Mahalliy tarmoqlarni MAC manzillari orqali filtrlash sifatida himoya qilishning bunday usuli juda samarali. MAC-manzil, tarmoq interfeysining yagona raqamidir (tarmoq kartasi). Shunday qilib, ishonchli qurilmalarning MAC manzillarini oldindan bilish orqali simsiz tarmog'ingizni xavfsizligini sozlashingiz mumkin. Biroq, zamonaviy MAC manzilini zamonaviy tarmoq uskunalari bilan almashtirganingiz uchun tarmoqdagi ma'lumotlarni himoya qilish usuli samarasiz bo'lishi mumkin. Axir, agar buzg'unchiga biron-bir tarzda ishonchli qurilmaga kirish imkoni bo'lsa, u o'zining MAC-manzilini nusxalashi mumkin va keyinchalik uni boshqa qurilmadan tarmoqqa kirish uchun ishlatishi mumkin (agar u, albatta, MAC- manzilini o'zgartirishni qo'llab-quvvatlasa). Biroq, bu usul boshqalar bilan birga ishlatilishi mumkin va shu bilan simsiz tarmoq himoyasini kuchaytiradi.
SSIDni yashirish
Biror narsalarni kesish uchun, siz ko'rishingiz kerak bo'lgan narsa, yoki hech bo'lmasa uning borligi haqida bilish kerak. Agar ushbu usul mahalliy tarmoqni himoya qilishga mos kelmasa (simlarni yashirishga urinib ko'ring), unda simsiz tarmoqlarni himoya qilish uchun bu juda yaxshi usul. Aslida kirish nuqtasi, odatda, SSID - simsiz tarmoq identifikatorini uzluksiz uzatadi. Tarmoq noutbukingiz yoki kommunikatoringizning tarmoq kartasini ogohlantiruvchi ushbu identifikator, yangi simsiz tarmoq aniqlanganligini bildiruvchi xabar paydo bo'lganda. SSID tarqatilishini bekor qilish, tarmoqni kashf qilishning printsipial jihatdan mumkin emasligiga qaramasdan, tajovuzkorni uni aniqlash va hatto bunday tarmoqqa ulanish ham qiyinlashadi. Shu bilan birga, tarmoqlarda axborotni himoya qilishning ushbu
uslubi muayyan kamchiliklarga ega: yangi qurilmalarni mavjud simsiz tarmoqqa ulaganda siz tarmoqning nomini qo'lda kiritishingiz kerak bo'ladi.
Umuman olganda, VPN kabi axborotni himoya qilishning ushbu usuli simsiz tarmoqlarni himoya qilish uchun emas, balki uzoq masofali lokal tarmog'iga Internet orqali xavfsiz ulanishni o'rnatish uchun ixtiro qilingan. Biroq, bu texnologiya simsiz tarmoqlarda katta ishlaydi va mahalliy tarmoqlarni himoya qilish uchun ajoyib. Bunday holda, simsiz tarmoqning o'zi boshqa himoyadan butunlay mahrum bo'lishi mumkin, ammo u ochiq resurslarga ega bo'lmaydi - barcha himoyalanmagan resurslar virtual tarmoq ichida, faqat interfeysga faqat simsiz tarmoq orqali kirish mumkin. Zamonaviy shifrlash algoritmlari kompyuter tarmog'ida bunday ulanishning yuqori darajadagi qarshiligini va ishonchli axborot muhofazasini ta'minlaydi.
Simsiz tarmoqlarni himoya qilish mavzusi juda kengdir, lekin tarmoqlar bo'yicha axborotni muhofaza qilishning umumiy qoidalari asosan bir xil. Agar siz kompyuter tarmoqlarini himoyalashga qarshi chidamli bo'lishni istasangiz, himoya qilishning bir necha usullarini birlashtirish kerak.
Ko'p qavatli lokal tarmoqni himoya qilish tizimi (SSID, MAC-manzilni filtrlash va VPN orqali ma'lumotlarni uzatish) bo'yicha eng ilg'or shifrlash opsiyasi kombinatsiyasi kompyuter tarmoqlarida samarali axborot muhofazasini ta'minlaydi. Biroq, samaradorlikni ta'minlashda, himoya qilish va qulaylik ishonchliligi o'rtasida muvozanatni saqlashga harakat qiling - sizning simsiz tarmoqingizdagi turli tekshiruvlar va to'siqlar qanchalik qiyin bo'lsa, undan foydalanish kerak. Shuning uchun, mahalliy tarmoqni himoya qilish haqida fikr yuriting, tarmoqdagi hackerlar hujumi ehtimoli haqida o'ylang - tarmoqni asossiz himoya qilish choralari bilan
haddan ortiq yuklamaslik kerak, bu esa ishlashga salbiy ta'sir ko'rsatishi va tarmoqli kengligi yo'qolishiga olib kelishi mumkin.
Zamonaviy simsiz yechimlar tarmog'ida amalga oshirishning juda tez sur'atlari sizning ma'lumotlaringizni ishonchliligini o'ylaydi.
Simsiz ma'lumotlarni uzatish printsipi, kirish nuqtalariga ruxsatsiz ulanish imkoniyatlarini o'z ichiga oladi.
Xavf talab qiladigan xavf - uskunalar o'g'irlanishi ehtimoli. Agar simsiz tarmoq xavfsizligi siyosati MAC manzillariga o'rnatilgan bo'lsa, tajovuzkor tomonidan o'g'irlangan tarmoq kartasi yoki kirish nuqtasi tarmoqqa kirishni ochishi mumkin.
Ko'pincha, kirish nuqtalarini LANga ruxsatsiz ulanishi xodimlarning o'zlari tomonidan amalga oshiriladi, ular himoya haqida o'ylamaydilar.
Bunday muammolarni hal qilishni keng qamrovli muhokama qilish kerak. Tashkiliy tadbirlar har bir aniq tarmoqning ish sharoitlari asosida tanlanadi. Texnik chora- tadbirlar bo'yicha asboblarni majburiy o'zaro autentifikatsiya qilish va faol boshqarish vositalarini joriy etishda juda yaxshi natijalarga erishiladi.
2001 yilda haydovchilar va dasturlarni dastlabki tadbiq qilish WEP shifrlashiga bardosh berdi. Eng muvaffaqiyatli - PreShared Key. Lekin u faqat kuchli shifrlash va yuqori sifatli shifrlarni muntazam almashtirish bilan yaxshi bo'ladi
Shakl 1 - shifrlangan ma'lumotlarni tahlil qilish algoritmi
Himoya qilishning hozirgi talablari Autentifikatsiya
Hozirgi vaqtda simsiz qurilmalar, shu jumladan turli xil tarmoq uskunalarida, 802.1x standartida aniqlangan tekshiruvni amalga oshirgunga qadar, foydalanuvchining hech qanday ma'lumotni qabul qila olmasligi va uzatolmagunga qadar, yanada zamonaviy autentifikatsiya qilish usuli keng qo'llaniladi.
Bir nechta ishlab chiquvchi EAP-TLS va PEAP protokollaridan foydalangan holda, Cisco Systems o'zlarining simsiz tarmoqlari uchun quyidagi protokollarni taqdim etadi: EAP-TLS, REAP, LEAP, EAP-FAST.
Barcha zamonaviy autentifikatsiya usullari dinamik kalitlarni qo'llab-quvvatlashni o'z ichiga oladi.
LEAP va EAP-FASTning asosiy kamchiliklari - bu protokollar, asosan, Cisco Systems uskunasiga tegishli .
Shakl 2 - TKIP-PPK, MIC va WEP shifrlash yordamida 802.11x paketining tuzilishi. Shifrlash va yaxlitlik
802.11i tavsiyalaridan kelib chiqqan holda, Cisco Systems har paketada RPC shifrlash kalitini (Per Packet Keying) o'zgartirishni va xabar butunligini tekshirish xabarlarining butunligini monitoringini ta'minlaydigan Vaqtinchalik Integrity Protocol (TKIP) ni joriy etdi.
Boshqa umid beruvchi shifrlash va yaxlitlik protokoli AES (Advanced Encryption Standard). DES ga va GOST 28147-89ga qaraganda yaxshi kriptografik kuchga ega. U ham shifrlash, ham butunlikni ta'minlaydi.
Unda qo'llanilgan algoritm (Rijndael) ma'lumotlarning kechiktirilishi va protsessor yukini kamaytirish uchun juda muhim ahamiyatga ega bo'lgan yoki qo'llanilishi yoki ishlatilishida katta resurslarni talab qilmaydi.
Simsiz LAN uchun xavfsizlik standarti 802.111i.
Wi-Fi Protected Access (WPA) standarti 802.11x tarmoqlarida ma'lumotlarni himoyalashni ta'minlaydigan qoidalar majmui. 2003 yil avgust oyidan boshlab WPA standartlariga muvofiqligi Wi-Fi sertifikatlangan asboblar uchun majburiy talab hisoblanadi.
WPA spetsifikatsiyasi o'zgartirilgan TKOP-PPK protokolini o'z ichiga oladi. Shifrlash bir nechta tugmalar birikmasi bo'yicha amalga oshiriladi - oqim va keyingi. IV uzunligi 48 bitgacha ko'tariladi. Bu axborotni himoya qilish bo'yicha qo'shimcha chora-tadbirlarni amalga oshirishga imkon beradi, masalan, qayta ulanish, qayta takrorlash uchun talablarni kuchaytirish.
Ta'riflar 802.1x / EAP va umumiy almashinuv autentifikatsiyasi va, albatta, kalitlarni boshqarish uchun yordam beradi.
Zamonaviy uskuna va dasturiy ta'minotdan foydalanishga qaramasdan, 802.11x seriyali standartlarga asoslangan xavfsiz va hujumga chidamli simsiz tarmoqni yaratish mumkin.
Deyarli har doim simsiz tarmoq simli qurilmaga ulangan va bu simsiz aloqa kanallarini himoya qilish zarurligiga qo'shimcha ravishda kabeli tarmoqlarda himoya qilishni ta'minlashi kerak. Aks holda, tarmoq parchalanish himoyasiga ega bo'lib, mohiyatan xavfsizlikka tahdid soladi. Wi-Fi sertifikatiga ega bo'lgan uskunani ishlatish tavsiya etiladi, ya'ni WPA mosligini tasdiqlaydi.
802.11x / EAP / TKIP / MIC va dinamik kalitlarni boshqarish kerak. Aralash tarmoqlarda VLANlarni ishlating; tashqi antennalar bilan VPN texnologiyasi qo'llaniladi.
Protokol va dasturni muhofaza qilish usullarini hamda ma'muriy usullarni birlashtirish kerak.
Mahalliy va global kompyuter tarmoqlarining jadal rivojlanishi munosabati bilan, mahalliy tarmoqlarda qayta ishlanadigan (uzatilgan, saqlanadigan) ma'lumotlarga to'siq qo'yish uchun qidiruv (sanoat josuslik) usullari keng tarqalgan.
Har qanday tashkilotning mahalliy tarmog'iga kirish faqat tizim ma'muri mahalliy tarmoqdagi barcha elementlarning konfiguratsiyasini etarli darajada ta'minlamagan taqdirda amalga oshirilishi mumkin. Vakolatli sozlash holatlarida, tajovuzkorlar mahalliy tarmoqqa kirib borish bilan bog'liq bo'lmagan ma'lumotlarni olish usullarini topishlari kerak. Buning uchun mahalliy tarmoq elementlarining soxta
emissiya va qabul qilish kanallari (PEMIN) haqida ma'lumotni olish usullari qo'llaniladi. Shaxsiy kompyuterlarni himoya qilish usuli yaxshi ishlab chiqilgan va zarur normativ hujjatlar bilan ta'minlangan. Mahalliy tarmoqdagi axborotni PEMIN kanallari orqali oqimlardan himoya qilish vazifasi avtonom qurilmalardan ko'ra ancha murakkabroq.
Mahalliy tarmoqdagi elektromagnit nurlanish manbalari ish stantsiyalari va faol tarmoq uskunalari hisoblanadi. Soxta emissiya va aralashuv kanallarida ma'lumotlarning oqmasligi bilan himoya qilish uchun ushbu qurilma himoyalangan. Mahalliy tarmoqdagi faol uskunadan radiatsiya darajasini kamaytirish uchun uskunalar va serverlar eng yaxshi ekranli kabinetga joylashtiriladi.
Kompyuterlar Evropa Elektromagnit moslik Direktivi (Yevropa EMS Direktifi 89/336 / EEC) talablariga javob beradigan kassalarda mavjud. Zamonaviy muhofaza kompyuterning radiatsiyaviy elementini sezilarli darajada zaiflashtirishi mumkin, ammo aksariyat hollarda qo'shimcha tozalash talab etiladi. Kompyuterning tizim korpusining ekranlash sifati tizim blokiga ulangan barcha qurilmalar radiatsiya darajasiga ta'sir qiladi (masalan, klaviatura). Odatda standart klaviatura odatda juda yuqori radiatsiya darajasiga ega. Shu bilan birga, juda muhim xavfsizlik ma'lumotlari klaviaturadan, jumladan, foydalanuvchi va tizim administratori parollarini kiritadi. Klaviatura radiatsiyasini to'xtatish uchun oddiy qisqa to'lqinli qabul qiluvchi mavjud. Klaviaturadan kiritilgan ma'lumotlar ketma-ket kodga kiritilganligini va shuning uchun oson izohlanishi mumkinligini hisobga olsak, klaviatura tomonidan chiqarilgan emissiya eng xavfli hisoblanadi. Elektr (3-rasm) va magnit (4-shakl) komponentlari o'lchovlari natijalari shuni ko'rsatdiki, tizimda mavjud bo'lgan har xil sotuvlarga ega bo'lgan kompyuterlar uchun klaviaturadan soxta chiqindilarning salohiyati 100 martadan ortiq bo'lishi mumkin.
Shakl 3 - Elektr komponentining darajalari
rasm - Magnit komponentning darajalari
Shu kabi ko'rsatkichlar kompyuterga kiritilgan boshqa qurilmalar uchun ham olinadi.
Standart qoplamalar va shkaflarni yakunlash vazifasi:
Birinchisi, alohida korpus tuzilmalari bo'g'inlarida har doim bo'shliqlar mavjud bo'lib, ular ekranlash xususiyatlarini sezilarli darajada buzadi.
Ikkinchidan, elektron qurilma korpusi yopiq bo'lishi mumkin emas, chunki issiqlik chiqarish uchun ventilyatsiya teshiklari kerak bo'ladi.
Uchinchidan, himoya panjarasining rejasi oldindan hisoblab bo'lmaydi. Shuning uchun standart holatlarning himoyalanish xususiyatlarini yaxshilashga qaratilgan chora-tadbirlar har doim tajribaviy ishdir.
Hozirgi vaqtda binolarning himoya xususiyatlarini yaxshilash uchun mo'ljallangan ko'plab materiallar mavjud - har qanday bahor muhrlari, elektr o'tkazuvchan elastomerlar, o'z-o'zidan yopishqoq metallizlangan qoplamalar.
Radiatsiya manbai - elektr ta'minoti. Quvvat ichkarisida simlar bo'ylab soxta chiqindilar tarqalishiga to'sqinlik qiladigan filtr orqali beriladi. Ammo radiatsiyaning to'liq bostirilishi uchun filtrni hisoblash deyarli imkonsizdir, chunki uning xususiyatlari tashqi tarmoqning juda ko'p parametrlaridan ta'sirlanadi. Tijoriy jihatdan ishlab chiqarilgan filtri keng chastota diapazonida o'z vazifalarini to'liq bajara olmaydi. Yaxshi filtrlar faqat ko'p hollarda filtrga qo'yiladigan talablarga javob beradigan murosasiz yechimdir.
Shunga qarab, shaxsiy kompyuter yoki tarmoqning bir qismi sifatida kompyuterning PEMIN kanallari orqali oqimga qarshi ma'lumotlarni muhofaza qilish xususiyatlari sezilarli darajada farq qilishi mumkin. Xususiyatlarning farqlanishiga olib keladigan asosiy omil - bu qurilmalarning asoslanishi.
Mustaqil qurilmalarda topraklama ularning himoyalanish xususiyatlarini yaxshilaydi yoki zaiflashtiradi. Topraklama, faqat elektr xavfsizlik ekipmanı uchun talab qilinadi. To'g'ri topraklama bilan, soxta emissiya darajasi biroz kamayadi. Biroq, ayrim hollarda, topraklama bog'liq bo'lsa, soxta emissiya darajasi oshishi mumkin.
Kabel tizimida faol elementlar mavjud emas, shuning uchun o'zi tomonidan soxta emissiya manbai bo'lishi mumkin emas. Biroq, simi tizimi kompyuter tarmog'ining barcha elementlarini birlashtiradi. Tarmoq ma'lumotlari bu orqali uzatiladi va u ham barcha yig'uvchilarning qabul qiluvchisi va yolg'on elektromagnit nurlanishlarni uzatuvchi vosita hisoblanadi (5-rasm).
rasm - Yomon elektromagnit nurlanish Shuning uchun uni ajratish kerak:
Ma'lum bir yo'nalish bo'yicha uzatiladigan signallar oqibatida yolg'on yuqish (mahalliy tarmoq trafigi);
Yaqin atrofdagi chiziqlar va qurilmalardan yong'oq chiqindilarni qabul qilish va undan keyingi emissiya qilish;
Tarmoq elementlari va kabelning ulangan kompyuterlari yonma-yon tebranishlarini kabel tizimining emissiyasi.
Odatda, kabel tizimining xavfsizligini baholashda ular tarmoq axborot almashinuvi vaqtida kabel orqali uzatiladigan signallarning nima sababdan soxta emissiyasining qanchalik zaiflashayotgani bilan qiziqishadi.
Agar kabel tizimining radio eshittirishlari mahalliy tarmoqdagi trafikni qayta tiklasa, bu juda katta xavf. Haqiqatdan ham mahalliy tarmoq trafigi PEMIN kanallari orqali axborot oqimi bilan yaxshi himoyalangan. Mahalliy tarmoqlar uchun zamonaviy kabellar radiatsiyaviy signallar juda past darajada. Ushbu kabellarda signallar burmalangan juftlik simidan uzatiladi va birlik uzunligi uchun burama soni keskin o'zgarmaydi. Aslida, bunday tizim umuman tarqalmasligi kerak. Bundan tashqari, burishli juftlikda ekranning mavjudligi burishli juftlik orqali uzatiladigan signallarning radiatsiya darajasiga juda kam ta'sir ko'rsatadi. Haqiqiy tizimda, tarmoq almashinuvi vaqtida yuzaga keladigan soxta emissiya darajasiga ta'sir qiladigan har qanday simi nosozliklar mavjud. Aslida, hisoblagich birliklari masofasidan, zamonaviy simi elektromagnit nurlanish orqali uzatilgan ma'lumotni ushlab turish endi mumkin emas. Biroq ko'pgina amaliy hollarda simi tizimi tarmoqqa ulangan barcha soxta qurilmalar uchun ajoyib antenna hisoblanadi. Kompyuterning elementlarida yuzaga keladigan jirkanch emissiya LAN kabelining barcha kabellarida paydo bo'ladi (6-rasm).
Shakl 6 - Kompyuter elementlarida iflos emissiya
Natijada, kompyuter elementlarining begona emissiya qilish uchun LAN kabeli, faqat himoyalangan tovushni tashqarisida cho'zilgan bitta torli tel sifatida qaralishi kerak. Yon radiatsiyani bostiradigan bu simli filtrni qo'ying, bu mumkin emas. Soxta emissiyalarni bostirish orqali biz tarmoq trafigini bostiramiz. Shunday qilib, agar axborotni himoyalashga ega bo'lgan kompyuter lokal tarmoqqa himoyalanmagan o'ralgan juftlikda kiritilgan bo'lsa, unda antennaning rolini o'ynaydigan burishli er- xotinning simlari, masalan, kompyuter klaviaturasi (2-rasm, 3-rasm), o'n minglab marta Shu sababli, himoyalanmagan o'ralgan juftlik cheklangan ma'lumotga ega bo'lgan axborotni qayta ishlaydigan mahalliy tarmoqdan foydalanib bo'lmaydi. Ekranlangan juft juftlikdan foydalanish vaziyatni sezilarli darajada yaxshilaydi.
Mahalliy kompyuter tarmog'i endi boshqa tarmoqlar bilan aloqa qilmasdan mustaqil ravishda ishlashi mumkin emas. Xususan, har qanday tashkilot, ya'ni xususiy korxona, hukumat idorasi yoki Ichki ishlar vazirligining bo'limi global internetda faol ishtirok etishi kerak. Bu o'z veb-saytini, jamoat e-mailini va xodimlarning global tarmoq ma'lumotlariga kirishini o'z ichiga oladi. Bunday yaqin hamkorlik xavfsizlik talablariga zid keladi. Agar bir nechta tarmoqlar o'zaro bog'langan bo'lsa, turli xil xavfsizlik tahdidlari yuz berishi mumkin. Misol uchun, global tarmoqqa ulanishda mumkin bo'lgan tahdidlarning eng zararsizlari tarmoqni bezorilarning xohish-irodasidan qutqarishdir. Tashqi razvedka xizmatlariga qiziqish bildiradigan axborot davlat organlarining kompyuter tarmoqlarida tarqatiladi. Kompyuter tarmoqlarida Ichki ishlar vazirligi jinoyatchilarga qiziqish haqida ma'lumot tarqatadi. Ushbu ma'lumot maxfiylik siyosatiga ega bo'lmasligi mumkin. Biroq, jami bo'lib, juda muhim ma'lumot beradi. Shuning uchun, davlat organlarining kompyuter tarmoqlarini global Internet tarmog'iga birlashtirgan holda, bezorilar bilan bir qatorda, tajovuzkorlar tarmog'iga kirishga ko'proq malakali urinishlar kiritish kerak. Bunday harakatlarga qarshi turish juda qiyin. Shu sababli, Internet jamlangan
ma'lumotlar jamlangan ichki tarmoqdan ajratilishi kerak. Xavfsizlikni ta'minlash uchun o'zingizning kompyuter tarmog'ingizni global internetdan ajratib olishning bir necha yo'li mavjud. Cheklangan ma'lumotlarga ega bo'lgan axborot tarqatilmaydigan tarmoqlarda, odatda tarmoqlarni ajratish uchun yo'riqnoma ishlatish etarli bo'ladi. Biroq global tarmoqdan hujumga qarshi jiddiy himoya faqatgina xavfsizlik devorlari (FireWall) yordamida ta'minlanishi mumkin. Shuning uchun tijorat kompaniyalari korporativ ma'lumotlarini himoya qilish xavfsizlik devorlaridan foydalanishni talab qiladi. Biroq, davlat organlarida axborotni himoya qilish uchun, odatda, xavfsizlik devori zarur darajadagi himoyani ta'minlamaydi. Eng to'liq xavfsizlik faqat o'z mahalliy tarmoqlaridan Internetni jismoniy ajratish hollarida ta'minlanadi. Albatta, bu ishda muayyan noqulayliklar tug'diradi va kompyuter tarmog'ini yaratishda qo'shimcha xarajatlar talab qiladi. Biroq, jinoyatchilikka qarshi kurash zarurligiga qarshi, bu oqilona choradir.
Jismoniy izolyatsiyalangan tarmoqlarni qurishda, PEMIN kanallari orqali axborot oqimidan himoya masalalarini ham ko'rib chiqish kerak. Ko'pgina hollarda, cheklangan kirish ma'lumoti bilan ishlaydigan xodim va Internetga kirish imkoniyati mavjud. Ish joyida ikkita kompyuter o'rnatildi, ulardan biri korxonaning (tashkilotning) mahalliy tarmog'iga, ikkinchisi esa Internetga ulangan. Bunday holda, o'zingizning tarmog'ingizni axborot muhofazasi bilan ta'minlaydigan kabellar va ochiq Internet tarmog'ining kabellari etarlicha masofani yoyish juda qiyin. Natijada, mahalliy tarmoqda aylanayotgan ma'lumotlar, shuningdek, mahalliy tarmoq kabellarida paydo bo'ladigan kompyuterlarning barcha soxta chiqindilari Internetdagi ochiq kabellarda ham paydo bo'lishi mumkin. Ochiq tarmoq kabeli nafaqat antennalarga ega bo'lish uchun etarli emas (ayniqsa, ochiq tarmoq portlashsiz kabel bilan yotqizilganda). Ochiq tarmoq kabellari odatda himoyalangan hudud chegaralaridan oshib ketadi, shuning uchun axborotni nafaqat chiqindilarni
to'xtatish, balki to'g'ridan-to'g'ri ochiq tarmoq kabeliga ulash orqali ham olib qo'yish mumkin. Shu sababli, ochiq tarmoq kabellari, shuningdek, axborotni muhofaza qiluvchi tarmoq tuzishda kuzatilgan barcha tavsiyalarga muvofiq ham o'rnatilishi kerak.802.11x standartlariga asoslangan simsiz aloqa moslamalari bugungi kunda tarmoq uskunalari bozorida jadal rivojlanmoqda. Buning ajablanarli joyi yo'q: mobil va kvaziv mobil foydalanuvchilar uchun qulaylik, tijorat va korporativ nuqtalarni tashkil qilish, so'nggi mil, mahalliy tarmoqlarni (LAN) bir-biriga ulash - bularning barchasi ushbu echimlarni amalga oshirishning sabablari to'liq ro'yxati emas. Haqiqatan ham dunyodagi 802.11x standartlarining ishlaydigan uskunalari soni juda ta'sirli: "Son & Partners" ga ko'ra, 2003 yil oxirida faqat issiq nuqtalar soni 43 mingdan oshdi va 2004 yil oxiriga kelib u 140 ming kishiga yetishi kerak edi. Rossiyaning ushbu ko'rsatkichlardagi ulushi kichik, ammo Rossiyada simsiz tarmoqlar soni (shu jumladan, issiq nuqtalar) barqaror o'sib bormoqda, shuningdek, mamlakatda korporativ simsiz tarmoqlarning 80 foizdan ortig'i "eng qadimgi" va eng ko'p ishlatiladigan uskunalari - Cisco Aironet.
Lekin raqamlar nafaqat ta'sirli; Bunday tarmoqlarda ma'lumotlarni xavfsiz uzatishni ta'minlash bilan bog'liq noto'g'ri tushunchalar soni juda ham ajablanarli. Bu erda fikrlarning xilma-xilligi: barcha asbob-uskunalarga bo'lgan ishonchdan va barcha parametrlardan epigraf deb nomlagan noxush xususiyatlarga qadar bo'lgan ishonchdan.
802.11x - tashqaridan tahdidlarga befarq
Simsiz ma'lumotlarning mohiyatiga kirish nuqtalari, ma'lumotlarni uzib qo'yish va boshqa qiyinchiliklarga ruxsatsiz ulanishlar bilan bog'liq bo'lishi mumkin. Tashkiliy jihatdan himoya qilish oson bo'lgan simi yo'qligi, yoqimsiz ochiqlik va qulaylik hissi tug'diradi. "Protokol bo'lmagan" tahdidlarni eslatib qo'yish - bu
muammoning asosi. Simsiz korporativ tarmoqni ishlab chiqishda administratorlar birinchi navbatda ofis maydonini yuqori sifatli qoplash haqida qayg'uradilar. Juda tez-tez, hech kim, hiyla-nay hackerlar tarmoqqa bog'langan mashinadan to'g'ridan- to'g'ri bog'lanishlari mumkinligini hisobga oladi. Bundan tashqari, asosan, o'tkaziladigan transportni "eshitish" imkoniyatini bartaraf etish mumkin bo'lmagan holatlar mavjud. Masalan, tashqi antennalar. Aytgancha, MDH davlatlarida "simsiz" yordamida idoralar o'rtasida dori-darmonlarni ulash juda mashhurdir.
Zarg'aldoq xavf tug'dirmaydi, uskunalar o'g'irlanishi ehtimoli. Agar simsiz tarmoq xavfsizligi siyosati MAC manzillarida tuzilgan bo'lsa, tajovuzkor tomonidan o'g'irlangan har qanday komponent (tarmoq kartasi, kirish nuqtasi) ushbu tarmoqni darhol ochadi.Va nihoyat, "juda aqlli" foydalanuvchilarning muammosi. Ko'pincha, kirish nuqtalarini dori vositalariga ruxsatsiz ulanishi tashkilot xodimlarining ishidir. Va bu faqat ishning qulayligi uchun, ba'zan yaxshi niyatlar bilan amalga oshiriladi. Albatta, bunday qurilmalar tarmoqqa ulangan holda axborotni muhofaza qilish, bu xodimlar ham o'zlarini ta'minlaydi va har doim bunday «o'zini himoya qilish» natijalarini tasavvur qila olmaydi.
Ushbu va shu kabi muammolar echimi har tomonlama muhokama qilinishi kerak. Biz ushbu moddaning doirasida tashkiliy choralar ko'rib chiqilmasligini tezda ta'kidlaymiz, ular odatda har bir aniq tarmoqning ish sharoitlari asosida tanlanadi. Texnik chora-tadbirlarga kelsak, qurilmalarni majburiy o'zaro autentifikatsiya qilish va faol (masalan, Observer 8.3, Airportsek NX 2.01, Simsiz Sniffer 4.75) va passiv (masalan, APTools 0.1.0, xprobe 0.0.2) tekshiruvlari juda yaxshi natijalar beradi. .
|
