...
Сценарий объединения двух сегментов сети, находящихся под одним управлением является простейшим, т.к.большинство мер по обеспечению ИБ могут быть возложены на специализированные устройства, находящиеся в сети.
| Center |
|---|
Рисунок 1а - Радиоканал, объединяющий два сегмента своей локальной сети |
| Anchor | ||||
|---|---|---|---|---|
|
...
Частным случаем сторонней организации является сеть клиента, для которого предоставляется один из сервисов передачи данных. В этом случае, целесообразно ограничение пропускной способности и использование QoS для трафика клиента.
| Center |
|---|
Рисунок 1б - Радиоканал, объединяющий сегменты своей локальной и сторонней сетей
Рисунок 1в - Радиоканал, объединяющий сегменты своей локальной и клиентской сетей |
Объединение сегментов своей сети и сети Интернет
Сценарий с нахождением беспроводного устройства на стыке локальной сети и сети Интернет является частным случаем сценария рассмотренного выше. Отличием является возможность получения доступа к устройству из сети Интернет по публичному адресу, который должен быть предоставлен по белому списку.
| Center |
|---|
Рисунок 1г - Радиоканал, объединяющий сегменты своей локальной сети и сети Интернет |
Таблица применимости средств обеспечения ИБ в различных сценариях
...
| Anchor | ||||
|---|---|---|---|---|
|
рисунок 8 - радиус
смена пароля
гостевая учётка
...
Помимо выбора интерфейса управления, можно управлять обменом данными между интерфейсом управления и другими интерфейсами. Данный механизм позволяет ограничивать доступ к устройству через проводные или беспроводные интерфейсы, в зависимости от сценария использования оборудования.
На рисунке 1 представлены сценарии использования устройств Инфинет, рассмотрим организацию доступа к интерфейсу управления устройствами для каждого из сценариев. Для этого дополним схему ПК инженеров, подключенных к разным сетевым сегментам, с помощью которых выполняется управление устройствами (см. рисунок 9а,б,в):
- Объединение двух сегментов локальной сети: доступ к интерфейсу управления устройств должен быть предоставлен инженерам, подключенным к разным сегментам сети (см. рисунок 9а). Функцию ограничение доступа злоумышленника к сети должны выполнять другие сетевые элементы.
- Объединение сегментов локальной и сторонней сетей: доступ к интерфейсу управления устройств должен быть предоставлен только инженеру, подключенному к локальному сегменту сети (см. рисунок 9б), т.е. необходимо отключить возможность передачи данных между интерфейсом управления и проводным интерфейсом устройства Slave.
- Объединение сегментов локальной сети и сети Интернет: доступ к интерфейсу управления устройств должен быть предоставлен инженеру, подключенному к локальному сегменту сети (см. рисунок 9в). Кроме того, может быть настроен доступ для списка инженеров, подключенных к сети Интернет. При этом обязательно должна быть настроена фильтрация, которая будет рассмотрена позже.
| Center |
|---|
Рисунок 9а - Радиоканал, объединяющий два сегмента локальной сети
Рисунок 9б - Радиоканал, объединяющий сегменты локальной и сторонней сетей
Рисунок 9в - Радиоканал, объединяющий сегменты локальной сети и сети Интернет |
Сформулируем общие принципы, применимые к конфигурации интерфейса управления:
...