Внимание, данный документ содержит вложенные страницы с объединением настроек по семействам устройств: |
Появление информационных технологий изменило сферы жизни человека, сделав информацию одним из самых ценных ресурсов. Наряду с другими ресурсами, информация представляет ценность для владельца и может стать причиной споров и конфликтов. Именно поэтому, одним из вопросов, связанных с информацией, является обеспечение её безопасности, а развитие информационных систем и накопление больших объёмов данных привело к необходимости комплексного подхода к обеспечению безопасности технических систем.
Документ описывает средства достижения информационной безопасности в сетях, построенных с использованием устройств Инфинет. Набор используемых средств зависит от семейства устройств, поэтому документ включает дочерние страницы с объединением средств по семействам, а на главной странице даётся ссылка на соответствующий раздел.
В технической системе должны быть применены меры обеспечения безопасности информации в соответствии с политикой ИБ, принятой компании. Политика ИБ должна включать в себя цели для достижения следующих свойств информации:
Архитектура технических систем подразумевает комплексный подход для обеспечения ИБ, поэтому следует реализовывать меры по достижению каждого из базовых свойств информации. Следует помнить, что реализация политики ИБ является бесконечным процессом, требующим периодического пересмотра мер и контроля за их выполнением.
Организация ИБ должна иметь многоуровневый характер и не ограничиваться только техническими решениями. Помимо технических должны быть предусмотрены законодательные, административные и процедурные меры.
Меры по обеспечению ИБ обусловлены не только семейством устройств Инфинет, но и сценарием их использования (см. рисунок 1а-г). Основная задача радиоустройств - организация канала связи, поэтому сценарии отличаются между собой сегментами сети, которые этот радиоканал объединяет. Также следует иметь в виду, что архитектура решений по обеспечению ИБ не должна быть избыточной. Например, фильтрация вредоносного трафика должна выполняться на стыке со сторонним оператором связи, а не на всей цепочке промежуточных узлов.
Требования по обеспечению физической безопасности и безопасности в радиоканале одинаковы для всех рассматриваемых сценариев и подробно представлены в соответствующих разделах.
Для конфигурации устройств можно сформулировать следующие общие правила ИБ:
Сценарий объединения двух сегментов сети, находящихся под одним управлением является простейшим, т.к.большинство мер по обеспечению ИБ могут быть возложены на специализированные устройства, находящиеся в сети.
Рисунок 1а - Радиоканал, объединяющий два сегмента своей сети |
В сценарии объединения двух сетей, находящихся в разных зонах ответственности, функции первого эшелона безопасности возложены на радиоустройство, расположенное на стыке двух сетей. В таком сценарии должна быть обеспечена фильтрация как входящего, так и исходящего трафика сторонней организации.
Частным случаем сторонней организации является сеть клиента, для которого предоставляется один из сервисов передачи данных. В этом случае, целесообразно ограничение пропускной способности и использование QoS для трафика клиента.
Рисунок 1б - Радиоканал, объединяющий сегменты своей и сторонней сетей Рисунок 1в - Радиоканал, объединяющий сегменты своей и клиентской сетей |
Сценарий с нахождением беспроводного устройства на стыке локальной сети и сети Интернет является частным случаем сценария рассмотренного выше. Отличием является возможность получения доступа к устройству из сети Интернет по публичному адресу, который должен быть предоставлен по белому списку.
Рисунок 1г - Радиоканал, объединяющий сегменты своей сети и сети Интернет |
|
Фундаментом стека сетевых технологий является физический уровень, поэтому обеспечение физической безопасности устройств является приоритетной задачей при реализации политики ИБ предприятия. Обеспечение физической безопасности подразумевает комплексный подход и включает несколько компонент:
Объект связи, включающий в себя беспроводные устройства, состоит из трёх основных элементов (см. рисунок 2):
Рисунок 2 - Структурная схема объекта связи |
Площадка для размещения оборудования должна отвечать требованиям технической политики компании и предусматривать развитие объекта связи. При выборе площадке следует обратить внимание на следующие аспекты:
Важным фактором при выборе площадки является возможность установки элементов вспомогательной инфраструктуры, которая позволит повысить доступность системы связи. Примерами вспомогательной инфраструктуры являются системы видеонаблюдения и сигнализации. Сигнализация позволит оперативно зафиксировать несанкционированный доступ на объект, а система видеонаблюдения будет полезна в расследовании инцидентов.
gdfgdfgdfgdfgfdg |
Установка оборудования на выбранной площадке должна быть выполнена в соответствии с требованиями к монтажу:
Для повышения скрытности устройств после завершения монтажа и юстировки устройств можно отключить световые индикаторы, расположенные на корпусе устройства:
Неиспользуемые порты беспроводных устройств могут быть использованы злоумышленника для получения доступа к сети, поэтому обеспечения конфиденциальности информации рекомендуется отключать неиспользуемые сетевые интерфейсы:
Устройства, базирующиеся на аппаратной платформе H11, поддерживают функцию PoE-out на порту Eth1. Этим может воспользоваться злоумышленник, непосредственно подключившись к порту устройства и запитав стороннее оборудование. Команда для отключения функции PoE-out представлена в соответствующем подразделе.
Контроль за качеством монтажных работ выполняется с помощью приёмки объекта в эксплуатацию. Процедура приёмки должна быть построена в соответствии с общепринятыми требованиями к монтажу и технической политикой компании.
Обеспечение информационной безопасности является непрерывным процессом, требующим контроля и реакции на выявленные угрозы, поэтому необходимо проводить профилактическое обслуживание объектов связи. В зависимости от требований, закреплённых в компании, и специфики сетевого объекта список профилактических мероприятий может отличаться. Общий набор регулярных работ состоит из:
Теория: дать понятия аспектам обеспечения безопасности (НСД, доступность и т.д.). При рассмотрении инструментов обеспечения безопасности ссылаться на теорию. Определить то, что мы понимаем под безопасностью.
Настройки радио:
SID и ключ безопасности
Частоты
- использование частот, на которые получен РИЧ
- использование pwrctl
- использование DFS, iDFS
- использование нескольких профилей
Режим авторизации
- статически линки
- авторизация через RADIUS
Скрэмблирование
В настройках радио можно ещё сказать про switch border и макс. число линков.
+мобильные объекты
Управление устройством:
2.1 Учётная запись
- смена заводских настроек
- учётка админа и гостя
- ERConsole
2.2 Методы доступа к устройству
- WEB (http, https)
- Telnet
- SSH
2.3 Организация Firewall
- авторизация на устройствах через RADIUS
Настройка устройства
4.1 Настройки сетевых интерфейсов
- неиспользуемые интерфейсы можно удалить или отключить
- отключение PoE-out на H11
- использование DHCP-клиента и DHCP-сервера
- использование LLDP
- использование SNMP
4.2 Настройки MINT
- использование ключа безопасности в prf-интерфейсе
- установка пароля для удалённого выполнения команд в MINT-области
4.3 Организация управления
- отдельная группа коммутации (для некоторых в группу включить только rf5.0)
- использование SVI, удаление IP-адреса на интерфейсе Eth
4.4 Общие вопросы
Добавить про macf.
+DHCP Snooping
+STP
+флуд
+DHCP фиксация адресов
Расследования (переименовать)
- организация мониторинга (+утилизация оборудования)
- организация видеонаблюдения, сигнализации с уведомлением
- сохранение логов на syslog-сервер
- технический учёт
-приёмка по конфигу
Доступ = защита от НСД
п. Применение настроек (через "Проверить" или отложенный рестарт) относится к "Нарушение доступности".
По каждому пункту нужно добавить обоснование - ответ на вопрос "Зачем".
Syslog перенести в расследование инцидентов, а не интеграцию.
Защита целостности (конфигурации): бэкапы, автоматизация.
+ссылки на свойства в течении документа