Použití VPN k zabezpečení podnikové bezdrátové sítě



V tomto článku se budu zabývat poměrně složitým, ale bezpečným designem kampusu WLAN, který by mohl být nasazen v podnikovém prostředí.

Jedním z primárních zájmů při provozování bezdrátových sítí je dnes zabezpečení dat. Tradiční zabezpečení sítě 802.11 WLAN zahrnuje použití ověřování otevřených nebo sdílených klíčů a klíčů WEP. Každý z těchto prvků kontroly a soukromí může být ohrožen. WEP pracuje na vrstvě datového spoje a vyžaduje, aby všechny strany sdílely stejný tajný klíč. Varianty 40 a 128-bit WEP lze snadno rozbít pomocí snadno dostupných nástrojů. 128-bit statické klíče WEP mohou být přerušeny v tak málo jako 15 minut na vysokorychlostní síti WLAN z důvodu inherentního nedostatku v šifrovacím algoritmu RC4. Teoreticky můžete metodou útoku FMS odvodit klíč WEP v rozsahu od 100,000 do 1,000,000 paketů šifrovaných pomocí stejného klíče.

Zatímco některé sítě se mohou dostat s otevřeným nebo sdíleným ověřováním klíčů a staticky definovanými šifrovacími klíči WEP, není to dobrý nápad spoléhat se na toto množství zabezpečení pouze v prostředí podnikové sítě, kde by cena stála za snahu být útočníkem. V tomto případě budete potřebovat nějakou rozšířenou bezpečnost.

Existují nová vylepšení šifrování, která pomáhají překonat chyby zabezpečení WEP definované standardem IEEE 802.11i. Softwarová vylepšení WEP systému RC4, známého jako TKIP nebo Temporal Key Integrity Protocol a AES, které by byly považovány za silnější alternativu k RC4. Podnikové verze Wi -Fi Protected Access nebo WPA TKIP navíc obsahují PPK (na klíčování paketů) a MIC (kontrola integrity zpráv). WPA TKIP také rozšiřuje inicializační vektor z bitů 24 na bity 48 a vyžaduje 802.1X pro 802.11. Použití WPA podél EAP pro centralizované ověřování a dynamickou distribuci klíčů je mnohem silnější alternativou k tradičnímu standardu zabezpečení 802.11.

Nicméně moje preference, stejně jako mnoho dalších, je překrýt IPSec na vrcholu mého jasného textového provozu 802.11. IPSec poskytuje důvěrnost, integritu a autentičnost datové komunikace napříč nezabezpečenými sítěmi šifrováním dat pomocí DES, 3DES nebo AES. Umístěním přístupového bodu bezdrátové sítě do izolované sítě LAN, kde je jediný výstupní bod chráněn filtry provozu, které umožňují, aby byl tunel IPSec navázán na specifickou adresu hostitele, je bezdrátová síť zbytečná, pokud nemáte ověřovací pověření pro VPN. Po navázání důvěryhodného připojení IPSec bude veškerý provoz z koncového zařízení do důvěryhodné části sítě zcela chráněn. Musíte pouze zintenzivnit správu přístupového bodu, aby se s ním nemohlo manipulovat.

Můžete také spustit služby DHCP a DNS pro snadnou správu, ale pokud si to přejete udělat, je vhodné filtrovat se seznamem MAC adres a zakázat jakékoli vysílání SSID tak, aby byla bezdrátová podsítě sítě chráněna před potenciálním DoS útoků.

Nyní samozřejmě můžete stále obejít seznam adres MAC a ne-vysílané SSID s náhodnými programy MAC a MAC klonování spolu s největší bezpečnostní hrozbou tam stále doposud, sociální inženýrství, ale primární riziko je stále jen potenciální ztrátu služby bezdrátového přístupu. V některých případech to může být dostatečně velké riziko, aby bylo možné prověřit rozšířené služby ověřování a získat tak přístup k bezdrátové síti.

Primárním cílem v tomto článku je opět zpřístupnit bezdrátové připojení a poskytnout koncovým uživatelům pohodlí, aniž by to ohrozilo vaše kritické vnitřní zdroje a ohrozilo vaše společnosti. Tím, že jsme izolovali nezabezpečenou bezdrátovou síť od důvěryhodné kabelové sítě, vyžadovali autentizaci, autorizaci, účetnictví a šifrovaný VPN tunel, jsme to udělali.

Podívejte se na výkres výše. V tomto návrhu jsem použil firewall s více rozhraními a koncentrátor VPN s více rozhraními, aby se zajistila síť s různými úrovněmi důvěryhodnosti v každé zóně. V tomto scénáři máme nejnižší důvěryhodné vnější rozhraní, pak o něco důvěryhodnější bezdrátový DMZ, pak o něco důvěryhodnější VPN DMZ a pak nejdůvěryhodnější vnitřní rozhraní. Každé z těchto rozhraní by mohlo být umístěno na jiném fyzickém přepínači nebo jednoduše v nezatížené síti VLAN ve vaší vnitřní struktuře přepínače.

Jak vidíte z výkresu, bezdrátová síť je umístěna uvnitř bezdrátového segmentu DMZ. Jediná cesta do vnitřní důvěryhodné sítě nebo zpět na internet (internet) je přes bezdrátové rozhraní DMZ na firewallu. Pouze odchozí pravidla umožňují podsíti DMZ přistupovat k koncentrátorům VPN mimo adresu rozhraní, která je umístěna na VPN DMZ přes ESP a ISAKMP (IPSec). Jediné příchozí pravidla pro VPN DMZ jsou ESP a ISAKMP z bezdrátové podsítě DMZ na adresu externího rozhraní koncentrátoru VPN. To umožňuje, aby tunel IPSec VPN byl vytvořen z klienta VPN na bezdrátovém hostiteli do vnitřního rozhraní koncentrátoru VPN, který je umístěn ve vnitřní důvěryhodné síti. Jakmile je tunel iniciován, pověření uživatele jsou ověřena interním serverem AAA, služby jsou autorizovány na základě těchto pověření a začíná se účtování relace. Poté je přiřazena platná interní adresa a uživatel má možnost přístupu k interním podnikovým prostředkům nebo k Internetu z interní sítě, pokud to autorizace dovoluje.

Tato konstrukce by mohla být upravena několika různými způsoby v závislosti na dostupnosti vybavení a designu vnitřní sítě. Firewall DMZ by mohl být skutečně nahrazen routerovými rozhraními se zabezpečovacími přístupovými seznamy nebo dokonce interním přepínacím modulem virtuálních směrovačů různých VLAN. Koncentrátor by mohl být nahrazen firewallem, který byl schopen VPN, kde IPSec VPN skončil přímo u bezdrátového DMZ tak, že VPN DMZ by vůbec nebylo vyžadováno.

To je jeden z bezpečnějších způsobů integrace podnikového kampusu WLAN do stávajícího zabezpečeného kampusu.