Vispārīgi ieteikumi bezvadu tīklu veidošanai

[niki]

[img]https://www.bildites.lv/images/v3ui6kgxwa2ljis7z9w.jpg[/img]

Kas būtu jāņem vērā, ja savā uzņēmumā vai iestādē esat nolēmuši izveidot bezvadu tīklu? Š ajā rakstā esam centušies apkopot svarīgākās lietas, par kurām būtu jādomā, lai bezvadu tīkls būtu ne tikai ērts lietošanai, bet arī drošs un uzticams.

Pirms bezvadu tīkla izveides iesakām sagatavot dokumentētu risku analīzi, kurā izsvērti iespējamie riski pretstatā bezvadu tīkla sniegtajām priekšrocībām. Riski katrā organizācijā var būt atšķirīgi, tāpēc novērtējums jāveic cilvēkiem, kam ir zināšanas par organizācijas darbību, esošo infrastruktūru, informācijas sistēmām un to darbību. Š…emot vērā organizācijas specifiku un ierobežotas pieejamības informācijas varbūtēju pieejamību elektroniskā formā, iesakām rakstisku saskaņojumu ar organizācijas atbildīgajām personām par bezvadu tīkla infrastruktūras izveides nepieciešamību.

Ieteikumi svarīgākajās jomās

1. Tehnoloģija.

Iesakām izmantot 802.11b un 802.11g standartus no IEEE 802.11 bezvadu datortīklu standartu kopas:

* 802.11b darbojas 2,4 GHz frekvencē, izmantojot DSSS modulāciju. Fiziskā slāņa datu pārraides ātrums ir līdz 11Mb/s;

* 802.11g darbojas 2,4GHz frekvencē, izmantojot OFDM modulāciju. Fiziskā slāņa datu pārraides ātrums ir līdz 54Mb/s.

(Bezvadu tīkla iekārtas var darboties abos režīmos vienlaicīgi – 802.11 b/g, nodrošinot labāku saderību ar klienta gala aparatūru.)

802.11n ir jaunāks bezvadu datortīklu standarts, kas darbojas gan 2.4GHz, gan 5GHz frekvencēs, signāla saņemšanai un sūtīšanai pielietojot vairākas antenas vienlaicīgi. Tajā tiek izmantota OFDM modulācija. 802.11n sniedz iespēju veikt datu pārraidi ātrāk (teorētiski līdz pat 600 Mbit/s) un lielākos attālumos. Izvēloties šo standartu, ieteicams pievērst uzmanību aparatūras un programmatūras savietojamībai, jo ir zināmi nesaderības gadījumi.

2. Bezvadu iekārtu pieslēgums.

Iesakām šādus pasākumus:

* Jāparedz tīkla infrastruktūras loģiska un/vai fiziska segmentācija;

* Bezvadu tīkls klientiem ir jānodala atsevišķā domēnā (VLAN);

* Jānosaka piekļuves kontroles saraksts pieslēgumiem, ko drīkst veikt bezvadu tīkla lietotāji ārpus sava domēna;

* Jānosaka piekļuves kontroles saraksts pieslēgumiem, kas atļaujami uz bezvadu tīkla lietotāju tīklu;

* Administratīvām vajadzībām jāizveido atsevišķs tīkls, kas ir nošķirts un kam tiek realizēta piekļuves kontrole;

Jāuzstāda drošas paroles visām aparatūras vienībām, kuras iespējams administrēt;

* Bezvadu raidierīču pārklājums jānodrošina tikai tajās vietās, kur tas nepieciešams, un jāapzina signāla noplūdes riski ārpus noteiktās teritorijas.

3. Bezvadu datu kanāla šifrēšana.

Drošai bezvadu datu plūsmas šifrēšanai iesakām izmantot 802.11i WPA2, pielietojot AES šifrēšanu. Citi šifrēšanas mehānismi (WEP, WPA + TKIP) ar dažādām variācijām nav uzskatāmi par drošiem. Visiem nevajadzīgajiem protokoliem ir jābūt atslēgtiem un nepieejamiem.

4. Autentifikācija / piekļuves kontrole bezvadu tīklam.

* Ieteicams pielietot 802.1X autentifikācijas mehānismus ar EAP / RADIUS protokoliem un to metodēm (PEAP-TLS; EAP-TTLS/MSCHAPv2; PEAP/EAP-MSCHAPv2;), realizējot centralizētu Internet autentifikācijas servisu uz šim mērķim izdalīta servera;

* Autentifikācijas vai servisa piekļuves kontroles serviss ir atbilstoši jāaizsargā;

* Bezvadu tīkla infrastruktūrai jābūt loģiski izolētai no esošā tīkla infrastruktūras;

* Ja ir paredzēta bezvadu tīkla lietotāju piekļuve iekšējiem resursiem, to vajadzētu realizēt, izmantojot VPN savienojumu. Jāizvērtē šādas piekļuves nepieciešamība un riski.

5. Žurnālfailu uzturēšana.

* Ieteicams regulāri uzturēt infrastruktūras žurnālfailus;

* Autentifikācijas servera žurnāls var būt noderīgs gan anomāliju, gan leģitīmu lietotāju problēmu gadījumu risināšanā;

* Tīkla noslodzes datu žurnalēšana var palīdzēt identificēt anomālijas, kā arī sniegt papildu informāciju pēc jau notikuša incidenta.

6. Topoloģija.

Visticamākā bezvadu tīkla topoloģija būtu koka (angļu val. tree) topoloģija, kā arī zvaigznes topoloģija. Atkarībā no tā, kā tiks plānota tīkla izveide, šis lēmums ir jāpieņem instalāciju projektētājam.

[img]https://www.bildites.lv/images/x2r2ymajmye7d6048p.jpg[/img]

Avots.

[Andron MacBeton]

Kāda jēga iztulkot un iepostēt šitādu bezjēdzīgu samurgojumu?

Pirmkārt, parastai Point-multipoint apraidei mājās/ofisā – G-only!

Otrkārt, kur mājās vaimazā ofisā vajag kaukādu radius? WTF? WPA2-AES only!

Treškārt, ja zini ka kāds varētu gribēt tevi čakarēt tad noslēp zonu (hide SSID)!

Ceturtkārt, beacon interval smuks cipars ir 666. neprasi.

Piektkārt, sakārto bardaku ar defaulto DHCP! Nav vajadzības pēc 100-199 poola ja pieslēgti ir 3 kompji.

Un UPnP ar ieslēgt vajag, lai nebūtu stulbi jautājumi tjipo – kāāpēc man skaips tik lēni sūta fāāāilus?

[drunk_lizard]

“nosleep zoonu”… speciaalists…

[Autors]

Ieraksti