Upotreba VPN-a za osiguranje bežične mreže preduzeća



U ovom članku ću razmotriti prilično složen ali siguran kampus WLAN dizajn koji bi se mogao koristiti u poslovnom okruženju.

Jedna od glavnih briga za pokretanje bežičnih mreža danas je sigurnost podataka Tradicionalna 802.11 WLAN zaštita uključuje upotrebu otvorenih ili zajedničkih ključeva i WEP ključeva. Svaki od ovih elemenata kontrole i privatnosti može biti ugrožen. WEP funkcionira na sloju podatkovne veze i zahtijeva da sve strane dijele isti tajni ključ. I 40 i 128-bitne varijante WEP-a lako se mogu razbiti sa lako dostupnim alatima. 128-bitni statički WEP ključevi mogu biti razbijeni u malom broju 15 minuta na WLAN-u sa velikim prometom zbog inherentnog nedostatka u RC4 algoritmu enkripcije. Koristeći metodu FMS napada, teoretski možete izvesti WEP ključ u rasponu od 100,000 do 1,000,000 paketa koji se šifriraju pomoću istog ključa.

Dok neke mreže mogu da prođu kroz autentifikaciju otvorenog ili deljenog ključa i statički definisane WEP ključeve za šifrovanje, nije dobra ideja oslanjati se samo na ovu količinu sigurnosti u mrežnom okruženju preduzeća, gdje bi nagrada mogla biti vrijedna napora da bi napadač bio. U ovom slučaju trebat će vam neka vrsta proširene sigurnosti.

Postoje neka nova poboljšanja enkripcije koja pomažu u prevladavanju WEP ranjivosti kako je definirano IEEE 802.11i standardom. Poboljšanja softvera za WEP baziran na RC4 poznat kao TKIP ili Temporal Key Integrity Protocol i AES koji bi se smatrali jačom alternativom RC4-u. Enterprise verzije Wi-Fi zaštićenog pristupa ili WPA TKIP dodatno uključuju PPK (po paketima) i MIC (provjera integriteta poruke). WPA TKIP također proširuje vektor inicijalizacije iz 24 bitova u 48 bitove i zahtijeva 802.1X za 802.11. Korištenje WPA uz EAP za centraliziranu provjeru autentičnosti i dinamičku distribuciju ključeva je mnogo jača alternativa tradicionalnom 802.11 sigurnosnom standardu.

Međutim, moje preferencije kao i mnoge druge je da prekrijem IPSec na vrhu svog čistog 802.11 prometa. IPSec obezbeđuje poverljivost, integritet i autentičnost komunikacije podataka preko nezaštićenih mreža šifrovanjem podataka pomoću DES, 3DES ili AES. Postavljanjem pristupne tačke bežične mreže na izoliranu LAN, gdje je jedina izlazna točka zaštićena sa filtrima prometa samo dozvoljavajući IPSec tunelu da se uspostavi na određenu adresu hosta, čini bežičnu mrežu beskorisnom ako nemate vjerodajnice za provjeru autentičnosti za VPN. Kada se uspostavi pouzdana IPSec veza, sav promet od krajnjeg uređaja do pouzdanog dijela mreže će biti potpuno zaštićen. Potrebno je samo ojačati upravljanje pristupnom tačkom tako da se ne može mijenjati.

Možete da pokrenete DHCP i ili DNS servise za lakše upravljanje, ali ako želite da to učinite, dobra je ideja da filtrirate sa MAC adresom i onemogućite bilo koje SSID emitovanje tako da je bežična podmreža mreže donekle zaštićena od potencijalnih DoS-a napada.

Sada očigledno još uvek možete da zaobiđete listu MAC adresa i ne-emitovanog SSID-a sa nasumičnim MAC i MAC kloniranjem, zajedno sa najvećom bezbednosnom pretnjom koja je do sada postojala, socijalni inženjering, ali primarni rizik je i dalje samo potencijalni gubitak usluge. do bežičnog pristupa. U nekim slučajevima to može biti dovoljno veliki rizik za provjeru proširenih usluga provjere autentičnosti radi dobivanja pristupa samoj bežičnoj mreži.

Opet, primarni cilj u ovom članku je učiniti bežičnu vezu lakšom za pristup i pružiti praktičnost krajnjem korisniku bez ugrožavanja vaših kritičnih internih resursa i stavljanja u opasnost imovine vaše kompanije. Izolujući neosiguranu bežičnu mrežu od pouzdane žične mreže, koja zahtijeva autentifikaciju, autorizaciju, računovodstvo i šifrovani VPN tunel, upravo smo to učinili.

Pogledajte crtež iznad. U ovom dizajnu koristio sam vatrozid sa više interfejsa i višestruki interfejs VPN koncentrator da zaista obezbedim mrežu sa različitim nivoima poverenja u svakoj zoni. U ovom scenariju imamo najniži pouzdani spoljni interfejs, zatim malo više pouzdani bežični DMZ, zatim malo više pouzdani VPN DMZ, a zatim i najpouzdaniji unutrašnji interfejs. Svaki od ovih interfejsa mogao bi se nalaziti na drugom fizičkom prekidaču ili jednostavno na nepročišćenom VLAN-u u vašem unutarnjem komutatorskom materijalu.

Kao što možete vidjeti iz crteža, bežična mreža se nalazi unutar bežičnog DMZ segmenta. Jedini način da uđete u internu pouzdanu mrežu ili se vratite van (internet) je preko bežičnog DMZ interfejsa na zaštitnom zidu. Jedina izlazna pravila dozvoljavaju DMZ podmreži da pristupi VPN koncentratorima izvan adrese interfejsa koja se nalazi na VPN DMZ preko ESP i ISAKMP (IPSec). Jedina ulazna pravila za VPN DMZ su ESP i ISAKMP od bežične DMZ podmreže do adrese vanjskog sučelja VPN koncentratora. Ovo omogućava da se IPSec VPN tunel izgradi iz VPN klijenta na bežičnom hostu do internog sučelja VPN koncentratora koji se nalazi na internoj pouzdanoj mreži. Jednom kada se inicira tunel, korisnički akreditivi se autentificiraju od strane internog AAA poslužitelja, servisi su ovlašteni na osnovu tih vjerodajnica i počinje se računovodstvo sesije. Tada se dodjeljuje važeća interna adresa i korisnik ima mogućnost pristupa internim resursima tvrtke ili Internetu s interne mreže ako to dopušta autorizacija.

Ovaj dizajn se može modifikovati na nekoliko različitih načina u zavisnosti od raspoloživosti opreme i dizajna interne mreže. DMZ-ovi firewall-a bi zapravo mogli biti zamijenjeni mrežnim usmjerivačkim sučeljima koji pokreću sigurnosne pristupne liste ili čak internim modulom za prebacivanje rute praktično usmjeravanjem različitih VLAN-ova. Koncentrator bi mogao da bude zamenjen zaštitnim zidom koji je bio VPN sposoban gde je IPSec VPN završio direktno na bežičnom DMZ-u, tako da VPN DMZ uopšte ne bi bio potreban.

Ovo je jedan od sigurnijih načina integrisanja WLAN-a u kampusu preduzeća u postojeći kampus osiguranog preduzeća.