Z poradnika administratora

Ochrona dostępu do sieci bezprzewodowej... Nazwy urządzeń sieciowych... Jak zasilać telefony VoIP?... Skąd jest ten mail?...

Ochrona dostępu do sieci bezprzewodowej... Nazwy urządzeń sieciowych... Jak zasilać telefony VoIP?... Skąd jest ten mail?...

Ochrona dostępu do sieci bezprzewodowej

Pytanie: Sieć bezprzewodowa staje się coraz bardziej istotna dla naszej firmy. Większość sprzętu bezprzewodowego wykorzystywanego w naszej infrastrukturze pracuje w trybie G, ale posiadamy także punkty dostępowe pracujące w trybie B. Część sprzętu B nie może zostać wymieniona ze względu na koszty. Moje pytanie dotyczy sposobu zapewnienia ochrony wszystkiego co istnieje w sieci i jest bezprzewodowe. Czy warto do omawianej struktury wprowadzić kontroler sieci bezprzewodowej?

Odpowiedź: Po pierwsze warto wykonać inwentaryzację wszystkich aktualnie wykorzystywanych urządzeń i punktów bezprzewodowych. Należy zapisać typ każdego pracującego urządzenia bezprzewodowego, obsługiwany typ szyfrowania, długość klucza szyfrującego. Dobrym pomysłem może być także spisanie wersji sterowników wykorzystywanych przez karty bezprzewodowe i oprogramowania używanego w punktach dostępowych.

<a href="https://http://www.grc.com/passwords.htm">Generator losowych kluczy szyfrujących</a>

Generator losowych kluczy szyfrujących

Użycie bezprzewodowego kontrolera może być najlepszą drogą do uzyskania oczekiwanych efektów, ale ta droga będzie dość kosztowna. Mając spis wykorzystywanych urządzeń warto sprawdzić, czy wybrany kontroler będzie obsługiwał te urządzenia. Jeżeli posiadamy punkty dostępowe pochodzące od jednego producenta, korzyści z zastosowania kontrolera mogą być znaczne. Zarządzanie wieloma punktami dostępowymi staje się łatwiejsze. Rozwiązanie takie jest jednak sensowne przy dużej liczbie punktów dostępowych. Trudno będzie jednak wprowadzić kontroler do środowiska zdecydowanie zróżnicowanego sprzętowo. Najczęściej taka operacja będzie wymagała zmiany części lub większości punktów dostępowych. W przypadku gdy nie mamy odpowiednich funduszy na przebudowę infrastruktury, warto zastosować kilka środków pomocniczych.

Byłoby miło pracować wyłącznie ze sprzętem G, ale w rzeczywistości niektóre urządzenia mogą obsługiwać pewne aspekty bezpieczeństwa wyłącznie przy pracy w trybie B. W takich przypadkach pomocne może być użycie wielokrotnego SSID. Jeden z SSID mógłby wówczas pracować w trybie B, natomiast inny mógłby pracować w trybie G. W takiej konfiguracji możemy także skonfigurować część sieci do korzystania z szyfrowania WPA oraz część do korzystania z szyfrowania WEP.

Innym istotnym krokiem w kierunku bezpieczeństwa jest nieużywanie SSID, który jednoznacznie identyfikuje lokalizację sieci bezprzewodowej lub firmy, do której należy. Wyłączenie rozgłaszania identyfikatora SSID jest kolejnym ważnym krokiem zapobiegającym przyłączaniu się do wyszukanej sieci bezprzewodowej. Taką informację można zdobyć powszechnie dostępnymi narzędziami, ale po co ułatwiać sprawę intruzowi. Bardzo ważne jest użycie możliwie najbardziej skomplikowanego klucza szyfrującego WEP lub WPA. Niezależnie od tego, czy używamy do szyfrowania klucza WEP czy WPA, sugerujemy odwiedzenie strony:

https://www.grc.com/passwords.htm

na której zdobędziemy najtrudniejsze do złamania klucze szyfrujące. Dobrą zasadą jest użycie możliwie najbardziej skomplikowanego klucza szyfrującego. Złamanie klucza pobranego z tej strony będzie bardzo trudne.

Możemy także włączyć filtrację adresów MAC, uwierzytelnianie adresów MAC (może nie działać poprawnie z niektórymi implementacjami WPA/WPA2). Inne zaawansowane opcje, jak RADIUS, pozwalają wprowadzić dodatkowe restrykcje dla bezprzewodowego dostępu urządzeń do sieci. Warto odseparować poszczególne SSID pomiędzy różne sieci lub VLAN, jeżeli posiadane punkty dostępowe i infrastruktura sieciowa będą oferowały taką funkcjonalność.

Nie ma złotego środka rozwiązującego wszystkie problemy. Wszystko zależy od przyjętej polityki bezpieczeństwa oraz budżetu przeznaczonego na infrastrukturę sieciową.

Nazwy urządzeń sieciowych

Pytanie: Sieć w mojej firmie rozwija się na tyle szybko, że pokrywa zasięgiem kilka pięter w kilkunastu budynkach. Rozwój sieci pociąga za sobą wzrost liczby urządzeń sieciowych, które nazywane są prostą etykietą "router" lub "switch". Pojawiają się problemy z identyfikacją i lokalizacją urządzeń w przypadku sytuacji awaryjnych. Jaka jest najlepsza metoda przydzielania nazw sieciowych?

Odpowiedź: Nie istnieje jedyna i skuteczna droga do stworzenia nazewnictwa sprzętu sieciowego. Wszystko zależy od inwencji administratora i zastosowanych metod identyfikacji sprzętu. Najważniejszym etapem jest zapewnienie odpowiedniej funkcjonalności i elastyczności nazewnictwa, pozwalającej na szybką lokalizację urządzeń.

Jeżeli budynki nie są położone w jednej centralnej lokalizacji, można utworzyć nazwę z połączenia nazwy budynku, poprzedzonej numerem piętra, literowo-cyfrowym oznaczeniem lokalizacji sprzętu na piętrze i typem nazywanego urządzenia. Jeżeli wielkość sieci osiągnie rozmiar kilkuset urządzeń, schemat musi ulec zmianie. Przykładem bardzo rozbudowanej nazwy może być fraza HR01B12R3. Identyfikuje ona położenie określonego urządzenia jako budynek HR, pierwsze piętro (01), pokój B12, 3 router w szafie. Możliwe jest wykorzystanie łatwiejszych i krótszych nazw, ale używanie rozbudowanych będzie zdecydowanie bardziej funkcjonalne w użyciu. Warto powiązać nazwy urządzeń z adresacją IP.

Proces nazewnictwa sprzętu sieciowego może być trudny, ale utrzymywanie porządku na początkowym etapie ułatwi zarządzanie infrastrukturą w przyszłości. Tworzenie dobrej dokumentacji jest konieczne do utrzymywania nazewnictwa infrastruktury w określonym porządku


TOP 200