VPN: n käyttäminen yrityksen langattoman verkon suojaamiseen



Tässä artikkelissa keskustelen melko monimutkaisesta, mutta turvallisesta kampuksen WLAN-suunnittelusta, jota voitaisiin käyttää yritysympäristössä.

Yksi tärkeimmistä huolenaiheista langattomien verkkojen käynnissä on tänään tietoturva. Perinteinen 802.11 WLAN -turvallisuus sisältää avoimen tai jaetun avaimen todennuksen ja WEP-avaimien käytön. Jokainen näistä valvonnan ja yksityisyyden elementeistä voi vaarantua. WEP toimii tietoliikennekerroksessa ja vaatii, että kaikilla osapuolilla on sama salainen avain. WEP: n sekä 40- että 128-bittivariantit voidaan helposti rikkoa helposti saatavilla olevilla työkaluilla. 128-bittiset staattiset WEP-avaimet voidaan rikkoa niin paljon kuin 15 minuuttia suurella liikenteen WLAN: lla RC4-salausalgoritmin luontaisen puutteen vuoksi. FMS-hyökkäysmenetelmää käyttämällä teoreettisesti voit johtaa WEP-avaimen 100,000: sta 1,000,000-paketteihin, jotka on salattu käyttäen samaa avainta.

Vaikka jotkin verkot voivat saada avaimen tai jaetun avaimen todentamisen ja staattisesti määritellyt WEP-salausavaimet, ei ole hyvä ajatella luottaa tähän tietoturvaan yksinään yritysverkkoympäristössä, jossa palkinto voisi olla vaivan arvoista hyökkääjälle. Tässä tapauksessa tarvitset jonkinlaista laajempaa tietoturvaa.

On olemassa joitakin uusia salausparannuksia, jotka auttavat voittamaan WEP-haavoittuvuuksia, jotka määritellään IEEE 802.11i -standardissa. RC4-pohjaisen WEP: n ohjelmistopäivitykset, jotka tunnetaan nimellä TKIP tai Temporal Key Integrity Protocol ja AES, joita pidettäisiin vahvempana vaihtoehtona RC4ille. Wi -Fi Protected Accessin tai WPA TKIPin Enterprise-versiot sisältävät lisäksi PPK: n (pakettien avaamisen) ja MIC (viestin eheyden tarkistus). WPA TKIP laajentaa myös alustusvektoria 24-bitteistä 48-bitteihin ja vaatii 802.1X: n 802.11: lle. WPA: n käyttäminen EAP: n avulla keskitetyn todentamisen ja dynaamisen avainjakelun kannalta on paljon vahvempi vaihtoehto perinteiselle 802.11-suojausstandardille.

Minun mielestäni ja monet muutkin haluavat peittää IPSecin selkeän tekstini 802.11-liikenteen päälle. IPSec tarjoaa salassapitovelvollisuuden, eheyden ja aitojen tietojen suojaamisen suojaamattomien verkkojen välillä salaamalla tietoja DES, 3DES tai AES. Asettamalla langattoman verkon liityntäpisteen erilliseen lähiverkkoon, jossa ainoa poistumispaikka on suojattu liikennesuodattimilla vain siten, että IPSec-tunneli voidaan muodostaa tietylle isäntäkoneelle, jolloin langaton verkko on hyödytön, ellei sinulla ole VPN: n tunnistustietoja. Kun luotettu IPSec-yhteys on muodostettu, kaikki liikenne lopullisesta laitteesta verkon luotettavaan osaan on täysin suojattu. Tarvitset vain tukiaseman hallinnan kovettamisen, jotta sitä ei voi muuttaa.

Voit myös hallita DHCP- ja / tai DNS-palveluita hallinnan helpottamiseksi, mutta jos haluat tehdä sen, kannattaa suodattaa MAC-osoiteluettelo ja poistaa käytöstä kaikki SSID-lähetykset siten, että verkon langaton aliverkko on jonkin verran suojattu mahdollisilta DoS-ohjelmilta hyökkäyksiä.

Nyt voit tietysti edelleen kiertää MAC-osoiteluettelon ja ei-lähetetyn SSID: n, jossa on satunnaisia ​​MAC- ja MAC-kloonausohjelmia, sekä suurimman tietoturvariskin, joka on vielä olemassa tähän mennessä, Social Engineering, mutta ensisijainen riski on edelleen vain mahdollinen palvelun menetys langattomaan yhteyteen. Joissakin tapauksissa tämä saattaa olla tarpeeksi suuri riski tarkistaa laajennetut todentamispalvelut päästäksesi itse langattomaan verkkoon.

Tämän artikkelin ensisijaisena tavoitteena on, että langaton yhteys on helppo käyttää ja tarjota loppukäyttäjän mukavuutta vaarantamatta kriittisiä sisäisiä resursseja ja asettamalla yrityksesi varoja vaaraksi. Eristämällä suojaamattoman langattoman verkon luotettavasta langallisesta verkosta, joka edellyttää todentamista, valtuutusta, kirjanpitoa ja salattua VPN-tunnelia, olemme tehneet juuri tämän.

Katsokaa yllä olevaa piirustusta. Tässä suunnittelussa olen käyttänyt useita käyttöliittymän palomuureja ja useita käyttöliittymän VPN-keskittimiä varmistaakseni verkon varmasti eri tasoilla. Tässä skenaariossa meillä on alhaisin luotettava ulkoinen liitäntä, sitten hieman luotettavampi Wireless DMZ, sitten hieman luotettavampi VPN DMZ ja sitten luotetuin sisäinen käyttöliittymä. Kukin näistä rajapinnoista voisi sijaita eri fyysisellä kytkimellä tai yksinkertaisesti sisäisellä kampussiirtokangassasi.

Kuten piirustuksesta näet, langaton verkko sijaitsee langattoman DMZ-segmentin sisällä. Ainoa tapa päästä sisäiseen luotettavaan verkkoon tai takaisin (internet) on palomuurin langattoman DMZ-liitännän kautta. Ainoat lähtevät säännöt sallivat DMZ-aliverkon pääsyn VPN-keskittimiin, jotka ovat ulkoisen käyttöliittymän osoitteen ulkopuolella ja jotka sijaitsevat VPN DMZ: ssä ESP: n ja ISAKMP: n (IPSec) kautta. VPN DMZ: n ainoat saapuvat säännöt ovat ESP ja ISAKMP langattomasta DMZ-aliverkosta VPN-keskittimen ulkoisen liitännän osoitteeseen. Tämä mahdollistaa IPSec-VPN-tunnelin rakentamisen VPN-asiakkaalta langattomassa isännässä VPN-keskittimen sisäiseen rajapintaan, joka sijaitsee sisäisessä luotettavassa verkossa. Kun tunneli on pyyntö aloitettu, sisäinen AAA-palvelin varmentaa käyttäjän tunnistetiedot, palvelut hyväksytään näiden valtuustietojen perusteella ja istunnon kirjanpito alkaa. Sitten annetaan voimassa oleva sisäinen osoite ja käyttäjä voi käyttää sisäisiä yrityksen resursseja tai Internetiä sisäisestä verkosta, jos valtuutus sallii sen.

Tätä mallia voitaisiin muokata useilla eri tavoilla riippuen laitteiden saatavuudesta ja sisäisestä verkko- suunnittelusta. Palomuurin DMZ: t voitaisiin tosiasiallisesti korvata reitittimen rajapinnoilla, joissa on tietoturvayhteysluetteloita tai jopa sisäinen reittikytkentämoduuli, joka reitittää eri VLAN: ia. Konsentraattori voitaisiin korvata palomuurilla, joka oli VPN, jonka avulla IPSec-VPN päättyi suoraan langattomaan DMZ: hen siten, että VPN DMZ: tä ei tarvita lainkaan.

Tämä on yksi turvallisimmista tavoista integroida yritysverkko WLAN olemassa olevaan suojattuun yrityskampukseen.