Содержание

Введение

Появление информационных технологий изменило сферы жизни человека, сделав информацию одним из самых ценных ресурсов. Наряду с другими ресурсами, информация представляет ценность для владельца и может стать причиной споров и конфликтов. Именно поэтому, одним из вопросов, связанных с информацией, является обеспечение её безопасности, а развитие информационных систем и накопление больших объёмов данных привело к необходимости комплексного подхода к обеспечению безопасности технических систем.

Документ описывает средства достижения информационной безопасности в сетях, построенных с использованием устройств Инфинет. Набор используемых средств зависит от семейства устройств, поэтому документ включает дочерние страницы с объединением средств по семействам, а на главной странице даётся ссылка на соответствующий раздел.

Терминология

• Информация - сведения об окружающем мире и протекающих в нём процессах, воспринимаемые человеком или специальным устройством.
• Информационная безопасность (ИБ) - защищённость информации и инфраструктурных составляющих от воздействий, которые могут нанести ущерб субъектам информационных отношений.
• Угроза - потенциальная возможность нарушения информационной безопасности.
• Атака - попытка реализации угрозы.
• Злоумышленник - лицо или группа лиц, производящие атаку.
• Риск - вероятность наступления той или иной угрозы.

Характеристики информации

В технической системе должны быть применены меры обеспечения безопасности информации в соответствии с политикой ИБ, принятой компании. Политика ИБ должна включать в себя цели для достижения следующих свойств информации:

• Доступность - возможность получения доступа к информации за приемлемое время.
• Целостность - непротиворечивость информации, её актуальность.
• Конфиденциальность - невозможность получения несанкционированного доступа к информации.

Архитектура технических систем подразумевает комплексный подход для обеспечения ИБ, поэтому следует реализовывать меры по достижению каждого из базовых свойств информации. Следует помнить, что реализация политики ИБ является бесконечным процессом, требующим периодического пересмотра мер и контроля за их выполнением.

Организация ИБ должна иметь многоуровневый характер и не ограничиваться только техническими решениями. Помимо технических должны быть предусмотрены законодательные, административные и процедурные меры.

Сценарии использования оборудования Инфинет

Меры по обеспечению ИБ обусловлены не только семейством устройств Инфинет, но и сценарием их использования (см. рисунок 1а-г). Основная задача радиоустройств - организация канала связи, поэтому сценарии отличаются между собой сегментами сети, которые этот радиоканал объединяет. Также следует иметь в виду, что архитектура решений по обеспечению ИБ не должна быть избыточной. Например, фильтрация вредоносного трафика должна выполняться на стыке со сторонним оператором связи, а не на всей цепочке промежуточных узлов.

Требования по обеспечению физической безопасности и безопасности в радиоканале одинаковы для всех рассматриваемых сценариев и подробно представлены в соответствующих разделах.

Для конфигурации устройств можно сформулировать следующие общие правила ИБ:

• управление устройством извне должно быть ограничено с помощью белых списков;
• работа вспомогательных сетевых протоколов должна быть ограничена локальной сетью;
• на стыке зон ответственности должен быть организован эшелон безопасности для защиты от вредоносного трафика.

Объединение сегментов своей сети

Сценарий объединения двух сегментов сети, находящихся под одним управлением является простейшим, т.к.большинство мер по обеспечению ИБ могут быть возложены на специализированные устройства, находящиеся в сети.

Объединение сегментов своей и сторонней сетей

В сценарии объединения двух сетей, находящихся в разных зонах ответственности, функции первого эшелона безопасности возложены на радиоустройство, расположенное на стыке двух сетей. В таком сценарии должна быть обеспечена фильтрация как входящего, так и исходящего трафика сторонней организации.

Частным случаем сторонней организации является сеть клиента, для которого предоставляется один из сервисов передачи данных. В этом случае, целесообразно ограничение пропускной способности и использование QoS для трафика клиента.

Объединение сегментов своей сети и сети Интернет

Сценарий с нахождением беспроводного устройства на стыке локальной сети и сети Интернет является частным случаем сценария рассмотренного выше. Отличием является возможность получения доступа к устройству из сети Интернет по публичному адресу, который должен быть предоставлен по белому списку.

Таблица применимости средств обеспечения ИБ в различных сценариях

Физическая безопасность

Фундаментом стека сетевых технологий является физический уровень, поэтому обеспечение физической безопасности устройств является приоритетной задачей при реализации политики ИБ предприятия. Обеспечение физической безопасности подразумевает комплексный подход и включает несколько компонент:

• выбор площадки для установки оборудования;
• организация вспомогательной инфраструктуры объекта;
• монтаж оборудования;
• эксплуатация объекта.

Объект связи, включающий в себя беспроводные устройства, состоит из трёх основных элементов (см. рисунок 2):

• Высотная часть: место размещения беспроводных устройств, например, крыша здания, мачта, телекоммуникационная башня.
• Кабельная трасса: путь прохождения кабелей, соединяющих высотную часть и оборудования, размещённого в помещении.
• Помещение: оборудование, размещённое в помещении, и точки подключения к инфраструктуре. Инфраструктура может включать в себя каналы передачи данных, электропитание, климатические системы и т.д. Оборудование должно быть размещено в стойке или телекоммуникационном шкафу, которые могут размещаться в выделенном помещении или быть совмещены с высотной частью объекта.

Выбор площадки для установки оборудования

Площадка для размещения оборудования должна отвечать требованиям технической политики компании и предусматривать развитие объекта связи. При выборе площадке следует обратить внимание на следующие аспекты:

• Доступ на объект является важным фактором, влияющим на время восстановления связи и удобство обслуживания оборудования на объекте. Доступ на объект может быть ограничен по времени и по спискам сотрудников, поэтому необходимо поддерживать документы для допуска на объект в актуальном состоянии. Также следует обращать внимание на наличие охраны и замков в местах размещения оборудования для предотвращения несанкционированного доступа.
• Наличие высотной части - это обязательное требование для размещения беспроводных устройств на площадке. При выборе площадки обсудите возможность установки дополнительного оборудования (трубостойки, мачты, комплекты креплений).
• Наличие выделенного помещения. Оборудования передачи данных и точки подключения к инфраструктуре рекомендуется размещать в выделенном помещении, закрытом от воздействия внешних факторов. Например, это может быть помещение с отдельным входом и доступом отдельных сотрудников предприятия или машинный зал, в котором размещается оборудование сторонних компаний.
• Кабельная трасса. Площадка должна отвечать требованиям по прокладке кабельной трассы и доступу к ней на этапе эксплуатации.
• Электропитание. На площадке должна присутствовать возможность подключения к сети стабильного электропитания. В зависимости от типа электрического тока на площадке, постоянного или переменного, необходимо использовать различные инжекторы питания (см. раздел "Аксессуары" на сайте infinet.ru). В соответствии с технической политикой компании, может быть организована вторая линия электропитания или система бесперебойного электропитания. Линии электропитания должны быть независимыми, т.е. должны отсутствовать единые точки отказа. Для систем резервного электропитания рекомендуется реализовывать схемы автоматического переключения между источниками, что позволит избежать перерыва связи при отказе основного источника ЭП.
• Заземление. Площадка должна включать точку заземления в высотной части и в помещении.
• Климатические системы. Надёжная работа сетевого оборудования зависит от внешних условий эксплуатации: устройство гарантированно функционирует в установленном диапазоне значений температуры, давления и влажности. Влияние среды носит случайный характер, поэтому, для поддержания стабильной работы, заданный диапазон климатических условий должен быть создан искусственно, для чего на объекте рекомендуется установить кондиционер и обогреватель с возможностью их автоматического включения/отключения. Применение климатических систем в высотной части невозможно, поэтому для надёжной работы в суровых условиях рекомендуется использовать устройства семейств InfiLINK 2x2 / InfiMAN 2x2 с расширенным температурным диапазоном. Настройка встроенного обогревателя представлена в соответствующем разделе.
• Каналы связи. В соответствии с технической политикой, принятой в компании, сетевая доступность объекта может быть увеличена за счёт организации избыточных каналов связи. Каналы связи должны быть независимыми, т.е. не иметь единых точек отказа, например, в качестве основного может использовать проводной канал связи, а в качестве резервного - беспроводной. Схемы организации отказоустойчивых схем автоматического резервирования и агрегации каналов связи с использованием устройств Инфинет представлены в статье "Агрегация каналов, балансировка и резервирование". В сценариях с подвижными объектами используется другая схема резервирования канала связи, представленная в статье "Организация связи с подвижными объектами".

Организация вспомогательной инфраструктуры объекта

Важным фактором при выборе площадки является возможность установки элементов вспомогательной инфраструктуры, которая позволит повысить доступность системы связи. Примерами вспомогательной инфраструктуры являются системы видеонаблюдения и сигнализации. Сигнализация позволит оперативно зафиксировать несанкционированный доступ на объект, а система видеонаблюдения будет полезна в расследовании инцидентов.

Монтаж оборудования

При выполнении монтажных работ на площадке следует руководствоваться общим набором требований и технической политикой, принятой в компании

Установка оборудования на выбранной площадке должна быть выполнена в соответствии с требованиями к монтажу:

• Семейства устройств InfiLINK 2x2 и InfiMAN 2x2.
• Семейства устройств InfiLINK XG и InfiLINK XG 1000.
• Семейство устройств Vector 5.

Для повышения скрытности устройств после завершения монтажа и юстировки устройств можно отключить световые индикаторы, расположенные на корпусе устройства:

• Семейства устройств InfiLINK 2x2 и InfiMAN 2x2.
• Семейства устройств InfiLINK XG и InfiLINK XG 1000.
• Семейство устройств Vector 5.

Неиспользуемые порты беспроводных устройств могут быть использованы злоумышленника для получения доступа к сети, поэтому обеспечения конфиденциальности информации рекомендуется отключать неиспользуемые сетевые интерфейсы:

• Семейства устройств InfiLINK 2x2 и InfiMAN 2x2.
• Семейства устройств InfiLINK XG и InfiLINK XG 1000.

Устройства, базирующиеся на аппаратной платформе H11, поддерживают функцию PoE-out на порту Eth1. Этим может воспользоваться злоумышленник, непосредственно подключившись к порту устройства и запитав стороннее оборудование. Команда для отключения функции PoE-out представлена в соответствующем подразделе.

Эксплуатация объекта

Контроль за качеством монтажных работ выполняется с помощью приёмки объекта в эксплуатацию. Процедура приёмки должна быть построена в соответствии с общепринятыми требованиями к монтажу и технической политикой компании.

Обеспечение информационной безопасности является непрерывным процессом, требующим контроля и реакции на выявленные угрозы, поэтому необходимо проводить профилактическое обслуживание объектов связи. В зависимости от требований, закреплённых в компании, и специфики сетевого объекта список профилактических мероприятий может отличаться. Общий набор регулярных работ состоит из:

• осмотра объекта связи с составлением списка угроз;
• уборки объекта;
• тестирования резервных систем: для каналов связи - плановые работы с отключением основного канала, для систем электропитания - плановые работы с отключением основного источника (дополнительно, для источников бесперебойного питания, тестирование ёмкости батарей).

Вопросики на рассмотрение

Теория: дать понятия аспектам обеспечения безопасности (НСД, доступность и т.д.). При рассмотрении инструментов обеспечения безопасности ссылаться на теорию. Определить то, что мы понимаем под безопасностью.

Настройки радио:

    SID и ключ безопасности

    Частоты

        - использование частот, на которые получен РИЧ

        - использование pwrctl

        - использование DFS, iDFS

        - использование нескольких профилей

    Режим авторизации

        - статически линки

        - авторизация через RADIUS

    Скрэмблирование

В настройках радио можно ещё сказать про switch border и макс. число линков.

+мобильные объекты

Управление устройством:

    2.1 Учётная запись

        - смена заводских настроек

        - учётка админа и гостя

        - ERConsole

    2.2 Методы доступа к устройству

        - WEB (http, https)

        - Telnet

        - SSH

    2.3 Организация Firewall

    - авторизация на устройствах через RADIUS

Настройка устройства 

4.1 Настройки сетевых интерфейсов

        - неиспользуемые интерфейсы можно удалить или отключить

        - отключение PoE-out на H11

        - использование DHCP-клиента и DHCP-сервера

        - использование LLDP

        - использование SNMP

    4.2 Настройки MINT

        - использование ключа безопасности в prf-интерфейсе

        - установка пароля для удалённого выполнения команд в MINT-области

    4.3 Организация управления

        - отдельная группа коммутации (для некоторых в группу включить только rf5.0)

        - использование SVI, удаление IP-адреса на интерфейсе Eth

4.4 Общие вопросы

• Обновление ПО
• Применение настроек (через "Проверить" или отложенный рестарт)

Добавить про macf.

+DHCP Snooping

+STP

+флуд

+DHCP фиксация адресов

Расследования (переименовать)

    - организация мониторинга (+утилизация оборудования)

    - организация видеонаблюдения, сигнализации с уведомлением

    - сохранение логов на syslog-сервер

    - технический учёт

    -приёмка по конфигу

Доступ = защита от НСД

п. Применение настроек (через "Проверить" или отложенный рестарт) относится к "Нарушение доступности".

По каждому пункту нужно добавить обоснование - ответ на вопрос "Зачем".

Syslog перенести в расследование инцидентов, а не интеграцию.

Защита целостности (конфигурации): бэкапы, автоматизация.

+ссылки на свойства в течении документа

Дополнительные материалы

Онлайн-курсы

1. Онлайн-курс "Предварительная настройка и установка устройств семейств InfiLINK 2x2 и InfiMAN 2x2".
2. Онлайн-курс "Устройства семейства InfiLINK XG".
3. Онлайн-курс "Vector 5: установка и настройка".

White papers

1. Агрегация каналов, балансировка и резервирование.

2. Организация связи с подвижными объектами.

Вебинары

1. Вебинар "Монтаж, грозозащита и заземление оборудования Инфинет".

Скринкасты

1. Скринкаст "Ввод в эксплуатацию устройств "Инфинет" семейства R5000".

Прочее

1. Раздел "Аксессуары" сайта infinet.ru