ГОСТ Р ИСО ТО 13569 —2007
D.3.2.3.2 Беспроводная покальная сеть в пределах организации
Компании, использующие РЕАР. могут обеспечивать использование ресурсов компании и доступ только
санкционированных пользователей к беспроводной локальной сети. Даннов решение проблемы все еще уязви мо
для атак отказа в обслуживании, но. если менеджмент и поддержка беспроводной сети в основном осуществ
ляется внутри здания или комплекса зданий, находящихся под контролем компании, го такое решение является
вполне целесообразным. Это предусматривает перемещение пользователей в границах организации — ситуа
ция. типичная для лиц, посещающих различные совещания в разных конференц-залах, или должностных лиц.
часто переезжающих между различными филиалами компании. Кроме того, такое решение ограничивает доступ к
сети. Интернет-соединениям и другим ресурсам компании только этим санкционированным пользователям.
Подробности безопасной реализации РЕАР в этой внутренней модели архитектуры слишком многочисленны,
чтобы обсуждать их подробно. Многие ресурсы предоставляются поставщиками и Интернетом.
D.3.2.3.3 Беспроводная покальная сеть за пределами организации
Альтернативой ограничения использования беспроводной сети санкционированными пользователями
является предоставление беспроводного соединения с Интернет-связью, являющегося внешним для сетей орга
низации. В этом случае пользователем беспроводного соединения может быть любой человек или лицо, абони
рующее услуги. Они не будут иметь немедленного доступа к ресурсам компании. Вместо этого пользователи,
которым нужен доступ к ресурсам компании, используют (см. 11.2.1) для безопасного соединения с сетью компа нии
виртуальную частную сеть. Данному решению присущи недостатки сетевого менеджмента, однако для пользо
вателей здесь могут быть преимущества. Финансовые учреждения обычно не желают, чтобы посторонние пользо
ватели использовали ресурсы беспроводной локальной сети, например, университет может пожелать сделать
беспроводную локальную сеть доступной для посетителей университетского городка. В качестве альтернативы
университету компания управления недвижимым имуществом может захотеть сделать беспроводную локальную
сеть доступной для всех арендаторов в строительном комплексе.
D.3.2.3.4 Дополнительная информация относительно беспроводной локальной сети
Во многом подобно тому, как широкополосное соединение дома делает конечную систему граничным уст
ройством между Интернетом, сетью и ресурсами компании, беспроводная локальная сеть также преобразует
конечные системы (подобные портативным компьютерам) в граничные устройства. Поэтому конечные системы,
использующие беспроводные соединения, должны представляться в качестве кандидатов для применения анти
вирусных программ, межсетевых экранов и программных средств обнаружения вторжения, локально работаю
щих на конечной системе.
Пользователи портативных компьютеров, соединенные с беспроводной локальной сетью, выдвигают до
полнительные требования. Независимо от того, является ли беспроводная локальная сеть компании внутренней
или внешней по отношению к сети организации, этим мобильным пользователям требуется доступ к ресурсам
компании через виртуальную частную сеть (IPSEC либо SSL) вследствие возрастающей популярности беспровод
ных «горячих точек». Эти «горячие точки» располагаются в аэропортах, парках, университетах, кафетериях, ресто
ранах. гостиницах и других местах, часто посещаемых лицами, совершающими деловые поездки. Часто путеше
ствующим руководителям, имеющим доступ к беспроводным сетям, повсеместно требуется связь с Интернетом.
Виртуальная частная сеть предоставляет мобильному пользователю доступ к ресурсам компании, где бы он ни
находился.
Основной проблемой обслуживания этих мобильных пользователей в «горячих точках» является доверие
обычным интернетовским IP-адресам. Многие компании используют диапазоны 10. и 168. IP-адресов для файло
вых услуг и услуг печати для коллективного употребления внутри компании. Эти немаршрутизированные адреса
часто используются повторно, так что домашняя сеть, сеть в кафетерии и сети во многих компаниях вместе могут
использовать один и тот же адрес (например 10.1.1.100). где каждая сеть имеет различные устройства и ресурсы в
этом адресе. Поскольку профили виртуальной частной сети часто определяют принятие решений о шифровании и
маршрутизации на основе адреса, адреса 10. и 168. могут вызывать неоправданное доверие портативного
компьютера, создавая новые потенциальные риски. Подобно виртуальной частной сети межсетевые экраны и
системы обнаружения вторжения также задействованы в принятии решения о подсоединении и доверии на
основе адресов. Поэтому, хотя для пользователя портативного компьютера уместно доверие к принтеру на рабо те
и даже дома, доверив к файловому серверу в кафетерии должно быть совершенно иным. Политики, программ ные
средства и другие меры противодействия в отношении этих проблем должны оцениваться и применяться на основе
общей политики компании.
D.3.3Дополнительная информация, связанная с телекоммуникациями
Проблемы, связанные с телекоммуникациями, существовали всегда. Продолжающееся слияние речи и
данных в одних и тех же сетях открывает новый ряд проблем для телекоммуникаций и мер противодействия.
Недавно разработки речевых межсетевых экранов, магистральных виртуальных частных сетей и мультимедийных
систем обнаружения вторжения, которые рассматривают проблемы слияния данных/речи. начали реализовы
ваться в виде продукции и серьезно рассматриваться крупными поставщиками. Эти разработки также реализу
ются компаниями и часто окупаются экономически в результате более качественного управления речевыми
телекоммуникациями в пределах компании.
58