無線ネットワークの位置を確保するとのvlan


  Share  
|


私たちは、次の点は、ネットワークのセキュリティポリシーチェックリストポジショニングと分離します。 ある場合は、 1つのアクセスポイントまたは無線ブリッジは、ネットワーク上の、その導入は簡単:プラグwanインターフェイスのipアドレスを設定し、適切なデバイスfirewallingます。 このようなデバイスには、洗練された商業ワイヤレスゲートウェイ、共通の設定osベースのファイアウォール、またはファイアウォールでも、ソーホーのようなシスコピクセル501またはノキアsonicwallます。 しかし、複数のアクセスポイントが導入され、ユーザーが許可され、これらの間を自由に徘徊するのaps 、より複雑になり、設定します。 携帯電話を配備する可能性の1つは、企業のネットワーク全体のipます。 しかし、これにより、実装レイヤ3以上vpnsに重要な問題だ。 この問題を解決するソリューションは存在しますが、しかし、特定のセキュリティレベルが予想される犠牲者は、クライアントのシームレスなローミングを提供します。 リコールのwavesecケースとkraker_jack攻撃します。

そして、より多くの共通の賢明な解決策は、すべてのアクセスポイントを配置し、同じブロードキャストドメインのvlanを使用します。 このソリューションを実装する、企業のネットワークスイッチをサポートし、少なくとも静的vlanが設定されます。 このように、無線ネットワークの設計なければならない最初の部分は、全体のネットワーク設計;そうしないと、他の重要なリソースを費やしなければならないかもしれないが有効になってvlanの取得の段階では、スイッチにwlan展開します。 詳細な設定を記述することはできませんvlanの専門知識のため、この記事では、コマンドに応じて、異なるメーカーのスイッチします。 しかし、私たちは提供している例を検討したvlanの展開と安全なワイヤレスネットワークを使ってさまざまなシスコ機器のポジショニングと展開します。 これは、個人的な問題ではありません私たちの経験と提携して、いかなる意味においてもシスコます。

シスコaironet触媒を使ってスイッチとアクセスポイントの無線ネットワークを確保する設計を最適化する

興味深い独自の特徴は、民間のvlan vlanを増強シスコ触媒6000スイッチでサポートされています。 ワイヤレスセルを想像していることが、 b 、 c 、および開発を、同じvlan 、しかし、希望の間のローミングを制限することができ細胞をうろつくことで、ユーザーのいずれかまたはaとbとcとdのみにアクセスできることに関連している場合にのみ有線lan細胞a.この方法をセグメントすることができ、会社の間にwlan部門や、さまざまな物理的な場所を追加せずに導入することや、ルーターのvlanとネットワークのレイヤ3の論理構造をより複雑にします。 素晴らしいものは、これらすべての可能性が、民間のvlan 、配置できるようにレイヤ2の制限:内のvlan vlanをします。

そこには、 3つの種類の民間vlanのポート:

  • ごたまぜのポートと通信する他のすべての民間vlanのポートがあります。 これらのポートに接続するためには、通常使用されるゲートウェイまたはルータです。

  • 孤立ポートと通信することができるだけでごたまぜポートします。

  • コミュニティのポートと通信することができるポートは、同じコミュニティとごたまぜポートします。

驚くことではない、民間のvlanの3種類があります。 プライマリポートをvlanに運ぶからデータをごたまぜ孤立し、コミュニティ、およびその他のごたまぜポートします。 孤立孤立からのデータを運ぶのvlanごたまぜポートします。 最後に、 1つのコミュニティの間でトラフィックを運ぶのvlanごたまぜのコミュニティポートおよびポートします。

セキュリティに加えて、民間から提供されたvlanセグメンテーションは、このオプションを書くこともありvlanのアクセス制御リスト( vacls )を小中学校のvlanマップを個別にします。 必要はありませんルーターを実装するvacls ;政策機能を持つカード( pfc )を触媒にして十分です。 詳細については民間vlanとvacl設定をシスコ6000触媒スイッチ、を参照してhttp://www.cisco.com/en/us/products/hw/switches/ps700/products_tech_note09186a008013565f.shtmlhttp:/ / www.cisco.com/en/us/products/hw/switches/ps700/products_configuration_guide_chapter09186a008007f4ba.htmlます。

面白いことに、 arpエントリを学んでレイヤ3プライベートのvlanインターフェイスは"粘り気アルプ"エントリの有効期限としていないことはできません変化します。 想像apのスイッチポートに接続されたvlanは、プライベートなことに接続し、ゲートウェイを経由してごたまぜポートします。 アタッカーの管理に関連付けるにwlan起動すると、ゲートウェイアルプなりすまし攻撃に反対します。 アルプに粘着使用中の場合、カムテーブルは変更されません。このような攻撃するだろうと、ログのメッセージを生成します。

携帯電話を使用しないように注意してipおよびローミングを提供する、私たちを故意に大変なワイヤレスネットワークのセキュリティ面での展開のミスです。 私たちは、アクセスポイントのプラグをスイッチではなく、安全なワイヤレスゲートウェイまたは少なくともまともなルータをfirewal機能します。 部分的にこの問題を修正して、 stickyアルプアルプの両方を防ぐことによってベースの中に人間の真ん中とカムテーブルのオーバーフロー攻撃します。 ただし、この機能は限定され、特定のスイッチは、高価なブランドの側にあります。

上の他のスイッチを設定する必要がありmacのフィルタリングとポートセキュリティが、これはハードコーディングmacアドレスとホストの数を制限して許可され、ポートに接続します。 注意してスイッチポートのフィルタリングとアクセスポイントのセキュリティおよびmac macアドレスフィルタリングは、似たような、ではなく、同じです。 apの両方のスイッチとmacアドレスフィルタリングすることができバイパスをノックすると仮定すると、合法的な無線オフラインでのmacアドレスをホストします。 しかし、スイッチポートのセキュリティを提供する追加の層を保護された防衛なりすましmacアドレスアルプ洪水ます。 シスコのスイッチ触媒のようなので、私たちは非常にハッキング(という意味の"構成" )ので、あなたの例を触媒スイッチポートのセキュリティ設定を使用します。

イオス島スタイルは、コマンドラインインタフェース( cli )スイッチのような触媒1900年には、永続的な使用macエントリを構築するスイッチカム表: 


  abrvalk (設定) # macアドレステーブルの永久0040.1337.1337イーサネット0 / 4

-すべてのアドレスを入力する必要がありましょうと言う20 。 その後バインドの量を許可された接続の数を恒久的な措置マックと定義した場合は、その数を超えている: 


  abrvalk (設定) #ポートのセキュリティアクショントラップabrvalk (設定) # -ポートのセキュリティの上限にmac -カウント20 abrvalk (設定) #アドレス-一時停止違反

このような設定のポートを停止させて受信しているときだろう、違法なフレームとmacアドレスを再度有効にmacアドレスのときに有効なフレームが受信されます。 違反して報告するだろうsnmpトラップ送信されます。 もちろん、攻撃者は、 dos攻撃を引き起こす可能性が絶えず洪水によって、ランダムなポートをmacアドレスが、一時的に切り離されでも、ないよりはクラッカーを提出しており、点滅アラームが自動的に行われます。 macアドレスの数を入力することができ、 1ポートのcli触媒イオス島スタイルのスイッチは132です。

して設定/クリアするcliスイッチのような触媒5000は、ポートのセキュリティ設定を使用してコマンド: 

  eblec > (有効)に設定するポートのセキュリティ2 / 1を有効にeblec > (有効)に設定するポートのセキュリティ2 / 1を有効に0040.1337.1337

すべての20のmacアドレスを入力できるようにしたいとして番号を修正 


  eblec > (有効)に設定するポートのセキュリティ2 / 1最大20

セキュリティ違反行為を定義する: 


  eblec > (有効)に設定するポートのセキュリティ2 / 1に違反を制限する

このコマンドを指示するスイッチをドロップするパケット不正macアドレスのホストから来たが、ポートは引き続き有効になっています。 このため、このような攻撃をmacアドレス洪水dosのスイッチが不可能である場合に適切に設定されます。 ポートの統計情報を確認し、セキュリティの構成と 


  eblec > (有効)を示すポートのセキュリティ2 / 1

静的な金額( "を確保する"を" ciscospeak " )カムテーブルのエントリを設定/クリアするcliシスコのスイッチは、 1024プラスmacアドレスはポートごとに1つの追加のセキュリティで保護されます。 このプールの静的なマックのすべてのスイッチポート間で共有さので、存在する場合は1024静的mac上のエントリに、 1つのポート、残りのポートを使用するには、 1つの静的mac入力してください。 ある場合は、 512のエントリは、残りのポートを共有する必要があり、残りの512プラス<amountの残りのスイッチports>静的マックします。

別の面白い一面を使ってcisco機器の設定および無線ネットワークの両方でのvlan vlanには1 - tkip wepキーまたはシスコのアクセスポイントを展開します。 そう、さまざまな設定することができtkip wepキーまたはキーとキーを定義する別のtkipローテーションの間隔を別のvlan放送します。 たとえば、を設定する128ビットのwepキーは、シスコaironet 1200アクセスポイントで使用されるべきvlanの13のみ、入力ください。 


  #ターミナルaironet aironet設定(設定) #インターフェイスdot11radio 0 aironet設定(設定の場合) # vlanの13モードでの暗号化、暗号wep128 aironet ( - ssidの設定) #終了

分割され、ワイヤレスネットワーク上に複数の異なるvlanとwepキーを割り当てるには、トラフィックの量を減少させることができ、 1つのwepキーを暗号化され、より多くのwep割れ困難になります。 しかし、 tkipの代わりに使用することを強くお勧めします。 次の例は、シスコaironet 1200アクセスポイントの設定を使用するプロトコルについては後述するwpa tkipこのチュートリアルと回転するごとに150秒の放送でキーのvlan 13のみ: 


  #ターミナルaironet aironet設定(設定) #インターフェイスdot11radio 0 aironet設定(設定の場合) # vlanの13モードでの暗号化、暗号tkip aironet (設定の場合) #放送キーのvlan 13変更150 aironet ( - ssidの設定) #終了

さまざまな機会を持てvlanおよびワイヤレスキーを変更して、別の間隔を提供し、より良いvlanの分離分割と追加の柔軟性を与え、セキュリティ志向の無線ネットワークデザイナーします。

これは、記事に追加されhazrulアーロン

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions