1 (2013-01-21 12:58:50 отредактировано Анастасия Югова)

Тема: Использование Wi-Fi в корпоративной сети

Прошу Вас поделиться опытом использования Wi-Fi в корпоративной сети, информации много и она крайне противоречивая. С точки зрения удобства, все мечтают отказаться от проводов и стать более мобильными. НО с точки зрения безопасности, мне это идея кажется не очень хорошей.

Если кто-то использует – расскажите, хотя бы вкратце и общими словами, о подводных камнях, с которыми столкнулись во время реализации, и как в целом реализовали безопасность сети, насколько эта реализация удовлетворяет Вас, на чем акцентировать внимание.

Если кто-то хотел, но отказался от этой затеи – расскажите причины.

______________
Приписка.
Запускаем Wi-Fi для клиентов, тут все резрешили довольно быстро и просто:
Отдельная выделенная линия с доступом в Интернет, никак не связанная с корпоративной сетью.
Доступ хотим давать по временной паре логин/пароль(печатать чеком из терминала).
Никаких противоречий пока не возниколо. Думаю в ближайшее время запустим.

Сидорова(Югова) Анастасия
Ведущий специалист отдела безопасности
ОАО АКБ "Проинвестбанк"

2

Re: Использование Wi-Fi в корпоративной сети

Пока видел использование только в 2-х случаях. Интернет для клиентов и технологический доступ (например, доступ в интернет ноутбука, на котором установлен Скайп). В обоих случаях Wi-Fi не имеет доступ к корпоративной сети.

Музипов Фарит, CISA, CISM, CRISC
АО РОСЭКСИМБАНК
Председатель Правления НП "ПСИБ"

3

Re: Использование Wi-Fi в корпоративной сети

У нас организован Wi-Fi доступ в Интернет в каждом офисе Банка, с помощью  сертифицированных StoneGate 105 с Wi-fi модулями.

4

Re: Использование Wi-Fi в корпоративной сети

Использовать wi-fi как основной инструмент для предоставления доступа пользователям к ресурсам сети Банка не рекомендую ни с точки зрения безопасности, ни с точки зрения надежности.

1. Пароль доступа к сети wi-fi можно вытянуть с любого подключенного к ней устройства. А значит, найдутся такие умники - узнают пароль, расскажут другим и у вас в сети появятся нелегалы. И хорошо если нелегалам нужен будет только халявный инет smile.

2. Если многоэтажное или многокорпусное здание, точек доступа будет много. Поставить одну точку доступа на этаж тоже не получится. Сразу становится вопрос, как ими управлять? Как настраивать сетевое взаимодействие между ними? Кто будет в случае сбоя бежать и перезагружать зависшую точку доступа?

3. Так же необходимо считать сколько у вас на каждой точке будет клиентов. Канал же делится на всех, 10-клиентов еще куда не шло... если их будет 50-т, вас ждут проблемы. Так же, нужно сразу думать, о том, что если Ваш директор начнет расхаживать по офису с ноутбуком, то его ноутбук должен будет автоматически подключаться к точке wi-fi с наиболее лучшим сигналом.

4. Цена вопроса будет больше чем кажется в начале. Можете сразу отказаться от использования Dlink они не потянут (есть печальный опыт). Лучше сразу закупать Cisco, а это значительно дороже. Провода до точек тянуть придется почти до всех, иначе получите эффект домино. smile (тоже имеется печальный опыт)

Мы используем wi-fi только в переговорках и только для предоставления интернета гостям и доступа к сетевым проекторам. Подключился к сети, попадаешь в DMZ - а там только проекторы и интернет, больше ничего нет.

5

Re: Использование Wi-Fi в корпоративной сети

Есть ли у кого опыт работы с Wi-Fi от Avaya? У них интересная архитектура - контроллер, а дальше точки доступа, работающие через него.

------------------------------------
Николай Беляков
Начальник Службы ИБ
Банк "Кредит-Москва" (ПАО)

6

Re: Использование Wi-Fi в корпоративной сети

Относительно паролей доступа.
Мне видится только одно решение - сертификаты. Правда я только планирую копать эту тему...

------------------------------------
Николай Беляков
Начальник Службы ИБ
Банк "Кредит-Москва" (ПАО)

7 (2013-01-22 07:03:44 отредактировано eFess)

Re: Использование Wi-Fi в корпоративной сети

warehouse13 пишет:

Относительно паролей доступа.
Мне видится только одно решение - сертификаты. Правда я только планирую копать эту тему...

http://www.whatis.ru/hard/perif30.shtml

8

Re: Использование Wi-Fi в корпоративной сети

У нас сделано следующим образом:
1. сеть wifi никак не связана с внутренней сетью банка
2. заведено два SSID: для гостей и для сотрудников
3. для гостей вход по паролю с ограничением действия по времени
4. для сотрудников вход без пароля, но там открыты только 500, 4500 порты для VPN. При доступе с корпоративного лаптопа в сеть банка обязательно использование vpn с аутентификацией по сертификату, неизвлекаемый приватный ключ которого лежит на смарт-карте. Доступ к банковским приложениям сильно ограничен: к интре, почте и интернету можно получить доступ непосредственно с лаптопа, к остальным приложениям (опять же не все, и не для всех) только терминальный доступ. По сути, нет разницы человек пришел удаленно с корп. лаптопа снаружи или через "банковский" wifi.

9

Re: Использование Wi-Fi в корпоративной сети

Спасибо.

------------------------------------
Николай Беляков
Начальник Службы ИБ
Банк "Кредит-Москва" (ПАО)

10

Re: Использование Wi-Fi в корпоративной сети

Опыт использования беспроводных технологий у клиентов в Open Space:
1. Можно использовать только при архитектуре с тонким клиентом, т.к. максимальная скорость - 54Мбит/с вместо 100 или 1000.
2. Wi-Fi для клиентов через отдельный канал в инет. Через него подключаются и работники компании с выносными ноутбуками для экономии затрат на связь. Как правило, такие рабочие места работают в терминальном режиме.
3. Надежность такого канала связи очень низкая - достаточно включить глушилку и всё!
4. Защита канала для своих работников - доступ по сертификатам с использованием VPN с ГОСТ

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

11

Re: Использование Wi-Fi в корпоративной сети

warehouse13 пишет:

Есть ли у кого опыт работы с Wi-Fi от Avaya? У них интересная архитектура - контроллер, а дальше точки доступа, работающие через него.

Может поможет эта статейка: http://habrahabr.ru/post/166081/

12 (2013-08-29 14:55:11 отредактировано DOOleg)

Re: Использование Wi-Fi в корпоративной сети

В офисах у нас стоит оборудование Extricom, соответствует всем нормам и требованиям
Подробнее: http://www.mosprominform.com/catalogue/

13 (2013-10-15 15:26:40 отредактировано Анастасия Югова)

Re: Использование Wi-Fi в корпоративной сети

Спасибо за ответы и рекомендации, очень помогли в убеждении.
Итог:
Для клиентов Wi-Fi с использованием отдельного канала, без пароля и какой-либо защиты. Ловит только в операционном зале и у касс (для развлечения клиентов в минуты ожидания).

Для сотрудников Wi-Fi тоже организовали, и тоже с использованием отдельного от внутренней сети канала. Защита паролем, знают лишь те, кому позволено знать. Используется для проведения онлайн-обучения и просто общения с партнерами по скайту, чтобы не сильно забивать внутренний канал. И для подключения мобильных устройств частоперемещающихся по офисам сотрудников.

Благо отказались от навязчивой идеи "заменить все провода на эфир!" и всё же не пустили копроративную сеть по воздуху.

Сидорова(Югова) Анастасия
Ведущий специалист отдела безопасности
ОАО АКБ "Проинвестбанк"

14

Re: Использование Wi-Fi в корпоративной сети

А как же контроль действий сотрудников банка?

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

15

Re: Использование Wi-Fi в корпоративной сети

Долго обсуждали этот вопрос, пришли к тому, что это ответственность непосредственного начальника: следить за тем, что делают сотрудники, находясь на рабочем месте. Операционистам, использующим мобильные устройства на рабочем месте сделали предупреждение, и как бы могут наказать штрафом(пока ни разу не наказывали, но сидеть, уткнувшись в мобильники, перестали). С сотрудников бэк-офиса спрос меньше, они перед клиентом не сидят, поэтому убирать мобильники со столов их никто не заставляет и при наличии пароля от wi-fi могут спокойно воспользоваться сетью, но тут как бы доступ имеют только просвященные. Куда уж эти просвященные лазят и что делают - никак не мониторится, т.к. это либо собственники, либо члены правления, либо самые большие топы банка.
Если рассматривать возможность хищения информации, то у сотрудников, имеющим доступ к wi-fi, по распоряжениям и приказам открыты порты USB и почти свободный доступ в Интернет из локальной сети, поэтому хуже быть не может + оценив в принципе всю нашу систему безопасности, свободный выход в Интернет по отдельному каналу не особо увеличил риски.

Сидорова(Югова) Анастасия
Ведущий специалист отдела безопасности
ОАО АКБ "Проинвестбанк"

16

Re: Использование Wi-Fi в корпоративной сети

да уж.
До первого дела по УК 183 на начальника СИБ и СБ. Предправления отмажется на основании их должностных инструкций.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

17

Re: Использование Wi-Fi в корпоративной сети

Dmitry Leviev пишет:

да уж.
До первого дела по УК 183 на начальника СИБ и СБ. Предправления отмажется на основании их должностных инструкций.

Буду стараться успеть до этого момента навести порядок, вода камень точит. Нужно лишь время.

Сидорова(Югова) Анастасия
Ведущий специалист отдела безопасности
ОАО АКБ "Проинвестбанк"

18

Re: Использование Wi-Fi в корпоративной сети

Интересно много есть дел по УК 183.
Я пока нашёл только это http://rospravosudie.com/court-orexovo- … 106555298/

С уважением,
Ермаченков Алексей

19

Re: Использование Wi-Fi в корпоративной сети

Добрый день, коллеги.

Для реализации безопасной сети Wi-Fi требуется комплекс мер и финансовые вливания, однако это более чем возможно. Использование OTP для обеспечения двухфакторной аутентификации (программные, физические, смс), корпоративные стандарты шифрования, системы NAC и контроля зон Wi-Fi с выявлением посторонних сетей и устройств, и всё smile

Более того, часть этих мер можно отнести к PCI DSS

__________________________
ProtectPoint.ru
Информационная безопасность

20

Re: Использование Wi-Fi в корпоративной сети

Анастасия Югова пишет:

Долго обсуждали этот вопрос, пришли к тому, что это ответственность непосредственного начальника

С сотрудников бэк-офиса спрос меньше, они перед клиентом не сидят, поэтому убирать мобильники со столов их никто не заставляет и при наличии пароля от wi-fi могут спокойно воспользоваться сетью, но тут как бы доступ имеют только просвященные. Куда уж эти просвященные лазят и что делают - никак не мониторится, т.к. это либо собственники, либо члены правления, либо самые большие топы банка.

Это немного странно, по крайней мере в случает отсутствия инструментов мониторинга. Уследить за всеми действиями может система, не человек. Да и в принципе, самое слабое звено - всегда человек. Человеческий фактор никуда не деть. Ваш топ предоставит доступ тому, кому симпатизирует, и кто будет виноват в последствии в утечке? Решения по менеджменту мобильных устройств решают вопрос несанкционированного использования, а DLP (имхо, в банках-то обязательно быть должно) прикроет передачу данных

__________________________
ProtectPoint.ru
Информационная безопасность

21

Re: Использование Wi-Fi в корпоративной сети

Sergey K пишет:
Анастасия Югова пишет:

Долго обсуждали этот вопрос, пришли к тому, что это ответственность непосредственного начальника

С сотрудников бэк-офиса спрос меньше, они перед клиентом не сидят, поэтому убирать мобильники со столов их никто не заставляет и при наличии пароля от wi-fi могут спокойно воспользоваться сетью, но тут как бы доступ имеют только просвященные. Куда уж эти просвященные лазят и что делают - никак не мониторится, т.к. это либо собственники, либо члены правления, либо самые большие топы банка.

Это немного странно, по крайней мере в случает отсутствия инструментов мониторинга. Уследить за всеми действиями может система, не человек. Да и в принципе, самое слабое звено - всегда человек. Человеческий фактор никуда не деть. Ваш топ предоставит доступ тому, кому симпатизирует, и кто будет виноват в последствии в утечке? Решения по менеджменту мобильных устройств решают вопрос несанкционированного использования, а DLP (имхо, в банках-то обязательно быть должно) прикроет передачу данных

__________________________
ProtectPoint.ru
Информационная безопасность


Если не трудно, то подскажите, пожалуйста, на основании каких обязательных нормативных документов (ФЗ, указаний или положений ЦБ) в банках обязательно должно быть DLP?

С уважением,
Ермаченков Алексей

22

Re: Использование Wi-Fi в корпоративной сети

Не трудно, но не подскажу, т.к. их нет, и я не писал, что они есть smile "Обязательно должно быть" из соображений информационной безопасности. Я как-то наивно полагаю, что банки должны быть заинтересованы в ней

__________________________
ProtectPoint.ru
Информационная безопасность

23

Re: Использование Wi-Fi в корпоративной сети

to Sergey K
Просьба выражать сведения более цивилизованным языком:
если пишете должно быть - то это требование нормативное и просьба указывать откуда берется такое требование, например указав пункт нормативного документа или цепочку рассуждений
если пишите что является лучшей практикой - то обосновываете почему она является лучшей
Если это ваше мнение - то явно указываете или своего опыта или мое мнение
P.S. сфера ИБ, особенно в Банках сильно зарегулирована и требует аккуратности обращения, а также взаимоуважения ко времени как спикеров, так и читателей сообщений на Клубе.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС