Използване на VPN за осигуряване на корпоративна безжична мрежа



В тази статия ще обсъдя доста сложен, но сигурен дизайн на WLAN, който може да бъде използван в корпоративна среда.

Една от основните проблеми, свързани с използването на безжични мрежи днес, е сигурността на данните. Традиционната защита на 802.11 WLAN включва използването на открити или споделени ключови ключове за автентичност и статични ключове за конфиденциалност (WEP). Всеки от тези елементи на контрол и неприкосновеност на личния живот може да бъде компрометиран. WEP работи на слоя за данни и изисква всички страни да споделят един и същ секретен ключ. И двете 40 и 128-битови варианти на WEP могат лесно да бъдат разбити с лесно достъпни инструменти. 128-битните статични WEP ключове могат да бъдат прекъснати само с 15 минути на WLAN с висок трафик, поради присъщ недостатък в RC4 алгоритъма за шифроване. Използвайки метода FMS атака теоретично можете да извлечете WEP ключ в диапазон от 100,000 до 1,000,000 пакети, кодирани с помощта на същия ключ.

Докато някои мрежи могат да се справят с открита или споделена ключова автентификация и статично дефинирани WEP кодиращи ключове, не е добра идея да разчитате само на тази сигурност в корпоративната мрежова среда, където наградата може да си струва усилието да бъде атакуван. В този случай ще се нуждаете от някаква удължена сигурност.

Има някои нови подобрения за шифроване, които спомагат за преодоляване на WEP уязвимостите, както е определено от стандарта IEEE 802.11i. Софтуерните подобрения на WEP, базирани на RC4, известни като TKIP или Протокол за временна ключова цялост и AES, които биха се считали за по-силна алтернатива на RC4. Предприятията версии на Wi-Fi защитен достъп или WPA TKIP допълнително включва PPK (за пакет ключ) и MIC (проверка на целостта на съобщението). WPA TKIP също разширява вектора на инициализация от 24 бита до 48 бита и изисква 802.1X за 802.11. Използването на WPA по EAP за централизирано удостоверяване и динамично разпространение на ключове е много по-добра алтернатива на традиционния стандарт за сигурност 802.11.

Все пак предпочитанията ми, както и много други, е да сложа IPSec върху чист 802.11 трафик. IPSec осигурява конфиденциалност, интегритет и автентичност на комуникациите на данни през необезпечени мрежи чрез криптиране на данни с DES, 3DES или AES. Чрез поставяне на точката за достъп на безжична мрежа в изолирана локална мрежа, където единствената изходна точка е защитена с филтри за трафик, което позволява един тунел IPSec да бъде установен на конкретен адрес на хост, това прави безжичната мрежа безполезна, освен ако нямате идентификационни данни за удостоверяване на VPN. След като се установи надеждна IPSec връзка, трафикът от крайното устройство към доверената част на мрежата ще бъде напълно защитен. Трябва само да усилите управлението на точката за достъп, така че да не може да бъде подправена.

Можете също така да изпълнявате DHCP и / или DNS услуги, както и за по-лесно управление, но ако искате да направите това е добра идея да филтрирате с MAC адрес и да забраните всяко SSID излъчване, така че безжичната подмрежа на мрежата е донякъде защитена от потенциални DoS атаки.

Сега очевидно все още можете да преминете през списъка с МАС адреси и не-излъчения SSID със случайни програми за клониране на MAC и MAC заедно с най-голямата заплаха за сигурността, която все още има досега, но социалното инженерство все още е само потенциална загуба на услуга. до безжичния достъп. В някои случаи това може да е достатъчно голям риск, за да проверите разширените услуги за удостоверяване, за да получите достъп до самата безжична мрежа.

Отново, основната цел в тази статия е да направи безжичната връзка донякъде лесна за достъп и да осигури удобство за крайния потребител, без да прави компромис с критичните вътрешни ресурси и да излага на риск активите на вашите компании. Чрез изолиране на необезпечената безжична мрежа от доверената кабелна мрежа, изискваща удостоверяване, оторизация, счетоводство и криптиран VPN тунел, направихме точно това.

Погледнете чертежа отгоре. В този дизайн съм използвал защитна стена с множество интерфейси и VPN концентратор с множество интерфейси, за да защитя мрежата с различни нива на доверие във всяка зона. В този сценарий имаме най-ниския доверен външен интерфейс, а след това малко по-надеждния Wireless DMZ, след това малко по-надеждния VPN DMZ и след това най-надеждния вътрешен интерфейс. Всеки един от тези интерфейси може да се намира на различен физически превключвател или просто непроменен VLAN във вашата вътрешна комуникационна платформа.

Както можете да видите от чертежа, безжичната мрежа се намира в безжичния DMZ сегмент. Единственият начин да влезете във вътрешната мрежа с доверие или обратно към интернет (чрез интернет) е чрез безжичния DMZ интерфейс на защитната стена. Единствените изходящи правила позволяват на DMZ подмрежата да има достъп до VPN концентраторите извън адреса на интерфейса, който се намира в VPN DMZ чрез ESP и ISAKMP (IPSec). Единствените входящи правила за VPN DMZ са ESP и ISAKMP от безжичната DMZ подмрежа до адреса на външния интерфейс на VPN концентратора. Това позволява IPSec VPN тунел да бъде изграден от VPN клиента на безжичния хост към вътрешния интерфейс на VPN концентратора, който се намира във вътрешната доверена мрежа. След като тунелът е заявен, потребителските идентификационни данни се удостоверяват от вътрешния AAA сървър, услугите се оторизират въз основа на тези идентификационни данни и започва счетоводната отчетност на сесията. След това се присвоява валиден вътрешен адрес и потребителят има възможност за достъп до вътрешни фирмени ресурси или до интернет от вътрешната мрежа, ако разрешението го позволява.

Този проект може да бъде модифициран по няколко различни начина, в зависимост от наличието на оборудване и дизайна на вътрешната мрежа. DMZ на защитната стена може действително да бъдат заменени от рутер интерфейси, изпълняващи списъци за достъп за сигурност или дори вътрешен модул за превключване на маршрути, практически маршрутизиращ различни VLAN. Концентраторът може да бъде заменен от защитна стена, която е била способна на VPN, където IPSec VPN се прекратява директно в безжичната DMZ, така че VPN DMZ изобщо да не се изисква.

Това е един от най-сигурните начини за интегриране на WLAN в кампуса на предприятието в съществуващ кампус с обезпечени предприятия.