Специалисты отдела ИТ-внедрений и информационной
безопасности закончили проект по обеспечению безопасности сети Wi-Fi центрального офиса общества с
ограниченной ответственностью «Профит» (торговая марка RTD Bottlers). Внедрена
модель аутентификации WPA2-Enterprise, которая
ориентирована на повышение безопасности и гибкость администрирования в условиях
компании с инфраструктурой на доменных политиках. «Гостевой» Wi-Fi вынесен в демилитаризованную зону VLAN с тем,
чтобы посетители офиса могли уютно пользоваться интернетом через каналы
компании, но не иметь доступа к внутренним ресурсам информационной системы
компании.
В сети Wi-Fi компании использовалась
модель аутентификации WPA2-PSK (Personal). Суть модели
заключается в том, что для подключения к сети на устройстве необходимо ввести
пароль (Pre-Shared Key), который прописывается и на точке
доступа. В домашних условиях (или малом офисе), где одна точка доступа и
небольшое количество устройств, такая модель не вызывает вопросов (особенно,
если принять дополнительные меры по защите).
Но если таких точек доступа несколько, а подключаемых
устройств два десятка и более, то защита и администрирование сети становится
задачей тяжелой и трудоемкой. Например, при компрометации (разглашении или
взломе) пароля доступа к сети администратор должен установить новый пароль на
каждой точке доступа и каждом подключаемом устройстве вручную. А вот взлом
пароля WPA2-PSK – задача достаточно
простая. Любой школьник может скачать в интернете программы, которые позволяют
перехватить пакеты авторизации в сети Wi-Fi, а
затем, методом грубого перебора, подобрать пароль к ним.
Исходя из всего вышеизложенного, перед специалистами группы
компаний «Эффективные решения» была поставлена задача: обеспечить защиту корпоративной сети Wi-Fi. Проанализировав
информационную систему ООО «Профит» нами было выявлено следующее:
- в компании используется Active Directory;
- установленные точки доступа поддерживают WPA2-Enterprise;
- в офисе предусмотрена «гостевая» сеть Wi-Fi;
- построение сети Wi-Fi на «тонких» точках доступа не обосновано в связи с необходимости закупки точек и контроллера.
Таким образом, была внедрена модель аутентификации WPA2-Enterprise, а «гостевой» Wi-Fi вынесен в демилитаризованную зону VLAN. Технология WPA2-Enterprise позволяет производить
аутентификацию пользователей, подключающихся к корпоративной беспроводной сети,
используя данные контроллера домена. Преимущества в том, что каждый
пользователь знает лишь свой пароль, а все пароли пользователей подчиняются
доменной политике безопасности. Такой подход облегчает администрирование и
повышает безопасность сети.
Комментариев нет:
Отправить комментарий