Використання VPN для захисту корпоративної бездротової мережі



У цій статті я розгляну досить складний, але надійний проект WLAN, який можна розгорнути в корпоративному середовищі.

Однією з основних проблем із запуском бездротових мереж сьогодні є безпека даних. Традиційна безпека 802.11 WLAN включає в себе використання відкритих або спільних ключів аутентифікації та ключів статичної конфіденційності (WEP). Кожен з цих елементів контролю та конфіденційності може бути порушений. WEP працює на шарі каналу передачі даних і вимагає, щоб всі сторони ділилися одним і тим же секретним ключем. І 40, і 128-бітові варіанти WEP легко можуть бути порушені з доступними інструментами. 128-бітові статичні ключі WEP можуть бути порушені лише за хвилину 15 на WLAN з високим трафіком через невідповідний недолік алгоритму шифрування RC4. Теоретично використовуючи метод атаки FMS, ви можете отримати ключ WEP в діапазоні від 100,000 до 1,000,000 пакетів, зашифрованих за допомогою того ж ключа.

Хоча деякі мережі можуть пройти через аутентифікацію з відкритим або спільним ключем і статично визначені ключі шифрування WEP, не варто покладатися лише на таку кількість безпеки в корпоративному мережевому середовищі, де приз може стати вагомим зусиллям для атакуючого. У цьому випадку вам знадобиться якийсь розширений захист.

Є деякі нові вдосконалення шифрування, які допомагають подолати уразливості WEP, як це визначено стандартом IEEE 802.11i. Покращення програмного забезпечення на основі WEP на основі RC4, відомого як протокол TKIP або Temporal Key Integrity Protocol і AES, які вважаються більш сильною альтернативою RC4. Корпоративні версії Wi-Fi захищеного доступу або WPA TKIP додатково включає PPK (для пакетної маніпуляції) і MIC (перевірка цілісності повідомлення). WPA TKIP також розширює вектор ініціалізації з бітів 24 до бітів 48 і вимагає 802.1X для 802.11. Використання WPA по EAP для централізованої аутентифікації та динамічного розподілу ключів є набагато сильнішою альтернативою традиційному стандарту безпеки 802.11.

Однак моє бажання, як і багато інших, полягає в накладанні IPSec поверх мого чіткого трафіку 802.11. IPSec забезпечує конфіденційність, цілісність і автентичність передачі даних через незахищені мережі шляхом шифрування даних за допомогою DES, 3DES або AES. Розміщуючи точку доступу безпроводової мережі на ізольованій локальній мережі, де єдина точка виходу захищена фільтрами трафіку, дозволяючи тунель IPSec встановлюватися на певній адресу хосту, вона робить бездротову мережу марною, якщо ви не маєте ідентифікаційних даних для VPN. Після встановлення довіреного з'єднання IPSec весь трафік від кінцевого пристрою до надійної частини мережі буде повністю захищений. Вам потрібно лише посилити управління точкою доступу, щоб її не можна було підробити.

Ви можете запускати служби DHCP і або DNS, а також для зручності керування, але якщо ви бажаєте зробити це, це добре, щоб фільтрувати за допомогою списку MAC-адрес і відключити будь-яке мовлення SSID, так що бездротова підмережа мережі дещо захищена від потенційних DoS атаки.

Тепер, очевидно, ви все ще можете обійти список MAC-адрес і не-трансляцію SSID з випадковими програмами клонування MAC і MAC разом з найбільшою загрозою безпеки, яка існує досі, соціальна інженерія, але основним ризиком залишається лише потенційна втрата сервісу. до бездротового доступу. У деяких випадках це може бути досить великим ризиком для перевірки розширених служб аутентифікації, щоб отримати доступ до самої бездротової мережі.

Знову ж таки, основною метою в цій статті є зробити бездротовий доступ легко і забезпечити зручність для кінцевих користувачів без шкоди для критичних внутрішніх ресурсів і піддавання ризику активам ваших компаній. Виділивши незахищену бездротову мережу з надійної проводової мережі, вимагаючи аутентифікації, авторизації, обліку та зашифрованого тунелю VPN, ми зробили це саме так.

Погляньте на малюнок вище. У цій конструкції я використовував брандмауер з декількома інтерфейсами і концентратор VPN з декількома інтерфейсами, щоб дійсно захистити мережу з різним рівнем довіри в кожній зоні. У цьому сценарії ми маємо найнижчий довіряючий зовнішній інтерфейс, потім трохи більше довіряється Wireless DMZ, потім трохи більш надійний VPN DMZ, а потім найнадійніший інтерфейс. Кожен з цих інтерфейсів може знаходитися на іншому фізичному комутаторі або просто непрохідній VLAN у вашій внутрішній тканині перемикача.

Як видно з креслення, бездротова мережа розташована всередині бездротового сегмента DMZ. Єдиний шлях до внутрішньої довіреної мережі або назад до Інтернету - через бездротовий інтерфейс DMZ на брандмауері. Єдині вихідні правила дозволяють підмережі DMZ отримувати доступ до концентраторів VPN за межами адреси інтерфейсу, який знаходиться на VPN DMZ через ESP і ISAKMP (IPSec). Єдиними вхідними правилами для VPN DMZ є ESP і ISAKMP від ​​бездротової підмережі DMZ до адреси зовнішнього інтерфейсу концентратора VPN. Це дозволяє будувати тунель VPN IPSec з клієнта VPN на бездротовому хості до внутрішнього інтерфейсу концентратора VPN, який знаходиться у внутрішній надійній мережі. Після ініціалізації тунелю користувальницькі облікові дані аутентифікуються внутрішнім сервером AAA, послуги авторизовані на основі цих облікових даних і починається облік сеансу. Потім призначається правильна внутрішня адреса, і користувач має можливість доступу до внутрішніх ресурсів компанії або до Інтернету з внутрішньої мережі, якщо авторизація дозволяє.

Ця конструкція може бути модифікована кількома різними способами в залежності від наявності обладнання та внутрішнього дизайну мережі. ДМЗ брандмауера фактично можуть бути замінені інтерфейсами маршрутизатора, що виконують списки доступу до безпеки, або навіть модулем внутрішнього перемикання маршрутів, який фактично маршрутизує різні VLAN. Концентратор може бути замінений брандмауером, який був VPN здатний, де IPSec VPN припиняється безпосередньо на бездротовому DMZ, так що VPN DMZ не буде потрібно взагалі.

Це один з найбільш безпечних способів інтеграції WLAN корпоративного кампусу в існуючий кампус із захищеним підприємством.