...
Меры по обеспечению ИБ обусловлены не только семейством устройств Инфинет, но и сценарием их использования (см. рисунок 1а-г). Основная задача радиоустройств - организация канала связи, поэтому сценарии будут отличаться отличаются между собой сегментами сети, которые этот радиоканал объединяет. Также следует иметь в виду, что архитектура решений по обеспечению ИБ не должна быть избыточной. Например, фильтрация вредоносного трафика должна выполняться на стыке со сторонним оператором связи, а не на всей цепочке промежуточных узлов.
Требования по обеспечению физической безопасности и безопасности в радиоканале одинаковы для всех рассматриваемых сценариев и подробно представлены в соответствующих разделах.
Для конфигурации устройств можно сформулировать следующие общие правила ИБ:
- управление устройством извне должно быть ограничено с помощью белых списков;
- работа вспомогательных сетевых протоколов должна быть ограничена локальной сетью;
- на стыке зон ответственности должен быть организован эшелон безопасности для защиты от вредоносного трафика.
Объединение сегментов своей сети
Сценарий объединения двух сегментов сети, находящихся под одним управлением является простейшим, т.к.большинство мер по обеспечению ИБ могут быть возложены на специализированные устройства, находящиеся в сети.
| Center |
|---|
Рисунок 1а - Радиоканал, объединяющий два сегмента своей сети |
| Anchor | ||||
|---|---|---|---|---|
|
В сценарии объединения двух сетей, находящихся в разных зонах ответственности, функции первого эшелона безопасности возложены на радиоустройство, расположенное на стыке двух сетей. В таком сценарии должна быть обеспечена фильтрация как входящего, так и исходящего трафика сторонней организации.
Частным случаем сторонней организации является сеть клиента, для которого предоставляется один из сервисов передачи данных. В этом случае, целесообразно ограничение пропускной способности и использование QoS для трафика клиента.
| Center |
|---|
Рисунок 1б - Радиоканал, объединяющий сегменты своей и сторонней сетей
Рисунок 1в - Радиоканал, объединяющий сегменты своей и клиентской сетей |
Объединение сегментов своей сети и сети Интернет
Сценарий с нахождением беспроводного устройства на стыке локальной сети и сети Интернет является частным случаем сценария рассмотренного выше. Отличием является возможность получения доступа к устройству из сети Интернет по публичному адресу, который должен быть предоставлен по белому списку.
| Center |
|---|
Рисунок 1г - Радиоканал, объединяющий сегменты своей сети и сети Интернет |
Таблица применимости средств обеспечения ИБ в различных сценариях
| Раздел ИБ | Подраздел ИБ | LAN-LAN | LAN-Сторонняя LAN | LAN-WAN |
|---|---|---|---|---|
| Физическая безопасность | Все | + | + | + |
Вопросики на рассмотрение
...