Gebruik 'n Skynprivaatnetwerk om 'n onderneming se draadlose netwerk te beveilig



In hierdie artikel bespreek ek 'n redelik komplekse maar veilige kampus WLAN-ontwerp wat in 'n ondernemingsomgewing ontplooi kan word.

Een van die primêre bekommernisse met die bestuur van draadlose netwerke vandag is datasekuriteit. Tradisionele 802.11 WLAN-sekuriteit sluit in die gebruik van oop of gedeelde sleutel-verifikasie en statiese bedrade ekwivalent privaatheid (WEP) sleutels. Elk van hierdie elemente van beheer en privaatheid kan in gevaar gestel word. WEP werk op die data skakel laag en vereis dat alle partye dieselfde geheime sleutel deel. Beide 40- en 128-bis-variante van WEP kan maklik gebreek word met geredelik beskikbare gereedskap. 128-bis statiese WEP-sleutels kan so min as 15-minute op 'n hoë-verkeer WLAN gebreek word weens 'n inherente tekortkoming in die RC4-enkripsie-algoritme. Met behulp van die FMS aanval metode kan jy 'n WEP sleutel in 'n reeks van 100,000 tot 1,000,000 pakkette versleuteld gebruik met dieselfde sleutel.

Terwyl sommige netwerke kan voorkom met oop of gedeelde sleutelverifikasie en staties gedefinieerde WEP-enkripsiesleutels, is dit nie 'n goeie idee om op hierdie hoeveelheid sekuriteit alleen te staatmaak in 'n onderneming netwerk omgewing waar die prys die moeite werd sou wees om 'n aanvaller te wees nie. In hierdie geval sal jy 'n soort uitgebreide sekuriteit benodig.

Daar is 'n paar nuwe enkripsieverbeterings om WEP-kwesbaarheid te voorkom, soos gedefinieer deur die IEEE 802.11i-standaard. Sagteware verbeterings aan RC4-gebaseerde WEP bekend as TKIP of Temporal Key Integrity Protocol en AES wat beskou word as 'n sterker alternatief vir RC4. Ondernemings weergawes van Wi-Fi Protected Access of WPA TKIP bevat ook PPK (per pakkie sleutel) en MIC (boodskap integriteit tjek). WPA TKIP brei ook die aanvangsvektor uit van 24-bisse na 48-bisse en benodig 802.1X vir 802.11. Die gebruik van WPA langs EAP vir sentrale verifikasie en dinamiese sleutelverspreiding is 'n veel sterker alternatief vir die tradisionele 802.11-sekuriteitsstandaard.

Maar my voorkeur sowel as vele ander is om IPSec oor te lê bo-op my duidelike teks 802.11-verkeer. IPSec bied vertroulikheid, integriteit en egtheid van datakommunikasie oor onversekerde netwerke deur data met DES, 3DES of AES te enkripteer. Deur die toegangspunt van die draadlose netwerk op 'n geïsoleerde LAN te plaas waar die enigste uittreepunt met verkeersfilters beskerm word, wat slegs toelaat dat 'n IPSec-tonnel op 'n spesifieke gasheeradres gevestig word, maak dit die draadlose netwerk nutteloos, tensy jy die VPN het. Sodra die betroubare IPSec-verbinding gevestig is, sal alle verkeer vanaf die eindtoestel na die betroubare gedeelte van die netwerk heeltemal beskerm word. U hoef net die bestuur van die toegangspunt te verhard sodat dit nie gepeuter kan word nie.

Jy kan ook DHCP- of DNS-dienste hardloop vir maklike bestuur, maar as jy dit wil doen, is dit 'n goeie idee om met 'n MAC-adreslys te filter en enige SSID-uitsaai te deaktiveer, sodat die draadlose subnet van die netwerk ietwat beskerm word teen potensiële DoS aanvalle.

Uiteraard kan u steeds die MAC-adreslys en die nie-uitgesaai SSID met willekeurige MAC- en MAC-kloningprogramme vergesel, tesame met die grootste sekuriteitsbedreiging wat nog tot op datum is, Sosiale Ingenieurswese, maar die primêre risiko is steeds net 'n potensiële diensverlies. na die draadlose toegang. In sommige gevalle kan dit 'n groot genoeg risiko wees om uitgebreide verifikasie dienste te ondersoek om toegang tot die draadlose netwerk self te verkry.

Weereens, die hoofdoelstelling in hierdie artikel is om die draadlose ietwat maklike toegang te verkry en die gerief van die eindgebruiker te bied sonder om u kritiese interne hulpbronne te benadeel en u maatskappye se bates in gevaar te stel. Deur die onversekerde draadlose netwerk van die betroubare bedrade netwerk te isolasie, wat verifikasie, magtiging, rekeningkunde en 'n geïnkripteer VPN-tonnel vereis, het ons dit net gedoen.

Kyk na die tekening hierbo. In hierdie ontwerp het ek 'n veelvuldige koppelvlak-firewall en 'n veelvuldige koppelvlak VPN-konsentrator gebruik om die netwerk regtig met verskillende vlakke van vertroue in elke sone te beveilig. In hierdie scenario het ons die laagste betroubare buite-koppelvlak, dan die effens meer betroubare Wireless DMZ, dan die effens meer betroubare VPN DMZ en dan die mees betroubare binne-koppelvlak. Elk van hierdie koppelvlakke kan op 'n ander fisiese skakelaar of net 'n onbelemmerde VLAN in u interne kampus skakel stof wees.

Soos u van die tekening kan sien, is die draadlose netwerk in die draadloos DMZ-segment geleë. Die enigste manier om in die interne vertroude netwerk of terug na buite (internet) te gaan is via die draadlose DMZ-koppelvlak op die firewall. Die enigste uitgaande reëls laat die DMZ-subnet toegang tot die VPN-konsentrators buite-koppelvlakadres wat op die VPN DMZ via ESP en ISAKMP (IPSec) woon. Die enigste inkomende reëls op die VPN DMZ is ESP en ISAKMP van die draadlose DMZ subnet na die adres van die eksterne koppelvlak van die VPN concentrator. Dit laat toe dat 'n IPSec VPN-tonnel van die VPN-kliënt op die draadlose gasheer gebou word na die interne koppelvlak van die VPN-konsentrator wat op die interne vertroude netwerk woon. Sodra die tonnel versoek is, word die gebruikersbewyse geverifieer deur die interne AAA-bediener. Dienste is gemagtig op grond van die geloofsbriewe en sessierekeningkunde. Dan is 'n geldige interne adres toegeken en die gebruiker het toegang tot interne maatskappyhulpbronne of na die internet vanaf die interne netwerk indien die magtiging dit toelaat.

Hierdie ontwerp kan op verskeie maniere gewysig word, afhangende van die beskikbaarheid van toerusting en die interne netwerkontwerp. Die firewall DMZs kan eintlik vervang word deur router-koppelvlakke wat sekuriteits-toegangslyste of selfs 'n interne roeteswisselingsmodule bedryf, wat feitlik verskillende VLAN's roeteer. Die konsentrator kan vervang word deur 'n firewall wat VPN in staat was waar die IPSec Skynprivaatnetwerk direk by die wireless DMZ beëindig is, sodat die VPN DMZ glad nie nodig sou wees nie.

Dit is een van die veiliger maniere om 'n ondernemingskampus WLAN te integreer in 'n bestaande veilige ondernemingskampus.