Полная версия

Главная arrow Информатика arrow Инновационные технологии в коммерции и бизнесе

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ   >>

11.2. Международные требования к защите информационных сетей

Для обеспечения коммутаций и защиты в беспроводных сетях используются специально предназначенные для этого технологии и протоколы.

11.2.1. Технология аутентификации пользователей беспроводной сети

Аутентификация — это подтверждение подлинности участника взаимодействия в информационной сети по предъявленному им идентификатору. Идентификатор — это имя, под которым зарегистрирован пользователь в проверяющей его информационной системе. Проводимая проверка может быть односторонней или взаимной. Она позволяет защитить информационную систему от проникновения в нее злоумышленников с целью хищения важной информации. Проверка осуществляется программно с использованием различных устройств, например сервера аутентификации. На нем хранятся сведения о каждом допущенном к работе в информационной системе сотруднике и их пароли, а также проводится аутентификация. Сопоставление пароля, введенного пользователем, с паролем, находящимся в информационной системе, позволяет аутентифицировать се пользователя. Стандарт сетевой аутентификации IEEE 802.1х содержит протоколы ЕАР и RADIUS.

Протокол ЕАР базируется на протоколе РРР, который изначально использовался для подключения удаленных клиентов но коммутируемым линиям к интернет-провайдерам. Тогда поддерживалась только передача имени пользователя или пароля в незашифрованном виде, что не соответствует современным требованиям сетевой безопасности. В последнее время для протокола были разработаны новые механизмы аутентификации под общим названием ЕАР (Extensible Authentication Protocol). При подключении пользователя к серверу удаленного доступа и использовании механизма ЕАР протокола РРР для аутентификации сам сервер доступа не должен знать или поддерживать конкретные механизмы или алгоритмы аутентификации. Его задача — лишь передать пакеты ЕАР-сообщений RADIUS-серверу, на котором фактически и производится аутентификация. В этом случае сервер доступа (в беспроводной сети — точка доступа) исполняет роль посредника между клиентом и RADIUS-сервером.

Стандарт 802.1х описывает процедуру передачи ЕАР-сообщений сервером доступа. В нем определяются три основных элемента:

  • — пользователь, нуждающийся в сетевой аутентификации;
  • — сервер аутентификации — обычно это RADIUS, LDAP или Kerberos-сервер, фактически выполняющий аутентификацию;
  • — аутентификатор — сетевое устройство (точка доступа или Ethernet-коммутатор), находящееся между пользователем и сервером аутентификации и предоставляющее доступ в сеть. Сетевые устройства (аутентификаторы) могут быть достаточно простыми, поскольку для реализации в них функций 802.1х требуются минимальные аппаратные затраты. Весь интеллект концентрируется в RADIUS-сервере. Протокол передачи ЕАР-сообщений в стандарте 802.1х применяется как для проводных, так и беспроводных сетей стандартов серии IEEE 802.11.

11.2.2. Протокол качества связи QoS

В современных информационных сетях увеличивается доля интерактивного трафика, крайне чувствительного к параметрам среды транспортировки. Поэтому задача обеспечения качества обслуживания становится все более актуальной. QoS (Quality of Service — качество обслуживания) — это способность информационной сети обеспечить необходимый сервис заданному трафику в определенных технологических рамках, или вероятность соответствия заданному соглашению о трафике. А в ряде случаев этим термином обозначается вероятность прохождения пакета данных между двумя точками сети.

К основным параметрам обеспечения качества связи в беспроводных сетях относятся:

  • • полоса пропускания (Bandwidth), которая описывает пропускную способность среды передачи информации и определяет ширину канала; она измеряется в битах в секунду, килобитах в секунду и мегабитах в секунду;
  • • задержка при передаче пакета (Delay);
  • • колебание (вариация) задержки при передаче пакетов (Jitter);
  • • потери пакетов (Packet Loss), определяющиеся как количество пакетов, отбрасываемых сетью во время передачи.

11.2.3. Соответствие стандартам PCI DSS

Инфраструктура корпоративных информационных сетей должна строиться и обслуживаться в соответствии с требования стандартов PC] DSS. К основным положениям этого стандарта относятся следующие.

  • • Базовая сетевая безопасность PCI DSS 1.2 требует установки межсетевого экрана (stateful firewall) между проводной и беспроводной сетями и наличия на нем правил для ограничения доступа между беспроводными сетями и заданными серверами (службами). Пароли по умолчанию должны быть заменены на всех устройствах беспроводной сети. Протоколируемые данные WLAN должны посылаться к PCI-совместимому серверу протоколирования. (Все перечисленные требования реализуются на контроллерах Bluesocket.)
  • • Защита данных шифрованием. Для передаваемых по корпоративной сети данных должны применяться устойчивые к взлому алгоритмы шифрования. PCI DSS требует поддержки протокола WPA2 с использованием AES-алгоритма со 128-битным ключом. (Поддерживается на точках доступа Blucsockеt.)
  • • Регулярное сканирование. Корпоративная информационная сеть должна регулярно сканироваться с целью идентификации беспроводных устройств, поиска неавторизованных или нежелательных точек доступа. Развертывание общекорпоративной беспроводной системы предотвращения вторжений позволяет автоматизировать выполнение этих требований. (Встроенные в BSAP радио-сканнеры и средства управления беспроводной сетью компании Bluesocket полностью решают и автоматизируют эту задачу.)
  • • Обеспечение безопасного гостевого доступа. Каждое предприятие должно создавать правила, которые определяют правила использования сети сотрудниками, гостями и контрагентами. Большинство предприятий выбирают перехватывающий (captive) гостевой портал для применения правил гостевого доступа. (Решение компании Bluesocket поддерживает работу с перехватывающим порталом, в том числе и с SSL-защищенным, и позволяет определить правила применения WLAN для всех пользователей.)
 
<<   СОДЕРЖАНИЕ   >>