Задача Заказчику необходимо организовать сеть Wi-Fi для доступа в Интернет на объекте, предназначен
жүктеу/скачать 0.92 Mb. Pdf көрінісі
|
| 2. Безопасность беспроводной сети
Беспроводная вычислительная сеть, построенная на оборудовании Extreme Networks, обеспечива- ется комплексом средств защиты, в число которых входят системы: • детектирования/предотвращения вторжений; • идентификации помех; • регулирования доступа пользователя — позволяет индивидуально, в зависимости от его учетной записи, вводить ограничения, разрешения, запреты, приоритеты, ограничения скорости передачи. Система детектирования/предотвращения вторжений осуществляет как внутриканальное, так и полно- диапазонное сканирование эфира и позволяет идентифицировать и при возможности блокировать такие угрозы, как неконтролируемые (rogue AP), неправильно сконфигурированные точки доступа, точки до- ступа ловушки (Evil Twin/honeypot), одноранговые (ad-hoc) сети, попытки MAC-подмен, атаки типа «бло- када сервиса» (Denial of Service), включая authentication/de-authentication flood, association/disassociation flood, EAPOL flood. При этом она обеспечивает одновременное сканирование и противодействие ата- кам, идентификацию источников помех (как активных в момент сканирования, так и замеченных в про- шлом), локализацию беспроводных клиентов в пределах зоны покрытия с точностью 3–5 м. Система регулирования доступа пользователей обеспечивает как 802.1x-, так и MAC-аутентифика- цию. По результатам аутентификации пользователю присваивается набор прав доступа, опираю- щийся на пакетную атрибутику уровней 2–4 модели OSI. Помимо разрешений и запретов, поль- зователь получает индивидуализированное ограничение скорости приема-передачи. В типичном случае для веб-серфинга, работы с e-mail и общения в социальных сетях достаточно 0,75–1 Мбит/с. Потоковое видео высокого разрешения требует около 3,5 Мбит/с. Такие ограничения, введенные при подключении к сети, обеспечивают, с одной стороны, достаточную полосу для решения бизнес- задач, а с другой — полностью исключают использование сети для крупномасштабных файловых передач (таких, например, как bittorrent). Индивидуальное определение политик доступа пользова- телей позволяет, ограничив полосы для гостей, оставить неурезанными полосы для сотрудников. Важным моментом обеспечения эффективности использования эфира является возможность раз- граничить права доступа внутри одного SSID. |