защита информации в беспроводных сетях на базе решений Cisco systems

Защита информации в беспроводных сетях на базе решений Cisco Systems www.USSC.ru Кацапов Сергей Системный инженер [email_address]

Содержание ,[object Object],[object Object],[object Object],[object Object]

Краткая характеристика существующих стандартов ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Эффективное использование частот – 5 GHz или 2.4GHz ,[object Object],[object Object],[object Object],[object Object],[object Object]

Способы построения беспроводных сетей I Тип II Тип Автономные точки доступа Управляемые точки доступа + Контроллер

Проблемы, связанные с эксплуатацией беспроводных сетей

Возможные сценарии атак в беспроводных сетях Атаки « On-Wire » Атаки « Over-the-Air » Отказ в обслуживании DENIAL OF SERVICE Прерывание сервиса Ad-hoc подключение Несанкцион. одноранговые ad-hoc подключения HACKER Rogue Access Points Доступ в сеть с «черного хода» HACKER Evil Twin HACKER’S AP Подключение к Несанкцион. ТД Разведка Поиск уязвимостей в сети HACKER Cracking Tools Прослушивание и перехват HACKER

Исторически используемые методы защиты информации в беспроводных сетях ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Проблемы, связанные с эксплуатацией беспроводных сетей ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Безопасность и надежность беспроводных сетей на основе оборудования компании Cisco Systems

Посторонние устройства в беспроводных сетях ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Этапы борьбы с посторонними устройствами Обнаружение Классификация Обезвреживание ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Алгоритмы обнаружения атак

Правила классификации ПУ Правила хранятся и выполняются на радиоконтроллере

ТД в режиме Rogue Detector Принципиальная схема работы ( Rogue AP ) ПУ Авториз. ТД L2 Switched Network ,[object Object],[object Object],[object Object],[object Object],Trunk Port Rogue Detector Client ARP

Rogue Location Discovery Protocol Принципиальная схема работы ПУ ( Rogue AP ) Наша ТД ,[object Object],[object Object],[object Object],[object Object],Контроллер Routed/Switched Network Посылает пакет на WLC Подключается как клиент

Switchport Tracing ПУ ( Rogue AP ) Наша ТД ,[object Object],[object Object],[object Object],[object Object],CAM таблица WCS CAM таблица Show CDP Neighbors Совпадение найдено 2 3 1

Сравнение механизмов обнаружения ПУ ,[object Object],[object Object],[object Object],Switchport Tracing ,[object Object],RLDP Rogue Detector ,[object Object],[object Object],[object Object],[object Object],[object Object],Как работает Что обнаруживает Точность ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Изоляция ПУ Принципиальная схема работы ПУ Авторизов. ТД ,[object Object],[object Object],[object Object],[object Object],ПУ-клиент De-Auth пакет

Определение местоположения ПУ в БС ,[object Object],[object Object],[object Object],[object Object],WCS

Компоненты беспроводной сети Мониторинг , Отчетность Over-the-Air Обнаруж . Управление wIPS ТД Комплексн. Анализ атак , Криминалистика , Событий AP

Схема взаимодействия компонентов MSE не на пути передачи данных Большая часть функционала БЛВС реализована контроллером Средство централизованной настройки и мониторинга БЛВС

Надежность – Radio Resource Management (RRM) Мониторинг РЧ - ресурсов Управление мощностью передатчиков точек доступа Динамическое назначение частотных каналов Обнаружение и коррекция пробелов в радиопокрытии

Динамическое назначение частотных каналов Обеспечивает оптимальное использование спектра Достигается наилучшая пропускная способность

Управление мощностью передатчиков ТД ,[object Object],[object Object]

Обнаружение и коррекция пробелов в радиопокрытии ,[object Object],[object Object],[object Object]

Подход компании УЦСБ к созданию защищенных беспроводных сетей

Подход компании УЦСБ к созданию защищенных беспроводных сетей Защита беспроводных сетей должна основываться на комплексном подходе, учитывающем обоснованный выбор защитных мер ,[object Object],[object Object],[object Object],[object Object],[object Object],Система защиты беспроводной сети № Функции Безопасности 1 Усиленная аутентификация и контроль доступа 2 Криптографическая защита передаваемых данных 3 Обнаружение и предотвращение вторжений в беспроводной сети 4 Централизованное и защищенное управление компонентами беспроводной сети 5 Обеспечение непрерывности функционирования беспроводной сети 6 Периодический контроль защищенности беспроводной сети

Типовые стадии проектов по защите информации в беспроводных сетях Мероприятия Создание защищенной беспроводной сети «с нуля» Создание системы защиты существующей сети Предпроектное обследование «Радиоразведка», картирование Анализ существующей беспроводной сети Формирование требований к сети и защите Разработка технического задания Разработка частного технического задания Проектирование, внедрение Разработка проектной документации, проведение пусконаладочных работ Приемосдаточные испытания Проведение испытаний, опытная эксплуатация, аттестация

Возможная архитектура защищенная беспроводная сети на базе оборудования компании Cisco Systems № Функции Безопасности Средства реализации 1 Усиленная аутентификация и контроль доступа - Cisco Secure Access Control S ystem - Встроенные функции точек доступа Cisco Aironet 2 Криптографическая защита передаваемых данных - S-Terra CSP VPN Gate - Встроенные функции точек доступа Cisco Aironet 3 Обнаружение и предотвращение вторжений в беспроводной сети - Cisco ASA 5500 c модулем АIP SSM - Cisco Wireless LAN Controller - Cisco Mobility Services Engine 4 Централизованное и защищенное управление компонентами беспроводной сети ,[object Object],[object Object],[object Object],[object Object],5 Обеспечение непрерывности функционирования беспроводной сети ,[object Object],[object Object],[object Object],6 Периодический контроль защищенности беспроводной сети Комплект бесплатных и коммерческих средств

ООО «УЦСБ» 620026, Екатеринбург, ул.Красноармейская, д.78Б, оф.902 Тел.: +7 (343) 379-98-34 Факс: +7 (343) 264-19-53 [email_address] www.USSC.ru

защита информации в беспроводных сетях на базе решений Cisco systems

защита информации в беспроводных сетях на базе решений Cisco systems

Recomendados

Más contenido relacionado

Was ist angesagt?

Was ist angesagt?(19)

Similar a защита информации в беспроводных сетях на базе решений Cisco systems

Similar a защита информации в беспроводных сетях на базе решений Cisco systems(20)

Más de Masha Rudnichenko

Más de Masha Rudnichenko(15)

защита информации в беспроводных сетях на базе решений Cisco systems