...
| Anchor | ||||
|---|---|---|---|---|
|
Базовая функция любого сетевого устройства, имеющего более одного интерфейса, передача данных между ними. Устройства Инфинет не являются исключением, выполняя коммутацию или маршрутизацию пакетов между проводными и беспроводными интерфейсами. Кроме того, на устройствах запущены вспомогательные сервисы, работа которых основана на одном из сетевых протоколов, например, SNMP и LLDP. Реализация всех этих функций на устройствах Передача данных является основной функцией любого сетевого оборудования. Помимо пользовательских данных, устройства обмениваются служебными сообщениями вспомогательных протоколов, таких как SNMP, LLDP и т.д. Реализация описанных функций содержит в себе потенциальные угрозы, которыми может воспользоваться злоумышленник, поэтому кропотливый подход к настройке сетевых протоколов на устройствах позволит минимизировать данные рискичто требует кропотливой настройки всех подсистем беспроводных устройств.
| Anchor | ||||
|---|---|---|---|---|
|
Работа любого сетевого элемента складывается из его аппаратной и программной реализаций, поэтому актуализация программного обеспечения является важным вкладом в надёжность работы устройствБеспроводные системы представляют собой программно-аппаратные комплексы. Следовательно, одним из важнейших требований является своевременная актуализация программного обеспечения. Рекомендуется использовать стабильную версию программного обеспечения и следить за выходом обновлений. Проверить актуальность используемой версии ПО можно через интерфейс управления непосредственно на устройстве или на FTP Infinet Wireless.
Внося изменения в конфигурацию устройств, следует иметь в виду, что механизм применения настроек зависит от интерфейса управлениятого, в каком интерфейсе они применяются:
- Web-интерфейс: выполняется настройка устройства в нескольких разделах меню, при нажатии на кнопку "Применить" выполненные изменения изменения, вносимые в разных разделах интерфейса, накапливаются и последовательно вносятся в текущую конфигурацию и сохраняютсяконфигурацию только после нажатия кнопки "Применить". При перезагрузке устройства, будет выполнена загрузка новой последней успешно сохранённой конфигурации.
- Интерфейс CLI: при выполнении команда мгновенно добавляется в текущую конфигурацию, но не сохраняется. Для сохранения настроек необходимо выполнить соответствующую команду. При перезагрузке устройства будет выполнена загрузка последней успешно сохранённой версии конфигурации.
При использовании любого интерфейса управления устройством, можно допустить ошибки в конфигурации и потерять доступ к устройству, отфильтровать трафик пользователей или разорвать беспроводное соединениеВ некоторых ситуациях ошибки, допущенные в процессе настройки устройства, могут привести к потере связи с устройством, что означает нарушение доступности. Независимо от последствий, будет нарушена доступность информации и велика вероятность, что устройство следует сбросить к заводским настройкам (см. "Восстановление доступа"). Для того, чтобы снизить риск возникновения рассмотренного сценария, рекомендуется использовать отложенную перезагрузку устройства: сохраняется две копии конфигурации - текущая и новая, применяется новая и проверяется доступность интерфейса управления устройством - если управление потеряно, то устройство перезагружается с предыдущей сохранённой конфигурацией, иначе - на устройстве сохраняется новая . В этом случае будет применена новая конфигурация. После этого выполняется проверка доступности устройства через выбранный метод управления. Если он недоступен, то будет возвращена предыдущая конфигурация.
| Anchor | ||||
|---|---|---|---|---|
|
...
Служебный трафик
По умолчанию коммутация на устройстве настроена таким образом, чтобы данные между проводным и беспроводным интерфейсами передавались без фильтрации. Такая схема уязвима для большого объёма паразитного трафика, который может привести к нарушению доступности сети. Пример паразитного трафика - широковещательный шторм, причиной которого может быть ошибка в коммутации устройств, либо действия злоумышленника. Мероприятиями по защите сетевой инфраструктуры от атак подобного типа:
- Фильтрация трафика: хорошей практикой является разделение физической инфраструктуры на несколько виртуальных локальных сетей с использованием технологии VLAN. Такой метод позволяет ограничить широковещательные домены, а значит уменьшить масштаб от влияние широковещательного шторма. Это потребует настройки фильтрации трафика разных VLAN на устройствах и каналах связи: на беспроводных устройствах рекомендуется разрешить обработку только тех vlan-idметок VLAN, которые действительно должны быть переданы через организованный радиоканал и запретить все остальные.
- Протокол STP: протокол покрывающего дерева (STPSpanning Tree Protocol) предназначен для предотвращения петель на канальном уровне, которые могут быть причиной широковещательного шторма. Кроме того, протокол STP может быть использован для построения схемы автоматического резервирования на канальном уровне в сетях с избыточностью каналов связи.
- Режим маршрутизатора: одним из подходов для снижения влияния широковещательного шторма является уменьшение размера широковещательного сегмента за счёт использования технологии маршрутизации. В этом случае данные передаются на основе L3-заголовка, содержащего поле TTL, который исключает циклическую передачу широковещательного трафика.
...
Помимо пользовательского трафика, устройства в сети обмениваются служебными данными с использованием различных протоколов, настройка которых важна в контексте информационной безопасности. В процессе обеспечения безопасности необходимо помнить, что любая доступная служба является потенциальной целью злоумышленника.
DHCP
Устройства Инфинет могут быть настроены в качестве DHCP-клиента, DHCP-сервера и DHCP-ретранслятора. Следует иметь в виду, что протокол DHCP поддерживает не только выделение IP-адреса клиенту, но и передачи множества сетевых настроек.
...