...
Warning | ||
---|---|---|
| ||
По умолчанию в конфигурацию устройств Инфинет добавлен один пользователь с административными параметрами и следующими значениями атрибутов:
Поскольку с настройками аутентификации по умолчанию велика вероятность угрозы несанкционированного доступа, требуется изменить логин и пароль при первоначальной настройке. |
...
Конфигурация устройств Инфинет может быть выполнена с помощью графического Web-интерфейса или интерфейса командной строки (CLI). Управление некоторыми функциями устройства возможно только с помощь помощью CLI. Доступ к тому или иному интерфейсу осуществляется через определённые протоколы, использование которых регламентируется технической политикой предприятияс помощью различных сетевых протоколов. Неиспользуемые протоколы рекомендуется отключить, тем самым сократив возможности несанкционированного доступа к интерфейсу управления устройством.
...
- Web-интерфейс:
- Протокол HTTP: запросы и ответы на них данные передаются по сети в открытом виде, поэтому злоумышленник, получив доступ к сети, может перехватить информациюих перехватить.
- Протокол HTTPS: запросы и ответы на них данные передаются по сети в шифрованном зашифрованном виде, поэтому злоумышленникузлоумышленник, перехватившему перехвативший данные, потребуются ключи шифрования для обработки информации. , не сможет их расшифровать, не имея соответствующих ключей шифрования При отсутствии особых причин для использования HTTP, предпочтительнее использовать должен использоваться протокол HTTPS.
- Интерфейс CLI:
- Протокол Telnet: управляющие команды и результат их выполнения передаётся данные передаются в открытом виде, поэтому злоумышленник, получив доступ к сетевой инфраструктуре, может перехватить информацию. Использование протокола Telnet допустимо в случае крайней необходимости, когда отсутствует возможность использования SSH.
- Протокол SSH: управляющие команды и результаты их выполнения передаётся в шифрованном данные передаются в зашифрованном виде. В случае, если злоумышленник сможет перехватить служебные сообщения, то, не имея ключей шифрования, он не сможет их расшифровать.
...
- InfiLINK XG, InfiLINK XG 1000 и Vector 5: выделен внутренний виртуальный интерфейс mgmt для управления устройством, который может быть ассоциирован с IP-адресом.
- InfiLINK 2x2 и InfiMAN 2x2: IP-адрес может быть ассоциирован с виртуальным или физическим интерфейсами, т.е. в роли сетевого интерфейса управления могут выступать интерфейсы различных типов, например eth0, svi100. В конфигурацию могут быть добавлены несколько сетевых интерфейсов управления одного или разных типов.
Помимо выбора интерфейса управления, можно управлять обменом данными , с которым будет ассоциирован IP-адрес управления, также существует возможность управления связностью между интерфейсом управления и другими сетевыми интерфейсами. Данный механизм позволяет ограничивать доступ к устройству через проводные или беспроводные интерфейсы, в зависимости от сценария использования оборудования.
...
- Объединение двух сегментов локальной сети: доступ к интерфейсу управления устройств должен быть предоставлен пользователям ПК, подключенным к разным сегментам сети (рис. 9а). Беспроводные устройства находятся во внутренней сети и не контактируют с устройствами внешних сетей напрямую. Функцию обеспечения защиты от несанкционированного доступа должны выполнять сетевые элементы, находящиеся на границе внутренней и внешней сетей.
- Объединение сегментов локальной и сторонней сетей: доступ к интерфейсу управления устройств должен быть предоставлен только пользователю ПК, подключенному к локальному сегменту сети (рис. 9б), т.е. необходимо отключить возможность передачи данных между интерфейсом управления и проводным интерфейсом устройства Slave.
- Объединение сегментов локальной сети и сети интернет: доступ к интерфейсу управления устройств должен быть предоставлен пользователю ПК, подключенному к локальному сегменту сети (рис. 9в). Кроме того, доступ может быть предоставлен некоторым пользователям ПК, подключенных к сети интернет. При этом на пограничных устройствах обязательно должна быть настроена фильтрация входящего трафика, которая будет рассмотрена позжедалее.
Center |
---|
Рисунок 9а - Радиоканал, объединяющий два сегмента локальной сети Рисунок 9б - Радиоканал, объединяющий сегменты локальной и сторонней сетей Рисунок 9в - Радиоканал, объединяющий сегменты локальной сети и сети интернет |
...