VPN-i kasutamine ettevõtte traadita võrgu kaitsmiseks



Käesolevas artiklis käsitlen üsna keerulist, kuid turvalist ülikooli WLAN-i disaini, mida saaks kasutada ettevõtte keskkonnas.

Üks peamisi probleeme seoses traadita võrkude käivitamisega on tänapäeval andmete turvalisus Traditsiooniline 802.11i WLAN-i turvalisus hõlmab avatud või jagatud võtme autentimist ja staatilisi traadiga samaväärseid privaatsus- (WEP) võtmeid. Kõik need kontrolli ja privaatsuse elemendid võivad olla ohustatud. WEP töötab andmesidekihtide kihis ja nõuab, et kõik osapooled jagaksid sama salajast võtit. Nii WEPi 40 kui ka 128-bitised variandid on kergesti kättesaadavad tööriistadega kergesti purunevad. RCNNXX-i krüpteerimisalgoritmi loomupärase puuduse tõttu võib 128-bitist staatilist WEP-võtit purustada nii vähe kui 15 minutit suure liiklusega WLAN-võrgus. Teoreetiliselt saab FMS-i ründemeetodit kasutades tuletada WEP-võtme vahemikus 4-st 100,000-i pakettidele, mis on krüpteeritud sama klahviga.

Kuigi mõned võrgud saavad avatuks või jagatud võtme autentimiseks ja staatiliselt määratletud WEP-krüpteerimisvõtmeteks, ei ole mõtet tugineda sellisele turvalisuse tasemele üksi ettevõtte võrgukeskkonnas, kus auhind võiks olla vaeva väärt. Sel juhul vajate mingit laiendatud turvalisust.

IEEE 802.11i standardis määratletud WEP-i haavatavuste ületamiseks on mõned uued krüpteerimisparandused. RC4-põhise WEP-i tarkvaraparandused, mida tuntakse kui TKIP või Temporal Key Integrity Protocol ja AES, mida peetakse tugevamaks alternatiiviks RC4ile. Wi -Fi Protected Access'i või WPA TKIP Enterprise'i versioonid sisaldavad lisaks PPK-d (pakettide võtmise kohta) ja MIC-i (sõnumi terviklikkuse kontroll). WPA TKIP laiendab ka 24-bittide algvektorit 48-bittidena ja nõuab 802.1X-i jaoks 802.11X-i. WPA kasutamine EAP-iga tsentraliseeritud autentimise ja dünaamilise võtmejaotuse jaoks on palju tugevam alternatiiv traditsioonilisele 802.11i turvastandardile.

Kuid minu eelistus ja ka paljud teised on IPSeci kattumine minu selge tekstiga 802.11 liikluses. IPSec tagab konfidentsiaalsuse, terviklikkuse ja autentsuse andmesideteta tagamata võrkudes, krüpteerides andmeid DES, 3DES või AES abil. Asetades traadita võrgu pääsupunkti eraldatud kohtvõrku, kus ainus väljundpunkt on kaitstud liiklusfiltritega, võimaldades IPSeci tunnelil luua kindla hostiaadressi, muudab see traadita võrgu kasutuks, kui teil pole VPN-i autentimisandmeid. Kui usaldusväärne IPSec-ühendus on loodud, on kogu liiklus lõppseadmest võrgu usaldusväärsele osale täielikult kaitstud. Teil on vaja ainult pöörduspunkti haldamist, et seda ei saaks muuta.

Haldamise lihtsustamiseks saate kasutada ka DHCP- ja / või DNS-teenuseid, kuid kui soovite seda teha, on hea mõte filtreerida MAC-aadresside loendiga ja keelata kõik SSID-eetrised, nii et võrgu traadita alamvõrk on mõnevõrra kaitstud võimalike DoS-ide eest rünnakuid.

Nüüd on ilmselgelt võimalik MAC-aadressi ja mitteülekannetava SSID-i ringi jääda juhuslike MAC- ja MAC-kloonimisprogrammidega koos suurima julgeolekuohuga, mis siiani on olemas, Social Engineering, kuid esmane risk on ikka veel võimalik teenusekaotus traadita juurdepääsu. Mõnel juhul võib see olla piisav risk laiendatud autentimisteenuste kontrollimiseks, et saada juurdepääs traadita võrgule.

Jällegi on selle artikli peamine eesmärk muuta traadita juurdepääs kergesti ligipääsetavaks ja pakkuda lõppkasutajale mugavust, kahjustamata teie kriitilisi sisemisi ressursse ja seades oma ettevõtete varad ohtu. Isoleerides tagamata traadita võrgu usaldusväärse traadiga võrgust, mis nõuab autentimist, autoriseerimist, raamatupidamist ja krüpteeritud VPN-tunnelit, oleme seda just teinud.

Vaadake ülaltoodud joonist. Selles disainis olen kasutanud mitmekülgse liidese tulemüüri ja mitme liidese VPN-kontsentraatorit, et võrk oleks tõesti kindel igas tsoonis. Selle stsenaariumi puhul on meil kõige madalam usaldusväärne välisliides, siis veidi usaldusväärsem Wireless DMZ, siis veidi usaldusväärsem VPN DMZ ja seejärel kõige usaldusväärsem sisemine liides. Kõik need liidesed võiksid asuda erinevas füüsilises lülituses või lihtsalt sisemises ülikoolilülituse kangas asuvas VLAN-is.

Nagu näete joonisest, asub traadita võrk traadita DMZ segmendi sees. Ainus viis sisemisse usaldusväärsesse võrku või tagasi (internet) on tulemüüri traadita DMZ liidese kaudu. Ainsad väljaminevad reeglid võimaldavad DMZ-alamvõrgul kasutada VPN-i kontsentraatoreid väljaspool liidese aadressi, mis asub VPN DMZ-s ESP ja ISAKMP (IPSec) kaudu. VPN DMZ ainus sissetulev reegel on ESP ja ISAKMP traadita DMZ alamvõrgust VPN kontsentraatori välise liidese aadressile. See võimaldab IPSeci VPN-tunneli ehitada VPN-kliendilt traadita hostis VPN-kontsentraatori sisemisele liidesele, mis asub sisemises usaldusväärses võrgus. Kui tunnel on päringu algatamine, autentib kasutaja volitusi sisemine AAA-server, teenused on volitatud nende volituste alusel ja seansi arvestus algab. Seejärel määratakse kehtiv sisemine aadress ja kasutajal on juurdepääs sisemisest võrguressursist või internetist, kui autoriseerimine seda lubab.

Seda disaini saab muuta mitmesugustel viisidel sõltuvalt seadmete kättesaadavusest ja sisevõrgu disainist. Tulemüüri DMZ-sid võiks tegelikult asendada marsruuteri liidesedega, mis töötavad turvajuurdepääsu nimekirju või isegi sisemist marsruutlülitusmoodulit, mis praktiliselt suunab erinevaid VLAN-e. Kontsentraatori võib asendada tulemüüriga, mis oli VPN, mis võimaldas IPSeci VPN-i otse traadita DMZ-il lõpetada nii, et VPN DMZ ei oleks üldse vajalik.

See on üks turvalisemaid viise ettevõtte ülikooli WLANi integreerimiseks olemasolevasse turvalisse ettevõtte ülikooli.