안전한 무선 네트워크를 포지셔닝하고 vlans
그 다음 지점에 대한 보안 정책의 점검은 네트워크를 포지셔닝 및 분리합니다. 가있는 경우에는 단일 액세스 포인트 또는 무선 브리지에있는 네트워크, 그 전개는 간단합니다 : 플러그 주소를 백조의 인터페이스는 적절하게 구성된 방화벽 장치입니다. 이러한 장치가 될 수있다 정교한 상업용 무선 게이트웨이, 구성된 일반적인 운영 체제 - 기반 방화벽, 심지어는 소호 방화벽이 같은 시스코 pix 501이나 노키아 sonicwall. 그러나, 여러 개의 액세스 포인트가 배치된 경우와 사용자가 허용하여 로밍 자유롭게 사이의 이러한 aps,이 구성이 더 복잡합니다. 하나의가 능성은 모바일 ip 전역의 기업 네트워크를 배포합니다. 그러나 이렇게하면 다른 사용자의 구현에 레이어 3 및 높은 vpn에 큰 문제가됩니다. 이 문제는 무엇을위한 솔루션이 존재하지만, 일정 수준의 보안을가 능성이 원활하게 클라이언트가 로밍을 제공하기 위해 희생된다. 소환 wavesec 케이스와 kraker_jack 공격을합니다. 좀 더 일반적인하고 최적화하는 합리적인 솔루션이가 자리를 같은 브로드 캐스트 도메인을 사용하는 모든 액세스 포인트를 구성합니다. 이 솔루션을 구현, 기업 네트워크 스위치가 지원 적어도 정적 vlan 구성합니다. 이에 따라 무선 네트워크를 설계해야한다 초기 부분에 대한 전체적인 네트워크 디자인; 그렇지 않으면, 상당한 추가 리소스를 지출해야 할 수있습니다 vlan - 활성화된 스위치를 얻기에 무대의 wlan 전개합니다. 우리는이 문서에 대한 설명이없습니다 상세한 vlan 설치 프로그램을 기술하기 때문에 명령을하면 귀하의 스위치 제조 업체에 따라 차이가있습니다. 그러나, 우리가 무엇을 제공할 수와 예제를 감안 vlan 배포 및 안전한 무선 네트워크 포지셔닝 및 배포를 사용하여 다양한 시스코 장비입니다. 이것은 개인적인 경험과 우리의 문제와 아무런 관련이없습니다 시스코에는 어떤 방식입니다. 시스코 촉매를 사용하여 스위치와 액세스 포인트를 최적화된다 안전한 무선 네트워크 설계흥미로운 독점 vlan 향상된 기능은 민간 멀티가 지원하는 시스코 촉매 6000 스위치입니다. 상상을했는지 무선 세포 a 스페인 바르셀로나, c, 그리고 개발을 같은 vlan하지만, 로밍 사이의 세포를 제한할 수 있도록 사용자가 볼 수 로밍 중 하나와 b, c와 개발에만와 연관된 경우에만 액세스할 수있습니다 유선 랜 이 방법으로 세포 대답 분류할 수있습니다가 wlan 사이에 회사 부서 및 다른 물리적 위치를 도입하지 않고 추 구성 및 라우터와 만들기 계층 3 논리 네트워크 구조가 더 복잡합니다. 이러한 모든 멋진 일들이가 능하다와 함께 민간 구성을 허용 계층 2 제한을 게재 위치 : 멀티 이내 구성합니다. 지 삼가지 민간 vlan 포트 :
되지 놀랍게도,이 세 종류의 사립 구성합니다. 기본 구성 운반의 데이터를 promiscuous 포트를 격리, 커뮤니티, 기타 promiscuous 포트가있습니다. 절연 구성 운반의 데이터를 격리를 promiscuous 포트가있습니다. 마지막으로, 커뮤니티를 구성 운반 트래픽을 사이에 하나의 커뮤니티를 포트와 promiscuous 포트가있습니다. 이외에 보안이 제공하는 개인 vlan 세분화, 또한 옵션을 쓰기 vlan 액세스 제어 목록 (vacls) 맵핑을 별도로 기본 또는 보조 구성합니다. 하실 필요가없습니다 라우터를 구현 vacls; 하나의 정책 기능을 카드 (고조파 성분)에 대한 귀하의 촉매하면 충분할 것입니다. 에 대한 자세한 내용은 개인 구성과 vacl 구성에 시스코 6000 촉매 스위치, 찾아보기를 http://www.cisco.com/en/us/products/hw/switches/ps700/products_tech_note09186a008013565f.shtml 및 http:/ / www.cisco.com/en/us/products/hw/switches/ps700/products_configuration_guide_chapter09186a008007f4ba.html. 흥미롭게, arp 항목을 배운에 계층 3 사립 vlan 인터페이스는 "스티커 arp"항목이 만료되지 않는다 변경할 수없습니다. 상상 an 통신은 스위치 포트에 꽂으하는 개인 vlan promiscuous 포트를 통해 게이트웨이에 연결되는입니다. 공격자가 관리와 연관있는 wlan 및 발사 an arp 스푸핑 공격의 관문입니다. 함께 스티커 arp에서 사용을 cam 표는 이러한 공격에 의해 수정되지 않을 수와 로그 메시지가 될 올렸습니다. 유의 사용을 피하는 모바일 ip를 제공할 로밍, 우리가 일부러 만들 아주 나쁨 보안 - 현명한 무선 네트워크 배포가 실수를합니다. 우리가 플러그의 액세스 포인트로 전환, 없다는 안전한 무선 게이트웨이 또는 최소한 한 괜찮은 라우터와 함께 firewal 능력입니다. 이 문제를 부분적으로 해결해가 스티커 arp arp - 기반 남자 -에 방해가 모두 -는 - 중간과 cam 표 오버플로 공격을합니다. 그러나,이 기능은 제한을 특정 스위치 브랜드의 비싼 측면입니다. 다른 스위치에서 mac 필터링 및 포트를 구성할 수있는 보안, 즉 하드 - 코딩가 mac 주소와 호스트를 허용 수를 제한합니다에있는 포트에 연결합니다. 참고 :이 스위치 포트 보안 및 mac 필터링 및 액세스 포인트 mac 주소를 필터링은 비슷하지만 아니라는 동일합니다. 모두 스위치 및 통신 mac 주소를 필터링하여 무시할 수있습니다 knocking는 합법적인 무선 호스트를 오프라인으로 정하고 그 mac 주소입니다. 그러나, 스위치 포트 보안을 제공하는 추가 계층의 방위에 의해 보호 스푸핑 mac 주소가 arp 홍수 반대합니다. 우리는 시스코 촉매 스위치처럼되어 있기 때문에 매우 hackable (의 감각은 "구성"), 그래서 우리가 제공할 수있습니다 스위치 포트 보안 구성을 사용하여 촉매의 예입니다. 일 ios - 스타일 명령 - 라인 인터페이스 (cli) 스위치와 같은 촉매 1900 년 사용 영구 mac 항목을 작성하는 스위치 cam 테이블 : abrvalk (구성) # mac - 주소 - 테이블을 영구 0040.1337.1337 이더넷 0 / 4 모든 주소를 입력하실 필요가 - 봅시다 20. 그런 다음 바인딩의 양을 허용된 연결을 수의 영구 mac을 정의하는 조치가있는 경우 번호가 초과된 경우 : abrvalk (구성) # 포트 보안 조치를 트랩 abrvalk (구성) # 포트 보안 맥스 - mac - 카운트 20 abrvalk (구성) # 주소 - 위반이 일시 중단 와 같은 구성의 포트는 불법 mac 주소가 프레임을 받게되면 일시 중단하고 다시 - 활성화된 경우는 유효한 mac 주소를 프레임은 수신합니다. an 라이언 트랩 리포팅을 위반한 것이 보냈다. 물론, 공격자 수있습니다 dos 공격으로 인해 지속적으로 홍수가 포트에 의해 무작위 mac 주소,하지만되고 일시적으로 끊어진입니다 분들께보다 나은가 크래커에, 그리고 깜박이는 알람이 발생합니다. 의 수를 mac 주소를 입력하실 수있습니다 당 포트에 ios - 스타일 cli 촉매 스위치는 132입니다. 를 설정 / 취소 cli 스위치와 같은 촉매 5000,를 사용하여 설정할 포트 보안 명령 : eblec> (활성화)로 설정 포트 보안 2 / 1을 활성화 eblec> (활성화)로 설정 포트 보안 2 / 1을 활성화 0040.1337.1337 허용하려는 모든 20 mac 주소를 입력하고 수정하는 번호를 사용하여 eblec> (활성화)로 설정 포트 보안 2 / 일 최대 20 보안 위반이 동작을 정의합니다 : eblec> (활성화)로 설정 포트 보안 2 / 1 위반을 제한할 이 명령을 지시합니다에서 오는 패킷은 스위치를 놓지 불법 mac 주소를 호스트하지만 포트를 그대로 남아있게됩니다 활성화되어있습니다. 따라서, 맥 주소 홍수 dos 공격 같은 스위치는 불, 제대로 구성하면됩니다. 수표의 포트 보안 구성 및 통계와 함께 eblec> (활성화)를 표시 포트 보안 2 / 1 해당 금액의 정적 ( "보안"에 대한 "ciscospeak") cam 테이블 항목에 대한 설정 / 지우기 cli 시스코 스위치는 1,024 더하기 하나 더 안전한 mac 주소 당 포트입니다. 이 수영장의 정적 mac이 공유 사이의 모든 스위치 포트, 그래서 경우에는 1,024 정적 mac 항목에 대한 단일 포트, 나머지는 포트를 갖는다를 사용하려면 하나의 정적 mac 항목입니다. 경우에는 512 항목, 나머지는 포트를 공유해야합니다 나머지 512 플러스 <amount의 나머지 스위치 ports> 정적 mac. 시스코 장비를 사용하는 또 다른 흥미로운 측면에 모두 vlan 구성과 무선 네트워킹이 당 - vlan wep 또는 작업 배포에 대한 시스코 액세스 포인트입니다. 맞습니다 서로 다른 wep 또는 작업을 설정할 수있습니다 키 및 정의를 서로 다른 작업 브로드 캐스트 키 로테이션 간격에 대한 서로 다른 구성합니다. 예를 들어,을 설정하는 128 - 비트 wep 키에있는 시스코된다 1200 액세스 포인트에 사용하도록 vlan 13서만를 입력 된다 # 구성 터미널된다 (구성) # 구성 인터페이스를 dot11radio 0된다 (구성 -면) # 암호화 vlan 13 모드 암호 wep128된다 (구성 - ssid) # 끝 분리하여 무선 네트워크 방면 서로 다른 구성 및 할당 여러 개의 wep 키, 암호화된하는 트래픽의 양을 줄일 수있습니다 단일 wep 키, 제작 wep 크래킹가 더 어렵습니다. 그러나, 작업 대신 사용하는 것이 좋습니다. 다음 예제를 구성 a 시스코된다 1200 액세스 포인트를 사용하려면 뒷부분에서 설명 wpa하는데 프로토콜이 튜토리얼 및 회전의 방송 키 매 1백50초에 vlan 13 만 : 된다 # 구성 터미널된다 (구성) # 구성 인터페이스를 dot11radio 0된다 (구성 -면) # 암호화 vlan 13 모드를 암호화하는데된다 (구성 -면) # 브로드 캐스트 - 키 vlan 13 변경 150된다 (구성 - ssid) # 끝 수있는 기회가 여러 키에 무선 구성 및 변경 이들은 서로 다른 간격을 제공 나은 vlan 분리 및 세분화하고 유연성을 부여 부의 보안 - 마음 무선 네트워크 디자이너입니다. 이것은 문서들 의해 hazrul 아론
|
|||
|