Standard sigurnosti bežične lokalne mreže

Teme:

Standards

Maj   9. 2016.

Na vrh

Svrha

Ovaj standard utvrđuje minimalne zahtjeve za instalaciju i rad bežičnih lokalnih mreža (WLAN) za agencije države Iowa.

Na vrh

Pregled

Bežična tehnologija omogućava mobilnost računarske opreme i korisnika. Međutim, prednosti bežičnog umrežavanja dolaze s potencijalnim rizicima. Nepravilno konfigurirane bežične lokalne mreže (WLAN) mogu omogućiti neovlaštenim korisnicima pristup sistemima i informacijama agencije. Neovlašteni korisnici mogu trošiti mrežni propusni opseg, degradirati performanse mreže ili koristiti resurse agencije za pokretanje napada na druge mreže.

Na vrh

Opseg

Ovaj standard se primjenjuje na sve agencije učesnice kako je definirano u Poglavlju 8B.1(7) Zakona o Iowi. Agencije koje ne učestvuju se podstiču da slijede ovaj i druge poslovne standarde.

Na vrh

Definicije

Odabrano   uslovi   korišteno    the   Preduzeće   WLAN   Sigurnost   Standardno   su   definirano u nastavku:

  • Pristupna tačka (AP): Mrežni uređaj koji omogućava uređajima, kao što su laptopi, bežičnu komunikaciju i povezivanje s drugom mrežom, obično žičanom infrastrukturom organizacije, komunikacijskom mrežom Iowe (ICN) ili komercijalnim pružateljem internetskih usluga.

  • Osnovni identifikator skupa usluga (BSSID): MAC adresa(e) pristupne tačke.

  • Bežična mreža za goste : Bežična lokalna mreža koju je postavila državna agencija radi omogućavanja pristupa internetu ovlaštenim gostima. Bežične mreže za goste su izolirane izvan logičkih i fizičkih granica mreže agencije.

  • Javna bežična mreža : Bežična lokalna mreža koju je postavila državna agencija radi omogućavanja besplatnog pristupa internetu javnosti. Javne bežične mreže su izolirane izvan logičkih i fizičkih granica agencijske mreže.

  • Identifikator skupa usluga (SSID): Jedinstveni identifikator koji razlikuje jednu WLAN mrežu od druge. Sve pristupne tačke i svi uređaji koji pokušavaju da se povežu na određenu WLAN mrežu moraju koristiti isti SSID.

Na vrh

Preduzeće   WLAN standard

The   sljedeće   minimalno   standardi   mora   biti   upoznao   za   sve WLAN mreže:

  1. Politika . Agencije će uspostaviti sigurnosnu politiku WLAN-a.

  2. Registracija. Agencije su dužne obavijestiti glavnog službenika za sigurnost informacija OCIO-a prije implementacije bežične pristupne tačke. Obavještenje mora sadržavati sljedeće za svaku pristupnu tačku:

    1. Brend,
    2. Model,
    3. SSID i BSSID, i
    4. Fizička lokacija.

    Obavještenje mora sadržavati i naziv i kontakt agenciju. Neregistrovane pristupne tačke nisu dozvoljene i biće uklonjene iz upotrebe.

  3. Razdvajanje bežičnih i žičnih mreža. Bežične mrežne zone moraju biti odvojene od žičnih mrežnih zona zaštitnim zidom ili drugim uređajem za filtriranje paketa.
  4. Kritični uređaji. Serveri i povezani uređaji ključni za rad agencije ne smiju se hostirati iz bežičnih mrežnih zona.
  5. Fizička zaštita. Bežične pristupne tačke moraju biti fizički zaštićene kako bi se ograničio rizik od krađe, oštećenja, neovlaštenog pristupa ili resetovanja konfiguracije.
  6. Lozinke. Lozinke moraju ispunjavati zahtjeve Standarda sigurnosti autentifikacije preduzeća i ispunjavati sljedeće:
    1. Zadane administratorske lozinke koje se koriste za upravljanje pristupnom tačkom treba promijeniti.
    2. Administrativne lozinke moraju biti dugačke najmanje 15 znakova.
  7. Konfiguracija pristupne tačke. Pristupne tačke moraju, kao minimum, ispunjavati sljedeće zahtjeve:

  • Šifriranje. Pristupne tačke moraju koristiti WPA2-Enterprise ili jaču enkripciju. Postavke šifriranja trebaju biti postavljene za najjaču dostupnu enkripciju u proizvodu. NE SMIJE se koristiti Wired Equivalent Privacy (WEP).

  • Identifikator skupa usluga. SSID će biti promijenjen u odnosu na fabričku postavku.
  • Intervali signala. Okviri signala moraju biti postavljeni na maksimalnu dužinu intervala.
  • Kriptografski ključevi. Zadani kriptografski ključevi moraju se promijeniti prije implementacije.

  • Filtriranje adresa. Filtriranje MAC adresa (Media Access Control) treba biti omogućeno kad god je to moguće. AP treba prihvatati samo veze sa prepoznatih MAC adresa.

  • Jednostavni protokol za upravljanje mrežom verzije 3. Ako je potreban SNMP, koristit će se verzija 3 ili novija. Zadani SNMP community string mora se promijeniti u strong community string. Privilegije treba postaviti na "samo za čitanje" ako je to jedini potreban pristup. Nepotrebni portovi i protokoli za pristup trebaju biti onemogućeni.

  • Kanali. Kanali bi trebali biti postavljeni tako da se minimiziraju smetnje.

  • Domet . Nivo snage radiofrekvencije treba smanjiti na minimalni potrebni nivo i, gdje je to praktično, koristiti usmjerene antene za ograničavanje dometa pristupne tačke.

  1. Operativni zapisnici. Bežične pristupne tačke i kontroleri, gdje je to moguće, moraju biti podešeni da evidentiraju operativne događaje, uključujući: pokušaje prijave (i uspješne i neuspješne), greške i ponovna pokretanja. Zapisnike treba slati na centralni server za evidentiranje. Zapisnike je potrebno redovno pregledavati.

  2. Konfiguracija infrastrukture: Bežična pristupna tačka mora biti konfigurisana za infrastrukturni režim. Ad-Hoc režim koji omogućava peer-to-peer komunikaciju između uređaja nije dozvoljen.

  3. Detekcija upada. Bežični sistem za detekciju/sprečavanje upada koristit će se za otkrivanje pokušaja neovlaštenog pristupa ili neprimjerene upotrebe.

  4. Ažuriranja . Sve komponente moraju imati najnovije sigurnosne zakrpe, nadogradnje i ažuriranja firmvera.

  5. Procjena. Ured za sigurnost informacija države Iowa će procijeniti državne objekte u kompleksu Kapitola najmanje jednom kvartalno kako bi utvrdio da li su prisutne neovlaštene ili nepravilno konfigurirane bežične lokalne mreže i kako bi se omogućio pristup sistemima ili informacijama agencije. Agencija će ukloniti neovlaštene WLAN mreže.

  6. Odlaganje opreme . Svi osjetljivi podaci i informacije o konfiguraciji moraju se ukloniti s bežičnih komponenti prije odlaganja.

  7. Sigurnost klijenata se održava. Svi računari agencije koji se povezuju na bežične lokalne mreže (WLAN) moraju imati pravilno konfiguriran zaštitni zid baziran na hostu, ažurirani antivirusni softver i biti u skladu s važećim standardima preduzeća i agencije. Softverske zakrpe moraju se primjenjivati ​​prema rasporedu ažuriranja zakrpa agencije.

  8. Obuka o sigurnosti: Korisnici bežičnih uređaja proći će obuku o sigurnosti bežičnih uređaja, uključujući, ali ne ograničavajući se na dokumentaciju koja opisuje rizike bežičnog računarstva.

  9. Javna bežična mreža . Javne bežične lokalne mreže (WLAN) Agencije moraju:
  10. Biti izolovan izvan logičkih i fizičkih granica agencijske mreže. Na primjer, biti zaseban feed koji pruža ICN ili komercijalni ISP.
    1. Stavke 7, 10, 15 i 19 ovog standarda NE primjenjuju se na javne bežične mreže.

  11. Dvostruke veze : Računari agencije ne smiju se istovremeno povezivati ​​na žičanu mrežu agencije i bežičnu lokalnu mrežu (WLAN).

  12. Bežične mreže za goste : Korisnici bežičnih mreža za goste ne smiju se direktno povezivati ​​na interne resurse agencije.

  13. Skeniranje ranjivosti : Bežične lokalne mreže (WLAN) trebaju primati skeniranja ranjivosti najmanje jednom mjesečno.

Na vrh

Ažuriranja

Ovaj dokument će se preispitivati ​​najmanje svake dvije godine i ažurirati po potrebi.

Na vrh

Datum stupanja na snagu

Ovaj standard stupa na snagu 9. maja 2016. godine.

Na vrh

Provođenje

Ovo   standard   hoće   biti   nametnut   u skladu s tim   do   Ajova   Administrativno   Kod   11—25.11(8A) i   Ajova   Kod 8B.21(1)(f)(2).

Na vrh

Varijanca

Administrativni zakonik Iowe 11 - 25.11(2) i Zakonik Iowe 8B.21(5) predviđaju odstupanja/izuzeća od sigurnosnih standarda. Zahtjevi za odstupanje/izuzeće od bilo kojeg zahtjeva ovog standarda podnose se u pisanoj formi glavnom službeniku za sigurnost informacija.

Na vrh