Brug af en VPN til at sikre et virksomheds trådløse netværk



I denne artikel vil jeg diskutere et ret komplekst, men sikkert campus WLAN-design, der kunne implementeres i et virksomhedsmiljø.

En af de primære bekymringer med at køre trådløse netværk i dag er datasikkerhed. Traditionel 802.11 WLAN-sikkerhed omfatter brug af WEP-nøgler med åben eller delt nøgleautentificering og statisk kablet tilsvarende privatliv. Hvert af disse elementer af kontrol og privatliv kan blive kompromitteret. WEP opererer på datalinklaget og kræver, at alle parter deler samme hemmelige nøgle. Både 40 og 128-bitvarianter af WEP kan let brydes med tilgængelige værktøjer. 128-bit statiske WEP-nøgler kan brydes ind så lidt som 15 minutter på et WLAN med høj trafik på grund af en iboende mangel i RC4-krypteringsalgoritmen. Ved hjælp af FMS-angrebsmetoden kan du teoretisk udlede en WEP-nøgle i en rækkevidde fra 100,000 til 1,000,000-pakker krypteret ved hjælp af den samme nøgle.

Mens nogle netværk kan foregå med åben eller delt nøgleautentificering og statisk definerede WEP-krypteringsnøgler, er det ikke en god idé at stole på denne mængde sikkerhed alene i et virksomhedsnetværksmiljø, hvor prisen kunne være værd at anstrengelsen for at være en angriber. I dette tilfælde skal du have en form for udvidet sikkerhed.

Der er nogle nye krypteringsforbedringer, der hjælper med at overvinde WEP-sårbarheder som defineret i IEEE 802.11i-standarden. Softwareforbedringer til RC4-baseret WEP kendt som TKIP eller Temporal Key Integrity Protocol og AES, som ville blive betragtet som et stærkere alternativ til RC4. Enterprise versioner af Wi-Fi Protected Access eller WPA TKIP indeholder desuden PPK (pr. Pakke nøgle) og MIC (kontrol af meddelelsesintegritet). WPA TKIP udvider også initialiseringsvektoren fra 24-bits til 48-bits og kræver 802.1X for 802.11. Brug af WPA langs EAP til centraliseret autentificering og dynamisk nøglefordeling er et meget stærkere alternativ til den traditionelle 802.11-sikkerhedsstandard.

Men min præference såvel som mange andre er at overlejre IPSec oven på min klare tekst 802.11 trafik. IPSec giver fortrolighed, integritet og ægthed af datakommunikation på tværs af usikrede netværk ved at kryptere data med DES, 3DES eller AES. Ved at placere det trådløse netværksadgangspunkt på et isoleret LAN, hvor det eneste udgangspunkt er beskyttet med trafikfiltre, der kun tillader en IPSec-tunnel oprettes til en bestemt værtsadresse, gør det trådløse netværk ubrugeligt, medmindre du har godkendelsesoplysninger til VPN. Når den betroede IPSec-forbindelse er etableret, bliver al trafik fra slutenheden til den betroede del af netværket fuldstændig beskyttet. Du behøver kun at hærde styringen af ​​adgangspunktet, så det ikke kan manipuleres.

Du kan også køre DHCP og / eller DNS-tjenester for at lette styringen, men hvis du ønsker det, er det en god idé at filtrere med en MAC-adresseliste og deaktivere SSID-udsendelse, så det trådløse subnet af netværket er noget beskyttet mod potentielle DoS angreb.

Nu kan du selvfølgelig stadig komme rundt på MAC-adresselisten og den ikke-sendte SSID med tilfældige MAC- og MAC-kloningsprogrammer sammen med den største sikkerhedstrussel derude, der stadig er til dato, Social Engineering, men den primære risiko er stadig kun et potentielt tab af service til den trådløse adgang. I nogle tilfælde kan dette være en stor nok risiko for at tjekke ud udvidede godkendelsestjenester for at få adgang til det trådløse netværk i sig selv.

Igen er det primære mål i denne artikel at gøre det trådløse let tilgængeligt og give brugeren bekvemmelighed uden at gå på kompromis med dine kritiske interne ressourcer og sætte dine virksomheder i fare. Ved at isolere det usikrede trådløse netværk fra det betroede kablede netværk, der kræver godkendelse, autorisation, regnskab og en krypteret VPN-tunnel, har vi lige gjort det.

Se på tegningen ovenfor. I dette design har jeg brugt en firewall med fire grænseflader og en VPN-koncentrator med flere grænseflader til virkelig at sikre netværket med forskellige niveauer af tillid i hver zone. I dette scenario har vi den lavest tillid til eksterne grænseflade, så den lidt mere betroede Wireless DMZ, så den lidt mere betroede VPN DMZ og derefter den mest betroede indvendige interface. Hver af disse grænseflader kunne opholde sig på en anden fysisk switch eller blot et uudviklet VLAN i dit interne campus-switch stof.

Som du kan se fra tegningen er det trådløse netværk placeret inden for det trådløse DMZ segment. Den eneste vej ind i internt betroet netværk eller udefra (internettet) er via den trådløse DMZ-grænseflade på firewallen. De eneste udgående regler giver DMZ-subnet adgang til VPN-koncentratorer udenfor grænsefladeadresse, der befinder sig på VPN DMZ via ESP og ISAKMP (IPSec). De eneste indgående regler på VPN DMZ er ESP og ISAKMP fra det trådløse DMZ-subnet til adressen til den eksterne grænseflade til VPN-koncentratoren. Dette gør det muligt at bygge en IPSec VPN-tunnel fra VPN-klienten på den trådløse vært til den interne grænseflade af VPN-koncentratoren, der ligger på det internerede, betroede netværk. Når tunnelen er anmodet, er brugerens legitimationsoplysninger autentificeret af den interne AAA-server, tjenester er godkendt ud fra disse legitimationsoplysninger og sessionsregnskab starter. Derefter tildeles en gyldig intern adresse, og brugeren har mulighed for at få adgang til interne virksomhedsressourcer eller til internettet fra det interne netværk, hvis tilladelsen tillader det.

Dette design kan ændres på flere forskellige måder afhængigt af tilgængeligheden af ​​udstyr og det interne netværksdesign. Firewall-DMZ'erne kunne faktisk erstattes af routergrænseflader, der kører sikkerhedsadgangslister eller endda et internt routeromskiftermodul, der praktisk talt dirigerer forskellige VLAN'er. Koncentratoren kunne erstattes af en firewall, der var VPN-stand, hvor IPSec VPN sluttede direkte til den trådløse DMZ, således at VPN DMZ slet ikke ville blive påkrævet.

Dette er en af ​​de sikrere måder at integrere et enterprise campus WLAN på i en eksisterende sikret virksomhedskampus.