Защита беспроводных контроллеров LAN (WLAN) - Часть 7

Часть 6

Соединение всех

После проверки другого аспекта обеспечения WLC это может быть суммировано:

·         Важно предотвратить устройства кроме расположенных с отступом станций управления для доступа к WLC, не только отключая неиспользуемые протоколы, но также и путем ограничения доступа на уровне 4/уровень 3 с ACL ЦПУ. Договорное обслуживание компьютеров лучше доверить специалистам.

·         Ограничение скорости должно быть включено (это по умолчанию).

·         При управлении доступом через управление, которое более чем X команд недостаточно для безопасных установок, поскольку пользователи могут все еще протоколы управления доступом, говорящие непосредственно с управлением IP-адресами, использование ЦПУ и ресурсы памяти.

Методы безопасности

Вот некоторые методы безопасности:

·         Создайте доступ отбрасывания ACL ЦПУ от всех VLAN динамического интерфейса или подсетей. Однако позвольте трафик DHCP порту сервера (67), таким образом, клиенты могут получить согласованный адрес DHCP, если прокси DHCP включен (это по умолчанию). Если динамический интерфейс имеет открытый IP - адрес, рекомендуется иметь правило списка прав доступа (ACL), запрещающее весь трафик от неизвестных источников к адресу динамического интерфейса.

·         Установите все правила списка прав доступа (ACL), столь же входящие или с любым направлением, и отметьте их столь же прикладной как и (соединенная проводом и беспроводная опция).

Как проверить:

(Cisco Controller) >show acl cpu 
 
CPU Acl Name................................ acl1
Wireless Traffic............................ Enabled
Wired Traffic............................... Enabled

·         Включите ограничение уровня управления (оно включено по умолчанию).

Как проверить:

(Cisco Controller) >show advanced rate 
 
Control Path Rate Limiting.......................  Enabled

·         Всегда используйте зашифрованные протоколы управления (HTTPS, SSH). Это - конфигурация по умолчанию для интерактивного управления. Для SNMP вы, возможно, должны были бы включить V3 позволить, шифровал/подтверждал подлинность трафик SNMP. Не забудьте повторно загружать контроллер при внесении изменений в конфигурацию SNMP.

Это - то, как проверить:

(Cisco Controller) >show network summary 
 

RF-Network Name............................. 4400
Web Mode.................................... Disable
Secure Web Mode............................. Enable
Secure Web Mode Cipher-Option High.......... Enable
Secure Web Mode Cipher-Option SSLv2......... Enable
Secure Shell (ssh).......................... Enable
Telnet...................................... Disable
...

·         Включите высокое шифрование для HTTPS (это отключено по умолчанию). IT Аудит поможет оценить эффективность, надёжность, безопасность и уровень автоматизации ваших бизнес процессов.

·         Это - хорошая идея установить проверенный серверный сертификат для доступа HTTPS к вашему контроллеру (подписанный вашим доверяемым CA), заменяя сам подписанный сертификат, установленный по умолчанию.

·         Сеанс набора и консольный таймаут к 5 минутам.

·         (Cisco Controller) >show serial 
·          
·          
·         Serial Port Login Timeout (minutes)......... 5
·         Baud Rate................................... 9600
·         Character Size.............................. 8
·         Flow Control:............................... Disable
·         Stop Bits................................... 1
·         Parity Type:................................ none 
·              
·          
·         (Cisco Controller) >show sessions 
·          
·         CLI Login Timeout (minutes)............ 5
Maximum Number of CLI Sessions......... 5

 

Заказать звонок

Пожалуйста, оставьте свои контакты