Внимание, данный документ содержит вложенные страницы с примерами:
Внимание, данный документ содержит вложенные страницы с примерами: |
Теория: дать понятия аспектам обеспечения безопасности (НСД, доступность и т.д.). При рассмотрении инструментов обеспечения безопасности ссылаться на теорию. Определить то, что мы понимаем под безопасностью.
Таблица применимости инструментов к семействам.
Физическая безопасность:
выбор площадки, ограничение доступа на площадку, возможность организации сигнализации, видеонаблюдения, питание, заземление.
монтаж: крепление устройства, кабельной трассы, грозозащита, ЭП, заземление
возможность отключение LED-индикации устройства (команда indicator)
Добавить управление терморегулятором.
Схемы использования оборудования: безопасность должна быть комплексной, если один из аспектов безопасности реализован на другом устройстве, то здесь не нужно, эшелонирование, логические схемы, защита пользователя и защита от пользователя.
Настройки радио:
SID и ключ безопасности
Частоты
- использование частот, на которые получен РИЧ
- использование pwrctl
- использование DFS, iDFS
- использование нескольких профилей
Режим авторизации
- статически линки
- авторизация через RADIUS
Скрэмблирование
Управление устройством:
Доступ = защита от НСД
п. Применение настроек (через "Проверить" или отложенный рестарт) относится к "Нарушение доступности".
По каждому пункту нужно добавить обоснование - ответ на вопрос "Зачем".
+DHCP Snooping
Syslog перенести в расследование инцидентов, а не интеграцию.
Защита целостности (конфигурации): бэкапы, автоматизация.
2. Доступ к устройством
2.0 Обновление ПО
2.1 Учётная запись
- смена заводских настроек
- учётка админа и гостя
- ERConsole
2.2 Методы доступа к устройству
- WEB (http, https)
- Telnet
- SSH
2.3 Организация Firewall
2.4 Применение настроек (через "Проверить" или отложенный рестарт)
3. Настройки радио
4. Настройки устройства
4.1 Настройки сетевых интерфейсов
- неиспользуемые интерфейсы можно удалить или отключить
- отключение PoE-out на H11
- использование DHCP-клиента и DHCP-сервера
- использование LLDP
- использование SNMP
4.2 Настройки MINT
- использование ключа безопасности в prf-интерфейсе
- установка пароля для удалённого выполнения команд в MINT-области
4.3 Организация управления
- отдельная группа коммутации (для некоторых в группу включить только rf5.0)
- использование SVI, удаление IP-адреса на интерфейсе Eth
5. Интеграции с сервисами
- организация мониторинга
- организация видеонаблюдения, сигнализации с уведомлением
- сохранение логов на syslog-сервер
- авторизация на устройствах через RADIUS
Alexandr Gorbunov Предлагаю сделать ещё разделение на 2 вида безопасности: safety - защита от несчастного случая и собственных кривых рук, security - защита от преднамеренного вредительства. В safety можно засунуть применение настроек, консоль итд. Можно в него ещё добавить пункты: не направляйте антенны друг на друга при тестировании в лаборатории, следите за уровнем выходной мощности при работе в полях.
Насчёт частот - не уверена, что они вообще нужны.
Маршрутизацию не будем трогать? Может имеет смысл кратко сказать, что есть два протокола и у них вот такие способы защиты, без погружения в подробности.
Статические линки это же не только про авторизацию. Вынести их отдельным пунктом?
В настройках радио можно ещё сказать про switch border и макс. число линков.
Добавить про macf.