Infinet Wireless: Technical Documentation
Page tree

Versions Compared

Old Version 91

changes.mady.by.user Aleksandr Gorbunov

Saved on

compared with

New Version 92

changes.mady.by.user Aleksandr Gorbunov

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Получение несанкционированного доступа к интерфейсу управления устройством является важной серьёзной угрозой, которая может повлечь за собой нарушение всех основных свойств информации, поэтому необходимо уделить внимание тщательной проработке мероприятий для обеспечения безопасности по обеспечению безопасности информации и снижения потенциальных рисков.

Anchor
mgmt_authentication
mgmt_authentication
Аутентификация и авторизация

...

Warning
titleВнимание!

По умолчанию в конфигурацию устройств Инфинет добавлен один пользователь с административными параметрами и следующими значениями атрибутов:

  • логин:

...

  •  любая непустая строка;
  • пароль:

...

  •  любая непустая строка.

Поскольку с настройками аутентификации по умолчанию велика вероятность угрозы несанкционированного доступа,

...

требуется изменить логин и пароль при первоначальной настройке.

Кроме учётной записи администратора, в В компаниях может быть организовано несколько линий технической поддержки: в такой схеме часть проблем, не требующих изменения конфигурации беспроводных устройств, может быть решена первой линией технической поддержки. Ресурсы квалифицированных сотрудников второй и третьей линий технической поддержки для решения тривиальных задач использованы не будут. Для реализации описанного сценария в конфигурацию устройства может быть добавлена гостевая учётная запись. Пользователь, получивший доступ к интерфейсу управления с использованием гостевой учётной записи, может использовать утилиты и просматривать статистику интерфейсов, но ему запрещено вносить изменения в конфигурацию. Такой подход может быть использован на предприятиях, у которых организовано несколько линий технической поддержки: в такой схеме часть проблем может быть решена первой линией технической поддержки, при этом не будет изменена конфигурация беспроводных устройств и не будут использованы ресурсы квалифицированных сотрудников второй и третьих линий технической поддержки.С точки зрения эксплуатации крупных сетей гораздо удобнее использовать централизованное хранение учётных записей, в сравнении с локальным, рассмотренным выше. Устройства .

При эксплуатации сетей с большим количеством устройств рекомендуется использовать централизованное хранение учётных записей. Это позволяет избежать ошибок при блокировании учётных записей, обеспечить единую парольную политику и иметь единый интерфейс для управления учётными записями. Устройства Инфинет поддерживают работу протокола RADIUS, который предназначен для централизованной аутентификации, авторизации и аккаутинга в сетях. В зависимости от возможностей и масштабов сети, база данных учётных записей для работы RADIUS может быть развёрнута на отдельном устройстве, либо совмещена с другим элементов сети.

Expand
titleАлгоритм использования RADIUS-сервера

Алгоритм использования RADIUS-сервера выглядит следующим

...

образом (рис. 8):

  1. Запрос на доступ к интерфейсу управления устройством:

...

  1.  пользователь пытается получить доступ к интерфейсу управления устройством с помощью одного из протоколов (см. ниже), формируя запрос, в котором передаёт логин и пароль.
  2. Формирование запроса серверу RADIUS:

...

  1.  устройство принимает запрос от пользователя и формирует запрос серверу в соответствии с протоколом RADIUS.
  2. Ответ от сервера RADIUS:

...

  1.  сервер RADIUS получает запрос и проверяет наличие и выделенные права для пользователя, учётные данные которого переданы в запросе. Сервер формирует один из двух ответов:
    1. Доступ разрешён:

...

    1.  учётная запись присутствует в базе и ей разрешён доступ к интерфейсу управления устройством Slave (рис. 8а).
    2. Доступ запрещён:

...

    1.  учётная запись отсутствует в базе, либо данному пользователю запрещён доступ к интерфейсу управления Slave (рис. 8б).
  2. Принятие решения устройством:

...

  1.  устройство получает ответ от сервера RADIUS и принимает решения об авторизации пользователя с указанной текущей записью. В случае успешной авторизации пользователю демонстрируется интерфейс управления устройством (рис. 8а), в противном случае пользовательское соединение сбрасывается и демонстрируется информационное сообщение.


Center

Image Modified

Рисунок 8а - Пример успешного прохождения аутентификации через RADIUS

Image Modified

Рисунок 8б - Пример неудачного прохождения аутентификации через RADIUS

Anchor
mgmt_methods
mgmt_methods
Методы доступа

Конфигурация устройств Инфинет может быть выполнена с помощью графического Web-интерфейса или интерфейса командной строки (CLI). Управление некоторыми функциями устройства возможно только с помощь CLI, однако Web-интерфейс проще в эксплуатации. Выбор интерфейса и связанного с ним протокола управления зависит от технической политики, используемой на предприятии, однако следует иметь в виду, что неиспользуемые протоколы управления рекомендуется отключить. Доступ к тому или иному интерфейсу осуществляется через определённые протоколы, использование которых регламентируется технической политикой предприятия. Неиспользуемые протоколы рекомендуется отключить, тем самым сократив возможности несанкционированного доступа к интерфейсу управления устройством.

Протоколы управления, поддерживаемые устройствами Инфинет, соотносятся с интерфейсами управления следующим образом:

  • Web-интерфейс:
    • Протокол HTTP: запросы и ответы на них передаются по сети в открытом виде, поэтому злоумышленник, получив доступ к сети, может перехватить информацию.
    • Протокол HTTPS: запросы и ответы на них передаются по сети в шифрованном виде, поэтому злоумышленнику, перехватившему данные, потребуются ключи шифрования для обработки информации. При отсутствии особых причин для использования HTTP, предпочтительнее использовать протокол HTTPS.
  • Интерфейс CLI-интерфейс:
    • Протокол Telnet: управляющие команды и результат их выполнения передаётся в открытом виде, поэтому злоумышленник, получив доступ к сетевой инфраструктуре, может перехватить информацию. Использование протокола Telnet допустимо в случае крайней необходимости, когда отсутствует возможность использования SSH.
    • Протокол SSH: управляющие команды и результаты их выполнения передаётся в шифрованном виде. В случае, если злоумышленник получит доступ к сети и сможет их перехватить , то ему потребуются ключи для расшифровки информациислужебные сообщения, то, не имея ключей шифрования, он не сможет их расшифровать.

Anchor
mgmt_interface
mgmt_interface

...

Сетевой интерфейс управления

Интерфейс Сетевой интерфейс управления (mgmt), используемый для доступа к устройству, организован различным способом для устройств семейств Инфинет: на устройствах семейств в разных семействах устройств организован по-разному:

  • InfiLINK XG, InfiLINK XG 1000 и Vector 5: выделен внутренний виртуальный интерфейс mgmt для управления устройством, который может быть ассоциирован с IP-адресом

...

  • .
  • InfiLINK 2x2 и InfiMAN 2x2: IP-адрес может быть ассоциирован с виртуальным или физическим интерфейсами, т.е. в роли сетевого интерфейса управления могут выступать интерфейсы различных типов,

...

  • например eth0, svi100. В конфигурацию могут быть добавлены несколько сетевых интерфейсов управления одного или разных типов.

Помимо выбора интерфейса управления, можно управлять обменом данными между интерфейсом управления и другими интерфейсами. Данный механизм позволяет ограничивать доступ к устройству через проводные или беспроводные интерфейсы, в зависимости от сценария использования оборудования.

На рис. 1 представлены сценарии использования устройств Инфинет, рассмотрим организацию доступа к сетевому интерфейсу управления устройствами для каждого из сценариев. Для этого дополним схему ПК инженеров, подключенных к разным сетевым сегментам, с помощью которых выполняется управление устройствами (рис. 9а-в):

  • Объединение двух сегментов локальной сети: доступ к интерфейсу управления устройств должен быть предоставлен инженерампользователям ПК, подключенным к разным сегментам сети (рис. 9а). Функцию ограничение доступа злоумышленника к сети должны выполнять другие сетевые элементы. Беспроводные устройства находятся во внутренней сети и не контактируют с устройствами внешних сетей напрямую. Функцию обеспечения защиты от несанкционированного доступа должны выполнять сетевые элементы, находящиеся на границе внутренней и внешней сетей.
  • Объединение сегментов локальной и сторонней сетей: доступ к интерфейсу управления устройств должен быть предоставлен только инженерупользователю ПК, подключенному к локальному сегменту сети (рис. 9б), т.е. необходимо отключить возможность передачи данных между интерфейсом управления и проводным интерфейсом устройства Slave.
  • Объединение сегментов локальной сети и сети Интернетинтернет: доступ к интерфейсу управления устройств должен быть предоставлен инженерупользователю ПК, подключенному к локальному сегменту сети (рис. 9в). Кроме того, доступ может быть настроен доступ для списка инженеровпредоставлен некоторым пользователям ПК, подключенных к сети Интернетинтернет. При этом на пограничных устройствах обязательно должна быть настроена фильтрация входящего трафика, которая будет рассмотрена позже.
Center

Image RemovedImage Added

Рисунок 9а - Радиоканал, объединяющий два сегмента локальной сети

Image RemovedImage Added

Рисунок 9б - Радиоканал, объединяющий сегменты локальной и сторонней сетей

Image RemovedImage Added

Рисунок 9в - Радиоканал, объединяющий сегменты локальной сети и сети Интернет

Сформулируем общие принципы, применимые к конфигурации Мы рекомендуем руководствоваться следующими принципами настройки интерфейса управления:

  • В качестве интерфейса управления необходимо использовать виртуальный интерфейс, для устройств :
    • Устройства семейств InfiLINK XG, InfiLINK XG 1000 и Vector 5
    - стандартный
    • : сетевой интерфейс управления
    , для устройств
    • mgmt.
    • Устройства семейств InfiLINK 2x2 и InfiMAN 2x2
    -
    • : сетевой интерфейс svi, связанный с группой коммутации управляющего трафика.
  • Доступ к интерфейсу управления должен быть разрешён только с интерфейсовчерез сетевые интерфейсы, за которыми расположены хосты инженеров, выполняющих конфигурацию, или вспомогательные сервисы предприятия, например NMS ПК инженеров или сервисы, осуществляющие управление устройствами, например, система мониторинга.
  • В случае разделения изоляции сетевого трафика по vlanс помощью VLAN, должен быть выделен отдельный vlan VLAN для трафика управления и интерфейс управления , который должен быть ассоциирован с выделенным идентификатором vlanинтерфейсом управления.

Anchor
mgmt_firewall
mgmt_firewall
Ограничение доступа

Устройства семейств InfiLINK 2x2, InfiMAN 2x2 и Vector 5 позволяют создать белые списки доступа: доступ . В этом случае доступ к интерфейсу управления будет предоставлен только хостамузлам, адреса которых включены в белые списки.

...