Порты хостов, коммутаторов и беспроводные устройства |
02-04-2024 |
А если мобильные компьютеры сотрудников компании поддерживают беспроводную связь (а это относится ко всем современным ноутбукам и наладонникам), но при этом беспроводной сети в компании нет, то системные администраторы обязаны позаботиться о том, чтобы драйверы для клиентских беспроводных устройств этих компьютеров были удалены и работать они никак не могли.
Eсли пользователь собственноручно установит драйверы и включит устройство, то это безусловное нарушение корпоративной политики безопасности, которое должно наказываться как минимум изъятием мобильного компьютера и выговором. При наличии же беспроводной сети системные администраторы должны озаботиться не только стандартными (согласно 802.11i стандарту) методами их защиты, но и регулярной чисткой Windows-профилей, содержащих информацию о подключаемых беспроводных сетях, а также регулярными обновлениями драйверов беспроводных устройств во избежание атак. И аудиторы должны тщательно все эти вещи проверить и в плане политики безопасности и наличия всей документации, и в плане соблюдения вышеуказанных мер на практике.
В заключение стоит упомянуть порты корпоративных коммутаторов. Все неиспользуемые порты коммутаторов должны быть отключены напрочь. При этом не мешает поместить их на отдельную виртуальную локальную сеть (VLAN), не имеющую никаких маршрутов. Что же касается портов, к которым подключены рабочие станции пользователей, то они все должны быть настроены как порты доступа без возможности манипуляции для превращения их в стволовые. На коммутаторах Cisco простая команда switchport mode access на каждом из таких портов может спасти компанию от крупных неприятностей. Kроме того, необходимо защитить эти порты от несанкционированной инъекции STP-фреймов (сочетание функций portfast и portguard в случае с коммутаторами Cisco и т. д.). Впрочем, это уже тема отдельного разговора...
