VPN naudojimas įmonės belaidžio tinklo apsaugai



Šiame straipsnyje aptarsiu gana sudėtingą, bet saugų universiteto „WLAN“ dizainą, kuris galėtų būti įdiegtas įmonės aplinkoje.

Vienas iš svarbiausių problemų, susijusių su šiuo metu veikiančių belaidžių tinklų veikimu, yra duomenų saugumas Tradicinis „802.11 WLAN“ saugumas apima atvirų arba bendrai naudojamų raktų autentifikavimą ir statinius laidinio ekvivalento privatumo (WEP) raktus. Kiekvienas iš šių kontrolės ir privatumo elementų gali būti pažeistas. WEP veikia duomenų ryšio lygmenyje ir reikalauja, kad visos šalys turėtų tą patį slaptą raktą. WEP 40 ir 128 bitų variantai gali būti lengvai sulaužomi su lengvai prieinamais įrankiais. 128 bitų statiniai WEP raktai gali būti sugadinti kuo mažiau 15 minučių dideliame eismo WLAN tinkle, nes yra RC4 šifravimo algoritmo trūkumas. Naudojant FMS atakų metodą, teoriškai galite gauti WEP raktą nuo 100,000 iki 1,000,000 paketų, užšifruotų naudojant tą patį raktą.

Kai kurie tinklai gali gauti atvirą ar bendrąjį raktų autentifikavimą ir statiškai apibrėžtus WEP šifravimo raktus, tačiau tai nėra gera mintis pasikliauti vien tokiu saugumo dydžiu įmonės tinklo aplinkoje, kur prizas gali būti verta pastangų, kad būtų užpuolikas. Tokiu atveju jums reikės tam tikro išplėstinio saugumo.

Yra keletas naujų šifravimo patobulinimų, padedančių įveikti WEP pažeidžiamumą, kaip apibrėžta IEEE 802.11i standarte. RC4 pagrindu veikiančio WEP programinės įrangos patobulinimai, žinomi kaip TKIP arba Temporal Key Integrity Protocol ir AES, kurie būtų laikomi stipresne alternatyva RC4. „Wi-Fi Protected Access“ arba „WPA TKIP“ įmonių versijos papildomai apima PPK (paketų kodavimą) ir MIC (pranešimo vientisumo patikrinimas). WPA TKIP taip pat išplečia inicijavimo vektorių iš 24 bitų į 48 bitus ir reikalauja 802.1X 802.11. WPA naudojimas naudojant EAP centralizuotam autentifikavimui ir dinaminiam raktų paskirstymui yra daug stipresnė alternatyva tradiciniam 802.11 saugumo standartui.

Vis dėlto, kaip ir daugelis kitų, norėčiau perkelti IPSec ant mano aiškaus teksto 802.11 srauto. „IPSec“ užtikrina duomenų perdavimo konfidencialumą, vientisumą ir autentiškumą neužtikrintuose tinkluose, šifruodamas duomenis DES, 3DES arba AES. Įdėjus belaidžio tinklo prieigos tašką į atskirą LAN, kur vienintelis išėjimo taškas yra apsaugotas eismo filtrais, leidžia tik sukurti IPSec tunelį prie konkretaus kompiuterio adreso, todėl bevielis tinklas tampa nenaudingas, nebent turite VPN autentifikavimo duomenis. Sukūrus patikimą IPSec ryšį, visas srautas iš galutinio įrenginio į patikimą tinklo dalį bus visiškai apsaugotas. Jums reikia tik sukietinti prieigos taško valdymą, kad jo nebūtų galima sugadinti.

Taip pat galite paleisti DHCP ir (arba) DNS paslaugas, kad būtų lengviau valdyti, bet jei norite tai padaryti, gera idėja filtruoti naudojant MAC adresų sąrašą ir išjungti bet kokį SSID transliavimą, kad tinklo belaidis potinklis būtų šiek tiek apsaugotas nuo galimų DoS išpuolių.

Dabar akivaizdu, kad vis tiek galite susirasti MAC adresų sąrašą ir ne transliuojamą SSID su atsitiktinėmis MAC ir MAC klonavimo programomis, taip pat didžiausią saugumo grėsmę, kuri vis dar yra iki šiol. prie belaidžio ryšio. Kai kuriais atvejais tai gali būti pakankamai didelė rizika, kad patikrintumėte išplėstines autentifikavimo paslaugas, kad patektumėte į patį belaidį tinklą.

Vėlgi, pagrindinis šio straipsnio tikslas yra padaryti belaidį ryšį lengvai prieinamą ir suteikti galutiniam vartotojui patogumą nekeliant pavojaus jūsų kritiniams vidiniams ištekliams ir keliant pavojų jūsų įmonių turtui. Izoliavus neužtikrintą belaidį tinklą iš patikimo laidinio tinklo, reikalaujantį autentifikavimo, autorizacijos, apskaitos ir užšifruoto VPN tunelio, mes tai padarėme.

Pažvelkite į aukščiau pateiktą piešinį. Šiame dizaine naudoju daugialypės sąsajos užkardą ir daugialypės sąsajos VPN koncentratorių, kad tikrai būtų užtikrintas tinklas su skirtingais pasitikėjimo lygiais kiekvienoje zonoje. Šiame scenarijuje mes turime mažiausią patikimą išorinę sąsają, tada šiek tiek patikimesnę belaidę DMZ, tada šiek tiek patikimesnę VPN DMZ, o tada pačią patikimiausią vidinę sąsają. Kiekviena iš šių sąsajų gali būti kitokiame fiziniame jungiklyje arba tiesiog nepakeistame VLAN savo vidiniame kampuso junginyje.

Kaip matote iš piešinio, belaidis tinklas yra belaidžio DMZ segmento viduje. Vienintelis būdas patekti į vidinį patikimą tinklą arba atgal į išorę (internetas) yra per belaidę DMZ sąsają užkardoje. Vienintelės išeinančios taisyklės leidžia DMZ subnetui pasiekti VPN koncentratorius už sąsajos adreso, kuris yra VPN DMZ per ESP ir ISAKMP (IPSec). Vienintelės VPN DMZ taisyklės yra ESP ir ISAKMP iš belaidžio DMZ subneto iki VPN koncentratoriaus išorinės sąsajos adreso. Tai leidžia IPSec VPN tunelį pastatyti iš VPN kliento belaidžio priimančiojoje prie vidinės VPN koncentratoriaus sąsajos, kuri yra vidaus patikimame tinkle. Kai tunelis yra pareikalautas, vartotojo kredencialus patvirtina vidinis AAA serveris, paslaugos yra autorizuotos remiantis šiais įgaliojimais ir prasideda sesijos apskaita. Tada priskirtas galiojantis vidinis adresas ir vartotojas gali naudotis vidiniais įmonės ištekliais arba internetu iš vidaus tinklo, jei leidimas tai leidžia.

Šis dizainas gali būti pakeistas keliais skirtingais būdais, priklausomai nuo įrangos prieinamumo ir vidinio tinklo projektavimo. Iš tikrųjų ugniasienės DMZ gali būti pakeistos maršrutizatorių sąsajomis, kuriose veikia saugumo prieigos sąrašai, arba net vidinis maršruto perjungimo modulis, kuris iš esmės nukreipia skirtingus VLAN. Koncentratorius galėtų būti pakeistas ugniasiene, kuri buvo VPN, kur IPSec VPN baigėsi tiesiogiai belaidžiu DMZ, kad VPN DMZ nebūtų reikalingas.

Tai yra vienas iš saugesnių būdų integruoti įmonės „WLAN“ tinklą į esamą apsaugotą įmonės miestelį.