Uzante VPN por sekurigi kompanian sendratan reton



En ĉi tiu artikolo mi diskutos sufiĉe kompleksan sed sekuran kampusan WLAN-dezajnon, kiu povus esti deplojita en entreprena medio.

Unu el la ĉefaj konzernoj de kuranta senkablan retojn hodiaŭ estas datuma sekureco. Tradicia sekureco de 802.11 WLAN inkluzivas uzon de malferma aŭ interŝanĝa aŭtentokontrolo kaj statikaj drataj ekvivalentaj privatecaj ŝlosiloj. Ĉiu el ĉi tiuj elementoj de kontrolo kaj privateco povas esti endanĝerigitaj. WEP funkcias sur la datuma ligta tavolo kaj postulas, ke ĉiuj partioj dividu la saman sekretan ŝlosilon. Ambaŭ 40 kaj 128-mordaj variantoj de WEP povas facile esti rompitaj kun facile haveblaj iloj. Ŝlosiloj de 128-malmultekostaj WEP povas esti rompitaj en tiel malmultaj kiel 15-minutoj en alta trafiko WLAN pro esenca malfeliĉo en la ĉifra algoritmo de RC4. Uzante la FMS-atakan metodon teorie vi povas akiri WEP-ŝlosilon en intervalo de 100,000 al 1,000,000-pakoj ĉifritaj uzante la saman ŝlosilon.

Dum iuj retoj povas akiri malfermitajn aŭ dividitajn ŝlosilajn aŭtentikigojn kaj statike difinitajn WEP-ĉifritajn ŝlosilojn, ne estas bona ideo fidi ĉi tiun kvanton de sekureco sole en entreprena reto kie la premio povus valorigi la penon al atako. En ĉi tiu kazo vi bezonos ian etenditan sekurecon.

Estas kelkaj novaj ĉifritaj plibonigoj por helpi superi WEP-vundeblecojn kiel difinitaj de la normo IEEE 802.11i. Programar-plibonigoj al RC4-bazita WEP konata kiel TKIP aŭ Temporal Key Integrity Protocol kaj AES kiu estus konsiderata pli forta alternativo al RC4. Enterprise versioj de Wi-Fi Protected Access aŭ WPA TKIP aldone inkluzivas PPK (po pakaĵ-tajpado) kaj MIC (mesaĝa integreco-kontrolon). WPA TKIP ankaŭ etendas la komencan vektoron de 24-bitoj al 48-bitoj kaj postulas 802.1X por 802.11. Uzi WPA laŭ EAP por centralizita aŭtentikigo kaj dinamika kerna distribuo estas multe pli forta alternativo al la tradicia sekureca normo 802.11.

Tamen mia prefero kaj ankaŭ multaj aliaj estas kovri IPSec aldone al mia klara teksto 802.11-trafiko. IPSec disponigas konfidencecon, integrecon kaj aŭtentikecon de datumaj komunikadoj trans nesekuraj retoj per kodado de datumoj kun DES, 3DES aŭ AES. Metante la sendratan alirpunkton sur izolitan reton kie la sola elira punkto estas protektita per trafikfiltroj nur permesante IPSec-tunelon esti establita al specifa gastiganto, ĝi senutiligas la sendratan reton se vi ne havas aŭtentokontrolajn atestilojn al la VPN. Post kiam la fidinda IPSec-konekto estas establita, la trafiko de la fina aparato al la fidinda parto de la reto estos tute protektita. Vi nur devas hardi la administradon de la alira punkto do ĝi ne povas esti manipulita.

Vi ankaŭ povas funkcii kun DHCP kaj aŭ DNS-servoj por faciligi la administradon, sed se vi volas fari tion, estas bona ideo filtri per MAC-adresoj kaj malŝalti ajnan SSID-elsendon tiel ke sendrata subreto de la reto iom protektas kontraŭ eblaj DoS atakoj.

Nu, evidente vi povas ankoraŭ ĉirkaŭiri la liston de MAC-adresoj kaj la ne-elsenditaj SSID kun hazardaj MAC-MAC-klonaj programoj kune kun la plej granda sekureca minaco tie ĝis nun, Socia Inĝenierio sed la ĉefa risko daŭre estas nur ebla perdo de servo. al la sendrata aliro. En iuj kazoj ĉi tio povus esti sufiĉe granda risko por kontroli plilongigitajn aŭtentikajn servojn por akiri aliron al la sendrata reto.

Denove, la ĉefa celo en ĉi tiu artikolo estas faciligi la sendonan aliron kaj provizi la finuzian uzadon sen kompromiti viajn kritikajn internajn rimedojn kaj meti viajn kompaniojn en aktiva risko. Se vi izolas la sensekuran sendratan reton de la fidinda kabligita reto, necesas aŭtentokontrolo, rajtigo, kontado kaj ĉifrita VPN-tunelo, kiun ni faris ĝuste tion.

Rigardu la desegnon supre. En ĉi tiu desegno mi uzis plurajn interfacojn firewall kaj multnombra interfaco VPN-koncentrilo por vere certigi la reton kun malsamaj niveloj de fido en ĉiu zono. En ĉi tiu scenaro ni havas la plej malaltan fidindan eksteran interfacon, tiam la iomete pli fidindan Sendoluman DMZ, tiam la iomete pli fidindan VPN-DMZ kaj poste la plej fidindan internan interfacon. Ĉiu el ĉi tiuj interfacoj povus loĝi sur malsama fizika ŝaltilo aŭ simple nerektita VLAN en via interna kampusaj ŝaltilaj ŝtofoj.

Kiel vi povas vidi de la desegno la sendrata reto situas en la sendrata DMZ-segmento. La sola vojo en la internan fidindan reton aŭ reen eksteren (interreto) estas per la sendrata DMZ-interfaco sur la fajroŝirmilo. La solaj eliraj reguloj permesas al la subĉiela DMZ aliri la VPN-koncentrilojn ekster interfaca adreso kiu loĝas sur la VPN-DMZ per ESP kaj ISAKMP (IPSec). La nuraj eniraj reguloj de la VPN-DMZ estas ESP kaj ISAKMP de la sendrata DMZ-subteraĵo al la adreso de la ekstera interfaco de la VPN-koncentrilo. Ĉi tio permesas, ke IPSec-VPN tunelo estu konstruita de la VPN-kliento sur la sendrata gastiganto al la interna interfaco de la VPN-koncentrilo, kiu loĝas sur la interna fida reto. Post kiam la tunelo estas peto estas iniciatita la uzanto-atestiloj estas aŭtentikigitaj de la interna AAA-servilo, servoj estas rajtigitaj surbaze de tiuj akreditaĵoj kaj sesia kontado komenciĝas. Tiam valida interna adreso estas atribuita kaj la uzanto havas la kapablon aliri internajn firmaajn rimedojn aŭ al Interreto de la interna reto se la rajtigo permesas ĝin.

Ĉi tiu dezajno povus esti modifita laŭ pluraj malsamaj manieroj depende de la havebleco de ekipaĵo kaj de la interna reto-dezajno. La fajromuroj DMZ-aj povus fakte esti anstataŭitaj de router-interfacoj uzantaj listojn de sekureca aliro aŭ eĉ internan itineran intertempan modulon preskaŭ enirante malsamajn VLANojn. La koncentrilo povus esti anstataŭigita per fajroŝirmilo VPN kapabla, kie la IPSec-VPN finiĝis rekte ĉe la sendrata DMZ tiel ke la VPN-DMZ tute ne postulos.

Ĉi tiu estas unu el la pli sekuraj manieroj integri kampuson de entrepreno WLAN al ekzistanta sekureca entreprena kampuso.