Page tree
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 10 Next »

Table of content

Introduction

The information technology evolution has changed a human life in all spheres, making an information one of the most valuable resources. Same as other resources, information is valuable to its owner and can cause disputes and conflicts. That's why, to ensure information security is one of the important issues. The information systems development and the large amounts of data accumulation made necessary an integrated approach to ensuring the technical systems security.

The document describes information security tools in networks built using Infinet devices. Each wireless devices family has its own capabilities of application security tools, so at the end of a document section you will find links to technical documentation for each of the described tools.

Terminology

  • Information - knowledges about the world and the processes in it, perceived by a person or a special device.
  • Information Security (IS) - the security of information and infrastructure components from influences that may harm the subjects of information relations.
  • Technical company policy - a set of technical solutions required for use in the company technical systems. Technical policy includes requirements for installation, operation and configuration of devices. It is necessary to carry out periodical updates of the document and check its implementation.
  • Threat - potential violation of information security.
  • Attack - attempt to realize a threat. An attack can be either malicious or not.
  • Intruder - a person or group of people making an attack.
  • Echelon - a subject for attack preventing, implemented as a part of an information security policy.
  • Risk - the likelihood of a specific threat.
  • Responsibility area - a network segment which has a certain subject  responsible for its effective functioning. A subject can be either a specific person or an organization.
  • Internal network segment - a network segment that is in the responsibility area of our organization.
  • External network segment - a network segment that is under the responsibility of a third-party organization or client. Since the external network segment is managed by a third-party organization, the crossing of the internal and external network segments is a source of threats.

Information Characteristics

Information security measures should be applied in accordance with the company IS policy. IS policy should take into account the following information characteristics:

  • Accessibility - the ability to access information in an acceptable time.
  • Integrity - relevance and consistency of information.
  • Confidentiality - the impossibility of obtaining unauthorized access to information.

An information security policy should include measures to ensure each of the basic information characteristics. If the described information characteristics aren't respected it may lead to financial, reputational and other loses. Remember that the IS policy realization is an endless process that requires periodic review of measures and their implementation check.

IS organization should be multilevel and not only realized with technical solutions. In addition to technical measures, legislative, administrative and procedural measures should be provided.

Scenarios for Infinet equipment 

Measures to ensure IS are determined not only by the Infinet devices family, but also by the scenario of their use (Figure 1a-d). Let's look at several scenarios in which wireless devices connect network segments belonging to different responsibility areas, each area is characterized by a certain set of threats:

  • joinig of internal network segments;
  • joinig of internal and external network segments;
  • internal network segments connection with Internet.

The security measures should correspond to existing risks, the IS architecture should not be redundant. For example, filtering of external connections should be performed at the interface on border with a third-party telecom operator, not on all intermediate nodes in networks.

The requirements for physical safety and security in the radio link are the same for all the scenarios beyond and are detaily described in the relevant sections. To configure devices, let's specify the following general requirements for information security:

  • external device management should be limited by whitelists;
  • service network protocols should not leave internal network segment;
  • at the border of responsibility areas, an internal segment should be protected from malicious traffic.

Joining of internal network segments

The simplest scenario is joining two network segments located in the same responsibility zone (Figure 1a). Devices are used as a bridge, a simple connector in the LAN structure, therefore, the main information security tools are located at the boundaries of the left and right segments.

Figure 1a - Radio link joining two internal network segments

Joinig of internal and external network segments

In the scenario of joining two networks located in different responsibility areas, information security tools are realized on a radio device located at the border of two segments. A special example of the external network segment is the customer’s network, which is provided with a data service. In such scenarios, both inbound and outbound traffic should be filtered.

Figure 1b - Radio link joining internal and external network segments

Figure 1c - Radio link joining internal and external network segments

Internal network segments connection with Internet

The scenario where a wireless device is located at the border of the internal segment and the Internet is a special case of the previous scenario. The difference is in a low security on the device from the side of the Internet connection, that cause large number of risks.

Figure 1d - Radio link joining internal network segments and Internet

Information security tools in various scenarios table

IS realization is achieved by the implementation of measures described in sections and subsections of IS:

IS sectionIS subsectionApplication
Physical securityAll

ALL SCENARIOS

Security in radioAll

ALL SCENARIOS




Device management

Authentication

ALL SCENARIOS

Access method

LAN - EXTERNAL LAN

LAN - WAN

Management interface

ALL SCENARIOS

Firewall

LAN - EXTERNAL LAN

LAN - WAN

Access recovery

ALL SCENARIOS


Data transmission

General recommendations

ALL SCENARIOS

Data transmission settings

ALL SCENARIOS

Network protocols settings

ALL SCENARIOS


Infrastructure

Monitoring

ALL SCENARIOS

History storage

ALL SCENARIOS

Technical Accounting

ALL SCENARIOS





Physical security

The physical layer is the foundation of information security, so the devices physical security has a priority over company technical policy. Physical security should be comprehensive and include several components:

  • site selection for equipment installation;
  • organization of auxiliary facility infrastructure;
  • equipment installation;
  • facility operation.

The communication node (including wireless devices) consists of three main elements (Figure 2):

  • High-rise part: the location of wireless devices, for example, the roof of a building, a mast, a telecommunication tower.
  • Cable route: cables connecting the high-rise part and the equipment located indoor.
  • Building: equipment located indoor and points of connection to the infrastructure. Infrastructure may include data links, power, climate systems, etc. Equipment should be placed in a rack or telecommunication enclosure, which can be placed in a dedicated room or be combined with the high-rise part of the object.

Figure 2 - Communication node block diagram

Site selection for equipment installation

The site for the equipment placement must meet the requirements of the company technical policy and make the future communication node development possible. Following aspects should be taken into account while choosing a site:

  • Access to the facility is an important factor affecting communication recovery time and equipment maintenance time. Access to facility should be limited in time and for white lists of employees. Access lists must be up to date.If access lists are not up to date, it can be used, for example, by a dismissed employee whose name was not promptly excluded from the lists. Pay attention on the guards and locks in the places where equipment is located to prevent unauthorized access.
  • A dedicated room availability. It is recommended to place data transmission equipment and points of connection to the infrastructure in a dedicated room, closed from external factors. For example, it can be a room with a separate entrance and access for the company employees only or a machine room where the third-party companies equipment is located.
  • Cable route. The site must meet the requirements for the cable route installaion and for access during the operation phase. General requirements adherence for cabling is an important factor in reducing the risks associated with links accessibility, which can be caused by cable damage or connection errors.
  • Power. The site must have connection point to a stable power supply network. In accordance with the company technical policy, a backup line of electric power supply or an uninterrupted power supply system can be organized. Power supplies must be independent, i.e. there should be no single point of failure. For backup power supply systems, it is recommended to implement automatic switching schemes between sources, which will avoid communication interruption in case of the main power supply source failure.
  • Grounding. Proper grounding can significantly reduce the likelihood of wireless devices failing in the case of electromagnetic noises or lightning strikes.
  • Climate systems. Reliable network equipment operation depends on external conditions: the device is guaranteed to function in the specified temperature range, pressure and humidity. The environment influence is random, therefore, in order to maintain stable operation, the specified climatic conditions must be created artificially, it is recommended to install an air conditioner and a heater with the possibility of their automatic on / off. The climate systems in the high-rise part are impossible, therefore, for reliable operation in harsh conditions, devices of the InfiLINK 2x2 / InfiMAN 2x2 families with an extended temperature range can be used. Such devices are equipped with a built-in heater, which turns on when the ambient temperature drops below a set threshold.
  • Links. A facility network accessibility can be increased due to the backup links installation. Links must be independent, i.e. do not have single points of failure, for example, a wired communication channel can be the main one, and wireless can be the backup one. Realization of fault-tolerant schemes for automatic links redundancy and aggregation using Infinet devices are described in the Link aggregation, balancing and redundancy article. Scenarios with the mobile objects require a different reservation scheme, describer in the Connectivity with mobile objects article.

Organization of auxiliary facility infrastructure

An important factor of a site choosing is the ability to install auxiliary infrastructure elements, which will increase the availability of the communication system. Video surveillance and alarm systems are examples of auxiliary infrastructure. An alarm allows quickly detect an unauthorized access to the object, and a video surveillance system will be useful in investigating incidents.

Equipment installation

Installation work on the site should be guided by the general requirements and company technical policy. Improperly executed installation can cause a violation of the entire network facility availability, the restoration of which may require large time and financial resources.

In order to ensure physical security, make the following settings for your wireless device:

  • turn off the indicator lights on the device it will increase its stealth;
  • unused ports of wireless devices can be used by an attacker to gain access to the network, therefore, to eliminate the possibility of unauthorized connections, it is recommended to disable unused network interfaces;
  • devices based on the H11 hardware platform support PoE-out function on eth1. An attacker can use it to power third-party equipment. If the PoE-out function is not used, make sure it is disabled.

Facility operation

Installation work quality control is carried out at the stage of object acceptance into service. The acceptance procedure should be performed in accordance with the company technical policy.

Ensuring information security is a continuous process that requires monitoring and response to identified and emerging threats, therefore, it is necessary to carry out preventive maintenance of communication facilities. Depending on the requirements established in the company and the specifics of the network node, the list of preventive measures may vary. A common set of regular jobs includes:

  • facility inspection to make a list of deviations from the technical policy requirements;
  • cleaning on site;
  • periodic testing of backup systems: for links - scheduled work with the main channel turned off, for power systems - scheduled work with the main source turned off (additionally, uninterruptible power supplies and battery capacity testing).

Physical security implementation for device families

Physical security measures

Event / InterfaceInfiLINK 2x2 and InfiMAN 2x2InfiLINK XG and InfiLINK XG 1000Quanta 5
WebCLIWebCLIWeb
Mounting devicesInfiNet Wireless R5000 installationInstallation ProcedureInstallation
LED indication management
-General Commands-General Commands-
Interface Status managementNetwork SettingsIfconfig commandSwitchIfconfig commandSwitch Settings
PoE-out managementNetwork SettingsIfconfig command---
Heater control-Other commands---

Security in radio

Wireless data transmission is performed in a common environment, which brings a lot of possibilities for attackers. The security measures described below should be applied in a comprehensive manner, since measures protecting from one threat may not be effective against another.

Frequency configuration

The frequency resource is limited, so the frequencies distributing process between wireless systems should be taken comprehensively. Third-party wireless systems operating at the same or adjacent frequencies can affect the link (Figure 3). Usually, such an influence is not malicious, but it should be considered as a threat, since it leads to the link operation failure. Our task is to search and select a frequency channel free of interference. Keep in mind that interference may not be present at the installation stage, but may appear during the wireless system operation.

Following actions can reduce the risks associated with this threat:

  • Search for interference sources: devices of the InfiLINK 2x2 and InfiMAN 2x2 families allow to obtain the MAC addresses of systems operating in the selected frequency channel using the Radio scanner utility, it make possible to identify the source of interference and decide on measures to eliminate its effect on the link.
  • Manual spectrum scan: manual preliminary radio survey of the territory in which the communication system will be deployed. The frequency is selected taking into account the scan data. Infinet devices allow to evaluate the state of the spectrum using the built-in "Spectrum analyzer" utility.
  • Auto spectrum scan: radio survey of the territory in which the communication system is deployed, performed periodically in automatic mode. The frequency channel can be automatically changed in accordance with the scan data. Infinet devices support DFS and iDFS technology (see Dynamic Frequency Selection), which are designed to automatically scan the spectrum.

Рисунок 3 - Пример угрозы в частотном канале системы

Even if a frequency channels distribution is coordinated, the problem of mutual interference may persist. That happens due to an out-of-band radiation: a radiation spectrum is not an ideal rectangle. It has side bands that affect adjacent frequency channels. Below are the spectra of communication systems (Figure 4 a-b) which using adjacent frequency channels: in the first case (Figure 4a) the radiation power of the systems is equal and the threat source influence is lower than the communication system sensitivity, in the second case (Figure 4b) the radiation power of the threat source is higher than communication system and the out-of-band level is higher than sensitivity, it will affect the communication system in the interference form.

The automatic transmit power control (ATPC) function can help to reduce the influence of a third-party communication system on the used frequency channels. In case of interference, devices with active ATPC will increase the radiation power and keep the link performance.

The link budget depends also on the used modulation-coding scheme: higher MCS require higher link parameters, therefore, they are impossible to use with a low signal level and a high level of interference. Thus, the modulation-code scheme selection is a compromise between the link performance and reliability. The automatic modulation control (AMC) function allows to select a modulation-coding scheme in accordance with the current parameters of the radio and change it in accordance with the situation. This allows to increase the reliability and availability of information, by keeping the link operability even in strong interference conditions.

For more information about signals frequency characteristics proceed to the online course "Wireless Networking Fundamentals".

Figure 4a - An example of an adjacent frequency channel influence on a communication system

Figure 4b - An example of an adjacent frequency channel influence on a communication system

Authentication Settings

Popular scenarios of the information confidentiality and integrity violation in a radio channel are attacks of the Man in The Middle type (MITM). Let's look at the examples of such attack:

  • Data interception (Figure 5a): the attacker installs a device that receives all transmitted signals in the communication system coverage area. All wireless systems use a common data transmission medium, so devices receive data even if they are not specified as a recipients. Further, the device processes the frame at the L2 layer, if it is its recipient, or discards it if it is not. An attacker can pretend to be the recipient and gain an access to all messages, along with a legal addressee.
  • Data relay (Figure. 5b): a specific case of the "Data interception" scenario in which an attacker uses a relay instead of a passive receiver. Such an attack option is applicable for example for point-to-point links with a narrow radiation pattern, where the Data Interception scenario is not suitable.
  • Data spoofing (Figure 5c): a specific case of the "Data relay", in which the attacker changes data during relay. In such a scenario, not only confidentiality is violated but data integrity.

Figure 5a - Data interception

Figure 5b - Data relay

Figure 5c - Data spoofing

Also scenarios of obtaining unauthorized access to resources through a connection to a radio network are possible. Let's look at the examples of such attack:

  • Connection to an enterprise network (Figure 6): an attacker with a subscriber device can install it in the base station coverage area. After establishing a link with the base station sector, an attacker can gain access to the enterprise network and implement attacks aimed at integrity, availability and confidentiality violation. An attacker will be able to establish a link with a base station sector only if the Infinet wireless device is used.

Figure 6 - Connection to an enterprise network


  • Base station sector substitution (Figure 7a-b): an attacker installs a base station sector to which a subscriber station connects. After that the attacker gains unauthorized access to the data originating from the subscriber station and to the network segment behind the subscriber station. Let's look at the example of such attack in scenarios with the mobile objects (see Connectivity with mobile objects). The radio link is established between BS1 and CPE (Figure 7a), the CPE is inttalled on the mobile object and breaks the connection while moving from BS1 and starts to look for a new base station sector to set a connection (Figure 7b). An attacker set a base station sector along the CPE route, between BS1 and BS2, therefore, after disconnecting from BS1, the CPE establishes a connection with the attacker's sector. This attack type implementation is possible only in case of the security settings disregarding.


Figure 7a - Connection of the CPE station to the enterprise base station sector

Figure 7b - Connection of the CPE station to the attacker base station sector

Infinet devices use their own radio frame format, it makes impossible to organize a communication between devices operating according to the 802.11 family standards and Infinet devices. This complicates the attacker's plans, as he will be forced to use Infinet devices.

To counter such attacks, the following options should be used:

  • Link ID: always change the default value to unique.
  • Security key: devices can establish a connection only if they have the same link ID and security key, i.e. to reduce the likelihood of organizing a link with an attacker device, security keys must be installed on both devices.
  • Authentication Mode: InfiLINK 2x2 and InfiMAN 2x2 family devices support authentication mode settings when establishing a wireless link. "Static" and "remote" modes can limit the list of devices with which the link installation is allowed. The static mode allows to set a list of devices MAC addresses with which connection can be established (white list), or a list of addresses with which connection establishment is forbidden (black list). The remote method allows to store MAC addresses for whitelists or blacklists centrally and perform appropriate requests when trying to establish a connection. Using one of the described authorization methods will significantly complicate an unauthorized connection of an attacker to the network.
  • Max links: sets maximum allowed number of connected CPEs. It is recommended to set the value of the actual subscriber stations number.
  • Scrambling: reversible process of redistributing data bits in accordance with a given algorithm in order to equalize the frequency spectrum of the signal. Scrambling also make difficult to decrypt the intercepted data, because the attacker must have the descrambling algorithm used to recover the original bit sequence. Scrambling/descrambling operations will require hardware resources, therefore is recommended to use this option in cases of low hardware load.
  • Frequency grid: the frequencies range supported by the radio module can be deliberately limited using the frequency grid on all Infinet devices. This restriction narrows down the list of frequencies that can be set as central. The frequency grid additional effect is to increase the level of the device protection from choosing a random frequency channel as a operational. If the automatic center frequency selection is set, then the device will select it in accordance with the grid. The center frequency can be set manually: on Master devices, the center frequency is set strictly, on Slave devices, depending on the family, either strictly or using one or more radio profiles. If a subscriber station uses several radio profiles (see Connectivity with mobile objects), then while connecting to the base station sector, profiles will be sorted until a successful connection.
  • Global function: in scenarios with mobile objects, the Global option is used to connect a subscriber station to base stations sectors that are connected to the network core (see Connectivity with mobile objects). This approach can be used to block the CPE connections to base stations sectors installed by attackers (Figure 7b): since the attacker's base station is not connected to the network core, the subscriber station will ignore the attacker device during roaming.

Implementation of strategies for radio link security

Radio link safety measures

MeasuresInfiLINK 2x2 and InfiMAN 2x2InfiLINK XG and InfiLINK XG 1000Quanta 5
WebCLIWebCLIWeb
Spectrum analysisSpectrum AnalyzerMuffer commandSpectrum Analyzer⁣Command for spectrum scanningSpectrum Analyzer⁣
Radio ScannerDevice statusMuffer command---
DFS technology supportLink Settingsdfs (Dynamic Frequency Selection)Radio settingsCommands for modem configurationRadio settings
Instant DFS technology supportLink Settings

mint command in MINT version

mint command in TDMA version
Radio settingsCommands for modem configuration-
DFS/Instant DFS work resultsDFS menu-Instant DFSCommands for modem configuration-
Automatic transmission power controlLink Settings

rfconfig command in MINT version

rfconfig command in TDMA version
Radio settingsCommands for modem configurationRadio settings
Automatic MCS controlLink Settings

rfconfig command in MINT version
rfconfig command in TDMA version

Radio settingsCommands for modem configurationRadio settings
Link IDLink Settings

rfconfig command in MINT version
rfconfig command in TDMA version

Radio settingsCommands for modem configurationGeneral settings
Link security keyLink Settings

mint command in MINT version
mint command in TDMA version

Radio settingsCommands for modem configurationSecurity settings
Authentication mode configurationLink Settings

mint command in MINT version
mint command in TDMA version

---
Lists for static authentication modeStatic Links

mint command in MINT version
mint command in TDMA version

---
Lists for remote authentication mode-

mint command in MINT version
mint command in TDMA version

---
Maximum number of subscriber stationsLink Settings

mint command in MINT version
mint command in TDMA version

---
Scrambling technologyLink Settings

mint command in MINT version
mint command in TDMA version

---
Frequency grid configurationLink Settings

rfconfig command in MINT version
rfconfig command in TDMA version

Radio settingsCommands for modem configurationRadio settings
Central frequency configuration (for Master device)Link Settings

mint command in MINT version
mint command in TDMA version

rfconfig command in MINT version
rfconfig command in TDMA version

Radio settingsCommands for modem configurationRadio settings
Central frequency configuration (for Slave device)Link Settings

mint command in MINT version
mint command in TDMA version

rfconfig command in MINT version
rfconfig command in TDMA version

Radio settingsCommands for modem configurationRadio settings
Regulatory domain----General settings
Global function-

mint command in MINT version
mint command in TDMA version

---

Device management

Unauthorized access to the device management interface is a serious threat that can lead to a violation of all the basic data properties, measures to ensure information security and reduce potential risks should be elaborated carefully.

Authentication and Authorization

Внимание!

By default, one user is added to the configuration with administrative rights and the following login values:

  • login: any nonempty string;
  • password: any nonempty string.

Since the default authentication settings allows a high probability of unauthorized access, change the username and password during initial setup.

В компаниях может быть организовано несколько линий технической поддержки: в такой схеме часть проблем, не требующих изменения конфигурации беспроводных устройств, может быть решена первой линией технической поддержки. Ресурсы квалифицированных сотрудников второй и третьей линий технической поддержки для решения тривиальных задач использованы не будут. Для реализации описанного сценария в конфигурацию устройства может быть добавлена гостевая учётная запись. Пользователь, получивший доступ к интерфейсу управления с использованием гостевой учётной записи, может использовать утилиты и просматривать статистику интерфейсов, но ему запрещено вносить изменения в конфигурацию.

При эксплуатации сетей с большим количеством устройств рекомендуется использовать централизованное хранение учётных записей. Это позволяет избежать ошибок при блокировании учётных записей, обеспечить единую парольную политику и иметь единый интерфейс для управления учётными записями. Устройства Инфинет поддерживают работу протокола RADIUS, который предназначен для централизованной аутентификации, авторизации и аккаутинга в сетях. В зависимости от возможностей и масштабов сети, база данных учётных записей для работы RADIUS может быть развёрнута на отдельном устройстве, либо совмещена с другим элементов сети.

Алгоритм использования RADIUS-сервера выглядит следующим образом (рис. 8):

  1. Запрос на доступ к интерфейсу управления устройством: пользователь пытается получить доступ к интерфейсу управления устройством с помощью одного из протоколов (см. ниже), формируя запрос, в котором передаёт логин и пароль.
  2. Формирование запроса серверу RADIUS: устройство принимает запрос от пользователя и формирует запрос серверу в соответствии с протоколом RADIUS.
  3. Ответ от сервера RADIUS: сервер RADIUS получает запрос и проверяет наличие и выделенные права для пользователя, учётные данные которого переданы в запросе. Сервер формирует один из двух ответов:
    1. Доступ разрешён: учётная запись присутствует в базе и ей разрешён доступ к интерфейсу управления устройством Slave (рис. 8а).
    2. Доступ запрещён: учётная запись отсутствует в базе, либо данному пользователю запрещён доступ к интерфейсу управления Slave (рис. 8б).
  4. Принятие решения устройством: устройство получает ответ от сервера RADIUS и принимает решения об авторизации пользователя с указанной текущей записью. В случае успешной авторизации пользователю демонстрируется интерфейс управления устройством (рис. 8а), в противном случае пользовательское соединение сбрасывается и демонстрируется информационное сообщение.


Рисунок 8а - Пример успешного прохождения аутентификации через RADIUS

Рисунок 8б - Пример неудачного прохождения аутентификации через RADIUS

Методы доступа

Конфигурация устройств Инфинет может быть выполнена с помощью графического Web-интерфейса или интерфейса командной строки (CLI). Управление некоторыми функциями устройства возможно только с помощью CLI. Доступ к тому или иному интерфейсу осуществляется с помощью различных сетевых протоколов. Неиспользуемые протоколы рекомендуется отключить, тем самым сократив возможности несанкционированного доступа к интерфейсу управления устройством.

Протоколы управления, поддерживаемые устройствами Инфинет, соотносятся с интерфейсами управления следующим образом:

  • Web-интерфейс:
    • Протокол HTTP: данные передаются по сети в открытом виде, поэтому злоумышленник, получив доступ к сети, может их перехватить.
    • Протокол HTTPS: данные передаются по сети в зашифрованном виде, поэтому злоумышленник, перехвативший данные, не сможет их расшифровать, не имея соответствующих ключей шифрования При отсутствии особых причин для использования HTTP, должен использоваться протокол HTTPS.
  • Интерфейс CLI:
    • Протокол Telnet: данные передаются в открытом виде, поэтому злоумышленник, получив доступ к сетевой инфраструктуре, может перехватить информацию. Использование протокола Telnet допустимо в случае крайней необходимости, когда отсутствует возможность использования SSH.
    • Протокол SSH: данные передаются в зашифрованном виде. В случае, если злоумышленник сможет перехватить служебные сообщения, то, не имея ключей шифрования, он не сможет их расшифровать.

Сетевой интерфейс управления

Сетевой интерфейс управления (mgmt), используемый для доступа к устройству, в разных семействах устройств организован по-разному:

  • InfiLINK XG, InfiLINK XG 1000 и Vector 5: выделен внутренний виртуальный интерфейс mgmt для управления устройством, который может быть ассоциирован с IP-адресом.
  • InfiLINK 2x2 и InfiMAN 2x2: IP-адрес может быть ассоциирован с виртуальным или физическим интерфейсами, т.е. в роли сетевого интерфейса управления могут выступать интерфейсы различных типов, например eth0, svi100. В конфигурацию могут быть добавлены несколько сетевых интерфейсов управления одного или разных типов.

Помимо выбора интерфейса, с которым будет ассоциирован IP-адрес управления, также существует возможность управления связностью между интерфейсом управления и другими сетевыми интерфейсами. Данный механизм позволяет ограничивать доступ к устройству через проводные или беспроводные интерфейсы, в зависимости от сценария использования оборудования.

На рис. 1 представлены сценарии использования устройств Инфинет. Рассмотрим организацию доступа к сетевому интерфейсу управления устройствами для каждого из сценариев. Для этого дополним схему ПК, подключенных к разным сетевым сегментам, с помощью которых выполняется управление устройствами (рис. 9а-в):

  • Объединение двух сегментов локальной сети: доступ к интерфейсу управления устройств должен быть предоставлен пользователям ПК, подключенным к разным сегментам сети (рис. 9а). Беспроводные устройства находятся во внутренней сети и не контактируют с устройствами внешних сетей напрямую. Функцию обеспечения защиты от несанкционированного доступа должны выполнять сетевые элементы, находящиеся на границе внутренней и внешней сетей.
  • Объединение сегментов локальной и сторонней сетей: доступ к интерфейсу управления устройств должен быть предоставлен только пользователю ПК, подключенному к локальному сегменту сети (рис. 9б), т.е. необходимо отключить возможность передачи данных между интерфейсом управления и проводным интерфейсом устройства Slave.
  • Объединение сегментов локальной сети и сети интернет: доступ к интерфейсу управления устройств должен быть предоставлен пользователю ПК, подключенному к локальному сегменту сети (рис. 9в). Кроме того, доступ может быть предоставлен некоторым пользователям ПК, подключенных к сети интернет. При этом на пограничных устройствах обязательно должна быть настроена фильтрация входящего трафика, которая будет рассмотрена далее.

Рисунок 9а - Радиоканал, объединяющий два сегмента локальной сети

Рисунок 9б - Радиоканал, объединяющий сегменты локальной и сторонней сетей

Рисунок 9в - Радиоканал, объединяющий сегменты локальной сети и сети интернет

Мы рекомендуем руководствоваться следующими принципами настройки интерфейса управления:

  • В качестве интерфейса управления необходимо использовать виртуальный интерфейс:
    • Устройства семейств InfiLINK XG, InfiLINK XG 1000 и Vector 5: сетевой интерфейс управления mgmt.
    • Устройства семейств InfiLINK 2x2 и InfiMAN 2x2: сетевой интерфейс svi, связанный с группой коммутации управляющего трафика.
  • Доступ к интерфейсу управления должен быть разрешён только через сетевые интерфейсы, за которыми расположены  ПК инженеров или сервисы, осуществляющие управление устройствами, например, система мониторинга.
  • В случае изоляции сетевого трафика с помощью VLAN, должен быть выделен отдельный VLAN для трафика управления, который должен быть ассоциирован с интерфейсом управления.

Ограничение доступа

Устройства семейств InfiLINK 2x2, InfiMAN 2x2 и Vector 5 позволяют создать белые списки доступа. В этом случае доступ к интерфейсу управления будет предоставлен только узлам, адреса которых включены в белые списки.

Восстановление доступа

Восстановление доступа к устройствам Инфинет всех семейств выполняется с помощью утилиты ERConsole (см. скринкаст "Утилита ERConsole"). Использование утилиты полезно в следующих сценариях:

  • Ошибка в конфигурации устройства: утилита ERConsole позволяет назначить IP-адрес на интерфейс, либо сбросить устройство к заводским настройкам в ситуации, когда была допущена ошибка в конфигурации и доступ к устройству был утерян.
  • Защита от использования устройства злоумышленником: для сброса устройства Инфинет к заводским настройкам требуется ввод заводского пароля, который закреплён за предприятием, которое его приобрело. В случае кражи устройства злоумышленником, он не сможет получить заводской пароль, обратившись в службу технической поддержки, т.к. не является сотрудником предприятия, значит не сможет получить доступ к устройству.

Реализация средств обеспечения безопасности управления для семейств устройств

Мероприятия по обеспечению безопасности управления устройством

МероприятиеInfiLINK 2x2 и InfiMAN 2x2InfiLINK XG и InfiLINK XG 1000Vector 5
WebCLIWebCLIWeb
Смена параметров учётной записиСистемные настройкиОбщие командыРаздел ОбщиеОбщие командыНастройки безопасности
Создание гостевой учётной записи-Общие командыРаздел ОбщиеОбщие команды-
Аутентификация через сервер RADIUS-

Общие команды

Процедура аутентификации с использованием RADIUS-сервера

-Общие командыНастройки безопасности
Конфигурация протоколов управленияОбслуживание

Команда td (Telnet daemon)

Общие команды

Раздел Общие

Команда td (Telnet daemon)

Общие команды

Настройки безопасности
Добавление IP-адреса управленияНастройки сетиКоманда ifconfig (настройка интерфейсов)Раздел Сетевой доступКоманда ifconfig (настройка интерфейсов)Настройка сетевого доступа⁣
Ограничение доступа к устройствуIP Firewall

Общие команды

Команда ipfw (IP Firewall)

--Настройки безопасности
Восстановление доступа к устройствуEmergency Repair Console - утрачен контроль над устройством

Общие командыEmergency Repair Console - утрачен контроль над устройством

Поиск и устранение неисправностей⁣

Передача данных

Передача данных является основной функцией любого сетевого оборудования. Помимо пользовательских данных, устройства обмениваются служебными сообщениями вспомогательных протоколов, таких как SNMP, LLDP и т.д. Реализация описанных функций содержит в себе потенциальные угрозы, которыми может воспользоваться злоумышленник, что требует кропотливой настройки всех подсистем беспроводных устройств.

Общие рекомендации

Беспроводные системы представляют собой программно-аппаратные комплексы. Следовательно, одним из важнейших требований является своевременная актуализация программного обеспечения. Рекомендуется использовать стабильную версию программного обеспечения и следить за выходом обновлений. Проверить актуальность используемой версии ПО можно непосредственно на устройстве.

Внося изменения в конфигурацию устройств, следует иметь в виду, что механизм применения настроек зависит от того, в каком интерфейсе они применяются:

  • Web-интерфейс: изменения, вносимые в разных разделах интерфейса, накапливаются и последовательно вносятся в конфигурацию только после нажатия кнопки "Применить". При перезагрузке устройства, будет выполнена загрузка последней успешно сохранённой конфигурации.
  • Интерфейс CLI: при выполнении команда мгновенно добавляется в текущую конфигурацию, но не сохраняется. Для сохранения настроек необходимо выполнить соответствующую команду. При перезагрузке устройства будет выполнена загрузка последней успешно сохранённой версии конфигурации.

В некоторых ситуациях ошибки, допущенные в процессе настройки устройства, могут привести к потере связи с устройством. Независимо от последствий, будет нарушена доступность связи и может потребоваться сброс устройства к заводским настройкам (см. "Восстановление доступа"). Для того, чтобы снизить риск возникновения рассмотренного сценария, рекомендуется использовать отложенную перезагрузку устройства. В этом случае после применения новой конфигурации будет выполнена проверка доступности устройства. Если устройство недоступно, то будет возвращена предыдущая версия конфигурации.

Служебный трафик

По умолчанию коммутация на устройстве настроена таким образом, чтобы данные между проводным и беспроводным интерфейсами не подвергались фильтрации. Такая схема уязвима для большого объёма паразитного трафика, который может занять всю доступную пропускную способность и канал связи фактически станет недоступен для передачи полезного трафика. Пример паразитного трафика -  широковещательный шторм, причиной которого может быть ошибка в коммутации устройств, либо действия злоумышленника. Мероприятиями по защите сетевой инфраструктуры от атак подобного типа являются:

  • Фильтрация трафика: хорошей практикой является разделение физической инфраструктуры на несколько виртуальных локальных сетей с использованием технологии VLAN. Такой метод позволяет ограничить широковещательные домены, а значит уменьшить влияние широковещательного шторма. Это потребует настройки фильтрации трафика разных VLAN на устройствах: на беспроводных устройствах рекомендуется разрешить обработку только тех меток VLAN, которые действительно должны быть переданы через организованный радиоканал и запретить все остальные.
  • Протокол STP: протокол покрывающего дерева (Spanning Tree Protocol) предназначен для предотвращения петель на канальном уровне, которые могут быть причиной широковещательного шторма. Кроме того, протокол STP может быть использован для построения схемы автоматического резервирования на канальном уровне в сетях с избыточностью каналов связи.
  • Режим маршрутизатора: одним из подходов к снижения влияния широковещательного шторма является уменьшение размера широковещательного сегмента за счёт использования технологии маршрутизации. Маршрутизатор является устройством, разделяющим широковещательные домены, т.е. широковещательный шторм, возникший в одном домене не повлияет на работу устройств в другом. Кроме того, маршрутизация подразумевает передачу пакетов на основе заголовка IP, включающего в себя поле TTL, которое исключает циклическое прохождение пакетов по сети.

Настройка сетевых протоколов

Помимо пользовательского трафика, устройства в сети обмениваются служебными данными с использованием различных протоколов. В процессе обеспечения безопасности необходимо помнить, что любая доступная служба является потенциальной целью злоумышленника.

DHCP

Устройства Инфинет могут быть настроены в качестве DHCP-клиента, DHCP-сервера и DHCP-ретранслятора. Следует иметь в виду, что протокол DHCP поддерживает не только выделение IP-адреса клиенту, но и передачу множества сетевых настроек.

Рассмотрим пример атаки с использованием протокола DHCP (рис. 10): организован канал связи между Master и Slave, на радиоинтерфейсе устройства Slave активирован DHCP-клиент, в корпоративной сети установлен DHCP-сервер. Представим, что злоумышленнику удалось подключить сетевое устройство, на котором настроен сервер DHCP, к корпоративной сети. После установления канала связи Master-Slave, устройство Slave отправляет в сеть широковещательный запрос для получения сетевых настроек от DHCP-сервера. DHCP-серверы, находящиеся в сети, отвечают на запрос от Slave. Если ответ от сервера злоумышленника будет получен первым, то устройство Slave присвоит одному из сетевых интерфейсов предлагаемый адрес и сетевые настройки, которые переданы в этом запросе. Таким образом, злоумышленник может указать своё устройство в качестве маршрутизатора по умолчанию и получить доступ к трафику, передаваемому устройством Slave.

Рисунок 10 - Пример атаки с использованием протокола DHCP

Кроме того, возможна атака, в которой устройство злоумышленника будет выступать в роли DHCP-клиента (рис. 11): в сети установлен DHCP-сервер, функции которого могут быть реализованы на устройствах Инфинет, к сети подключено устройство злоумышленника. В ситуации, когда протокол конфигурация DHCP-сервера не предусматривает средств защиты, злоумышленник сформирует запрос и сервер предоставит устройству сетевые реквизиты. Таким образом, злоумышленник получит доступ к передаваемым по сети данным.

Рисунок 11 - Пример атаки с использованием протокола DHCP

Для того, чтобы повысить безопасность использования протокола DHCP в корпоративной сети рекомендуется реализовать следующие мероприятия:

  • Ограничение DHCP-клиентом списка DHCP-серверов: DHCP-клиент позволяет ограничить список серверов, для которых будет формироваться запрос сетевых настроек. В этом случае DHCP-клиент сформирует запросы для указанных DHCP-серверов, а если они не ответят, то сформирует широковещательный запрос.
  • Использование ключа безопасности: при аутентификации клиента может быть использован ключ безопасности. Следует иметь в виду, что данная настройка должна быть выполнена как на DHCP-сервере, так и на DHCP-клиенте.
  • Фиксация пары "клиент-адрес" в конфигурации DHCP-сервера: конфигурация DHCP-сервера позволяет зафиксировать за клиентами, выделяемые им IP-адреса. Таким образом можно сформировать белые списки устройств, что затруднит действия злоумышленника для получения сетевых реквизитов.
  • Использование DHCP Snooping: использование данной технологии позволяет предотвратить получение сетевых реквизитов от DHCP-сервера злоумышленника. Принцип работы весьма прост: порты устройств домена Ethernet, за которыми расположен DHCP-сервер, помечаются как доверенные, остальные - как ненадёжные. Сообщения от DHCP-серверов, пришедшие на вход ненадёжных портов будут отброшены, что делает невозможным получение устройствами-клиентами сетевых реквизитов от сервера злоумышленника.
  • Отключение DHCP на неиспользуемых интерфейсах: необходимо тщательно следить за списком интерфейсов, на которых включена поддержка протокола DHCP. На интерфейсах, которые не используются для передачи данных или на которых используется статическая адресация, необходимо деактивировать поддержку DHCP. Эта рекомендация справедлива как для DHCP-клиента, так и DHCP-сервера.
  • Отказ от протокола DHCP: следует понимать, что использование протокола DHCP должно иметь ограниченный характер, т.к. возможны сценарии, в которых рекомендуется использовать статическое назначение сетевых реквизитов на соответствующие интерфейсы. Так, например, статические адреса рекомендуется назначать ключевым сетевым элементам, в роли которых могут выступать и беспроводные устройства Инфинет. Это позволит избежать проблем при организации систем технического учёта и мониторинга.
ARP

Поскольку протоколы Ethernet и IP относятся к разным уровням модели сетевого взаимодействия, то необходим инструмент, который будет связывать адреса устройств, используемых в каждом из протоколов. Таким инструментом является протокол ARP и заполняемая им таблица соответствия адресов. Таблица состоит из записей, в которых MAC-адрес интерфейса сопоставлен с IP-адресом, что используется при передаче IP-пакетов, инкапсулированных в Ethernet-кадры.

Рассмотрим пример атаки с подменой IP-адреса: через радиоканал Master-Slave организован доступ к сети интернет двум клиентам (Клиент 1 и Клиент 2). За каждым из клиентов закреплён IP-адрес, который является идентификатором для назначения тарифного плана. Клиенту с адресом 192.168.0.1 предоставляется пропускная способность 10 Мбит/с, клиенту с адресом 192.168.0.2 - 2 Мбит/с (рис. 12а). В какой-то момент времени Клиент 1 выключает ПК и не пользуется услугами провайдера, в это же время Клиент 2 заменяет свой IP-адрес на IP-адрес 192.168.0.1, закреплённый за Клиентом 1 (рис. 12б). В этом случае Клиент 2 получит доступ в Интернет с большей пропускной способностью, и у Клиента 1, после включения, возникнут проблемы с доступом к сети.

Рисунок 12а - Пример атаки с подменой IP-адреса

Рисунок 12б - Пример атаки с подменой IP-адреса

Рассмотренный вид атак с подменой IP-адреса можно предотвратить, добавив статическую запись в таблицу соответствия адресов протокола ARP. В этом случае, после смены IP-адреса данные Клиента 2 передаваться не будут, т.к. за адресом 192.168.0.1 будет закреплён MAC-адрес Клиента 1.

LLDP

Протокол LLDP предназначен для обмена справочной информацией об устройстве с непосредственно подключенным к нему устройством. В качестве справочной информации передаётся имя VLAN, MAC-адрес, имя устройства, IP-адрес интерфейса управления и т.д. В случае, если злоумышленник получит физический доступ к устройству и подключится к нему, то, запустив на своём ПК службу LLDP, сможет, обменявшись служебными сообщениями, получить справочную информацию об устройстве (рис. 13). Эти сведения могут облегчить ему задачу по несанкционированному доступу к устройству.

Для того, чтобы предотвратить атаки данного типа, необходимо придерживаться следующих правил:

  • Глобальное отключение LLDP: в случае, если использование протокола не предусмотрено технической политикой предприятия, то рекомендуется отключить его работу на всех устройствах сети.
  • Отключение LLDP на интерфейсах: если использование протокола LLDP необходимо, то следует разрешить его работу только на тех сетевых интерфейсах, к которым подключены элементы сетевой инфраструктуры.

Рисунок 13 - Пример атаки с использованием протокола LLDP

SNMP

Протокол SNMP был создан как унифицированный протокол для управления сетевыми устройствами и сбора данных об их функционировании. Протокол предусматривает запросы двух типов: запрос GET для получения значения какого-либо параметра и запрос SET для установки параметра в указанное значение. Таким образом, устройства, на которых реализована поддержка SNMP, могут работать в режиме чтения (обрабатывать только запросы GET) и режиме записи (обрабатывать запросы SET и GET). Активация сервера SNMP необходима, как правило, для централизованного управления устройствами с помощью системы мониторинга. Но если сервер SNMP настроен недостаточно надёжно, то им может воспользоваться злоумышленник В этом случае он сможет не только получить информацию о структуре сети, но и изменить конфигурацию устройства (рис. 14).

Для предотвращения несанкционировнного доступа cледуйте рекомендациям:

  • Использование SNMPv3: по умолчанию на устройствах активирована поддержка SNMPv1 и SNMPv2c, на устройствах создано community с именем "public". Протоколы SNMPv1 и SNMPv2c предусматривают аутентификацию с помощью параметра community, значение которого передаётся по сети в явном виде. В SNMPv3 реализованы как возможность аутентификации, так и шифрования сообщений, которое рекомендуется всегда использовать.
  • Использование режима чтения: в случае, если не используется режим записи протокола SNMP, то требуется отключить его поддержку. Это снизит возможные последствия в случае несанкционированного доступа.
  • Организация списков доступа: устройства Инфинет позволяют создать белые списки доступа к серверу SNMP.

Рисунок 14 - Пример атаки с использованием протокола SNMP

MINT

MINT является фирменным протоколом компании Инфинет, работа которого может быть организована в проводном и беспроводном сегментах. Злоумышленник, получив доступ к области MINT, может cкомпрометировать все сетевые устройства, относящиеся к этой области, поэтому при использовании протокола MINT необходимо обратить особое внимание на его настройку.

Рассмотрим пример атаки с использованием протокола MINT: два беспроводных канала связи Master 1 - Slave 1 и Master 2 - Slave 2 объединены в область MINT с помощью интерфейсов PRF (рис. 15а). Злоумышленник, имея физический доступ к сети предприятия, подключается к ней коммутатором InfiMUX, на котором создан интерфейс PRF (рис. 15б). В общем случае, интерфейсы PRF установят между собой каналы связи и все устройства будут объединены в область MINT, поэтому злоумышленник получит информацию об устройствах в этой области и сможет выполнять удалённые команды на них средствами MINT.

Средства защиты от атак подобного типа:

  • Использование ключа безопасности: интерфейс PRF представляет собой виртуальный радиоинтерфейс, работающий в проводной среде, поэтому, по аналогии с беспроводным интерфейсом, интерфейс PRF поддерживает возможность установки ключа безопасности. При этом канал связи будет организован между двумя интерфейсами PRF только в том случае, когда их ключи безопасности совпадают.
  • Использование пароля для выполнения удалённых команд: одним из удобных инструментов протокола MINT является возможность удалённого выполнения команд на устройстве, находящимся в той же области MINT. По умолчанию удалённое выполнение команд доступно без указания пароля, поэтому такое поведение необходимо изменить. В этом случае, для удалённого выполнения команд на устройстве потребуется ввести пароль, что ограничит возможности злоумышленника.

Рисунок 15а - Объединение каналов связи в единую область MINT

Рисунок 15б - Пример атаки с использованием протокола MINT


Реализация средств обеспечения безопасности передачи данных для семейств устройств

Мероприятия по обеспечению безопасности передачи данных

МероприятиеInfiLINK 2x2 и InfiMAN 2x2InfiLINK XG и InfiLINK XG 1000Vector 5
WebCLIWebCLIWeb
Обновление ПООбслуживаниеОбщие командыРаздел ОбслуживаниеОбщие командыОбслуживание⁣
Отложенная перезагрузкаПрименение, проверка и предварительный просмотр конфигурацииОбщие командыПроверка и применение настроекКоманды настройки модема-
Фильтрация трафика

IP Firewall

Коммутатор (MAC Switch)

Команда ipfw (IP Firewall)

PCAP-фильтры

Команда switch

Раздел Коммутатор

Коммутация на основе VLAN

Команды настройки коммутатораНастройка коммутации⁣
Конфигурация STPКоммутатор (MAC Switch)Команда switch---
Включение режима маршрутизатора-

Команда route (статические маршруты)

Команда arip

Команда OSPF

Команда ARDA

---
Конфигурация DHCP-клиентаНастройки сетиКоманда dhcpc (DHCP клиент)Раздел Сетевой доступКоманда dhcpc (DHCP клиент)Настройка сетевого доступа⁣
Конфигурация DHCP-сервера-Команда dhcpd (DHCP Server)---
Конфигурация DHCP-ретранслятора-Команда dhcpr (DHCP relay)---
Конфигурация ARP-

Команда arp

Команда macf

-Команда arp-
Конфигурация LLDP-Команда lldp-Команда lldp-
Конфигурация SNMPРаздел "SNMP"Команда snmpd (SNMP daemon)Раздел SNMPКоманда snmpd (SNMP daemon)Настройка SNMP
Конфигурация MINTНастройки линка

Команда mint в версии MINT

Команда mint в версии TDMA

---

Инфраструктура

Инфраструктурная безопасность - это важнейший раздел информационной безопасности, которому не всегда уделяется должное внимание. Состав инфраструктуры зависит от технической политики предприятия. В сети должны быть реализованы средства журналирования, мониторинга и технического учёта (ТУ).

Мониторинг

Система мониторинга необходима для централизованного управления устройствами и контроля работы сети. Кроме того, система мониторинга рассылает уведомления инженерам, если значения параметров вышли за рамки разрешённого диапазона. Такие уведомления уменьшают время реакции обслуживающего персонала, благодаря чему минимизируются последствия сбоев и вероятных атак.

Системы мониторинга могут быть интегрированы с системами сигнализации и видеонаблюдения.

Компания Инфинет предоставляет собственную систему мониторинга беспроводных устройств Инфинет - InfiMONITOR. Система мониторинга осуществляет сбор данных следующими способами (рис. 16):

  • Поллинг: система мониторинга отправляет SNMP-запросы устройству с указанием параметров, значения которых необходимо получить. Устройство формирует для системы мониторинга SNMP-ответ, где указывает значения запрашиваемых параметров. Опрос параметров устройств ведётся с установленной периодичностью, что гарантирует опрос устройства в заданный интервал.
  • Trap-сообщения: устройство отправляет специальное сообщение SNMP Trap серверу мониторинга в случае возникновения события из указанного списка. Отправка SNMP Trap, в отличие от поллинга, инициируется самим устройством и происходит мгновенно, независимо от цикла опроса, однако это потребует дополнительной настройки устройств.

Рисунок 16 - Обмен данными между устройствами и системой мониторинга

Хранение системных журналов

Детальное расследование инцидентов требует анализа системных журналов, зарегистрированных на устройстве. Устройства Инфинет поддерживают логирование событий, однако системный журнал событий не сохраняется после перезагрузки устройства. Кроме того, в крупных сетях удобно иметь централизованное хранилище журнальных файлов, потому что такое хранилище предоставляет интерфейс просмотра журналов всех сетевых устройств, используемые при расследовании инцидентов.

Для этих целей в сети выделяется сервер Syslog. Все журнальные записи одновременно с записью в системный журнал отправляются на сервер Syslog (рис. 17). Это позволяет хранить историю сообщений всех сетевых устройств централизованно и не зависеть от состояния системного журнала непосредственно на устройстве, который может быть очищен при перезагрузке или несанкционированном доступе.

Рисунок 17 - Обмен данными с Syslog-сервером

Технический учёт

Решение эксплуатационных задач требует от инженеров комплексной информации об устройствах для получения доступа на объект, восстановления конфигурации, добавления в систему мониторинга и т.д.  Такая информация включает в себя как технические, так и административные аспекты. Для того, чтобы эти данные хранить и иметь к ним доступ, в сети могут быть использованы специализированные системы технического учёта. Системы технического учёта содержат следующую информацию:

  • Данные об устройстве: указывается модель устройства, его серийный номер и сетевые реквизиты.
  • Данные о площадке: указывается место установки устройства, сведения о доступе на площадку, контактные данные арендодателя и т.д.
  • Текстовая конфигурация устройства: хранится история конфигураций, используемых на устройстве. История конфигураций может быть использована для расследования инцидентов и восстановления работы устройства, поэтому сохранение конфигураций должно выполняться с заданной периодичностью. Некоторые системы ТУ могут быть совмещены с системами массовой конфигурации устройств в сети: применение таких систем позволяет иметь унифицированные конфигурации на устройствах, а сеть рассматривается как единое устройство, для которого хранится история изменений.

Реализация инфраструктурных средств обеспечения безопасности для семейств устройств

Мероприятия по обеспечению безопасности со стороны инфраструктуры

МероприятиеInfiLINK 2x2 и InfiMAN 2x2InfiLINK XG и InfiLINK XG 1000Vector 5
WebCLIWebCLIWeb
Использование системы мониторинга InfiMONITORInfiMONITOR - Руководство пользователя
Настройка SNMPРаздел "SNMP"Команда snmpd (SNMP daemon)Раздел SNMPКоманда snmpd (SNMP daemon)Настройка SNMP
Настройка Trap-сообщенийРаздел "SNMP"Команда trapd (SNMP traps)Раздел SNMPКоманда trapd (SNMP traps)-
Просмотр истории событийСостояние устройстваОбщие командыРаздел ОбслуживаниеОбщие командыОбслуживание⁣
Отправка истории событий на Syslog-сервер-Общие команды-Общие команды-
Управление текстовой конфигурациейОбслуживаниеОбщие командыРаздел ОбслуживаниеОбщие командыОбслуживание⁣

Дополнительные материалы

Онлайн-курсы

  1. Предварительная настройка и установка устройств семейств InfiLINK 2x2 и InfiMAN 2x2.
  2. Устройства семейства InfiLINK XG.
  3. Vector 5: установка и настройка.
  4. Основы беспроводных сетей.
  5. Коммутация в устройствах семейств InfiLINK 2x2 и InfiMAN 2x2.

White papers

  1. Агрегация каналов, балансировка и резервирование.
  2. Организация связи с подвижными объектами.

  3. Динамический выбор частоты.

Вебинары

  1. Монтаж, грозозащита и заземление оборудования Инфинет.
  2. Типовые сценарии настройки коммутации на устройствах Инфинет.
  3. Диагностика параметров установленного канала связи InfiLINK 2x2 / InfiMAN 2x2.
  4. Решения Инфинет для проектов с подвижными объектами.

Скринкасты

  1. "Ввод в эксплуатацию устройств "Инфинет" семейства R5000".
  2. "Утилита ERConsole".

Прочее

  1. Раздел "Аксессуары" сайта infinet.ru
  2. FTP Infinet Wireless
  3. Раздел "InfiMONITOR" сайта infinet.ru
  • No labels