Ультразвук
<<  Инфразвук Применение ПК  >>
Область применения
Область применения
Область применения
Область применения
Защита мобильных сред
Защита мобильных сред
Двухэшелонный дизайн
Двухэшелонный дизайн
Общие вопросы
Общие вопросы
Протоколы мобильного доступа
Протоколы мобильного доступа
Особенности мобильных сред
Особенности мобильных сред
Уязвимости
Уязвимости
Уязвимость мобильных сред
Уязвимость мобильных сред
Технологические проблемы защиты
Технологические проблемы защиты
Проблемы безопасности (Cisco SAFE)
Проблемы безопасности (Cisco SAFE)
Задачи защиты радиосреды
Задачи защиты радиосреды
Существует ли решение
Существует ли решение
Рекомендации Cisco SAFE
Рекомендации Cisco SAFE
Защита радиосетей по Cisco SAFE
Защита радиосетей по Cisco SAFE
Защита среды передачи данных
Защита среды передачи данных
Защита трафика
Защита трафика
Защита топологии радиосети
Защита топологии радиосети
Защита проводной инфраструктуры
Защита проводной инфраструктуры
Дизайн VPN
Дизайн VPN
Доступ по GPRS и доступ с хот-спотов
Доступ по GPRS и доступ с хот-спотов
Доступ из корпоративной WLAN
Доступ из корпоративной WLAN
Политика безопасности
Политика безопасности
Инфраструктура
Инфраструктура
Инфраструктура управления
Инфраструктура управления
Полный контроль над радиоэфиром
Полный контроль над радиоэфиром
Справка
Справка
Вопросы
Вопросы

Презентация: «Область применения». Автор: Sergei D. Ryabko. Файл: «Область применения.pps». Размер zip-архива: 2539 КБ.

Область применения

содержание презентации «Область применения.pps»
СлайдТекст
1 Область применения
2 Область применения

Область применения

Сценарии защиты беспроводных сетей на основе продуктов CSP VPNTM Область применения Общие вопросы Уязвимости Дизайн VPN Инфраструктура

3 Защита мобильных сред

Защита мобильных сред

Стремительное развитие мобильных сред доступа – протоколов 802.11a,b,g (WiFi), работа индустрии над протоколами 802.16 (WiMax) и протоколов передачи данных через сети мобильной телефонии поколений 2.5G (GPRS) и 3G выдвигают в число наиболее актуальных задачу защиты данных в мобильных средах применение VPN третьего уровня – это стойкое и единственное универсальное решение проблемы

3

4 Двухэшелонный дизайн

Двухэшелонный дизайн

Сценарии в настоящем руководстве рассмотрены применительно к двухэшелонному дизайну на основе продуктов Cisco (внешний периметр, голубой цвет) и CSP VPN (красная, защищенная зона) На внешнем периметре сети могут быть реализованы следующие меры защиты (или их комбинации): сетевой контроль доступа (пакетная фильтрация) испытан более чем десятилетней практикой защиты сетей и достаточно надежен практически не имеет альтернатив при необходимости доступа из корпоративной сети в Интернет не обеспечивает полную изоляцию корпоративной сети и аутентификацию доступа пользователей внутрь корпоративного периметра коммутация на основе меток (MPLS VPN) обеспечивает сильный контроль доступа на внешнем периметре не использует криптографической защиты; как следствие – корпоративный трафик может быть защищен от хакерских атак из Интернет, но не может быть защищен от атаки со стороны недобросовестного коммуникационного провайдера защита при помощи IPsec обеспечивает наивысшую степень защиты использует более сложные сценарии защиты и может ограничивать производительность сети

4

5 Общие вопросы

Общие вопросы

Сценарии защиты беспроводных сетей на основе продуктов CSP VPNTM Область применения Общие вопросы Уязвимости Дизайн VPN Инфраструктура

6 Протоколы мобильного доступа

Протоколы мобильного доступа

6

7 Особенности мобильных сред

Особенности мобильных сред

Мобильные среды удобны, обеспечивают соединение в различных местах расположения пользователей и стремительно развиваются Мобильные среды меняют понятие «сеть»: у персонального компьютера могут появляться и исчезать динамически новые сетевые интерфейсы и соединения исчезает традиционное понятие «топология»; там где в проводной сети она проста и очевидна (например, подключение компьютеров к коммутатору по схеме «звезда») – могут появляться неуправляемые и неучтенные линии связи (например, полносвязный граф соединений вместо «звезды») Мобильные протоколы используют общедоступный эфир, как среду передачи данных, где перехват информации и информационные атаки крайне трудно контролировать возникает общая для всех мобильных сред задача защиты данных эта задача должна решаться в условиях динамической и неопределенной топологии радиосети

7

8 Уязвимости

Уязвимости

Сценарии защиты беспроводных сетей на основе продуктов CSP VPNTM Область применения Общие вопросы Уязвимости Дизайн VPN Инфраструктура

9 Уязвимость мобильных сред

Уязвимость мобильных сред

«Беспроводные сети очень легко устанавливаются и ими легко манипулировать, поэтому пользователи и киберпреступники будут использовать их для атаки на корпоративные сети» Gartner group, Sep’03 «Неконтролируемые беспроводные сети составляют опасность для всей корпоративной сети, ее данных и операций» Forester Research, Inc.

Неполный список Интернет-сайтов со средствами взлома радиосетей

9

http://www.phenoelit.de/irpas/ http://ettercap.sourceforge.net http://www.oxid.it http://www.remote-exploit.org/codes.html http://sourceforge.net/projects/wepattack/ http://asleap.sourceforge.net/ http://www.thc.org http://naughty.monkey.org/~dugsong/dsniff http://ikecrack.sourceforge.net/ http://www.nessus.org

http://www.netstumbler.com http://www.kismetwireless.net http://www.thehackerschoice.com http://www.ethereal.com http://airsnort.shmoo.com http://hostap.epitest.fi http://sourceforge.net/projects/wepwedgie/ http://sourceforge.net/projects/wepcrack/ http://airsnarf.shmoo.com/ http://www.klcconsulting.net/smac

10 Технологические проблемы защиты

Технологические проблемы защиты

Множественность протоколов (сред доступа) все ранее перечисленные протоколы доступа реализуют различные (и в разной степени стойкие) средства защиты информации выбрать единый/совместимый профиль защиты трудно Множественность устройств даже в рамках одного стандарта работает множество производителей; их решения в области защиты в разной степени стойки, часто несовместимы, а настройки по умолчанию – часто опасны (для совместимости используются слабейшие варианты настроек защиты) Уязвимости конкретных протоколов даже в рамках одного стандарта доступа (например, в семействе WiFi) существует множество протоколов защиты – WEP, WPA, PEAP, LEAP даже наиболее стойкие из них (например, LEAP/PEAP) не признаются экспертами, как высоконадежная (достаточная) защита Невозможность применить отечественные (сертифицированные средства защиты) протоколы защиты радиоканала применяются на канальном уровне, встроены в firmware радиоадаптеров и точек доступа производители применяют западные (несертифицированные) стандарты криптографии; заменить их на отечественные в массе встроенных систем невозможно

10

11 Проблемы безопасности (Cisco SAFE)

Проблемы безопасности (Cisco SAFE)

Руководство Cisco SAFE «Wireless LAN security in depth» дополнительно отмечает следующие проблемы безопасности беспроводных сетей (WLAN): большинство устройств поступают в продажу с установками по умолчанию, отменяющими функции безопасности в целях совместимости зона покрытия точки радиодоступа на практике выходит за пределы зоны физического контроля предприятия; сильные направленные антенны нарушителя безопасности могут перехватывать трафик с большой дистанции; методы радиомодуляции (DSSS) не защищают от перехвата трафика физическая интерференция может быть одним из способов атаки при построении средств защиты, основанных на адресах канального уровня (MAC), следует помнить, что эти адреса могут перенастраиваться нарушителями безопасности следует помнить о двух режимах работы сетевых адаптеров: подключение только к точке доступа (infrastructure mode) режим «каждый с каждым» (ad hoc mode) режим «каждый с каждым» составляет особую угрозу, поскольку снимает контроль над топологией сети

11

12 Задачи защиты радиосреды

Задачи защиты радиосреды

Задачи защиты радиосетей, как среды передачи данных, можно классифицировать следующим образом: защита среды передачи данных поскольку радиоканал общедоступен, вполне возможно «воровство» полосы пропускания точки доступа к радиосети подвержены атаке отказа в обслуживании (DoS) – посторонний человек под окном Вашего офиса может «засыпать» сеть запросами на подключение и «отключить» точку доступа для легальных пользователей защита трафика данные, передаваемые по сети могут быть перехвачены (прочитаны неавторизованным получателем) и искажены; в радиосеть могут быть «подброшены» посторонние данные защита топологии радиосети несанкционированные соединения должны быть исключены защита проводной сетевой инфраструктуры от несанкционированного доступа из радиосегментов доступ в проводные сегменты должен быть контролируем

12

13 Существует ли решение

Существует ли решение

Проблемы и задачи защиты информации радиосети, перечисленные в предыдущих слайдах, неразрешимы в комплексе, если речь идет только о защите канального уровня Решение заключается в том, чтобы применять, наряду со средствами защиты канального уровня, средства защиты сетевого уровня (IPsec VPN) средства защиты канального уровня при этом не должны исключаться, их роль – защита среды доступа

13

14 Рекомендации Cisco SAFE

Рекомендации Cisco SAFE

Руководство Cisco SAFE «Wireless LAN security in depth» предлагает следующий необходимый минимум мер защиты: для точек доступа: обеспечить аутентификацию при административном доступе использовать сильные пароли SNMP (community strings) и часто менять их если система управления позволяет – использоваеть SNMP Read Only запретить все неиспользуемые или уязвимые протоколы управления управление осуществлять только из заданного проводного сегмента по мере возможности – шифровать весь трафик управления по мере возможности – шифровать весь трафик в радиосегменте для клиентских устройств: запретить режим «каждый с каждым» (ad hoc mode) по мере возможности – шифровать весь радиотрафик применять серверы протокола RADIUS – для аутентификации пользователей при подключении к точкам доступа

14

15 Защита радиосетей по Cisco SAFE

Защита радиосетей по Cisco SAFE

Руководство «Wireless LAN security in depth» рассматривает две опции сетевой защиты радиосегмента: защита канального уровня на основе протокола EAP в данном руководстве этот вариант не рассматривается как недостаточно защищенный и не сертифицируемый в России защита с использованием IPsec VPN – для «сквозной» защиты в проводном и беспроводном сегментах и для разделения подсетей пользователей (управления топологией) в радиосегменте этот вариант детализирован для решения на основе продуктов Cisco и CSP VPN

15

16 Защита среды передачи данных

Защита среды передачи данных

Защита среды передачи данных от несанкционированного подключения в беспроводной сети достигается следующими мерами: применением аутентификации доступа используется статический или динамический пароль и обращение к RADIUS-серверу этим обеспечивается контроль доступа к среде применением протоколов WPA, PEAP, LEAP для шифрования трафика на радиотракте этим исключается перехват уже установленных соединений и прямое взаимодействие хостов в режиме «каждый с каждым» (ad hoc mode) стойкость этих протоколов менее значима в силу применения IPsec

16

17 Защита трафика

Защита трафика

Основным средством защиты трафика в беспроводной сети является IPsec этим обеспечивается стойкость защиты, исключаются: нарушение конфиденциальности при перехвате нарушение целостности данных нарушение целостности потока данных, «подмешивание» неавторизованного трафика, атака повторной передачи пакетов (replay attack) применяются сертифицированные средства защиты информации, российские криптостандарты обеспечивается не только аутентификация устройств (что делается на канальном уровне), но и аутентификация пользователей обеспечивается сквозная защита данных в проводном и беспроводном сегментах

17

18 Защита топологии радиосети

Защита топологии радиосети

Построение IPsec VPN обеспечивает эффективное управление топологией радиосети: политики VPN-клиентов строго определяют партнеров по взаимодействиям «каждый с каждым» не сможет работать даже в режиме радиоадаптера ad hoc пользователи А и Б на рисунке не смогут работать друг с другом, если того не допускают политики их VPN-клиентов доступ в проводном сегменте будет производиться только к строго определенным партнерам по взаимодействию на рисунке приведен пример, когда два разных пользователя (например, специалисты различных подразделений), которые находятся в одном радиосегменте (например, на совещании у руководителя) получают доступ только в «свои» подсети при этом их трафик защищен как в беспроводном, так и в проводном сегментах

18

19 Защита проводной инфраструктуры

Защита проводной инфраструктуры

Применение в радиосегменте выделенного адресного пространства и IPsec VPN обеспечивает: возможность изолировать проводной сегмент от открытого IP-трафика в этом случае нарушитель, которому удалось установить паразитное соединение в радиосегменте, не получит доступа внутрь проводного сегмента пропускать внутрь проводной корпоративной сети только IPsec трафик, причем только в «домашние» сети доступ в корпоративные сети разрешен только на туннельные адреса шлюзов «домашних» сетей; этот трафик защищен доступ к прочим объектам внешнего периметра закрыт шлюзы домашних сетей знают «своих» пользователей (аутентификация IKE) и не примут трафик от посторонних

19

20 Дизайн VPN

Дизайн VPN

Сценарии защиты беспроводных сетей на основе продуктов CSP VPNTM Область применения Общие вопросы Уязвимости Дизайн VPN Инфраструктура

21 Доступ по GPRS и доступ с хот-спотов

Доступ по GPRS и доступ с хот-спотов

Радиодоступ по протоколу GPRS и доступ из точек публичного беспроводного доступа в Интернет (хот-спот), с точки зрения топологического дизайна узла доступа, полностью аналогичен проводному удаленному доступу Варианты топологий и политики безопасности для этих сценариев аналогичны описанным в руководстве «Сценарии защиты сетей удаленного доступа на основе продуктов CSP VPN»

21

22 Доступ из корпоративной WLAN

Доступ из корпоративной WLAN

На рисунке приведен пример дизайна VPN в корпоративной радиосети Радиосегменты подключаются к проводной корпоративной сети через отдельный шлюз безопасности (шлюз «W») Между мобильными терминалами радиосегментов и шлюзом «W» устанавливаются IPsec-туннели Шлюз «W» конфигурирует IP-адреса мобильных терминалов и маршрутизует трафик мобильных пользователей в радиосегменты WLAN поскольку в WLAN поддерживается выделенное пространство незарегистрированных адресов, политика безопасности шлюзов «FW-I» и «I» не изменяется для этого шлюз «W» работает, как ARP-прокси сервер

22

23 Политика безопасности

Политика безопасности

Шлюзы «FW-I» и «I»: политика безопасности та же, что и в сетях удаленного доступа Шлюзы «FW-W» и «W»: см. слайд 19, «Защита проводной инфраструктуры» Политика безопасности мобильного терминала при попадании в радиосегмент – IPsec туннель на свой «домашний» шлюз «W» при попадании в Интернет (GPRS или модемное проводное соединение) – IPsec туннель на шлюз «I» открытый трафик в Интернет рекомендуется запретить; политика доступа в Интернет – в соответствии с рекомендациями руководства «Сценарии защиты сетей удаленного доступа на основе продуктов CSP VPN»

23

24 Инфраструктура

Инфраструктура

Сценарии защиты беспроводных сетей на основе продуктов CSP VPNTM Область применения Общие вопросы Уязвимости Дизайн VPN Инфраструктура

25 Инфраструктура управления

Инфраструктура управления

Ciscoworks WLSE рекомендуется использовать во всякой радиосети с использованием точек доступа cisco aironet, особенно, если число точек доступа достаточно велико, WLSE обеспечивает: управление: централизованную настройку устройств на основе готовых шаблонов с поддержкой группировки устройств мониторинг работы беспроводной сети: активный мониторинг сбоев и производительности мостов, точек доступа, обнаружение интерференции частот мониторинг потенциальных уязвимостей радиосети: предупреждение об ошибках настройки, отсутствии аутентификации, выявление нелегальных точек доступа cisco secure ACS – централизованное управление доступом, в том числе, пользователей в беспроводной сегмент сети

25

26 Полный контроль над радиоэфиром

Полный контроль над радиоэфиром

Следует подчеркнуть две важнейшие и уникальные возможности, предоставляемые WLSE: существенно снижаются затраты на проектирование и эксплуатацию радиосети до WLSE проектирование сетей требовало прецизионной настройки поля радиоточек сейчас достаточно обеспечить радиопокрытие с некоторым запасом: WLSE автоматически произведет настройку уровня излучаемой мощности по системе в целом и отработает динамические изменения поля, вызванные, например, движением лифтов WLSE (в совокупности с точками доступа AiroNet) обеспечивает визуальный контроль за распределением радиополя прямо в поэтажном плане здания; это – функция контроля за физической безопасностью радиосреды, подобная физической защите систем коммутации и кабельных систем в проводных сетях несанкционированный источник излучения немедленно увидит администратор, сможет локализовать его с точностью до метра и, при необходимости, устранить

26

Источник: Cisco Systems

27 Справка

Справка

Cisco Aironet

Точки доступа Cisco Aironet являются естественным беспроводным решением в сетях на основе продуктов Cisco Systems Характеристики продуктов Cisco Aironet: поддержка стандартов 801.11b (11 Mbps) и 801.11g (54 Mbps), совместимость с клиентскими устройствами обоих типов простота внедрения, масштабируемость и управляемость, поддержка виртуальных локальных сетей, переключение между сетями без прерывания сессии (функциональность Mobile IP), качество услуг (QoS) и возможности модернизации поддержка всех типов аутентификации 802.1X (наряду с аутентификацией на уровне L3, используемой в агентах безопасности CSP VPN) интеграция с WLSE

27

28 Вопросы

Вопросы

Обращайтесь к нам!

КОНТАКТЫ e-mail: information@s-terra.com web: http://www.s-terra.com/ Тел.: +7 (499) 940 9001 +7 (495) 726 9891 Факс: +7 (499) 720 6928

«Область применения»
http://900igr.net/prezentacija/fizika/oblast-primenenija-264214.html
cсылка на страницу

Ультразвук

11 презентаций об ультразвуке
Урок

Физика

134 темы
Слайды