Чек-лист проверки безопасности корпоративного Wi-Fi

Следует регулярно проводить аудит безопасности корпоративной Wi-Fi сети. Ниже приведен чек-лист с рекомендациями и командами, которые помогут вам обеспечить защиту беспроводной сети.

1. Проверка используемого шифрования

• Убедитесь, что для Wi-Fi сети используется WPA2-AES (WPA3, если поддерживается) шифрование.
• Избегайте использования устаревших протоколов WPA или WEP.

Команды:

# Для проверки на устройствах Cisco
show wlan <ID сети>

Ожидаемое значение: WPA2-AES или WPA3

2. Смена стандартных паролей

• Проверьте, что все стандартные пароли на оборудовании были изменены.
• Используйте сложные пароли, сочетающие буквы, цифры и специальные символы.

Команды:

# Для входа в настройки роутера
ssh admin@<IP-адрес роутера>

После входа:

# Для смены пароля на оборудовании Cisco
configure terminal
enable secret <новый_пароль>

3. Обновление программного обеспечения

• Проверьте, что на всех точках доступа установлены последние обновления прошивки.
• Активируйте автоматические обновления, если это возможно.

Команды:

# Проверка версии прошивки на устройствах Cisco
show version

Ожидаемое значение: последняя доступная версия прошивки

4. Отключение WPS

• Отключите функцию WPS (Wi-Fi Protected Setup), так как она может быть уязвимой для атак.

Команды:

# Для отключения WPS на устройствах Cisco
configure terminal
no wps enable

5. Сегментация сети и гостевой доступ

• Настройте отдельные сети для гостевого доступа и корпоративных устройств.
• Используйте VLANы для разделения трафика.

Команды:

# Создание VLAN на оборудовании Cisco
configure terminal
vlan <номер_VLAN>
name <имя_VLAN>

# Назначение VLAN на интерфейс
interface <тип_интерфейса> <номер_интерфейса>
switchport mode access
switchport access vlan <номер_VLAN>

6. Ограничение мощности сигнала

• Настройте мощность сигнала точек доступа так, чтобы он не выходил за пределы нужной зоны.

Команды:

# Настройка мощности сигнала на устройствах Cisco
configure terminal
interface dot11Radio <номер>
power local <значение_мощности>

7. Фильтрация MAC-адресов

• Хотя фильтрация MAC-адресов не является надежным средством защиты, она может быть дополнительным барьером.

Команды:

# Добавление MAC-адреса в белый список на устройствах Cisco
configure terminal
mac-address-table static <MAC-адрес> vlan <номер_VLAN> interface <интерфейс>

8. Отключение неиспользуемых сервисов и функций

• Отключите любые неиспользуемые сервисы на точках доступа, такие как SNMP, Telnet, SSH, если они не нужны для управления сетью.

Команды:

# Отключение SNMP на устройствах Cisco
configure terminal
no snmp-server

# Отключение Telnet на устройствах Cisco
configure terminal
line vty 0 4
transport input ssh

# Отключение SSH (если не используется)
configure terminal
no ip ssh

9. Регулярное изменение паролей Wi-Fi

• Регулярно меняйте пароли Wi-Fi сетей, особенно после ухода сотрудников, имевших к ним доступ.

Команды:

# Изменение пароля Wi-Fi на устройствах Cisco
configure terminal
wlan <имя_сети>
security wpa wpa2 ciphers aes
security wpa wpa2 pre-shared-key <новый_пароль>

10. Мониторинг и аудит сети

• Регулярно проводите мониторинг сети на предмет необычной активности и аудит безопасности.

Команды:

# Просмотр подключенных устройств и их активности на устройствах Cisco
show dot11 associations

# Просмотр журналов безопасности
show logging

11. Использование средств обнаружения и предотвращения вторжений

• Включите системы обнаружения и предотвращения вторжений (IDS/IPS) для мониторинга и реагирования на подозрительные действия.

Команды:

# Включение IDS/IPS на устройствах Cisco (если доступно)
configure terminal
ip ips <имя_политики>

12. Физическая безопасность оборудования

• Убедитесь, что физический доступ к сетевому оборудованию ограничен для неподходящих лиц.

Выполнение этого чек-листа является важной частью обеспечения безопасности вашей корпоративной Wi-Fi сети. Помните, что безопасность – это не разовое действие, а постоянный процесс. Регулярное обновление, мониторинг и аудит сети помогут предотвратить несанкционированный доступ и сохранить целостность корпоративных данных.