Nous pouvons affirmer que la pire politique actuelle consiste simplement à interdire en utilisant le Wi-Fi en compagnie. Le plus souvent, les employés commencent à apporter leurs propres routeurs Wi-Fi bon marché (au niveau des solutions « pour la maison ») simplement parce que l'utilisation du Wi-Fi est pratique. Et pour une entreprise, un tel appareil installé par un utilisateur inexpérimenté constitue une énorme faille de sécurité. Il existe des cas connus où grandes entreprises, qui interdisait depuis longtemps tous les équipements Wi-Fi, a découvert après une enquête spéciale que ses bureaux utilisaient déjà des milliers d'appareils non autorisés. C'est pourquoi l'art. Ô il utilise
Wifi , au minimum, pour contrôler l’environnement radio et identifier les appareils malveillants.On entend souvent la question : comment s'assurer que le signal du réseau WiFi ne dépasse pas les bâtiments de l'entreprise ? Certains « experts » suggèrent d’utiliser des antennes directionnelles à des points situés à proximité des murs extérieurs à l’intérieur d’un bâtiment ou d’utiliser des points d’appât avec des antennes situées à l’extérieur du bâtiment pour attraper les pirates. Malheureusement, de telles techniques n'offrent pas un niveau de protection suffisant, car en réalité il est tout simplement impossible de prédire comment les signaux se propageront à l'intérieur d'un bâtiment. Par exemple, la réflexion normale du signal provenant d'armoires métalliques superposées peut entraîner des interférences constructives, amplifiant le signal et s'étendant facilement à l'extérieur du bâtiment. Un pirate informatique peut également utiliser des antennes directionnelles à gain élevé, ce qui leur permet de capter même des signaux très signaux faiblesà l'extérieur du bâtiment, ainsi que la transmission d'informations au réseau, etc. Tout cela suggère que la seule approche correcte avec les solutions WiFi sans fil, ainsi qu'avec les solutions filaires, est de construire une défense du réseau en profondeur. On sait depuis longtemps que la protection de toute infrastructure en utilisant uniquement des méthodes de création d'un périmètre protégé est inefficace, car le plus souvent les attaques les plus dangereuses sont causées par des facteurs au sein du réseau, par exemple :
- propres employés
(tombant, pour ainsi dire, sous l'influence des méthodes d'ingénierie sociale ; les statistiques indiquent qu'environ 90 % des attaques réussies ont en réalité été menées avec la participation directe ou indirecte des employés des entreprises victimes elles-mêmes) ;
- mis en œuvre malware(virus, chevaux de Troie, vers, programmes introduits dans le réseau via des sites Internet infectés) ;
- communication et mise en œuvre de fête en fête à travers cette chaîne;
- les invités de l'entreprise qui ont reçu un accès au réseau, etc.
Construire un système de sécurité réseau Norme Wi-Fi doit prendre en compte tous ces facteurs afin de se rapprocher le plus possible d'un niveau de sécurité similaire pour les segments filaires et sans fil du réseau.
Les principaux composants pour construire un système de sécurité de réseau sans fil :
- Contrôle d'accès.
- Authentification d'utilisateur.
- Cryptage du trafic.
- Système de prévention des intrusions sur le réseau sans fil.
- Un système de détection des appareils étrangers et la possibilité de les supprimer activement.
- Surveillance des interférences radio et des attaques DoS.
- Surveillance des vulnérabilités du réseau sans fil et possibilité d'auditer les vulnérabilités.
- Fonctions pour augmenter le niveau de sécurité de l'infrastructure du réseau sans fil, par exemple, authentification des appareils (X.509, etc.), protection des données de gestion -
Les principales tâches lors de la construction d'une défense en profondeur :
1. Assurer le contrôle d'accès
savoir qui est sur le réseau (authentification), quelles ressources l'utilisateur peut utiliser, appliquer des politiques de contrôle d'accès au trafic de ces utilisateurs.
2. Intégrité et fiabilité
garantir que le réseau lui-même est disponible en tant que ressource critique pour l'entreprise et que les menaces émergentes de divers types peuvent être identifiées et que des solutions de contournement peuvent être trouvées et appliquées.
3. Garantir le secret
s'assurer que le trafic sur le réseau n'est pas accessible aux utilisateurs non autorisés.
Aruba, l'un des principaux développeurs de solutions de réseaux WiFi au monde, a proposé six stratégies aux architectes de projets qui décrivent des approches pour améliorer le niveau global de sécurité des réseaux sans fil et construire une défense en profondeur :
Stratégie 1 : Authentification et autorisation de tous les utilisateurs du réseau WiFi.
Stratégie 2 : configurer
Stratégie 3 : utilisez des pare-feu au niveau des ports pour fournir une couche de sécurité plus fine.
Stratégie 4 : Utiliser le cryptage sur tout le réseau pour garantir la confidentialité.
Stratégie 5 : Identifier les menaces à l'intégrité du réseau et appliquer des techniques pour résoudre ces problèmes.
Stratégie 6 : Intégrez la sécurité des points finaux dans votre politique de sécurité globale.
Examinons de plus près ces stratégies :
Stratégie 1/ Authentification et autorisation de tous les utilisateurs du réseau Wi-Fi
Le point de départ de toute infrastructure WiFi de défense en profondeur est l’authentification. L'authentification WiFi doit être appliquée au premier point d'entrée de tout utilisateur ou appareil dans le réseau au niveau du port, avant d'obtenir une adresse IP. Après une authentification positive, il faut compléter une autorisation, qui permet de comprendre qui est cet utilisateur authentifié, ce qu'il peut faire sur le réseau, où il peut accéder. La norme suggère d'utiliser une solution flexible - 802.1x, qui prend en charge un grand nombre de protocoles d'authentification, des certificats numériques aux méthodes de connexion/mot de passe. Également pris en charge 802.1x gros montant plates-formes - des PDA et smartphones bon marché aux ordinateurs de bureau et les serveurs. Le module 802.1x (demandeur) est intégré à dernières versions Windows et MacOS, ainsi que de nombreux systèmes d'exploitation pour smartphones, mais pas encore à 100 %. Vous pouvez trouver des programmes compatibles 802.1x (client 802.1x) pour presque tous les systèmes d'exploitation courants.
En savoir plus sur
IEEE802.1x
802.1x est un système standardisé IEEE et adapté par le groupe de travail 802.11i pour former le contrôle d'accès c basée sur la création et le contrôle des ports.
Quelques composants :
- le processus d'association 802.11 crée un port virtuel pour chacun Client Wi-Fi sur la Tochka Accès Wi-Fi;
- Wi-Fi AP bloque toutes les trames de données qui ne correspondent pas au trafic 802.1x ;
- Les trames 802.1x transportent (tunnel) des paquets d'authentification EAP, qui sont redirigés par le point d'accès WiFi (ou contrôleur de réseau Wi-Fi en ) vers le serveur AAA ;
- si l'authentification basée sur EAP réussit, le serveur AAA envoie un message de réussite à l'AP ( Succès du PAE ), le point d'accès autorise alors le trafic de données du client WLAN à passer par le port virtuel ;
- avant même d'ouvrir un port virtuel, le cryptage du canal de communication entre le client WLAN et l'AP est établi pour garantir qu'aucun autre client WLAN ne puisse accéder à ce port virtuel installé pendant de ce client, qui est authentifié.
Recommandations pour l'utilisation du protocole
PAE
Utilisez les méthodes d'authentification 802.1x EAP couche 2, qui incluent la création de tunnels cryptés. Par exemple ceci :
-
EAP-PEAP,
- EAP-TLS,
-EAP-TTLS .
N'utilisez pas de protocoles comme PAE , qui ne prennent pas en charge le tunneling, par exemple EAP-MD5 ou LEAP.
Recommandations pour l'utilisation des supplicants 802.1x
Vous devez être prudent lorsque vous utilisez des supplicants 802.1x. De nombreux candidats proposent des options :
- pour vérifier les certificats du serveur ;
- de configurer la confiance uniquement sur certains serveurs d'authentification ;
- de configurer la confiance uniquement dans les certificats de certaines autorités de certification autorisées (CA/Certificate Authorities) );
- pour permettre à l'utilisateur final d'ajouter de nouveaux serveurs ou CA de confiance.
Pour atteindre le plus haut niveau de sécurité, utilisez toujours les restrictions les plus restrictives. Le certificat du serveur doit toujours être vérifié côté client. Le client ne doit faire confiance qu’à un ensemble limité d’autorités de certification. Pour plus de sécurité, il est préférable qu'il s'agisse d'une autorité de certification interne au réseau d'entreprise sous protection maximale plutôt qu'une autorité de certification publique externe. L'utilisateur final n'a pas besoin d'autoriser (ou de refuser) l'ajout de nouveaux serveurs d'authentification ou autorités de certification approuvés.
Construire une défense en profondeur pour un réseau WiFi ne peut réussir que si l'autorisation de l'utilisateur est mise en œuvre après une authentification réussie. Il est extrêmement important que les privilèges d’un utilisateur sur le réseau soient basés non seulement sur son niveau d’identification personnelle, mais également sur des facteurs plus intelligents tels que :
- identification de l'appareil de l'utilisateur ;
- le niveau de sécurité actuel de cet appareil ;
- localisation de l'utilisateur ;
- Heures du jour;
- méthode d'authentification utilisée.
Par exemple, un utilisateur qui consulte sa boîte aux lettres professionnelle depuis son ordinateur personnel un week-end ne peut accéder à sa messagerie que si : ordinateur de famille a et utilise version appropriée pare-feu et antivirus avec dernière mise à jour Base de données. En cas de non-respect, l'utilisateur pourra être redirigé vers une page de téléchargement d'un tel logiciel afin d'accéder au réseau conformément à la politique de sécurité. Ou encore, l'utilisation de la localisation d'un utilisateur peut appliquer des règles telles que limiter son accès aux applications contenant des informations sensibles provenant d'emplacements dangereux, comme un café d'entreprise.
En pratique, c'est très pratique lorsque toutes les fonctionnalités nécessaires d'authentification, d'identification, d'autorisation, Accès invité et ainsi de suite. collectés dans un seul appareil avec interface conviviale gestion. Au moment de la rédaction de cet article, Cisco Systems dispose de la solution la plus avancée : Cisco ISE / Identity Services Engine.
Stratégie 2/ Utiliser des VLAN pour séparer le trafic et introduire une segmentation primaire et grossière afin de garantir la sécurité d'un réseau standard Wi-Fi
VLAN (Virtual Local Réseau local) sont par nature des segments de trafic non routables. La plupart des bâtiments modernes nécessitent un tracé assez important. IP -trafic pour connecter des segments de réseau individuels construits sur VLAN -Oh. Sur les campus, le routage doit être encore plus poussé. En conséquence, avec un grand nombre de VLAN, des problèmes de gestion d'un tel système peuvent souvent être observés. Et les complications ne peuvent qu'augmenter lors de l'ajout d'un réseau WiFi ou WLAN ( Réseau local sans fil ) dans l'infrastructure générale du réseau. Pour simplifier les choses, vous pouvez utiliser des méthodes pour prendre en charge la mobilité entre différents SSID et également essayer de conserver le schéma d'adressage IP actuel. Il est important que la solution WLAN choisie gère de nombreux VLAN différents autour d'un seul SSID. Cela permet de mettre en œuvre diverses politiques de sécurité au sein de l'infrastructure en fonction des résultats de l'autorisation de l'utilisateur sans surcharger l'utilisateur de règles complexes. Par exemple, pour accéder aux services de la zone X, vous devez utiliser le SSID-X et la méthode d'authentification X, et pour accéder aux services de la zone Y, vous devez rechercher le SSID-Y et l'authentification Y. Toutes les politiques peuvent être mises en œuvre de manière transparente et simple. pour l'utilisateur. Actuellement, il s'agit déjà d'une fonctionnalité assez courante dans les solutions centralisées modernes proposées par des fournisseurs de haut niveau.
Stratégies sûres VLAN-s :
La clé du succès utilisation sûre
VLAN -s est leur objectif dynamique. L'affectation dynamique est une exigence essentielle pour la création de réseaux gérés. Une affectation statique entraînera des problèmes de support à long terme et entravera les capacités de mobilité des utilisateurs finaux. En introduisant une procédure d'authentification à n'importe quel point d'accès au réseau, une infrastructure informatique sécurisée peut prendre en charge changements rapides et déplacer des employés individuellement ou dans des départements entiers à un coût minime.
Il existe de nombreuses façons d'attribuer dynamiquement des VLAN, par exemple :
- basé sur les informations d'authentification 802.1x,
- sur la base des informations de l'authentification web,
- conformément au SSID sélectionné par l'utilisateur dans le réseau sans fil,
- basé sur l'identification d'un autre attribut, tel que l'adresse MAC de l'appareil, le type d'appareil, l'état de sécurité actuel de l'appareil, l'emplacement de l'utilisateur, etc.
L’introduction de l’attribution dynamique de VLAN nécessite un mécanisme pour fournir des informations d’autorisation lors de l’authentification. Dans certains cas, cela peut être pris en charge dans mode manuel ou en utilisant caractéristiques supplémentaires, comme des listes d'utilisateurs contenant des informations sur leurs capacités. Si plusieurs SSID sont utilisés sur le réseau, l'utilisateur demande l'autorisation d'accéder réseau spécifique(ou segment de réseau), puis s'authentifie. Lors de l'utilisation de l'authentification 802.1x, l'utilisateur n'a pas la possibilité de demander l'accès à un VLAN spécifique, ce qui signifie que ces informations (sur le VLAN vers lequel l'utilisateur doit être dirigé) doivent être stockées sur le serveur qui effectue l'authentification utilisateur 802.1x ( par exemple, une sorte de RAYON -serveur avec les fonctionnalités appropriées). De plus, comme nous l'avons dit précédemment, les informations VLAN peuvent être modifiées lors de la connexion à un réseau standard WiFi en fonction d'autres informations, telles que la localisation de l'utilisateur, etc.
Ils sont notamment construits selon ces principes.
Stratégie 3/ Utilisez des pare-feu au niveau des ports pour créer une couche plus fine de sécurité du réseau Wi-Fi
L'utilisation de VLAN peut suffire à classer grossièrement les utilisateurs du réseau. Mais pour véritablement protéger des ressources précieuses, les politiques multilatérales gérées par l’infrastructure réseau doivent être appliquées à chaque utilisateur. De nombreux ingénieurs réseau sont arrivés à la même conclusion et ont également commencé à utiliser des pare-feu périmétriques au sein du réseau, afin d'appliquer des politiques de sécurité au-delà du seul point d'accès à Internet. Mais l'utilisation de pare-feu au sein d'un réseau pour appliquer des politiques de sécurité pose de nombreux problèmes, par exemple :
1. Les paquets contenant des informations d’authentification ne transitent pas. Quand pare-feu situés au plus profond du réseau doivent prendre une décision d'accès, le problème se pose que la décision doit être prise sur des informations extrêmement peu fiables (principalement basées sur IP). -adresses d'où provient la requête) ou vous devrez saisir un autre point d'arrêt afin de vous authentifier sur ce pare-feu. Il existe de nombreuses solutions propriétaires (savoir-faire du fournisseur) pour contourner ces problèmes, mais l'approche typique consiste à utiliser des VPN avec authentification et cryptage. C’est loin d’être le moyen le plus simple, le plus flexible et le plus pratique.
2. Il n'y a toujours pas assez de pare-feu sur le réseau, car... Nous avons souvent de gros volumes de trafic circulant d’un point à la périphérie du réseau à un autre et faire passer tout cela via les écrans à l’intérieur coûte très cher. Le contrôle doit être lié au point d’entrée du réseau, c’est extrêmement important. Des technologies telles que 802.1x (rappelez-vous la stratégie 1) et de puissants pare-feu à haute densité de ports sont désormais disponibles, ce qui rend l'objectif des politiques de sécurité au niveau des ports rentable.
Problèmes de mise en œuvre de fonctions de contrôle d'accès à granularité fine
La mise en œuvre d’un contrôle d’accès précis présente deux défis principaux :
1. Contrôle des processus :
Comment définir et créer des politiques de sécurité puis comment les associer à l'utilisateur authentifié ?
2. Économie :
La différence de coût d'un port sur un commutateur de réseau de données LAN filaire local haut de gamme et sur un pare-feu conçu comme un périphérique distinct peut atteindre un ordre de grandeur ou plus (10 à 20 fois).
Bien qu'il existe déjà des fabricants de commutateurs LAN qui produisent des commutateurs peu coûteux prenant en charge 802.1x sur les ports, par exemple Cisco, HP, Juniper, Huawei.
Stratégies pour appliquer un contrôle d’accès précis
Toute politique de sécurité doit commencer par une définition de politique. Même si la technologie résout de nombreux problèmes, la complexité de la définition des politiques n’a jamais changé et doit être abordée en premier. Si la politique de sécurité pour la partie interne du réseau ne peut être définie et convenue, il n’y a aucune raison d’aller de l’avant. La politique de sécurité doit être basée sur :
- sur les rôles et les ressources,
- déterminer qui a des droits d'accès et à quelles ressources,
- comment un utilisateur peut-il accéder aux ressources (lire, écrire, y mettre quelque chose, en tirer quelque chose, etc.)
- l'heure de la journée, quand et à quelles ressources l'utilisateur est autorisé à accéder,
- localisation de l'utilisateur.
Une bonne approche de travail consiste à configurer la politique de sécurité au niveau du port à l'aide du réseau d'accès sans fil. Parce que La sécurité des réseaux sans fil repose sur l'identification des utilisateurs, et les utilisateurs ne sont plus associés à des ports physiques. Les solutions modernes pour les réseaux sans fil intègrent la fonctionnalité d'exécution de politiques de sécurité directement dans un réseau standard WiFi. Dans le même temps, les entreprises négligent très souvent de construire un système de sécurité à part entière sur des commutateurs filaires. Réseaux LAN. À quelle fréquence utilisez-vous le 802.1x sur les ports du switch ?
Cela nous permet de dire que l'utilisation de la technologie Wi-Fi comme principal accès sûr, pratique et fiable est plus logique et plus pratique que l'accès filaire.
Stratégie 4/ Utilisez le cryptage à l'échelle du réseau pour garantir la confidentialité du Wi-Fi
Intégrité des données transmises via réseaux d'entreprise, devient un problème sérieux. Étant donné que le réseau lui-même transporte des données privées, il existe un besoin très sérieux de protéger ces données contre toute interception et divulgation accidentelles ou intentionnelles. Il s'agit également d'un problème évident pour les réseaux WiFi : presque tous les ingénieurs ou gestionnaires de réseaux qui décident de déployer des réseaux sans fil Solutions Wi-Fi, préférez utiliser cryptage fort. Dans certains cas, il s’agit d’exigences réglementaires, comme aux États-Unis. Le cryptage du trafic peut être appliqué à n’importe quel niveau du modèle OSI/ISO. Pour les solutions polyvalentes, il est logique d'introduire le cryptage à des niveaux inférieurs pour tout couvrir. applications possibles sur le réseau. Plus le cryptage est bas, plus le trafic sera crypté et moins il est probable que des problèmes d'interception, d'écoute clandestine et de discrédit des informations se poseront. Même si ici nous devons aborder la question avec sagesse, car avec des options de cryptage très faibles, les données sont effectivement transférées vers formulaire ouvert de l'application au lien le plus proche sur lequel le cryptage est effectué et ici la probabilité de discrédit augmente. Une approche possible est également associée au chiffrement au niveau de l'application, le trafic sera alors chiffré tout au long du chemin de communication entre le client et le serveur d'applications. Mais cela signifie que le client et le serveur doivent prendre en charge le chiffrement, ce qui peut s'avérer une tâche très difficile et coûteuse.
Difficultés à introduire des mécanismes de confidentialité dans le réseau
Lorsqu’on analyse la formation des mécanismes de secret des réseaux du point de vue d’une défense en profondeur, une idée courante consiste à introduire le cryptage dans l’ensemble du réseau WiFi. La norme IEEE 802.11i est très bonne aide lors du développement de la confidentialité d’un réseau Wi-Fi. Dans le même temps, pour les segments filaires, les alternatives ne sont pas aussi transparentes. Malheureusement, le 802.11i n'est pas applicable à un réseau filaire.
Stratégies pour introduire des mécanismes de confidentialité dans un réseau
Pour les réseaux sans fil, introduire le secret dans la transmission des informations est une tâche assez simple. IEEE 802.11i c'est une norme pour sécuriser les réseaux WiFi. Il décrit exactement comment garantir la confidentialité et l'intégrité des données sur un réseau d'accès Wi-Fi à l'aide d'algorithmes spéciaux de cryptage du trafic et de méthodes d'authentification basées sur 802.1x (voir Stratégie1). Lorsque vous êtes confronté à la tâche d'assurer la sécurité et le cryptage sur un réseau sans fil, vous devez commencer par des solutions basées sur la norme 802.11i et hautement interopérables avec d'autres éléments sans fil.
Les alternatives pour un réseau local filaire incluent généralement des solutions propriétaires pour le cryptage des canaux au deuxième niveau et, le plus souvent, pas plus.
Stratégie 5/ Identifier les menaces à l'intégrité du réseau Wi-Fi (Intégrité) et appliquer des méthodes pour résoudre ces problèmes
Il existe trois principaux problèmes de sécurité :
- contrôle d'accès,
- assurer le secret (cryptage),
- garantir l'intégrité.
C'est généralement cette dernière qui suscite le moins d'intérêt, car L'identification des dangers sur un réseau peut être très difficile. Certains dangers peuvent être facilement identifiés et traités, tandis que d’autres sont très difficiles à détecter et à contrer. Les services informatiques de nombreuses entreprises se concentrent sur une approche « construire un pare-feu » pour atténuer les menaces, mais les menaces peuvent provenir de n'importe où : vers et virus, invités de l'entreprise ayant un accès sans fil, employés négligents ou employés ayant des intentions malveillantes au sein de l'entreprise.
Cela commence généralement par l’utilisation d’un système IDS/détection d’intrusion et par l’identification des menaces grâce à celui-ci. ID Il s'agit d'un outil très précieux dans l'arsenal des analystes de la sécurité des réseaux, mais de nombreuses entreprises ont constaté que l'IDS n'est souvent pas très utile pour identifier directement la menace et contrer la menace immédiate. Souvent, un IDS fonctionne davantage comme un analyseur de protocole : il constitue pour l'analyste un outil de diagnostic et d'identification des problèmes plutôt qu'une première ligne de défense contre les attaques contre l'intégrité du réseau. Offre des fournisseurs de sécurité grand choix des produits de sécurité allant de l'IPS ou de l'IDS (Intrusion Detection System) aux pare-feu de couche application et aux outils très spécifiques développés pour lutter contre des types spécifiques de menaces, tels que les vers de réseau. Des composants encore plus banals, tels que les antivirus, sont migrés vers Périphériques réseau, essayant d'attraper les virus à la volée pendant que le trafic est transmis sur le réseau.
Problèmes d'assurance de l'intégrité du réseau ( Intégrité)
Le plus grand défi dans la gestion de la sécurité des réseaux consiste à déterminer le juste équilibre entre risque et coût. Il est assez difficile de déterminer le retour sur investissement des produits de sécurité ( Retour sur investissement ). Évidemment, tout le monde espère être protégé contre une panne complète du réseau, mais il est très difficile d'ajouter des outils d'intégrité au réseau pour obtenir une bonne mesure de la fréquence à laquelle le réseau devient indisponible ou se dégrade en raison de problèmes de sécurité. Le défi le plus courant lors du déploiement de produits d’intégrité réseau (tels qu’IPS) est la nature hautement distribuée de la plupart des réseaux. Si, en raison de la conception du réseau, il n'est pas possible de voir le trafic, alors il n'y a aucun moyen de détecter les dangers et les comportements anormaux (par exemple, dans un réseau commuté, le trafic n'est pas visible sur tous les ports du commutateur et des actions spéciales sont nécessaires pour le contourner - par exemple, une configuration de mise en miroir de type SPAN, etc.). Lors de l'analyse des domaines de déploiement des outils d'intégrité, des problèmes surviennent parfois lors de l'évaluation du danger du risque lui-même. Une intégration réussie de ces outils nécessite une compréhension des dangers impliqués et de ce qui doit être fait pour les identifier. Bien que le risque en général ne soit pas clair quant à la manière de le mesurer, vous pouvez simplement créer une liste de dangers, une stratégie initiale pour résoudre les problèmes, etc. Cela permettra de commencer à déterminer la bonne stratégie pour garantir l'intégrité du réseau.
Stratégies pour garantir l'intégrité du réseau ( Intégrité)
Les stratégies les plus efficaces identifieront les domaines à risque le plus élevé et se concentreront sur eux en premier. Nous sommes à mi-chemin dans la bonne direction. La seconde moitié se concentre sur la résolution de problèmes tels que la lutte contre les chevaux de Troie, les virus, les logiciels malveillants, etc. Ces menaces peuvent non seulement provoquer une dégradation et des performances du réseau, mais également donner accès à des informations sensibles ou provoquer un déni complet de service. Le risque d'infection est très élevé et le risque pour le réseau est également élevé en cas d'infection. Par conséquent, il est déjà courant pour les entreprises d’avoir des stratégies pour identifier et contrer les virus. Ceux qui n'ont pas encore ajouté de modules de détection de logiciels malveillants ou Spyware V programmes antivirus il faut le faire le plus tôt possible, car le risque est trop grand.
La plupart des pare-feu ont des capacités IPS limitées, telles que la protection contre les attaques DoS/Denial of Service et DDoS. Bien qu'une configuration supplémentaire soit nécessaire pour mettre en œuvre une telle fonctionnalité, ces dispositifs peuvent augmenter le niveau de protection du réseau contre les attaques d'intégrité sans frais supplémentaires et avec peu d'augmentation des coûts opérationnels. Bien que les réseaux distribués constituent une approche de conception typique, il peut être utile d'envisager une stratégie pour Ô Une plus grande centralisation, lorsqu'il existe un besoin conscient de surveiller l'intégrité du réseau et d'identifier les menaces pertinentes. Par exemple, envoyer tout le trafic vers le centre de données principal et utiliser un petit nombre de commutateurs et de routeurs au centre permettra à la fois d'assurer une surveillance du réseau à moindre coût et, lorsque cela est possible, de déployer des systèmes de sécurité de type IPS.
Stratégie 6/ Intégrez la sécurité des points de terminaison Wi-Fi à votre politique de sécurité globale
Les appareils utilisateur standard Wi-Fi vont ici des ordinateurs portables d'entreprise, entièrement contrôlés par le service informatique, à divers propres appareils infecté par tout. Un utilisateur authentifié avec succès doit recevoir différents privilèges en fonction du système (appareil, système d'exploitation, état de sécurité, etc.) utilisé pour l'accès. Les équipes informatiques sont généralement conscientes de ce problème de sécurité des points finaux et disposent d'outils tels qu'un antivirus logiciel, pare-feu personnels sur les appareils des utilisateurs, mises à jour du système de gestion pour les nouvelles versions logicielles ( gestion des correctifs ). L'étape suivante est la vérification : application des politiques concernant la sécurité du périphérique final en modifiant les conditions d'accès au réseau en fonction de l'état de sécurité détecté. système final. Une idée simple utilisée ici consiste à déterminer l’état de sécurité du périphérique final ( posture ) et utilisez ces informations pour le contrôle d'accès.
Difficultés à appliquer les politiques de sécurité sur les appareils finaux
Il existe les problèmes les plus difficiles suivants liés à l'exécution de politiques de sécurité basées sur l'état de sécurité des appareils finaux ( posture ):
- le principal problème est le grand nombre de systèmes utilisés dans les réseaux d'entreprise. En conséquence, télécharger et exécuter un logiciel spécial sur chaque système pour effectuer une analyse de sécurité est un exercice aux résultats ambigus, dans lequel il faut espérer des résultats mitigés.
- Un autre problème est la granularité de l'analyse. Par exemple, si l'analyse du système final montre que le pare-feu personnel requis est chargé sur le système, mais que la base de données de signatures est obsolète, le système répond-il ou non aux exigences de la politique de sécurité ? Parallèlement, la procédure de détermination du niveau de sécurité ( posture ) peut fonctionner de différentes manières et prendre en compte, par exemple, qui est l'utilisateur et quelles ressources il peut utiliser. La conformité de l'état de sécurité avec la politique peut être difficile à déterminer sans prendre en compte d'autres facteurs, tels que certaines logiques métier des processus internes de l'entreprise.
Stratégies pour appliquer les politiques de sécurité sur les points de terminaison WiFi
Pour utiliser les informations sur l'état de sécurité du point de terminaison dans les stratégies de sécurité avec état générales, chaque définition de stratégie doit inclure un niveau de conformité de l'état de sécurité du point de terminaison. Il est recommandé de réduire la portée de l'analyse de la sécurité du système final aux définitions de zones, en gardant le nombre de zones aussi petit que possible : trois ou quatre zones devraient suffire pour la plupart des entreprises. La deuxième bonne règle est que si un utilisateur tente d'accéder à un réseau mais que l'état de sécurité de son système ne correspond pas à la politique, le simple blocage de cet utilisateur n'est pas toujours le cas. la meilleure issue. Au lieu de cela, l'utilisateur doit recevoir une connexion et doit être redirigé vers la zone de quarantaine du réseau, où il peut télécharger les logiciels nécessaires (antivirus, pare-feu, agent de sécurité, etc.) ou mettre à jour les bases de données pour accéder niveau admissible sécurité système personnel. Cet utilisateur peut alors obtenir accès totalà ses ressources d'entreprise.
Plus d'information sur l'utilisation sécuritaire de divers appareils mobiles sur le réseau Wi-Fi et une approche spécifique pour créer solution adaptée situé .
De plus amples informations sur les attaques contre l'infrastructure réseau en général et les réseaux Wi-Fi en particulier sont disponibles.
Rejoignez notre groupe sur
La sécurité Wi-Fi sur Android est une question très importante. Le fait est que le système de protection de ces appareils est plus faible que celui des ordinateurs dotés de système opérateur Les fenêtres. D’ailleurs, c’est depuis les appareils Android que l’on se connecte le plus souvent aux réseaux publics.
Sécurité sans fil dans les lieux publics
La communication Wi-Fi est de plus en plus répandue chaque jour. En particulier, de plus en plus de cafés, restaurants et autres établissements publics installent des hotspots pour attirer les clients. Le problème avec de tels points d'accès est qu'en les utilisant, vous vous retrouvez dans une zone à haut risque.
Lorsque vous vous connectez à un routeur public dans un café ou un autre établissement, vous devez toujours vous rappeler que vous êtes membre d'un groupe public auquel tout le monde peut se connecter. Autrement dit, la probabilité qu’il y ait un intrus parmi les visiteurs du café est très élevée.
Pourquoi les attaquants choisissent-ils les lieux publics ? Tout est très simple. Premièrement, ces connexions donnent accès à Internet, et peu de clients manqueront l'occasion d'utiliser ressource gratuite. Deuxièmement, ils se connectent au même point d’accès que vous. Grâce à cela, vous appartenez en fait à un groupe général. Dans de telles conditions, il est beaucoup plus facile d’intercepter les paquets de données. Cela signifie que sécurité Wi-Fi V réseaux publicsà un niveau bas.
Des paquets contenant des données sur votre navigateur, vos mots de passe, etc. (en fonction des sites que vous visitez) sont constamment transmis de votre appareil au point d'accès et inversement. Les pirates informatiques, à leur tour, utilisent des programmes spéciaux capables d’intercepter ces paquets de données et de stocker les informations sur l’ordinateur.
À tout moment, un pirate informatique peut consulter vos informations et les utiliser à ses propres fins. Par exemple, découvrez le mot de passe de votre email, comptes personnels sur différents sites et même des clés système paiements électroniques.
Certaines précautions doivent donc être prises.
Précautions lors de l'utilisation d'un réseau public
Afin de protéger le Wi-Fi sur Android, il existe quelques règles simples :
- Installez un pare-feu - une sorte d'antivirus qui offre un haut niveau de protection des informations personnelles.
- N'utilisez pas de programmes pour accès publique et partage de données – Serveur ftp, Partage HTTP et ainsi de suite.
- Évitez de visiter des sites tels que groupes sociaux, banques Internet, systèmes de paiement électronique, courrier, etc.
- N’effectuez aucune transaction ni transfert d’argent sur les réseaux publics.
En plus des antivirus, il existe de nombreux programmes qui vous permettent de travailler avec des réseaux. Ils vous aideront à connaître la fiabilité du point d'accès et à vérifier les paramètres de sécurité. Grâce à de telles applications, vous pouvez vérifier si la fonction de cryptage des données (WPA\WPA2) est activée sur le routeur.
L'un des programmes permettant de protéger les données personnelles contre les intrus dans les points d'accès publics est Hotspot Shield. Il crée un canal crypté entre l'utilisateur et le point d'accès. Toutes les données sont soumises à un traitement cryptographique tout au long du chemin vers le routeur et retour.
Un problème majeur pour tous les sans-fil réseaux locaux(et, d'ailleurs, tous les réseaux locaux câblés) est la sécurité. La sécurité est ici tout aussi importante que pour n’importe quel internaute. La sécurité est une question complexe et nécessite une attention constante. Un préjudice énorme peut être causé à l'utilisateur du fait qu'il utilise des points chauds aléatoires (hot-spots) ou des points ouverts Accès WI-FIà la maison ou au bureau et n'utilise pas de cryptage ou de VPN (Virtuel Réseau privé- virtuel Réseau privé). Ceci est dangereux car l'utilisateur saisit ses données personnelles ou professionnelles, et le réseau n'est pas protégé des intrusions extérieures.
WEP
Au départ, il était difficile d'assurer une sécurité adéquate pour les réseaux locaux sans fil.
Les pirates se sont facilement connectés à presque tous les réseaux WiFi en piratant les premières versions de systèmes de sécurité tels que Wired Equivalent Privacy (WEP). Ces événements ont laissé des traces et pendant longtemps certaines entreprises ont hésité à mettre en œuvre ou ne l’ont pas mis en œuvre du tout. réseau sans fil, craignant que les données transférées entre Wi-Fi sans fil appareils et Points d'accès Wi-Fi l’accès peut être intercepté et décrypté. Ainsi, ce modèle de sécurité ralentissait l’intégration des réseaux sans fil dans les entreprises et rendait nerveux les utilisateurs des réseaux WiFi à la maison. Puis l'Institut IEEE a créé groupe de travail 802.11i, qui a permis de créer un modèle de sécurité complet pour fournir un cryptage et une authentification AES 128 bits afin de protéger les données. La Wi-Fi Alliance a introduit sa propre version intermédiaire de cette spécification de sécurité 802.11i : Wi-Fi Protected Access (WPA). Le module WPA combine plusieurs technologies pour résoudre les vulnérabilités du système 802.11 WEP. Ainsi, WPA fournit une authentification fiable des utilisateurs à l'aide de la norme 802.1x (authentification mutuelle et encapsulation des données transmises entre les appareils clients sans fil, les points d'accès et le serveur) et du protocole d'authentification extensible (EAP).
Le principe de fonctionnement des systèmes de sécurité est schématisé sur la figure 1.
En outre, WPA est équipé d'un module temporaire pour chiffrer le moteur WEP via un chiffrement à clé de 128 bits et utilise le protocole d'intégrité de clé temporelle (TKIP). Et une vérification des messages (MIC) empêche la modification ou le formatage des paquets de données. Cette combinaison de technologies protège la confidentialité et l'intégrité de la transmission des données et assure la sécurité en contrôlant l'accès afin que seuls les utilisateurs autorisés aient accès au réseau.
WPA
L'amélioration supplémentaire de la sécurité WPA et du contrôle d'accès est la création d'une nouvelle clé principale unique pour l'interaction entre chaque utilisateur. équipement sans fil et points d'accès et fournir des sessions d'authentification. Et aussi, en créant un générateur de clé aléatoire et en train de générer une clé pour chaque package.
L'IEEE a ratifié la norme 802.11i en juin 2004, élargissant considérablement de nombreuses capacités grâce à la technologie WPA. La Wi-Fi Alliance a renforcé son module de sécurité dans le programme WPA2. Ainsi, le niveau de sécurité de la transmission Données Wi-Fi La norme 802.11 a atteint le niveau requis pour la mise en œuvre solutions sans fil et les technologies dans les entreprises. L'un des changements importants entre 802.11i (WPA2) et WPA est l'utilisation de la norme AES (Advanced Encryption Standard) 128 bits. WPA2 AES utilise le mode anti-CBC-MAC (un mode de fonctionnement d'un bloc de chiffrement qui permet d'utiliser une seule clé pour le cryptage et l'authentification) pour assurer la confidentialité, l'authentification, l'intégrité et la protection contre la relecture des données. La norme 802.11i propose également une mise en cache des clés et une pré-authentification pour organiser les utilisateurs entre les points d'accès.
WPA2
Avec la norme 802.11i, toute la chaîne des modules de sécurité (connexion, échange d'identifiants, authentification et cryptage des données) devient plus sécurisée et protection efficace contre les attaques non dirigées et ciblées. Le système WPA2 permet à l'administrateur Réseaux Wi-Fi Passez de la sécurité aux opérations et à la gestion des appareils.
La norme 802.11r est une modification de la norme 802.11i. Cette norme a été ratifiée en juillet 2008. La technologie de la norme transfère plus rapidement et de manière plus fiable les hiérarchies de clés basées sur la technologie Handoff lorsque l'utilisateur se déplace entre les points d'accès. La norme 802.11r est entièrement compatible avec les normes WiFi 802.11a/b/g/n.
Il existe également la norme 802.11w, qui vise à améliorer le mécanisme de sécurité basé sur la norme 802.11i. Cette norme est conçue pour protéger les paquets de contrôle.
Les normes 802.11i et 802.11w sont des mécanismes de sécurité pour les réseaux WiFi 802.11n.
Cryptage de fichiers et de dossiers sous Windows 7
La fonction de cryptage vous permet de crypter des fichiers et des dossiers qui seront par la suite impossibles à lire sur un autre appareil sans clé spéciale. Cette fonctionnalité est présente dans les versions de Windows 7 telles que Professionnel, Entreprise ou Intégrale. Ce qui suit couvrira les moyens d'activer le cryptage des fichiers et des dossiers.
Activation du cryptage des fichiers :
Démarrer -> Ordinateur (sélectionner le fichier à crypter) -> bouton droit de la souris sur le fichier -> Propriétés -> Avancé (onglet Général) -> Attributs supplémentaires -> Cochez la case Chiffrer le contenu pour protéger les données -> Ok -> Appliquer - > Ok (Sélectionnez Appliquer au fichier uniquement) ->
Activation du cryptage des dossiers :
Démarrer -> Ordinateur (sélectionner le dossier à crypter) -> bouton droit de la souris sur le dossier -> Propriétés -> Avancé (onglet Général) -> Attributs supplémentaires -> Cochez la case Chiffrer le contenu pour protéger les données -> Ok -> Appliquer - > Ok (sélectionnez Appliquer uniquement au fichier) -> Fermez la boîte de dialogue Propriétés (cliquez sur OK ou Fermer).
Dans les deux cas, une invite apparaîtra dans la zone de notification pour faire copie de sauvegarde la clé des fichiers ou dossiers cryptés. Dans la boîte de dialogue, vous pouvez choisir où enregistrer une copie de la clé (recommandé média amovible). Le fichier ou le dossier changera de couleur si le cryptage réussit.
Le cryptage est extrêmement utile si vous partagez votre ordinateur de travail avec plusieurs personnes.
Champ d'application
Dans la plupart des cas, les réseaux sans fil (utilisant des points d'accès et des routeurs) sont construits à des fins commerciales afin d'attirer les profits des clients et des locataires. Les employés de Get WiFi ont de l'expérience dans la préparation et la mise en œuvre des projets suivants pour mettre en œuvre une infrastructure réseau basée sur des solutions sans fil :