Page tree
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 8 Next »

Внимание, данный документ содержит вложенные страницы с объединением настроек по семействам устройств:

Содержание

Введение

Появление информационных технологий изменило сферы жизни человека, сделав информацию одним из самых ценных ресурсов. Наряду с другими ресурсами, информация представляет ценность для владельца и может стать причиной споров и конфликтов. Именно поэтому, одним из вопросов, связанных с информацией, является обеспечение её безопасности, а развитие информационных систем и накопление больших объёмов данных привело к необходимости комплексного подхода к обеспечению безопасности технических систем.

Документ описывает средства достижения информационной безопасности в сетях, построенных с использованием устройств Инфинет. Набор используемых средств зависит от семейства устройств, поэтому документ включает дочерние страницы с объединением средств по семействам, а на главной странице даётся ссылка на соответствующий раздел.

Терминология

  • Информация - сведения об окружающем мире и протекающих в нём процессах, воспринимаемые человеком или специальным устройством.
  • Информационная безопасность (ИБ) - защищённость информации и инфраструктурных составляющих от воздействий, которые могут нанести ущерб субъектам информационных отношений.
  • Угроза - потенциальная возможность нарушения информационной безопасности.
  • Атака - попытка реализации угрозы.
  • Злоумышленник - лицо или группа лиц, производящие атаку.
  • Риск - вероятность наступления той или иной угрозы.

Характеристики информации

В технической системе должны быть применены меры обеспечения безопасности информации в соответствии с политикой ИБ, принятой компании. Политика ИБ должна включать в себя цели для достижения следующих свойств информации:

  • Доступность - возможность получения доступа к информации за приемлемое время.
  • Целостность - непротиворечивость информации, её актуальность.
  • Конфиденциальность - невозможность получения несанкционированного доступа к информации.

Архитектура технических систем подразумевает комплексный подход для обеспечения ИБ, поэтому следует реализовывать меры по достижению каждого из базовых свойств информации. Следует помнить, что реализация политики ИБ является бесконечным процессом, требующим периодического пересмотра мер и контроля за их выполнением.

Организация ИБ должна иметь многоуровневый характер и не ограничиваться только техническими решениями. Помимо технических должны быть предусмотрены законодательные, административные и процедурные меры.

Сценарии использования оборудования Инфинет

Меры по обеспечению ИБ обусловлены не только семейством устройств Инфинет, но и сценарием их использования (см. рисунок 1а-г). Основная задача радиоустройств - организация канала связи, поэтому сценарии отличаются между собой сегментами сети, которые этот радиоканал объединяет. Также следует иметь в виду, что архитектура решений по обеспечению ИБ не должна быть избыточной. Например, фильтрация вредоносного трафика должна выполняться на стыке со сторонним оператором связи, а не на всей цепочке промежуточных узлов.

Требования по обеспечению физической безопасности и безопасности в радиоканале одинаковы для всех рассматриваемых сценариев и подробно представлены в соответствующих разделах.

Для конфигурации устройств можно сформулировать следующие общие правила ИБ:

  • управление устройством извне должно быть ограничено с помощью белых списков;
  • работа вспомогательных сетевых протоколов должна быть ограничена локальной сетью;
  • на стыке зон ответственности должен быть организован эшелон безопасности для защиты от вредоносного трафика.

Объединение сегментов своей сети

Сценарий объединения двух сегментов сети, находящихся под одним управлением является простейшим, т.к.большинство мер по обеспечению ИБ могут быть возложены на специализированные устройства, находящиеся в сети.

Рисунок 1а - Радиоканал, объединяющий два сегмента своей сети

Объединение сегментов своей и сторонней сетей

В сценарии объединения двух сетей, находящихся в разных зонах ответственности, функции первого эшелона безопасности возложены на радиоустройство, расположенное на стыке двух сетей. В таком сценарии должна быть обеспечена фильтрация как входящего, так и исходящего трафика сторонней организации.

Частным случаем сторонней организации является сеть клиента, для которого предоставляется один из сервисов передачи данных. В этом случае, целесообразно ограничение пропускной способности и использование QoS для трафика клиента.

Рисунок 1б - Радиоканал, объединяющий сегменты своей и сторонней сетей

Рисунок 1в - Радиоканал, объединяющий сегменты своей и клиентской сетей

Объединение сегментов своей сети и сети Интернет

Сценарий с нахождением беспроводного устройства на стыке локальной сети и сети Интернет является частным случаем сценария рассмотренного выше. Отличием является возможность получения доступа к устройству из сети Интернет по публичному адресу, который должен быть предоставлен по белому списку.

Рисунок 1г - Радиоканал, объединяющий сегменты своей сети и сети Интернет

Таблица применимости средств обеспечения ИБ в различных сценариях

Раздел ИБПодраздел ИБРискиLAN-LANLAN-Сторонняя LANLAN-WAN
Физическая безопасностьВсе
  • Нарушение целостности
  • Нарушение конфиденциальности
+++












Физическая безопасность

Фундаментом стека сетевых технологий является физический уровень, поэтому обеспечение физической безопасности устройств является приоритетной задачей при реализации политики ИБ предприятия. Обеспечение физической безопасности подразумевает комплексный подход и включает несколько компонент:

  • выбор площадки для установки оборудования;
  • организация вспомогательной инфраструктуры объекта;
  • монтаж оборудования;
  • эксплуатация объекта.

Выбор площадки для установки оборудования


Организация вспомогательной инфраструктуры объекта


Монтаж оборудования


Эксплуатация объекта




Физическая безопасность:

выбор площадки, ограничение доступа на площадку, возможность организации сигнализации, видеонаблюдения, питание, заземление.

монтаж: крепление устройства, кабельной трассы, грозозащита, ЭП, заземление

возможность отключение LED-индикации устройства (команда indicator)

Добавить управление терморегулятором.

+мобильные объекты

+приёмка

+резервирование

+кондиционер/подогрев/влажность

+профилактическое обслуживание

+PoE


Вопросики на рассмотрение

Теория: дать понятия аспектам обеспечения безопасности (НСД, доступность и т.д.). При рассмотрении инструментов обеспечения безопасности ссылаться на теорию. Определить то, что мы понимаем под безопасностью.



Настройки радио:

    SID и ключ безопасности

    Частоты

        - использование частот, на которые получен РИЧ

        - использование pwrctl

        - использование DFS, iDFS

        - использование нескольких профилей

    Режим авторизации

        - статически линки

        - авторизация через RADIUS

    Скрэмблирование

В настройках радио можно ещё сказать про switch border и макс. число линков.

+мобильные объекты


Управление устройством:

    2.1 Учётная запись

        - смена заводских настроек

        - учётка админа и гостя

        - ERConsole

    2.2 Методы доступа к устройству

        - WEB (http, https)

        - Telnet

        - SSH

    2.3 Организация Firewall

    - авторизация на устройствах через RADIUS


Настройка устройства 

4.1 Настройки сетевых интерфейсов

        - неиспользуемые интерфейсы можно удалить или отключить

        - отключение PoE-out на H11

        - использование DHCP-клиента и DHCP-сервера

        - использование LLDP

        - использование SNMP

    4.2 Настройки MINT

        - использование ключа безопасности в prf-интерфейсе

        - установка пароля для удалённого выполнения команд в MINT-области

    4.3 Организация управления

        - отдельная группа коммутации (для некоторых в группу включить только rf5.0)

        - использование SVI, удаление IP-адреса на интерфейсе Eth

4.4 Общие вопросы

  • Обновление ПО
  • Применение настроек (через "Проверить" или отложенный рестарт)

Добавить про macf.

+DHCP Snooping

+STP

+флуд

+DHCP фиксация адресов



Расследования (переименовать)

    - организация мониторинга (+утилизация оборудования)

    - организация видеонаблюдения, сигнализации с уведомлением

    - сохранение логов на syslog-сервер

    - технический учёт

    -приёмка по конфигу



Доступ = защита от НСД

п. Применение настроек (через "Проверить" или отложенный рестарт) относится к "Нарушение доступности".

По каждому пункту нужно добавить обоснование - ответ на вопрос "Зачем".


Syslog перенести в расследование инцидентов, а не интеграцию.

Защита целостности (конфигурации): бэкапы, автоматизация.


+ссылки на свойства в течении документа

Дополнительные материалы


  • No labels