Выкарыстанне VPN для забеспячэння бесправадной сеткі прадпрыемства



У гэтым артыкуле я абмяркую даволі складаны, але бяспечны дызайн WLAN кампуса, які можа быць разгорнуты ў карпаратыўнай асяроддзі.

Адной з асноўных праблем, якія стаяць сёння на бесправадных сетках, з'яўляецца бяспека дадзеных. Традыцыйная бяспека 802.11 WLAN уключае ў сябе выкарыстанне адкрытых або агульных ключоў аўтэнтыфікацыі і статычных правадных эквівалентных ключоў прыватнасці (WEP). Кожны з гэтых элементаў кіравання і прыватнасці можа быць скампраметаваны. WEP працуе на ўзроўні канала перадачы дадзеных і патрабуе, каб усе бакі мелі адзін і той жа сакрэтны ключ. Абодва 40 і 128-бітныя варыянты WEP могуць быць лёгка зламаны з лёгка даступнымі інструментамі. 128-бітныя статычныя ключы WEP могуць быць зламаныя ўсяго за 15 хвілін на высокай WLAN трафіку з-за неад'емнага алгарытму шыфравання RC4. Тэарэтычна з дапамогай метаду атакавання FMS вы можаце атрымаць ключ WEP у дыяпазоне ад 100,000 да пакетаў 1,000,000, зашыфраваных з дапамогай таго ж ключа.

Нягледзячы на ​​тое, што некаторыя сеткі могуць прайсці праз аўтэнтыфікацыю адкрытых або агульных ключоў і статыстычна вызначаныя ключы шыфравання WEP, нядрэнна спадзявацца на такую ​​колькасць бяспекі толькі ў сеткавай асяроддзі прадпрыемства, у якой прыз можа быць мэтазгодным. У гэтым выпадку вам спатрэбіцца нейкая пашыраная бяспека.

Ёсць новыя ўдасканаленні шыфравання, якія дапамагаюць пераадолець уразлівасці WEP, як гэта вызначана стандартам IEEE 802.11i. Удасканаленне праграмнага забеспячэння для WEP на базе RC4, вядомага як TKIP або пратакол цэласнасці ключоў часовага ключа і AES, які будзе лічыцца больш моцнай альтэрнатывай RC4. Карпаратыўныя версіі абароненага доступу Wi-Fi або WPA TKIP дадаткова ўключаюць PPK (за набор ключоў) і MIC (праверка цэласнасці паведамленняў). WPA TKIP таксама пашырае вектар ініцыялізацыі з біт 24 да біт 48 і патрабуе 802.1X для 802.11. Выкарыстанне WPA па EAP для цэнтралізаванай аўтэнтыфікацыі і дынамічнага размеркавання ключоў з'яўляецца значна больш моцнай альтэрнатывай традыцыйнаму стандарту бяспекі 802.11.

Аднак, як і многія іншыя, маё перавагу заключацца ў тым, каб накладваць IPSec на верхні тэкст 802.11. IPSec забяспечвае канфідэнцыяльнасць, цэласнасць і сапраўднасць перадачы дадзеных праз неабароненыя сеткі шляхам шыфравання дадзеных з дапамогай DES, 3DES або AES. Размяшчаючы кропку доступу да бесправадной сеткі ў ізаляванай лакальнай сетцы, дзе адзіная кропка выхаду абаронена фільтрамі трафіку, якія дазваляюць усталяваць тунэль IPSec да канкрэтнага адраса хоста, ён робіць бесправадную сетку беспамылковай, калі ў вас няма ўліковых дадзеных аўтарызацыі да VPN. Пасля таго, як даверанае злучэнне IPSec будзе ўсталявана, увесь трафік ад канчатковага прылады да часткі сеткі, які належыць даверу, будзе цалкам абаронены. Вам трэба толькі ўзмацніць кіраванне кропкай доступу, каб яна не магла быць падроблена.

Вы можаце запусціць DHCP і / або службы DNS для прастаты кіравання, але калі вы хочаце зрабіць гэта, гэта добрая ідэя, каб адфільтраваць спіс MAC-адрасоў і адключыць любое вяшчанне SSID такім чынам, каб бесправадная падсетка сеткі некалькі абаронена ад патэнцыйнага DoS напады.

Цяпер, відавочна, вы ўсё яшчэ можаце абыйсці спіс MAC-адрасоў і ня трансляванага SSID з выпадковымі праграмамі кланавання MAC і MAC, а таксама самую вялікую пагрозу для бяспекі, якая існуе на сённяшні дзень, Social Engineering, але асноўны рызыка па-ранейшаму з'яўляецца толькі патэнцыйнай стратай службы да бесправаднога доступу. У некаторых выпадках гэта можа быць дастаткова вялікім рызыкай, каб праверыць паслугі пашыранай аўтэнтыфікацыі, каб атрымаць доступ да самой бесправадной сеткі.

Зноў жа, галоўная мэта ў гэтым артыкуле - зрабіць бесправадны доступ лёгка і даступным для канчатковых карыстальнікаў, не ставячы пад пагрозу крытычныя ўнутраныя рэсурсы і рызыкуючы актывы Вашых кампаній. Ізаляцыю небяспечнай бесправадной сеткі ад праверанай правадной сеткі, патрабуючы аўтэнтыфікацыі, аўтарызацыі, уліку і зашыфраванага VPN-тунэля, мы зрабілі менавіта так.

Зірніце на чарцяжы вышэй. У гэтай канструкцыі я выкарыстаў некалькі інтэрфейсных брандмаўэраў і некалькі інтэрфейсных канцэнтратараў VPN для сапраўды бяспекі сеткі з розным узроўнем даверу да кожнай зоне. У гэтым сцэнары мы маем самы нізкі давераны знешні інтэрфейс, потым крыху больш надзейны бесправадны DMZ, потым крыху больш надзейны VPN DMZ, а потым самы давераны ўнутры інтэрфейсу. Кожны з гэтых інтэрфейсаў можа знаходзіцца на іншым фізічным перамыкачы ці проста ў бесправадной сетцы VLAN ва ўнутранай тканіне камутатара кампуса.

Як відаць з малюнка, бесправадная сетка знаходзіцца ў сегменце бесправадной DMZ. Адзіны шлях да ўнутранай даверанай сеткі або вяртання на вуліцу (Інтэрнэт) - праз бесправадны інтэрфейс DMZ на брандмаўэры. Адзіныя выходныя правілы дазваляюць падсетцы DMZ атрымліваць доступ да канцэнтратараў VPN за межамі адраснага інтэрфейсу, які знаходзіцца ў VPN DMZ праз ESP і ISAKMP (IPSec). Адзіныя ўваходныя правілы для VPN DMZ - гэта ESP і ISAKMP ад бесправадной падсеткі DMZ да адрасу вонкавага інтэрфейсу канцэнтратара VPN. Гэта дазваляе пабудаваць тунэль IPSec VPN ад кліента VPN на бесправадным хосте да ўнутранага інтэрфейсу канцэнтратара VPN, які знаходзіцца ва ўнутранай даверанай сетцы. Пасля запуску запыту на тунэль запыты карыстальніка аутентыфікуюцца ўнутраным серверам AAA, паслугі на аснове гэтых паўнамоцтваў дазваляюцца на аснове гэтых уліковых дадзеных і пачнецца ўлік сеансаў. Затым прызначаецца сапраўдны ўнутраны адрас, і карыстальнік мае доступ да ўнутраных сетак да ўнутранай сеткі рэсурсаў кампаніі або ў Інтэрнэт, калі гэта дазволіць дазвол.

Гэтая канструкцыя можа быць зменена некалькімі спосабамі ў залежнасці ад наяўнасці абсталявання і дызайну ўнутранай сеткі. DMZ брандмаўэра сапраўды могуць быць заменены інтэрфейсамі маршрутызатара, якія працуюць са спісамі доступу да бяспекі, альбо нават з унутраным модулем пераключэння маршрутаў, фактычна накіроўваючы розныя VLAN. Канцэнтратар можа быць заменены брандмауэрам, які здольны VPN, калі IPSec VPN спыніўся непасрэдна ў бесправадным DMZ, так што VPN DMZ зусім не патрабуецца.

Гэта адзін з найбольш бяспечных спосабаў інтэграцыі WLAN кампуса прадпрыемстваў у існуючы кампус забяспечаных прадпрыемстваў.