Χρησιμοποιώντας ένα VPN για τη διασφάλιση ενός επιχειρηματικού ασύρματου δικτύου



Σε αυτό το άρθρο θα συζητήσω ένα αρκετά σύνθετο αλλά ασφαλές WLAN πανεπιστημιακού σχεδιασμού το οποίο θα μπορούσε να αναπτυχθεί σε ένα επιχειρηματικό περιβάλλον.

Μία από τις κύριες ανησυχίες σχετικά με τα ασύρματα δίκτυα που εκτελούνται σήμερα είναι η ασφάλεια των δεδομένων. Η παραδοσιακή ασφάλεια 802.11 WLAN περιλαμβάνει τη χρήση κλειδιών ταυτότητας ανοιχτού ή κοινόχρηστου κλειδιού και στατικών ενσύρματων κλειδιών προστασίας προσωπικών δεδομένων (WEP). Κάθε ένα από αυτά τα στοιχεία ελέγχου και ιδιωτικότητας μπορεί να διακυβευτεί. Το WEP λειτουργεί στο στρώμα ζεύξης δεδομένων και απαιτεί όλα τα μέρη να μοιράζονται το ίδιο μυστικό κλειδί. Και οι δύο παραλλαγές 40 και 128-bit του WEP μπορούν εύκολα να καταστραφούν με εύκολα διαθέσιμα εργαλεία. Τα στατικά κλειδιά WEP 128-bit μπορούν να σπάσουν τόσο λίγο όσο τα 15 λεπτά σε ένα WLAN υψηλής επισκεψιμότητας, λόγω ενός εγγενούς ελλείμματος στον αλγόριθμο κρυπτογράφησης RC4. Χρησιμοποιώντας τη μέθοδο επίθεσης FMS θεωρητικά μπορείτε να εξαγάγετε ένα κλειδί WEP σε μια περιοχή από 100,000 σε 1,000,000 πακέτα κρυπτογραφημένα χρησιμοποιώντας το ίδιο κλειδί.

Ενώ ορισμένα δίκτυα μπορούν να περάσουν με ανοιχτό ή κοινόχρηστο κλειδί ελέγχου ταυτότητας και στατικά καθορισμένα κλειδιά κρυπτογράφησης WEP, δεν είναι καλή ιδέα να βασιστείτε μόνο σε αυτό το ποσό ασφάλειας σε ένα επιχειρηματικό περιβάλλον δικτύου όπου το έπαθλο θα μπορούσε να αξίζει την προσπάθεια να γίνει ένας εισβολέας. Σε αυτή την περίπτωση θα χρειαστείτε κάποιο είδος εκτεταμένης ασφάλειας.

Υπάρχουν ορισμένες νέες βελτιώσεις κρυπτογράφησης για να βοηθήσετε στην αντιμετώπιση των τρωτών σημείων WEP όπως ορίζονται στο πρότυπο IEEE 802.11i. Βελτιώσεις λογισμικού στο WEP με βάση το RC4, γνωστό ως TKIP ή πρωτόκολλο πρωτεύοντος ακεραιότητας και AES, το οποίο θα θεωρείται ισχυρότερη εναλλακτική λύση για το RC4. Οι εκδόσεις Enterprise του Wi-Fi Protected Access ή του WPA TKIP περιλαμβάνουν επιπλέον PPK (ανά κωδικοποίηση πακέτων) και MIC (έλεγχος ακεραιότητας μηνυμάτων). Το WPA TKIP επεκτείνει επίσης το διάνυσμα αρχικοποίησης από τα δυαδικά ψηφία 24 σε δυαδικά ψηφία 48 και απαιτεί το 802.1X για το 802.11. Η χρήση του WPA κατά μήκος του EAP για κεντρικό έλεγχο ταυτότητας και δυναμική διανομή κλειδιών είναι μια πολύ ισχυρότερη εναλλακτική λύση από το παραδοσιακό πρότυπο ασφαλείας 802.11.

Ωστόσο, η προτίμησή μου, καθώς και πολλοί άλλοι, είναι να επικαλύψω το IPSec πάνω από την κυκλοφορία 802.11 με καθαρό κείμενο. Το IPSec παρέχει την εμπιστευτικότητα, την ακεραιότητα και την αυθεντικότητα των επικοινωνιών δεδομένων σε μη ασφαλισμένα δίκτυα με κρυπτογράφηση δεδομένων με DES, 3DES ή AES. Τοποθετώντας το σημείο πρόσβασης ασύρματου δικτύου σε απομονωμένο τοπικό δίκτυο όπου το μόνο σημείο εξόδου προστατεύεται με φίλτρα κυκλοφορίας επιτρέποντας τη δημιουργία μιας σήραγγας IPSec σε μια συγκεκριμένη διεύθυνση κεντρικού υπολογιστή, καθιστά άχρηστο το ασύρματο δίκτυο, εκτός εάν έχετε πιστοποιήσεις πιστοποίησης στο VPN. Μόλις ολοκληρωθεί η αξιόπιστη σύνδεση IPSec, όλη η κυκλοφορία από την τελική συσκευή στο αξιόπιστο τμήμα του δικτύου θα προστατεύεται πλήρως. Χρειάζεται μόνο να σκληρύνετε τη διαχείριση του σημείου πρόσβασης έτσι ώστε να μην μπορεί να παραβιαστεί.

Μπορείτε επίσης να χρησιμοποιήσετε υπηρεσίες DHCP και DNS για ευκολία διαχείρισης, αλλά εάν το επιθυμείτε, καλό είναι να φιλτράρετε με μια λίστα διευθύνσεων MAC και να απενεργοποιήσετε οποιαδήποτε εκπομπή SSID έτσι ώστε το ασύρματο υποδίκτυο του δικτύου να είναι κάπως προστατευμένο από το δυνητικό DoS επιθέσεις.

Τώρα προφανώς μπορείτε ακόμα να μεταβείτε στη λίστα διευθύνσεων MAC και στο μη εκπεμπόμενο SSID με τυχαία προγράμματα MAC και MAC κλωνοποίησης μαζί με τη μεγαλύτερη απειλή ασφάλειας που υπάρχει ακόμα μέχρι σήμερα, η Κοινωνική Μηχανική αλλά ο κύριος κίνδυνος εξακολουθεί να είναι απλώς μια πιθανή απώλεια υπηρεσιών στην ασύρματη πρόσβαση. Σε ορισμένες περιπτώσεις, αυτό μπορεί να είναι ένας αρκετά μεγάλος κίνδυνος να ελέγξει τις εκτεταμένες υπηρεσίες ελέγχου ταυτότητας για να αποκτήσει πρόσβαση στο ίδιο το ασύρματο δίκτυο.

Και πάλι, ο πρωταρχικός στόχος σε αυτό το άρθρο είναι να καταστήσει το ασύρματο κάπως εύκολο να έχει πρόσβαση και να παρέχει την ευκολία τελικού χρήστη χωρίς να διακυβεύει τους κρίσιμους εσωτερικούς πόρους σας και να θέτει τα περιουσιακά στοιχεία των εταιρειών σας σε κίνδυνο. Με την απομόνωση του ασύρματου ασύρματου δικτύου από το αξιόπιστο ενσύρματο δίκτυο, που απαιτεί έλεγχο ταυτότητας, εξουσιοδότηση, λογιστική και κρυπτογραφημένη σήραγγα VPN, έχουμε κάνει ακριβώς αυτό.

Ρίξτε μια ματιά στο παραπάνω σχέδιο. Σε αυτόν τον σχεδιασμό χρησιμοποίησα ένα τείχος προστασίας πολλαπλών διεπαφών και έναν συγκεντρωτή VPN πολλαπλών διεπαφών για την ασφαλή διασφάλιση του δικτύου με διαφορετικά επίπεδα εμπιστοσύνης σε κάθε ζώνη. Σε αυτό το σενάριο έχουμε τη χαμηλότερη αξιόπιστη εξωτερική διασύνδεση, τότε το ελαφρώς πιο αξιόπιστο Wireless DMZ, στη συνέχεια το ελαφρώς πιο αξιόπιστο VPN DMZ και στη συνέχεια το πιο αξιόπιστο εσωτερικό interface. Κάθε μία από αυτές τις διασυνδέσεις θα μπορούσε να βρίσκεται σε διαφορετικό φυσικό διακόπτη ή απλώς σε ένα αδιάσπαστο VLAN στο εσωτερικό διακόπτη της πανεπιστημιούπολης.

Όπως μπορείτε να δείτε από το σχέδιο, το ασύρματο δίκτυο βρίσκεται μέσα στο ασύρματο τμήμα DMZ. Ο μόνος τρόπος στο εσωτερικό έμπιστο δίκτυο ή πίσω στο εξωτερικό (διαδίκτυο) είναι μέσω της ασύρματης διασύνδεσης DMZ στο τείχος προστασίας. Οι μόνοι εξερχόμενοι κανόνες επιτρέπουν στο υποδίκτυο DMZ να έχει πρόσβαση στους συμπυκνωτές VPN εκτός της διεύθυνσης διεπαφής που βρίσκεται στο VPN DMZ μέσω ESP και ISAKMP (IPSec). Οι μόνοι εισερχόμενοι κανόνες για το VPN DMZ είναι το ESP και το ISAKMP από το ασύρματο υποδίκτυο DMZ στη διεύθυνση της εξωτερικής διασύνδεσης του συμπυκνωτή VPN. Αυτό επιτρέπει τη δημιουργία μιας σήραγγας VPN IPSec από τον πελάτη VPN στον ασύρματο κεντρικό υπολογιστή στην εσωτερική διασύνδεση του συγκεντρωτή VPN που βρίσκεται στο εσωτερικό έμπιστο δίκτυο. Μόλις ξεκινήσει το αίτημα της σήραγγας, τα διαπιστευτήρια του χρήστη πιστοποιούνται από τον εσωτερικό διακομιστή ΑΑΑ, οι υπηρεσίες εξουσιοδοτούνται με βάση αυτά τα διαπιστευτήρια και την έναρξη της λογιστικής περιόδου λειτουργίας. Στη συνέχεια, εκχωρείται μια έγκυρη εσωτερική διεύθυνση και ο χρήστης έχει τη δυνατότητα πρόσβασης στο εσωτερικό δίκτυο της εταιρείας ή στο Internet από το εσωτερικό δίκτυο, αν το επιτρέπει η εξουσιοδότηση.

Αυτός ο σχεδιασμός μπορεί να τροποποιηθεί με διάφορους τρόπους, ανάλογα με τη διαθεσιμότητα εξοπλισμού και το σχεδιασμό του εσωτερικού δικτύου. Τα DMZ τείχους προστασίας θα μπορούσαν πραγματικά να αντικατασταθούν από διεπαφές δρομολογητή που εκτελούν λίστες πρόσβασης ασφαλείας ή ακόμη και από εσωτερική μονάδα αλλαγής δρομολογίων που δρομολογεί ουσιαστικά διαφορετικά VLAN. Ο συγκεντρωτής θα μπορούσε να αντικατασταθεί από ένα τείχος προστασίας που ήταν ικανό για VPN, όπου το IPSec VPN τερμάτισε απευθείας στο ασύρματο DMZ, έτσι ώστε να μην απαιτείται καθόλου το VPN DMZ.

Αυτός είναι ένας από τους ασφαλέστερους τρόπους ενσωμάτωσης ενός επιχειρηματικού πανεπιστημιακού χώρου WLAN σε μια υπάρχουσα πανεπιστημιουπόλεις.