Använda en VPN för att säkra ett företags trådlösa nätverk



I den här artikeln kommer jag att diskutera en ganska komplex men säker campus WLAN-design som kan användas i en företagsmiljö.

En av de främsta problemen med att köra trådlösa nätverk idag är datasäkerhet. Traditionell 802.11 WLAN-säkerhet omfattar användning av WEP-tangenter med öppen eller delad nyckelverifiering och statisk WEP-nyckel. Var och en av dessa delar av kontroll och integritet kan äventyras. WEP arbetar på datalänkskiktet och kräver att alla parter delar samma hemliga nyckel. Både 40- och 128-bitvarianter av WEP kan enkelt brytas med tillgängliga verktyg. 128-bitars statiska WEP-nycklar kan brytas in så lite som 15-minuter på en WLAN med hög trafik på grund av en inneboende brist i RC4-krypteringsalgoritmen. Med hjälp av FMS-angreppsmetoden kan du teoretiskt få en WEP-nyckel i ett intervall från 100,000 till 1,000,000-paket krypterade med samma nyckel.

Medan vissa nätverk kan hanteras med öppen eller delad nyckelverifiering och statiskt definierade WEP-krypteringsnycklar är det inte en bra idé att förlita sig på den här säkerhetsmängden ensam i en företagsnätverksmiljö där priset skulle vara värt ansträngningen att en skulle vara angripare. I det här fallet behöver du någon form av utökad säkerhet.

Det finns några nya krypteringsförbättringar som hjälper till att övervinna WEP-sårbarheter som definieras av IEEE 802.11i-standarden. Programvaruförbättringar till RC4-baserad WEP känd som TKIP eller Temporal Key Integrity Protocol och AES som skulle anses vara ett starkare alternativ till RC4. Enterprise versioner av Wi-Fi Protected Access eller WPA TKIP innehåller dessutom PPK (per paketnyckel) och MIC (kontroll av meddelandets integritet). WPA TKIP utökar också initialiseringsvektorn från 24-bitar till 48-bitar och kräver 802.1X för 802.11. Att använda WPA längs EAP för centraliserad autentisering och dynamisk nyckeldistribution är ett mycket starkare alternativ till den traditionella 802.11-säkerhetsstandarden.

Men min preferens liksom många andra är att överlappa IPSec ovanpå min klara text 802.11-trafik. IPSec ger sekretess, integritet och äkthet av datakommunikation över otrygga nätverk genom att kryptera data med DES, 3DES eller AES. Genom att placera det trådlösa nätverksåtkomstpunktet på ett separat LAN där den enda utgångspunkten är skyddad med trafikfilter bara tillåter en IPSec-tunnel att etableras till en viss värdadress gör det det trådlösa nätverket värdelöst om du inte har behörighetsuppgifter till VPN. När den betrodda IPSec-anslutningen har upprättats kommer all trafik från slutenheten till den betrodda delen av nätverket att vara fullständigt skyddad. Du behöver bara härda hanteringen av åtkomstpunkten så att den inte kan manipuleras.

Du kan även köra DHCP och / eller DNS-tjänster för att underlätta hanteringen, men om du vill göra det är det en bra idé att filtrera med en MAC-adresslista och inaktivera SSID-sändning så att det trådlösa delnätet i nätverket är något skyddat från potentiella DoS attacker.

Nu kan du självklart fortfarande komma runt MAC-adresslistan och den icke-sända SSID-enheten med slumpmässiga MAC- och MAC-klonprogram tillsammans med det största säkerhetshotet där ute, hittills, Social Engineering, men den primära risken är fortfarande bara en potentiell tjänsteförlust till den trådlösa åtkomsten. I vissa fall kan det vara en tillräckligt stor risk att kolla in utökade autentiseringstjänster för att få tillgång till det trådlösa nätverket själv.

Återigen är det främsta målet i den här artikeln att göra det trådlösa lite lättåtkomligt och ge användarna bekvämlighet utan att kompromissa med dina kritiska interna resurser och sätta dina företag i fara. Genom att isolera det osäkrade trådlösa nätverket från det pålitliga kablade nätverket, som kräver autentisering, auktorisering, redovisning och en krypterad VPN-tunnel har vi gjort just det.

Ta en titt på ritningen ovan. I den här designen har jag använt en flera gränssnitt brandvägg och en VPN-koncentrator med flera gränssnitt för att verkligen säkra nätverket med olika nivåer av förtroende i varje zon. I det här scenariot har vi det lägsta betrodda yttre gränssnittet, då den lite mer betrodda Wireless DMZ, då den lite mer betrodda VPN DMZ och sedan det mest betrodda inbyggda gränssnittet. Var och en av dessa gränssnitt skulle kunna ligga på en annan fysisk omkopplare eller helt enkelt en oanvänd VLAN i din interna campusväxelväv.

Som du kan se från ritningen ligger det trådlösa nätverket inom det trådlösa DMZ-segmentet. Det enda sättet i det interna pålitliga nätverket eller bakåt på utsidan (internet) är via det trådlösa DMZ-gränssnittet på brandväggen. De enda utgående reglerna tillåter DMZ-subnätet att komma åt VPN-koncentratorer utanför gränssnittsadressen som finns på VPN DMZ via ESP och ISAKMP (IPSec). De enda inkommande reglerna på VPN DMZ är ESP och ISAKMP från det trådlösa DMZ-subnätet till adressen till det externa gränssnittet för VPN-koncentratorn. Detta gör det möjligt att bygga en IPSec VPN tunnel från VPN-klienten på den trådlösa värden till det interna gränssnittet för VPN-koncentratorn som ligger på det interna pålitliga nätverket. När tunneln är förfrågan initieras verifieras användaruppgifterna av den interna AAA-servern, tjänsterna är auktoriserade baserat på dessa referenser och sessionsbokföring startar. Därefter tilldelas en giltig intern adress och användaren har möjlighet att få tillgång till intern företagsresurser eller till Internet från det interna nätverket om auktoriseringen tillåter det.

Denna design kan ändras på flera olika sätt beroende på tillgången på utrustning och den interna nätdesignen. Firewall-DMZ: erna kan faktiskt ersättas av routerns gränssnitt som kör säkerhetsåtkomstlistor eller till och med en intern ruttväxlingsmodul som praktiskt taget dirigerar olika VLAN. Koncentratorn kan ersättas av en brandvägg som var VPN-kapabel där IPSec VPN terminerades direkt på den trådlösa DMZ så att VPN DMZ inte alls skulle behövas.

Detta är ett av de säkraste sätten att integrera ett företags campus WLAN i en befintlig säkerställd företagscampus.