ПЯТЬ ШАГОВ, КОТОРЫЕ НЕОБХОДИМО ПРЕДПРИНЯТЬ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ БЕСПРОВОДНОЙ СЕТИ Беспроводные сети LAN (WLAN) обеспечивают невероятный уровень продуктивности и предлагают новые эффективные методы ведения бизнеса для организаций любого размера. Новые функциональные возможности WLAN позволяют организациям предложить своим сотрудникам преимущества беспроводной связи, не поступаясь при этом безопасностью сети. Правильно установленные и сконфигурированные сети WLAN могут быть такими же безопасными, как и проводные сети. В этом документе обсуждаются пять шагов, которые необходимо выполнить для создания безопасной инфраструктуры WLAN. ПРОБЛЕМА Сети WLAN позволили достичь нового уровня продуктивности и свободы как внутри организации, так и за ее пределами. Многие приложения – как бэкофисные (учет товарных запасов, мобильная печать и терминалы точек продаж), так и фронт офисные (электронная почта, приложения для доступа в Интернет и дополнительные сервисы, например, передача голоса поверх WLAN и отслеживание местоположения) – используют в своей работе возможности беспроводной сети. Следует заметить, однако, что повышение уровня продуктивности сотрудников сопровождается появлением новых проблем в сфере безопасности. Сама архитектура беспроводной сети предусматривает распространение радиосигналов за пределы физических границ организации, и это обстоятельство опровергает традиционные представления о том, что только внутри организации возможно обеспечить надлежащий уровень безопасности. Сигналы незащищенных сетей WLAN, выходящих за рамки корпоративных сетей, могут быть обнаружены и использованы неавторизованными сотрудниками или даже злоумышленникамихакерами. Беспроводная среда обладает уникальными, специфическими характеристиками, однако наиболее важные меры безопасности сетей WLAN не слишком отличаются от аналогичных мер безопасности, необходимых для надежной защиты проводных сетей, поэтому администраторы ИТ вполне могут обеспечить конфиденциальность корпоративных данных при условии соблюдения надлежащих мер безопасности WLAN. Администраторам ИТ могут быть известны действенные методики защиты самой среды передачи WLAN, но возможно, для них будет откровением узнать, что безопасность WLAN не является достаточным условием для полноценной защиты организации. Независимо от того, действует ли в компании санкционированная сеть WLAN или компания придерживается правила “никаких сетей WiFi”, важно знать об опасностях, которыми чреваты для корпоративной проводной сети беспроводные угрозы. Наиболее распространенным видом угроз являются неавторизованные точки доступа. Особо энергичные сотрудники нередко приносят на работу собственные точки доступа – как правило, принадлежащие к категории бытовых устройств и отличающиеся очень небольшой стоимостью – чтобы реализовать возможности беспроводного подключения в своем департаменте. При этом такие сотрудники не представляют себе опасности, которую таят в себе подобные устройства. Эти неавторизованные точки доступа находятся за границами межсетевого экрана, поэтому их невозможно выявить с помощью традиционных систем обнаружения или предотвращения вторжений (IDS/IPS). Каждый пользователь, работающий в соответствующем частотном диапазоне, может подключиться и получить доступ к корпоративной сети. Еще больше усложняют описанную ситуацию новые реалии – мобильные пользователи, которым необходим доступ к сети как внутри комплекса зданий компании, так и за его пределами. В процессе работы сотрудникам регулярно приходится подключаться к корпоративной сети с помощью хотспотов, расположенных у них дома, в гостиницах, аэропортах и в других местах. Эти “неуправляемые” узлы доступа выступают в качестве проводника потенциальных угроз для корпоративной сети – через них ноутбуки могут “подцепить” вирусы, шпионское и вредоносное программное обеспечение. Беспроводные клиенты могут еще больше усугубить эту проблему, подключаясь к беспроводным точкам доступа или другим беспроводным клиентам без ведома пользователя. 1 РЕШЕНИЕ Стратегия сети с возможностями самозащиты Cisco SelfDefending Network (SDN) предлагает механизм защиты от угроз безопасности, связанных с внедрением беспроводных технологий, в основе которого лежит радикальное усовершенствование возможностей сети в плане автоматического выявления и предотвращения угроз безопасности и адаптации к ним. Являющаяся частью этой стратегии модель Cisco Unified Wireless Network предлагает комплексное решение для защиты проводной сети от беспроводных угроз и обеспечения защищенной, конфиденциальной связи по каналам авторизованной сети WLAN. Каждое сетевое устройство – начиная от клиентов и точек доступа и заканчивая беспроводными контроллерами и системой администрирования – играет определенную роль в обеспечении безопасности беспроводной сетевой инфраструктуры в рамках механизма распределенной защиты. Мобильный характер беспроводной сети обуславливает необходимость многоуровневого подхода к обеспечению безопасности. Для нейтрализации рисков для безопасности сети, исходящих от беспроводных угроз, Cisco Systems рекомендует выполнить пять перечисленных ниже шагов: z Создать политику безопасности сети WLAN. z Обеспечить безопасность сети WLAN. z Обезопасить проводную сеть (Ethernet) от беспроводных угроз. z Защитить организацию от внешних угроз. z Мобилизовать сотрудников на защиту сети. В этом документе рассматриваются оптимальные методики обеспечения безопасности сети – как проводной, так и беспроводной – от несанкционированного использования через соединение WLAN в разрезе каждого из пяти перечисленных пунктов. Эти методики необходимо привести в соответствие с принятыми в организации процессами управления рисками и дополнить действенным практическим механизмом обеспечения безопасности. Сочетание этих мер позволит обезопасить организацию от ненадлежащего использования ресурсов и кражи информации, а также защитить репутацию Вашей компании перед лицом заказчиков и партнеров. Если Вы хотите получить комплексную оценку положения дел в сфере сетевой безопасности для Вашей организации, консультанты Cisco Advanced Services могут проанализировать уровень безопасности вашей сети в соответствии с оптимальными отраслевыми методиками и выявить уязвимости, способные угрожать вашему бизнесу. Исходя из результатов тщательного анализа Cisco предложит рекомендации по повышению общего уровня сетевой безопасности и представит перечень действий, расставленных в порядке приоритетности и призванных исправить положение в сфере безопасности. Разумеется, эти действия необходимо будет дополнить жесткими политиками, регламентирующими контроль доступа и другие меры безопасности в сети. СОЗДАТЬ ПОЛИТИКУ БЕЗОПАСНОСТИ СЕТИ WLAN Подобно политике безопасности, действующей для проводной сети, оформленная в письменном виде политика безопасности, регламентирующая правила доступа и меры безопасности для беспроводной сети, является важным первым шагом в реализации комплексной концепции безопасности. На сегодняшний день существует достаточно большое число готовых шаблонов описаний мер безопасности для конкретных разделов, которые Вам необходимо регламентировать (пример такого шаблона на английском языке вы можете найти здесь: http://www.cwnp.com/templates/WLAN_Security_Policy_Template_v1.05.pdf). Обычно документы политик безопасности включают в себя следующие разделы: z Цель. z Сфера охвата. z Политика. z Обязанности. z Методы реализации. z Определения. z История ревизий. Перед созданием политики безопасности необходимо провести тщательное исследование – большинство брешей в системе безопасности являются следствием недосмотра или ошибок при реализации политики безопасности. В последующих разделах рассматриваются оптимальные методики, которые следует использовать при формировании политики безопасности сети WLAN. 2 ОБЕСПЕЧИТЬ БЕЗОПАСНОСТЬ СЕТИ WLAN В последние годы масштабы инфраструктур WLAN существенно возросли, с уровня гостевого доступа в конференцзалах до ограниченных хотзон и даже полного покрытия в масштабах всей организации. К сожалению, многие из реализованных инфраструктур WLAN не являются достаточно безопасными и оставляют возможности для любопытных пользователей и злоумышленниковхакеров, получить доступ к конфиденциальной информации. Обеспечить безопасность WLAN несложно; технологический прогресс в отрасли и появление решения Cisco Unified Wireless Network сделали эту задачу проще, чем когда либо. Процесс обеспечения безопасности сети базируется на расширении стратегии Cisco SelfDefending Network, в основе которой лежат три элемента: защищенные коммуникации, контроль за угрозами и их нейтрализация, соблюдение политик и соответствие требованиям. Ниже приведено описание оптимальных методик, призванных обеспечить безопасность Вашей беспроводной сети, построенной на основе модели Cisco Unified Wireless Network, и учитывающих три названных выше элемента. Защищенные коммуникации Для построения защищенных коммуникаций необходимо обеспечить шифрование данных и аутентификацию пользователей, пытающихся получить доступ к сети. В беспроводной сети, как и в проводной, необязательно сочетать шифрование и аутентификацию, но для большинства сетей Cisco всетаки рекомендует использовать оба эти компонента. В качестве исключения могут выступать хотспоты или гостевые сети, которые будут более подробно рассмотрены ниже. Кроме того, уникальные характеристики беспроводной среды требуют применения дополнительных методов обеспечения безопасности для защиты сети. Изменение SSID по умолчанию Поставляемые точки доступа имеют стандартные сетевые имена, например, “tsunami”, “default”, “linksys” и т. д., информация о которых передается в широковещательном режиме клиентам сети, чтобы прорекламировать доступность точки доступа. Эту настройку необходимо поменять сразу же после завершения установки точек доступа. При переименовании идентификатора SSID точек доступа выберите чтонибудь, не связанное непосредственно с Вашей компанией. Не следует выбирать в качестве SSID название компании, номер ее телефона или другую информацию о вашей компании, которую можно легко вычислить или найти в Интернет. По умолчанию точки доступа передают данные о SSID в широковещательном режиме всем беспроводным клиентам, работающим в заданном диапазоне частот. В некоторых случаях, например для хотспотов или гостевого доступа, эта возможность позволяет пользователям найти сеть без чьейлибо помощи. Однако для корпоративных сетей широковещательную передачу SSID необходимо отключить, чтобы ограничить число случайных пользователей, ищущих возможность подключиться к открытой беспроводной сети. Решение Cisco Unified Wireless Network позволяет гарантировать возможность подключения любых клиентов к сети только в пределах установленного оператором числа попыток. Если клиенту не удается получить доступ к сети в пределах заданного числа попыток, он автоматически блокируется до тех пор, пока не истечет время установленного оператором таймера. Операционная система позволяет запретить широковещательную передачу SSID для каждой отдельной сети WLAN. Это дает возможность еще больше сократить число случайных “подслушивающих” пользователей. Используйте стойкий алгоритм шифрования Одним из главных препятствий на пути внедрения WLAN был криптографический алгоритм шифрования Wireless Equivalent Privacy (WEP), использующий слабый, автономный метод шифрования. Надстраиваемые же решения в сфере безопасности были настолько сложными, что многие менеджеры ИТ просто не решались пользоваться новейшими достижениями в сфере обеспечения безопасности WLAN. Модель Cisco Unified Wireless Network связывает все компоненты безопасности воедино в рамках простого менеджера политик, который позволяет адаптировать политики безопасности общесистемного уровня для каждой отдельной сети WLAN. Чтобы облегчить процедуру подключения клиентов к сети, производители обычно не включают в конфигурацию точек доступа по умолчанию средства эфирного шифрования. После установки точек доступа об этом важном этапе можно легко забыть, и именно это упущение является самой распространенной причиной, по которой хакеры или несанкционированные пользователи подключаются к сетям WLAN. Таким образом, Вы должны настроить метод шифрования эфирной передачи сразу же после установки точек доступа. Cisco рекомендует использовать наиболее безопасные методы шифрования – IEEE 802.11i или VPN. Стандарт IEEE 802.11i, известный также под названием WiFi Protected Access 2 (WPA2) и предусматривающий сертификацию точки доступа организацией WiFi Alliance, использует для шифрования данных алгоритм Advanced Encryption Standard (AES). В настоящее время AES, пришедший на смену WEP, является самым мощным алгоритмом шифрования данных. Везде, где это возможно, Вы должны использовать шифрование WPA2 с алгоритмом AES. Предшественник данного стандарта, WPA, является промежуточной формой безопасности, сертифицированной WiFi Alliance в то время, когда стандарт 802.11i еще проходил процедуру ратификации. WPA использует для шифрования протокол Temporal Key Integrity Protocol (TKIP). TKIP представляет 3 собой форму шифрования, которая обеспечивает значительно более высокий уровень безопасности эфирной передачи и в то же время допускает возможность обновления традиционных клиентов 802.11b, защищая инвестиции заказчиков. Несмотря на то, что AES считается более мощным методом шифрования, следует заметить, что взломать TKIP до сей поры никому не удалось. Мы рекомендуем использовать WPA в качестве второго возможного стандарта шифрования. Применять его следует в том случае, если к Вашей сети подключаются относительно старые клиенты, нуждающиеся в обновлении. Альтернативные стратегии обеспечения безопасности для клиентов, которые не поддерживают обновления с WEP до TKIP, рассматриваются в разделе “Альтернативные стратегии обеспечения безопасности клиентов, специфичных для определенного бизнеса”. Примечание. Стандарт 802.11i, протоколы WPA2 и WPA требуют наличия сервера RADIUS для обеспечения уникальных, циклично меняющихся ключей для каждого клиента. Cisco Unified Wireless Network взаимодействует как с Cisco Secure Access Control Server (ACS), так и с 802.11i and WPAсовместимыми серверами RADIUS прочих производителей. В отличие от других клиентов, часто требующих наличия программного обеспечения сторонних производителей для поддержки IEEE 802.11i, клиенты Cisco изначально поддерживают возможность подключения в защищенных режимах WPA и WPA2 к инфраструктуре Cisco Unified Wireless Network. Важно отметить, что персональные версии WPA2 и WPA не требуют наличия сервера RADIUS. Их рекомендуется использовать для защиты беспроводных инфраструктур, установленных в домашних и малых офисах (сегмент SOHO). Программа Cisco Compatible Extensions позволяет гарантировать совместимость широкого спектра клиентов WLAN с продуктами, составляющими инфраструктуру Cisco WLAN, а также поддержку этими клиентами инновационных функций инфраструктуры Cisco WLAN. Благодаря данной программе специалисты служб ИТ предприятий могут с уверенностью внедрять сети WLAN, даже если им предстоит обслуживать самые разнообразные клиентские устройства. Cisco Compatible Extensions – это важная инициатива, которая обеспечивает высокое качество всей инфраструктуры, поддерживает возможности управления радиочастотами, управления качеством обслуживания (QoS) и функции безопасности, необходимые для нормального функционирования беспроводной сети. К числу усовершенствований, предлагаемых программой Cisco Compatible Extensions, относятся, например, режимы аутентификации Cisco LEAP, Protected Extensible Authentication Protocol (PEAP) и Extensible Authentication ProtocolFlexible Authentication via Secure Tunneling (EAPFAST), а также защищенные средства быстрого роуминга с кэшированием ключей для приложений, чувствительных к задержкам, например, для услуг передачи голоса через WLAN. Некоторые из этих функциональных элементов с течением времени органы стандартизации принимали в качестве стандартов, и после их ратификации Cisco включала их в свои продукты. Клиентские возможности являются составной частью общей системы безопасности сети, и этот факт обусловил тесное сотрудничество компаний Cisco и Intel в рамках программы Cisco Compatible Extensions. Компания Intel, участник стратегического альянса с Cisco, получила статус Cisco Compatible для технологии Centrino Mobile, которая используется при производстве многих ноутбуков. Ведущие производители ноутбуков, в том числе Acer, Dell, Fujitsu, IBM, HP и Toshiba, создают ноутбуки, имеющие статус Cisco Compatible. Полный перечень продуктов, участвующих в программе Cisco Compatible Extensions, Вы сможете найти здесь: http://www.cisco.com/go/ciscocompatible/wireless Обеспечьте взаимную аутентификацию между клиентом и сетью В исходном варианте стандарта 802.11 отсутствует еще одна важная функциональная возможность – механизм взаимной аутентификации между сетью и клиентом. Опятьтаки, стандарты WPA и IEEE 802.11i поддерживают эту возможность. Оба эти протокола используют стандарт IEEE 802.1X для взаимной аутентификации между клиентом и сетью. Альтернативные стратегии обеспечения безопасности клиентов, специфичных для определенного бизнеса Если Вы не можете использовать протоколы 802.11i, WPA2 или WPA изза того, что клиент не поддерживает эти типы шифрования и аутентификации по причине устаревания или отсутствия драйверов, наилучшим выходом для обеспечения безопасности клиентских беспроводных соединений будет использование VPN. Сочетание технологии VPN с сегментацией сети, включающей в себя использование множества SSID и VLAN (эта схема описана ниже) позволяет предложить надежное решение для сетей с разнородными клиентами. Применение сетей VPN, использующих технологии IP Security (IPSec) и Secure Sockets Layer (SSL), позволяет обеспечить уровень безопасности, аналогичный уровню безопасности, реализуемому на основе протоколов 802.11i и WPA. Контроллеры Cisco для беспроводных сетей LAN терминируют туннели IPSec VPN, исключая потенциальные узкие места в схеме с централизованными серверами VPN. Кроме прочего, решение Cisco Unified Wireless Network поддерживает прозрачный роуминг между подсетями. Это позволяет исключить случаи потери связи в процессе роуминга изза длительных задержек для приложений, чувствительных к задержкам, таких как передача голоса поверх беспроводной сети IP (VoIP) или Citrix. 4 Если ни один из вышеперечисленных методов Вам не подходит, придется настроить протокол WEP. Общеизвестно, что WEP легко взломать с помощью инструментов, доступных в Интернет, но по крайней мере этот протокол создаст какуюто преграду на пути случайных желающих “подслушать” Вашу сеть. В сочетании с сегментацией пользователей по различным сетям VLAN (описание схемы сегментации будет приведено ниже) WEP позволяет существенно снизить риски для безопасности сети. Решение Cisco для сети WLAN поддерживает фильтрацию по MACадресам как на локальном уровне, так и на уровне серверов RADIUS. Этот механизм фильтрации прекрасно подходит для небольших клиентских групп с известным списком MAC адресов карт доступа 802.11. При использовании этого метода необходимо немедленно разработать план ужесточения мер безопасности для Вашей сети. Независимо от избранного варианта решения для обеспечения безопасности беспроводной среды все проводные каналы связи уровня 2 между контроллерами Cisco для беспроводных сетей LAN и облегченными точками доступа Cisco Aironet®, работающими по протоколу Lightweight Access Point Protocol (LWAPP), обязательно будут защищены туннелями LWAPP, через которые будут передаваться все данные. В качестве дополнительной меры безопасности используется механизм блокирования доступа на уровне 2 после совершения определенного количества неудачных попыток аутентификации (это число задает оператор). Используйте методы сетевой идентификации для сегментации пользователей между соответствующими ресурсами Доступ к сети WLAN необходим самым разным категориям пользователей. Администраторам заказов необходим доступ к системам ввода заказов и управления отгрузкой; бухгалтерам и финансистам нужен доступ к информации о кредиторской и дебиторской задолженности, а также к другим финансовым системам; и наконец, сотрудникам отделов маркетинга и продаж может потребоваться доступ к информации об уровне продаж. Модель Cisco Unified Wireless Network поддерживает сетевую идентификацию (identity networking) – концепцию, предусматривающую применение тех или иных политик WLAN на основании идентификационных сведений беспроводного клиента (а не данных о его физическом местонахождении). Механизм сетевой идентификации позволяет беспроводным устройствам проходить процедуру аутентификации при подключении к сети WLAN всего один раз. Следование контекстной информации за мобильными устройствами позволяет обеспечить прозрачный роуминг. При ассоциировании WLAN с какойто конкретной сетью VLAN пользователь такой WLAN получает доступ только к тем сетевым ресурсам, которые подключены к этой VLAN. К примеру, приемный персонал может подключаться к беспроводной сети с использованием SSID “receiving”, который обеспечивает доступ только к электронной почте и системам планирования корпоративных ресурсов (ERP). Руководители компании могут подключаться к сети с использованием SSID “corp”, который позволит им получить доступ к системам управления финансами, сведениям о заказчиках и базе данных с информацией о продажах. Оба эти идентификатора SSID поддерживают мощный механизм шифрования 802.11i или WPA. Многие корпорации используют сканеры штрихкода при приеме или отгрузке товарноматериальных ценностей, а также мобильные принтеры в производственных цехах. Наконец, по мере роста популярности сервисов передачи голоса по каналам WLAN все большее распространение получают телефоны с поддержкой WiFi. Часто эти типы устройств не поддерживают современные мощные стандарты шифрования 802.11i и WPA, ограничиваясь поддержкой менее защищенного протокола WEP. Эти устройства также можно распределить по различным идентификаторам SSID, которые поддерживают протокол WEP и обеспечивают маршрутизацию трафика в сеть VLAN, разрешающую доступ только к конкретным базам данных и приложениям, с которыми ассоциированы эти устройства. Такая схема сегментации в сочетании с частой сменой ключей шифрования и списками управления доступом для MACадресов позволяет нейтрализовать потенциальные угрозы для безопасности сети. Многие организации заинтересованы в том, чтобы иметь возможность предоставить доступ в Интернет своим гостям, партнерам и заказчикам, когда те приезжают в их офис. Беспроводная гостевая сеть является оптимальным вариантом, позволяющим одновременно обеспечить гостевой доступ к сети и избавить администраторов ИТ от необходимости авторизовать отдельных пользователей. Гостевые сети используют открытый метод обеспечения безопасности – специальный идентификатор SSID, присвоенный такой сети, обеспечивает маршрутизацию трафика в сеть VLAN, которая предоставляет доступ только к общедоступным ресурсам Интернет. Сведения о SSID в гостевой сети обычно распространяются широковещательным методом, чтобы гости могли узнать без их посторонней помощи. Ввод входных данных пользователя можно организовать через специальный Webпортал. Это позволит, вопервых, организовать аудит активности пользователей, а вовторых, обеспечить согласование всех необходимых условий перед тем, как допустить гостевого пользователя к сервису. Обеспечьте безопасность портов управления Интерфейсы управления беспроводной локальной сети должны поддерживать защищенные методы управления с обязательной аутентификацией. Изменение параметров точки доступа через порт управления – это один из методов, которым может воспользоваться хакер для проникновения в корпоративную сеть. Решение Cisco Unified Wireless Network поддерживает 5 интерфейсы Simple Network Management Protocol Version 3 (SNMPv3), Secure Shell (SSH) Protocol (безопасный Web) и SSL (безопасный Telnet) для подключения к системе управления Cisco Wireless Control System (WCS). Кроме того, Cisco WCS, во первых, позволяет запретить управление по беспроводному каналу, а вовторых, поддерживает возможность администрирования посредством отдельной управляющей сети VLAN – в этом случае только станции, подключенные к этой сети VLAN, могут менять настройки сети WLAN. Используйте решение на основе облегченных точек доступа для предотвращения взлома сети Облегченные точки доступа Cisco не хранят локально ключи шифрования или другие сведения, относящиеся к сфере безопасности. Соответственно, даже похищение точки доступа не позволит злоумышленнику взломать систему безопасности сети. Кроме того, все точки доступа проходят процедуру автоматической аутентификации посредством сертификата X.509, что позволяет предотвратить появление в сети неавторизованных точек доступа. Вы должны защитить точки доступа от незаконных манипуляций, чтобы предотвратить незапланированные изменения в радиочастотном покрытии. При возможности разместите их под фальшпотолком, чтобы скрыть их из поля зрения и оставить видимой только антенну. Облегченные точки доступа Cisco поддерживают этот тип установки с возможностью использования замков Kensington Lock и внешних антенн. Следите за фасадами зданий и ситуацией вокруг них В большинстве случаев сигналы точек доступа распространяются за пределы зданий, поэтому существует вероятность, что некто, находящийся на автомобильной стоянке неподалеку или на другой стороне улицы, попытается подключиться к Вашей корпоративной сети. Если Вы уже используете систему патрулирования или видеонаблюдения, Вам следует проинструктировать сотрудников службы безопасности, чтобы они обратили особое внимание на машины или людей, которые проводят подозрительно много времени вблизи комплекса зданий Вашей компании. Решение Cisco Unified Wireless Network использует ожидающие патентного признания алгоритмы Cisco Radio Resource Management (RRM), позволяющие выявлять изменения эфирной среды и адаптироваться к ним в реальном времени. С помощью алгоритмов Cisco RRM Вы сможете воспрепятствовать распространению радиочастотных сигналов за пределы периметра Ваших зданий. ОБЕЗОПАСИТЬ ПРОВОДНУЮ СЕТЬ ОТ БЕСПРОВОДНЫХ УГРОЗ Вторым важнейшим компонентом инициативы Cisco SelfDefending Network является контроль над угрозами и их нейтрализация, касающиеся как беспроводных, так и проводных сетей. Как и в случае с другими политиками безопасности, простого оповещения сотрудников об угрозах обычно бывает недостаточно. Хорошим примером в этом плане может послужить антивирусная политика, которая запрещает пользователям открывать почтовые вложения, поступившие от неизвестных отправителей. В большинстве случаев организации не могут полагаться только на этот запрет – даже единственная ошибка может привести к серьезным негативным последствиям для сети, сопровождающимся длительными простоями и потерей продуктивности. Аналогичным образом контроль за беспроводными угрозами и их нейтрализация имеют исключительно важное значение, особенно в современную эпоху, когда недостаточный контроль за угрозами может привести к нарушению законодательных норм. Даже политика, запрещающая использование сетей WiFi, не является гарантией от таких угроз. Ваши сотрудники могут по собственной инициативе принести в офис неавторизованные точки доступа, а ноутбуки со встроенной поддержкой WiFi могут подключиться к соседним сетям. Эти уязвимости так же реальны, как вирусы, черви и спам, и угрозы, которые они таят в себе, столь же серьезны. Традиционные методы обеспечения безопасности проводных сетей, такие как межсетевые экраны и VPN, не способны обнаружить эти виды угроз, поскольку они исходят из беспроводной среды, но решение Cisco Unified Wireless Network позволяет вести активный мониторинг беспроводной среды и предотвращать угрозы, исходящие оттуда. Контроль за угрозами и их нейтрализация Интегрированный механизм предотвращения беспроводных вторжений В сети, построенной в соответствии с моделью Cisco Unified Wireless Network, точки доступа одновременно выступают в качестве мониторов эфирной среды и устройств пересылки данных. Такая конфигурация позволяет передавать в реальном времени информацию о состоянии беспроводного домена, в том числе сведения о потенциальных угрозах безопасности, контроллерам Cisco для беспроводной сети LAN без прерывания обслуживания. Система Cisco WCS позволяет быстро идентифицировать все виды угроз безопасности и передавать информацию о них сетевым администраторам. Cisco WCS располагает точными инструментами анализа и позволяет предпринимать действия, направленные на ликвидацию угроз. Если внутренние политики Вашей компании запрещают использование сетей WiFi, Вы можете первоначально развернуть решение Cisco Unified Wireless Network в качестве автономной системы предотвращения вторжений (IPS) по беспроводным каналам, а позже дополнить ее сервисами передачи данных WLAN. Этот сценарий позволяет Вашим сетевым администраторам 6 создать “оборонительный щит” вокруг Ваших радиочастотных доменов, который будет сдерживать несанкционированную сетевую активность до тех пор, пока Ваша организация не решится внедрить сервисы WLAN. Cisco Systems предлагает единственную систему WLAN, которая одновременно обеспечивает защиту беспроводной среды и реализует сервисы WLAN. Это дает возможность обеспечить комплексную защиту WLAN, избежав расходов, связанных с приобретением дополнительного оборудования или устройств мониторинга. Навсегда избавьтесь от несанкционированных устройств с использованием сервиса позиционирования Чтобы навсегда избавиться от беспроводной угрозы, необходимо физически устранить несанкционированное устройство. Традиционно для поиска несанкционированных устройств использовались карманные анализаторы, с которыми поисковики выходили в район примерного местонахождения несанкционированного устройства. Однако в силу того, что беспроводной сигнал распространяется на довольно большие расстояния, этот метод может отнять слишком много времени, особенно если речь идет о многоэтажных комплексах. Решение Cisco Location Appliance в сочетании с системой Cisco WCS позволяет точно отслеживать местонахождение до 1500 устройств с поддержкой WiFi, таких как теги радиочастотной идентификации (RFID), телефоны для передачи голоса поверх WiFi, ноутбуки и карманные персональные компьютеры (КПК) (рисунок 1). Термин “точно” характеризует уникальную способность определять, находятся ли искомые ресурс или устройство “внутри” (“in”) или “вне” (“out”) определенного объекта. В качестве объекта может выступать целый кампус, единичное здание, этаж внутри здания, маленькая комната или определенная зона покрытия в пределах этажа. Возможность определения местонахождения различных устройств с точностью до нескольких метров позволяет Рисунок 1. Отслеживание точного местоположения немедленно извещать администраторов ИТ о появлении неавторизованных неавторизованных точек доступа и клиентов с помощью Cisco Location Appliance и Cisco WCS точек доступа и клиентов с указанием точных данных об их местонахождении. ЗАЩИТИТЬ ОРГАНИЗАЦИЮ ОТ ВНЕШНИХ УГРОЗ Современные компании не имеют единого, непрерывного “периметра”. Появление мобильных устройств и средств широкополосного доступа вызвало рост числа пользователей, работающих удаленно, и мобильных сотрудников, подключающихся к корпоративной сети из дома, из гостиниц, аэропортов и многих других мест. Необходимо обеспечить защиту сети от угроз безопасности, таких как вирусы, черви и шпионское программное обеспечение, с учетом того факта, что эти мобильные устройства находятся вдалеке от офиса. Эти угрозы препятствуют нормальной работе бизнеса, вызывают простои и требуют постоянного применения новых патчей для программного обеспечения. Управление политиками и контроль за их соблюдением – это последний ключевой элемент стратегии Cisco SelfDefending Network, призванный обеспечить мониторинг и карантин вредоносного программного обеспечения в упреждающем режиме для поддержки целостности сети. Программа контроля за соблюдением политик должна включать в себя средства мониторинга, позволяющие точно отследить случаи нарушения системных и сетевых политик. В отсутствие таковых средств администраторы ИТ не смогут точно установить, соблюдаются ли политики компании в сфере безопасности. Управление политиками и контроль за их соблюдением Обеспечьте для мобильных устройств сервисы безопасности, аналогичные сервисам безопасности, действующим для корпоративной сети В частности, для ноутбуков необходимо обеспечить тот же уровень защиты, который действует для корпоративной сети компании. Межсетевые экраны, VPN, антивирусное программное обеспечение – все эти средства помогают защитить ноутбуки от целого ряда опасностей, угрожающих им при подключении к Интернет. Такие инструменты, как Cisco Security Agent, консолидируют функции безопасности оконечных устройств, например функции межсетевого экрана, предотвращения вторжений, защиты от шпионского и рекламного программного обеспечения и т. д., в рамках единого агента. В силу того, что Cisco Security Agent анализирует поведение кода, а не занимается сверкой сигнатур, он не нуждается в обновлениях для нейтрализации новых видов атак. Такая архитектура, не требующая обновлений, позволяет сократить расходы, необходимые для обеспечения защиты систем, и обладает способностью нейтрализовывать угрозы для незащищенных уязвимостей (“0 day”). По сути Cisco Security Agent позволяет организациям обеспечить соблюдение политик безопасности для индивидуальных оконечных устройств. Как и в случае с корпоративной сетью, аутентификация пользователей при попытке доступа к сети и шифрование данных позволяют значительно повысить уровень безопасности. Аутентификация пользователей реализуется с помощью паролей, USBжетонов или смарткарт. Несмотря на свою эффективность в целом, эти методы не могут остановить злоумышленника, 7 который захочет снять жесткий диск с машины, чтобы получить доступ к конфиденциальным данным. В качестве средства противодействия таким попыткам можно рассмотреть шифрование. Следует учесть, однако, что шифрование является жизнеспособным только в том случае, если оно выполняется в автоматическом режиме и является прозрачным для пользователей. Схема работы, при которой пользователь должен самостоятельно активизировать процесс шифрования для конкретных файлов, является неэффективной в силу ошибок, связанных с человеческим фактором. Обеспечьте соблюдение политик безопасности для мобильных устройств с помощью технологий Cisco NAC Чтобы гарантировать соответствие всех проводных и беспроводных устройств, пытающихся получить доступ к сети, корпоративным политикам безопасности, нужно обеспечить полную прозрачность и управляемость всех оконечных устройств. Зараженные или уязвимые оконечные устройства необходимо автоматически выявлять, изолировать и “очищать”. Network Admission Control (NAC) – это ряд технологий и решений, в основе которых лежит отраслевая инициатива, возглавляемая компанией Cisco Systems. NAC использует возможности сетевой инфраструктуры для проверки соответствия политике безопасности всех устройств, пытающихся получить доступ к вычислительным ресурсам сети. Это позволяет ограничить ущерб от разнообразных угроз безопасности, таких как вирусы, черви и шпионское программное обеспечение. Заказчики, использующие систему NAC, могут предоставить возможность доступа к сети только удовлетворяющим условиям политики безопасности и доверенным оконечным устройствам и заблокировать доступ для всех остальных устройств. NAC является важным компонентом концепции Cisco SelfDefending Network. Cisco предлагает два варианта подхода к реализации NAC – серверный и архитектурный. Наличие альтернативного выбора позволяет удовлетворить функциональные и эксплуатационные требования любой организации, независимо от того, проповедует ли она простую политику безопасности или нуждается в поддержке сложной системы безопасности, включающей в себя решения различных производителей и корпоративные средства контроля за настольными пользовательскими системами. И решение NAC Appliance (Cisco Clean Access), и концепция NAC Framework обеспечивают защиту от опасностей, угрожающих сетям WLAN. Эти решения обеспечивают соблюдение политики безопасности на уровне устройств в момент, когда клиенты WLAN пытаются получить доступ к сети, путем карантина клиентов WLAN, не удовлетворяющих требованиям политики безопасности, и предоставления сервисов “излечения”, позволяющих обеспечить соблюдение этих требований. Оба решения полностью совместимы с моделью Cisco Unified Wireless Network. На рисунках 2 и 3 изображены архитектуры Cisco NAC Appliance и Cisco NAC Framework. Рисунок 2. Архитектура Cisco NAC Appliance для Cisco Unified Wireless Network Рисунок 3. Архитектура Cisco NAC Framework для Cisco Unified Wireless Network 8 МОБИЛИЗОВАТЬ СОТРУДНИКОВ НА ЗАЩИТУ КОРПОРАТИВНОЙ СЕТИ КОМПАНИИ Социальный инжиниринг часто является наиболее эффективным инструментом, помогающим обеспечить безопасность сети. Большинство сотрудников, не прошедших специального обучения, просто не знают о рисках, которые могут повлечь за собой их действия. К примеру, многие пользователи не понимают, что сам факт включения точки доступа в разъем Ethernet подвергает корпоративную сеть опасности. Повышение уровня осведомленности сотрудников – вывешивание информационных плакатов или обучение оптимальным методикам обеспечения безопасности (например, рассказы о правилах выбора пароля и соблюдения конфиденциальности) – уже доказало свою эффективность в деле сохранения конфиденциальности информации и обеспечения безопасности корпоративной сети компании. ЗАКЛЮЧЕНИЕ Современную организацию уже нельзя представить в виде ограниченного комплекса зданий. Появление мобильных устройств и технологий навсегда изменило способы ведения бизнеса, сделав возможным подключение к корпоративной сети компании не только в офисе, но и дома, в аэропортах, гостиницах и любых других местах, где имеются хотспоты WiFi. Подобная свобода действий повлекла за собой возникновение ряда новых угроз, связанных с тем, что сигналы беспроводной связи проникают сквозь стены, а мобильные устройства подключаются к беспроводной сети за пределами комплекса зданий компании, где можно говорить об относительно высоком уровне безопасности. Первым важным шагом в процессе обеспечения безопасности является грамотное документирование политики WLAN. Обеспечение должного уровня безопасности сетей WLAN является насущной необходимостью, и решение Cisco Unified Wireless Network облегчает решение этой задачи благодаря простым и ясным политикам безопасности, охватывающим уровни 1, 2 и 3 и способствующим быстрому развертыванию сети. Даже если Вы не планируете в ближайшее время строить сети WLAN, вопрос защиты от беспроводных угроз, таких как неавторизованные точки доступа и клиенты, все равно остается чрезвычайно важным. Эти угрозы могут создать “дыры” в Вашей сети и открыть ее для проникновения хакеров. В свою очередь, это может повлечь за собой кражу конфиденциальной информации, негативно сказаться на репутации компании, привести к финансовым штрафам и юридическим проблемам. Модель Cisco Unified Wireless Network позволяет изначально установить предлагаемое решение в качестве беспроводной системы предотвращения вторжений (IPS), дополнив ее впоследствии сервисами WLAN. Мобильные устройства в непроверенных и ненадежных средах могут стать источниками новых угроз. Cisco NAC проверяет мобильные устройства в упреждающем режиме на предмет соответствия требованиям политики безопасности, предлагает сервисы “излечения” в случае необходимости и блокирует доступ к сети до тех пор, пока требования политики безопасности не будут соблюдены. Наконец, важно вовлечь сотрудников в процесс обеспечения целостности сети. Для этого необходимо проинформировать их о возможных угрозах и научить методам борьбы с ними. Выполнив все вышеперечисленные шаги, компания может значительно снизить риски для безопасности сетей WLAN и защитить себя от беспроводных угроз. Ниже приведен суммарный перечень рекомендованных оптимальных методик, рассмотренных в этом документе: z Создайте политику безопасности WLAN. z Обеспечьте безопасность сети WLAN: – Измените SSID по умолчанию. – Используйте стойкий алгоритм шифрования. – Используйте механизм взаимной аутентификации между клиентом и сетью. – Используйте VPN или WEP в сочетании со списками контроля доступа по MACадресам для обеспечения безопасности устройств, специфичных для определенных видов бизнеса. – Используйте механизм сетевой идентификации в сочетании с сетями VLAN для ограничения доступа к сетевым ресурсам. – Обеспечьте безопасность портов управления. – Используйте облегченные точки доступа – они не хранят локально информацию, относящуюся к сфере безопасности. – Спрячьте или защитите от физического проникновения точки доступа для предотвращения попыток незаконных манипуляций. – Следите за фасадами зданий и ситуацией вокруг них, ведите мониторинг на предмет наличия подозрительной активности. 9 z Обеспечьте защиту проводной сети от беспроводных угроз: – Установите и включите беспроводные системы предотвращения вторжений (IPS), чтобы воспрепятствовать появлению неавторизованных точек доступа и другим беспроводным угрозам. Это нужно сделать, даже если в Вашей компании не используется сеть WLAN. – Навсегда избавьтесь от любых неавторизованных устройств с использованием сервиса позиционирования. z Обеспечьте защиту от внешних угроз: – Установите на мобильных устройствах те же сервисы безопасности, которые действуют в корпоративной сети (межсетевые экраны, VPN, антивирусное программное обеспечение и т. д.). – Обеспечьте соблюдение политик безопасности для мобильных устройств с помощью технологий Cisco NAC. z Мобилизуйте сотрудников на защиту корпоративной сети, обучив их необходимым навыкам. Cisco Systems Россия, 115054, Москва бизнес центр «Риверсайд Тауерс» Космодамианская наб., 52 стр. 1, этаж 4 Тел.: +7 (495) 961 14 10 Факс: +7 (495) 961 14 60 www.cisco.ru www.cisco.com Cisco Systems Россия, 191186, Санкт-Петербург, бизнес центр «Регус» Невский проспект, 25, этаж 2, офис 30 Тел.: +7 (812) 346 77 17, Факс: +7 (812) 346 78 00 www.cisco.ru www.cisco.com Cisco Systems Казахстан, 480099 Алматы бизнес центр «Самал 2» Ул. О. Жолдасбекова, 97 блок А2, этаж 14 Тел.: + 7 (3272) 58 46 58 Факс: + 7 (3272) 58 46 60 www.cisco.ru www.cisco.com Cisco Systems Украина, 252004 Киев бизнес центр «Горайзон Тауерс» Ул. Шовковична, 4244, этаж 9 Тел.: + 7 (38044) 490 36 00 Факс: + 7 (38044) 490 56 66 www.cisco.ua www.cisco.com Cisco Systems has more than 200 offices in the following countries and regions. Addresses, phone numbers, and fax numbers are listed on the Cisco Website at www.cisco.com/go/offices. Argentina • Australia • Austria • Belgium • Brazil • Bulgaria • Canada • Chile • China PRC • Colombia • Costa Rica • Croatia • Cyprus • Czech Republic • Denmark • Dubai, UAE • Finland • France • Germany • Greece • Hong Kong • SAR • Hungary • India • Indonesia • Ireland • Israel Italy • Japan • Korea • Luxembourg • Malaysia • Mexico • The Netherlands • New Zealand • Norway • Peru • Philippines • Poland • Portugal Puerto Rico • Romania • Russia • Saudi Arabia • Scotland • Singapore • Slovakia • Slovenia • South Africa • Spain • Sweden • Switzerland • Taiwan Thailand • Turkey • Ukraine • United Kingdom • United States • Venezuela • Vietnam • Zimbabwe Copyright © 2006 Cisco Systems Inc. All rights reserved. Printed in Russia. Cisco, Cisco IOS, Cisco Systems, the Cisco Systems logo, and Cisco Unity are registered trademarks or trademarks of Cisco Systems, Inc. and/or its affiliates in the United States and certain other countries. All other trademarks mentioned in this document or Website are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (0406R)