, samaradorlikni ta'minlashda, himoya qilish va qulaylik ishonchliligi o'rtasida muvozanatni saqlashga harakat qiling - sizning simsiz tarmoqingizdagi turli tekshiruvlar va to'siqlar qanchalik qiyin bo'lsa, undan foydalanish kerak. Shuning uchun, mahalliy tarmoqni himoya qilish haqida fikr yuriting, tarmoqdagi hackerlar hujumi ehtimoli haqida o'ylang - tarmoqni asossiz himoya qilish choralari bilan haddan ortiq yuklamaslik kerak, bu esa ishlashga salbiy ta'sir ko'rsatishi va tarmoqli kengligi yo'qolishiga olib kelishi mumkin. Zamonaviy simsiz yechimlar tarmog'ida amalga oshirishning juda tez sur'atlari sizning ma'lumotlaringizni ishonchliligini o'ylaydi. Simsiz ma'lumotlarni uzatish printsipi, kirish nuqtalariga ruxsatsiz ulanish imkoniyatlarini o'z ichiga oladi. Xavf talab qiladigan xavf - uskunalar o'g'irlanishi ehtimoli. Agar simsiz tarmoq xavfsizligi siyosati MAC manzillariga o'rnatilgan bo'lsa, tajovuzkor tomonidan o'g'irlangan tarmoq kartasi yoki kirish nuqtasi tarmoqqa kirishni ochishi mumkin. Ko'pincha, kirish nuqtalarini LANga ruxsatsiz ulanishi xodimlarning o'zlari tomonidan amalga oshiriladi, ular himoya haqida o'ylamaydilar. Bunday muammolarni hal qilishni keng qamrovli muhokama qilish kerak. Tashkiliy tadbirlar har bir aniq tarmoqning ish sharoitlari asosida tanlanadi. Texnik chora-tadbirlar bo'yicha asboblarni majburiy o'zaro autentifikatsiya qilish va faol boshqarish vositalarini joriy etishda juda yaxshi natijalarga erishiladi. 2001 yilda haydovchilar va dasturlarni dastlabki tadbiq qilish WEP shifrlashiga bardosh berdi. Eng muvaffaqiyatli - PreShared Key. Lekin u faqat kuchli shifrlash va yuqori sifatli shifrlarni muntazam almashtirish bilan yaxshi bo'ladi (1-rasm). Shakl 1 - shifrlangan ma'lumotlarni tahlil qilish algoritmi Himoya qilishning hozirgi talablari Autentifikatsiya Hozirgi vaqtda simsiz qurilmalar, shu jumladan turli xil tarmoq uskunalarida, 802.1x standartida aniqlangan tekshiruvni amalga oshirgunga qadar, foydalanuvchining hech qanday ma'lumotni qabul qila olmasligi va uzatolmagunga qadar, yanada zamonaviy autentifikatsiya qilish usuli keng qo'llaniladi. Bir nechta ishlab chiquvchi EAP-TLS va PEAP protokollaridan foydalangan holda, Cisco Systems o'zlarining simsiz tarmoqlari uchun quyidagi protokollarni taqdim etadi: EAP-TLS, REAP, LEAP, EAP-FAST. Barcha zamonaviy autentifikatsiya usullari dinamik kalitlarni qo'llab-quvvatlashni o'z ichiga oladi. LEAP va EAP-FASTning asosiy kamchiliklari - bu protokollar, asosan, Cisco Systems uskunasiga tegishli (2-rasm). Shakl 2 - TKIP-PPK, MIC va WEP shifrlash yordamida 802.11x paketining tuzilishi. Shifrlash va yaxlitlik 802.11i tavsiyalaridan kelib chiqqan holda, Cisco Systems har paketada RPC shifrlash kalitini (Per Packet Keying) o'zgartirishni va xabar butunligini tekshirish xabarlarining butunligini monitoringini ta'minlaydigan Vaqtinchalik Integrity Protocol (TKIP) ni joriy etdi. Boshqa umid beruvchi shifrlash va yaxlitlik protokoli AES (Advanced Encryption Standard). DES ga va GOST 28147-89ga qaraganda yaxshi kriptografik kuchga ega. U ham shifrlash, ham butunlikni ta'minlaydi. Unda qo'llanilgan algoritm (Rijndael) ma'lumotlarning kechiktirilishi va protsessor yukini kamaytirish uchun juda muhim ahamiyatga ega bo'lgan yoki qo'llanilishi yoki ishlatilishida katta resurslarni talab qilmaydi. Simsiz LAN uchun xavfsizlik standarti 802.111i. Wi-Fi Protected Access (WPA) standarti 802.11x tarmoqlarida ma'lumotlarni himoyalashni ta'minlaydigan qoidalar majmui. 2003 yil avgust oyidan boshlab WPA standartlariga muvofiqligi Wi-Fi sertifikatlangan asboblar uchun majburiy talab hisoblanadi. WPA spetsifikatsiyasi o'zgartirilgan TKOP-PPK protokolini o'z ichiga oladi. Shifrlash bir nechta tugmalar birikmasi bo'yicha amalga oshiriladi - oqim va keyingi. IV uzunligi 48 bitgacha ko'tariladi. Bu axborotni himoya qilish bo'yicha qo'shimcha chora-tadbirlarni amalga oshirishga imkon beradi, masalan, qayta ulanish, qayta takrorlash uchun talablarni kuchaytirish. Ta'riflar 802.1x / EAP va umumiy almashinuv autentifikatsiyasi va, albatta, kalitlarni boshqarish uchun yordam beradi. Jadval 3 - Xavfsizlik siyosatini amalga oshirish usullari 3-jadvalni davom ettirish Zamonaviy uskuna va dasturiy ta'minotdan foydalanishga qaramasdan, 802.11x seriyali standartlarga asoslangan xavfsiz va hujumga chidamli simsiz tarmoqni yaratish mumkin. Deyarli har doim simsiz tarmoq simli qurilmaga ulangan va bu simsiz aloqa kanallarini himoya qilish zarurligiga qo'shimcha ravishda kabeli tarmoqlarda himoya qilishni ta'minlashi kerak. Aks holda, tarmoq parchalanish himoyasiga ega bo'lib, mohiyatan xavfsizlikka tahdid soladi. Wi-Fi sertifikatiga ega bo'lgan uskunani ishlatish tavsiya etiladi, ya'ni WPA mosligini tasdiqlaydi. 802.11x / EAP / TKIP / MIC va dinamik kalitlarni boshqarish kerak. Aralash tarmoqlarda VLANlarni ishlating; tashqi antennalar bilan VPN texnologiyasi qo'llaniladi. Protokol va dasturni muhofaza qilish usullarini hamda ma'muriy usullarni birlashtirish kerak. Download 156.54 Kb. Do'stlaringiz bilan baham: 
|