Infinet Wireless: Technical Documentation
Page tree

Versions Compared

Old Version 124

changes.mady.by.user Aleksandr Gorbunov

Saved on

compared with

New Version 125

changes.mady.by.user Aleksandr Gorbunov

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Tip
titleРеализация средств обеспечения безопасности управления для семейств устройств
Expand
titleСписок мероприятий
Center

Мероприятия по обеспечению безопасности управления устройством

МероприятиеInfiLINK 2x2 и InfiMAN 2x2InfiLINK XG и InfiLINK XG 1000Vector 5
WebCLIWebCLIWeb
Смена параметров учётной записиСистемные настройкиОбщие командыРаздел ОбщиеОбщие командыНастройки безопасности
Создание гостевой учётной записи-Общие командыРаздел ОбщиеОбщие команды-
Аутентификация через сервер RADIUS-

Общие команды

Процедура аутентификации с использованием RADIUS-сервера

-Общие командыНастройки безопасности
Конфигурация протоколов управленияОбслуживание

Команда td (Telnet daemon)

Общие команды

Раздел Общие

Команда td (Telnet daemon)

Общие команды

Настройки безопасности
Добавление IP-адреса управленияНастройки сетиКоманда ifconfig (настройка интерфейсов)Раздел Сетевой доступКоманда ifconfig (настройка интерфейсов)Настройка сетевого доступа⁣
Ограничение доступа к устройствуIP Firewall

Общие команды

Команда ipfw (IP Firewall)

--Настройки безопасности
Восстановление доступа к устройствуEmergency Repair Console - утрачен контроль над устройством

Общие командыEmergency Repair Console - утрачен контроль над устройством

Поиск и устранение неисправностей⁣

...

Рассмотрим пример атаки с использованием протокола DHCP (рис. 10): организован канал связи между Master и Slave, на радиоинтерфейсе устройства Slave активирован DHCP-клиент, в корпоративной сети установлен DHCP-сервер. Представим, что злоумышленнику удалось подключить сетевое устройство, на котором настроен сервер DHCP, к корпоративной сети. После установления канала связи Master-Slave, устройство Slave отправляет в сеть широковещательный запрос для получения сетевых настроек от DHCP-сервера. DHCP-серверы, находящиеся в сети, отвечают на запрос от Slave. Если ответ от сервера злоумышленника будет получен первым, то устройство Slave присвоит одному из сетевых интерфейсов предлагаемый адрес и сетевые настройки, которые переданы в этом запросе. Таким образом, злоумышленник может указать своё устройство в качестве маршрутизатора по - умолчанию и получить доступ к трафику, передаваемому устройством Slave.

...

  • Ограничение DHCP-клиентом списка DHCP-серверов: DHCP-клиент позволяет ограничить список серверов, для которых будет формироваться запрос сетевых настроек. В этом случае , DHCP-клиент сформирует запросы для указанных DHCP-серверов, а если они не ответят, то сформирует широковещательный запрос.
  • Использование ключа безопасности: при аутентификации клиента может быть использован ключ безопасности. Следует иметь в виду, что данная настройка должна быть выполнена как на DHCP-сервере, так и на DHCP-клиенте.
  • Фиксация пары "клиент-адрес" в конфигурации DHCP-сервера: конфигурация DHCP-сервера позволяет зафиксировать за клиентами, выделяемые им IP-адреса. Таким образом можно сформировать белые списки устройств, что затруднит действия злоумышленника для получения сетевых реквизитов.
  • Использование DHCP Snooping: использование данной технологии позволяет предотвратить получение сетевых реквизитов от DHCP-сервера злоумышленника. Принцип работы весьма прост: порты устройств домена Ethernet, за которыми расположен DHCP-сервер, помечаются как доверенные, остальные - как ненадёжные. Сообщения от DHCP-серверов, пришедшие на вход ненадёжных портов будут отброшены, что делает невозможным получение устройствами-клиентами сетевых реквизитов от сервера злоумышленника.
  • Отключение DHCP на неиспользуемых интерфейсах: необходимо тщательно следить за списком интерфейсов, на которых включена поддержка протокола DHCP. На интерфейсах, которые не используются для передачи данных или на которых используется статическая адресация, необходимо деактивировать поддержку DHCP. Эта рекомендация справедлива как для DHCP-клиента, так и DHCP-сервера.
  • Отказ от протокола DHCP: следует понимать, что использование протокола DHCP должно иметь ограниченный характер, т.к. возможны сценарии, в которых рекомендуется использовать статическое назначение сетевых реквизитов на соответствующие интерфейсы. Так, например, статические адреса рекомендуется назначать ключевым сетевым элементам, в роли которых могут выступать и беспроводные устройства Инфинет. Это позволит избежать проблем при организации систем технического учёта и мониторинга.

...

Tip
titleРеализация средств обеспечения безопасности передачи данных для семейств устройств
Expand
titleСписок мероприятий
Center

Мероприятия по обеспечению безопасности передачи данных

МероприятиеInfiLINK 2x2 и InfiMAN 2x2InfiLINK XG и InfiLINK XG 1000Vector 5
WebCLIWebCLIWeb
Обновление ПООбслуживаниеОбщие командыРаздел ОбслуживаниеОбщие командыОбслуживание⁣
Отложенная перезагрузкаПрименение, проверка и предварительный просмотр конфигурацииОбщие командыПроверка и применение настроекКоманды настройки модема-
Фильтрация трафика

IP Firewall

Коммутатор (MAC Switch)

Команда ipfw (IP Firewall)

PCAP-фильтры

Команда switch

Раздел Коммутатор

Коммутация на основе VLAN

Команды настройки коммутатораНастройка коммутации⁣
Конфигурация STPКоммутатор (MAC Switch)Команда switch---
Включение режима маршрутизатора-

Команда route (статические маршруты)

Команда arip

Команда OSPF

Команда ARDA

---
Конфигурация DHCP-клиентаНастройки сетиКоманда dhcpc (DHCP клиент)Раздел Сетевой доступКоманда dhcpc (DHCP клиент)Настройка сетевого доступа⁣
Конфигурация DHCP-сервера-Команда dhcpd (DHCP Server)---
Конфигурация DHCP-ретранслятора-Команда dhcpr (DHCP relay)---
Конфигурация ARP-

Команда arp

Команда macf

-Команда arp-
Конфигурация LLDP-Команда lldp-Команда lldp-
Конфигурация SNMPРаздел "SNMP"Команда snmpd (SNMP daemon)Раздел SNMPКоманда snmpd (SNMP daemon)Настройка SNMP
Конфигурация MINTНастройки линка

Команда mint в версии MINT

Команда mint в версии TDMA

---

...

  • Поллинг: система мониторинга отправляет SNMP-запросы устройству с указанием параметров, значения которых необходимо получить. Устройство формирует для системы мониторинга SNMP-ответ, где указывает значения запрашиваемых параметров. Опрос параметров устройств ведётся с установленной периодичностью, что гарантирует опрос устройства в заданный интервал.
  • Trap-сообщения: устройство отправляет специальное сообщение SNMP Trap серверу мониторинга в случае возникновения события из указанного списка. Отправка SNMP Trap, в отличие от поллинга, инициируется самим устройством и происходит мгновенно, независимо от цикла опроса, однако это потребует дополнительной настройки устройств.
Center

Image RemovedImage Added

Рисунок 16 - Обмен данными между устройствами и системой мониторинга

...

Для этих целей в сети выделяется сервер Syslog. Все журнальные записи , одновременно с записью в системный журнал , отправляются на сервер Syslog (рис. 17). Это позволяет хранить историю сообщений всех сетевых устройством устройств централизованно и не зависеть от состояния системного журнала непосредственно на устройстве, который может быть очищен при перезагрузке или несанкционированном доступе.

...