Bir müəssisənin simsiz şəbəkəsini təmin etmək üçün VPN istifadə



Bu yazıda mən müəssisə mühitində yerləşdirilə biləcək kifayət qədər mürəkkəb, lakin təhlükəsiz kampus WLAN dizaynını müzakirə edəcəyəm.

Bu gün kabelsiz şəbəkələri işləyən əsas problemlərdən biri məlumat təhlükəsizliyidır. Traditional 802.11 WLAN təhlükəsizliyi açıq və ya paylaşılan əsaslı identifikasiyası və statik kabelsiz ekvivalent məxfilik (WEP) düymələrinin istifadəsini nəzərdə tutur. İdarəetmə və gizlilik bu elementlərin hər birinə təhlükə törədir. WEP data əlaqəsi qatında fəaliyyət göstərir və bütün tərəflərin eyni gizli açarı paylaşmasını tələb edir. Hər iki 40 və 128-bit WEP variantları asanlıqla mövcud vasitələrlə asanlıqla sınıqla bilər. 128-bit statik WEP düymələri, RC15 şifrələmə alqoritmində xas olan bir çatışmazlıq səbəbindən yüksək trafikdə WLAN-da 4 dəqiqə kimi az ola bilər. FMS hücum metodundan istifadə edərək nəzəri olaraq 100,000-dən 1,000,000 paketinə eyni əsas istifadə edərək şifrələnmiş bir sıra bir WEP anahtarı əldə edə bilərsiniz.

Bəzi şəbəkələr açıq və ya paylaşılan əsas identifikasiyası ilə və statik olaraq müəyyən edilmiş WEP şifrələmə açarı ilə əldə edə bilərlərsə, mükafatın bir hücumçu üçün səy göstərə biləcəyi bir müəssisənin şəbəkə mühitində təkcə bu məbləğə güvənməsi yaxşı bir fikir deyildir. Bu halda bir sıra geniş təhlükəsizlik tələb olunur.

IEEE 802.11i standartı ilə müəyyən edilmiş WEP zəifliklərini aradan qaldırmaq üçün bəzi yeni şifrələmə qabiliyyəti var. RC4 -ə əsaslanan TKIP və ya Temporal Key Integrity Protokolu və AES kimi tanınan RC4-a əsasən RC24-ə daha güclü alternativ hesab olunur. Wi-Fi Korumalı Erişim və ya WPA TKIP'nin müəssisə versiyaları əlavə olaraq PPK (hər paketin açarı) və MIC (mesaj bütövlüyünü yoxlamaq) daxildir. WPA TKIP, 48 bitdən 802.1 bitə qədər başlatma vektorunu genişləndirir və 802.11 üçün 802.11X tələb edir. Mərkəzləşdirilmiş identifikasiyası və dinamik əsas dağılımı üçün EAP çərçivəsində WPA istifadə edərək ənənəvi XNUMX təhlükəsizlik standartına daha güclü bir alternativdir.

Ancaq mənim üstünlüklərim və bir çox başqalarım, IPSec'i aydın mətnimin 802.11 trafikinin üstünə yerləşdirməkdir. IPSec, DES, 3DES və ya AES ilə məlumatların şifrələməsi ilə təmin edilməmiş şəbəkələrdə məlumatların rabitəsinin məxfiliyini, bütövlüyünü və orijinallığını təmin edir. Simsiz şəbəkə giriş nöqtəsini izolyasiya edilmiş bir LAN üzərinə yerləşdirməklə, yalnız çıxış nöqtəsi trafik filtrləri ilə qorunur və yalnız bir IPSec tunelinin müəyyən bir ana ünvana yerləşdirilməsinə imkan verir ki, VPN-ə doğru identifikasiya etmə məlumatları olmadıqda simsiz şəbəkənin faydasız olduğunu göstərir. Etibarlı IPSec bağlantısı qurulduqdan sonra son cihazdan şəbəkənin etibarlı hissəsinə bütün trafik tamamilə qorunur. Yalnız giriş nöqtəsinin idarə edilməsini sərtləşdirməlisiniz, belə ki, onu dəyişdirə bilməzsiniz.

DHCP və ya DNS xidmətlərini idarəetmə rahatlığı üçün də istifadə edə bilərsiniz, amma MAC ünvanları siyahısı ilə süzgələşmək və şəbəkənin simsiz alt şəbəkəsinin bir neçə potensial DoS hücumlar.

İndi açıq-aydın hala MAC ünvanı siyahısına və təsadüfi MAC və MAC klonlama proqramları ilə yayımlanmayan SSID ətrafında hələ də bu günə qədər mövcud olan ən böyük təhlükəsizlik təhlükəsi ilə yanaşı, Sosial Mühəndisliyi ətrafında əldə edə bilərsiniz, lakin əsas risk hələ də yalnız potensial xidmət itkisidir simsiz çıxışa. Bəzi hallarda bu, simsiz şəbəkənin özünə daxil olmaq üçün uzadılmış identifikasiya xidmətlərini yoxlamaq üçün kifayət qədər böyük risk ola bilər.

Yenə də bu məqalənin əsas məqsədi, kritik daxili resurslardan ödün vermədən və şirkətlərinizin aktivlərini risk altında qoymadan simsiz istifadəçiyə asanlıqla daxil olmaq və təmin etməkdir. Təminatsız simsiz şəbəkəni etibarlı kabel şəbəkəsindən təcrid edərək, autentifikasiya, avtorizasiya, mühasibat uçotu və şifrəli VPN tunelini biz yalnız etdik.

Yuxarıdakı rəsmə baxın. Bu dizaynda bir çox interfeysdən istifadə etdim və hər bir zonada fərqli səviyyədə olan şəbəkələri həqiqətən təhlükəsizləşdirmək üçün çoxlu interfeysli VPN konsentratını istifadə etdim. Bu senaryoda ən az etibarlı xarici interfeysimiz var, daha sonra bir qədər etibarlı Wireless DMZ, daha sonra daha etibarlı VPN DMZ və sonra ən etibarlı daxili interfeys. Bu interfeyslərdən hər biri daxili kampus keçid şüşəsində fərqli fiziki bir keçiddə və ya sadəcə yoxlanılmamış bir VLAN-də yerləşə bilər.

Rəsmdən görə bilərsiniz ki, simsiz şəbəkə simsiz DMZ seqmentində yerləşdirilir. Daxili etibarlı şəbəkəyə və ya kənara (internetə) daxil olan yeganə yol təhlükəsizlik duvarında simsiz DMZ interfeysi vasitəsilə həyata keçirilir. Yalnız giden qaydalar DMZ alt şəbəkəsinə ESP və ISAKMP (IPSec) vasitəsi ilə VPN DMZ-də olan arayüz ünvanı xaricində VPN konsentratlarına daxil olmaq imkanı verir. VPN DMZ-in yalnız gələn qaydaları ESP və ISAKMP simsiz DMZ alt şəbəkəsindən VPN konsentratının xarici interfeysinin ünvanına qədərdir. Bu, IPSec VPN tunelini VPN müştərisindən simsiz hostda daxili etibarlı şəbəkədə yerləşən VPN konsentratının daxili interfeysinə qurulmasına imkan verir. Tünel tələb edildikdən sonra istifadəçi etimadnaməsi daxili AAA server tərəfindən təsdiq edilir, xidmətlərin həmin etimadnamələrə əsasən və iclas mühasibat uçotu başlayır. Ona icazə verərsə, etibarlı bir daxili ünvan təyin edilir və istifadəçinin daxili şirkət resurslarına və ya daxili şəbəkədən İnternetə çıxış imkanı var.

Bu dizayn avadanlıqların mövcudluğundan və daxili şəbəkə dizaynından asılı olaraq müxtəlif yollarla dəyişilə bilər. Təhlükəsizlik duvarı DMZ'ləri, həqiqətən, təhlükəsizlik giriş siyahıları işləyən router interfeysləri və hətta daxili marşrut keçid modulu ilə fərqli VLAN-lərin köçürülməsi ilə dəyişdirilə bilər. Zənginləşdiricini VPN-lə təchiz edən bir firewall ilə dəyişdirə bilərdi, burada IPSec VPN, simsiz DMZ-də birbaşa sona çatdı, belə ki, VPN DMZ-nin tələbi olmayacaqdı.

Bu müəssisə kampusu WLAN-nı mövcud təhlükəsiz müəssisə kampusuna inteqrasiyanın daha təhlükəsiz yollarından biridir.