Paggamit sa usa ka VPN aron sa pagsiguro sa usa ka negosyo nga wireless nga network



Niining artikuloha akong hisgutan ang usa ka komplikado apan luwas nga kampus sa disenyo sa WLAN nga mahimo nga ipadala sa usa ka negosyo nga palibot.

Usa sa mga nag-una nga mga kabalaka sa pagpaandar sa mga wireless network karon mao ang seguridad sa kasayuran. Ang tradisyonal nga security sa 802.11 WLAN naglakip sa paggamit sa open o shared-key authentication ug static wired equivalent privacy (WEP) nga mga yawe. Ang matag usa niini nga mga elemento sa pagkontrol ug pagkalipayon mahimong ikompromiso. Ang WEP naglihok sa data link layer ug nagkinahanglan nga ang tanan nga partido magpaambit sa samang sekretong yawe. Ang 40 ug 128-bit nga mga variant sa WEP daling mabuak uban sa mga gamit nga daling mabatonan. Ang 128-bit nga static WEP nga mga yawe mahimong mabuak sa labing minus nga 15 minutos sa usa ka taas nga trapiko sa WLAN tungod sa usa ka kinaiyanhong pagkulang sa RC4 encryption algorithm. Pinaagi sa paggamit sa pamaagi sa pag-atake sa FMS theoretically mahimo nimo makuha ang usa ka WEP nga susi sa usa ka kutay gikan sa 100,000 ngadto sa 1,000,000 nga mga pakete nga naka-encrypt gamit ang sama nga yawe.

Samtang ang pipila ka mga network mahimo nga makabaton sa bukas o gipakigbahin nga pag-ila sa utok ug tin-aw nga gihubit nga mga yawe sa WEP encryption dili kini usa ka maayo nga ideya nga mosalig sa kini nga gidaghanon sa seguridad nga mag-inusara sa usa ka palibot sa negosyo sa kompyuter diin ang ganti mahimong takus sa paningkamot sa usa nga mahimong tig-atake. Sa kini nga kaso kinahanglan nimo ang usa ka matang sa dugay nga seguridad.

Adunay pipila ka mga bag-ong encryption enhancements nga makatabang sa pagbuntog sa mga kahuyang sa WEP nga gihubit sa standard IEEE 802.11i. Software nga mga pagdugang sa RC4 nga nakabase sa WEP nga nailhan nga TKIP o Temporal Key Integrity Protocol ug AES nga giisip nga mas lig-on nga alternatibo sa RC4. Ang mga bersyon sa Enterprise nga Wi-Fi Protected Access o WPA TKIP dugang pa nga naglakip sa PPK (kada packet keying) ug MIC (check sa integridad sa mensahe). Ang WPA TKIP usab naglugway sa initialization vector gikan sa 24 bits ngadto sa 48 bits ug nagkinahanglan sa 802.1X alang sa 802.11. Ang paggamit sa WPA sa EAP alang sa sentralisadong pagkumpirma ug dinamikong yano nga pag-apod-apod usa ka mas lig-on nga alternatibo sa tradisyonal nga standard sa 802.11 security.

Apan ang akong pagpalabi ingon man usab ang daghan nga uban mao ang pag-overlay sa IPSec sa ibabaw sa akong tin-aw nga teksto nga trapiko sa 802.11. Ang IPSec naghatag sa kompidensyal, integridad, ug pagkakasaligan sa mga komunikasyon sa datos sa mga unsecured networks pinaagi sa pag-encrypt sa datos sa DES, 3DES o AES. Pinaagi sa pagbutang sa wireless network access point sa usa ka nahilit nga LAN diin ang bugtong exit point gipanalipdan sa mga filter sa trapiko nga nagtugot lamang sa usa ka tunel sa IPSec nga maestablisar sa usa ka piho nga adres sa panon nga kini naghatag sa wireless nga network nga walay pulos kung wala ka'y ​​authentication credentials sa VPN. Sa higayon nga ang kasaligang koneksyon sa IPSec natukod na ang tanan nga trapiko gikan sa katapusan nga himan ngadto sa kasaligang bahin sa network hingpit nga mapanalipdan. Gikinahanglan mo lamang nga patig-an ang pagdumala sa access point aron kini dili mahimong usbon.

Mahimo nimong magpadagan ang DHCP ug DNS nga mga serbisyo ingon man alang sa kasayon ​​sa pagdumala apan kung gusto nimong buhaton kini sa usa ka maayong ideya sa pagsala sa usa ka MAC address nga listahan ug pag-disable sa bisan unsang SSID broadcasting nga ang wireless nga subnet sa network medyo gipanalipdan gikan sa mga potensyal nga DoS atake.

Karon klaro nga makahimo gihapon kamo sa pag-abut sa MAC address list ug sa dili-broadcast nga SSID nga adunay random nga MAC ug MAC cloning nga mga programa uban sa pinakadakong hulga sa seguridad nga anaa pa karon, Social Engineering apan ang nag-una nga risgo mao gihapon ang usa ka potensyal nga pagkawala sa serbisyo ngadto sa wireless access. Sa pipila ka mga kaso kini mahimo nga usa ka dako nga igo nga risgo sa pagsusi sa gipaabot nga serbisyo sa pag-authenticate aron makaangkon og access sa wireless network mismo.

Pag-usab, ang nag-una nga katuyoan niining artikuloha mao ang paghimo sa wireless nga sayon ​​nga ma-access ug paghatag sa hingpit nga kagustuhan sa user nga walay pagkompromiso sa imong kritikal nga internal nga mga kahinguhaan ug pagbutang sa imong mga kapital nga mga butang sa peligro. Pinaagi sa paglain sa unsecured wireless network gikan sa kasaligang wired network, nga nagkinahanglan og pag-authentication, pagtugot, accounting ug usa ka encrypted VPN tunnel nga nahimo na lang namo.

Tan-awa ang drowing sa ibabaw. Niini nga plano akong gigamit ang multiple interface firewall ug ang multiple interface VPN concentrator aron masiguro ang network nga adunay lainlaing lebel sa pagsalig sa matag zone. Sa kini nga sitwasyon kita adunay labing ubos nga kasaligan sa gawas nga interface, nan ang gamay mas kasaligang Wireless DMZ, nan ang gamay nga mas kasaligang VPN DMZ ug dayon ang labing kasaligan nga sulod nga interface. Ang matag usa niini nga mga interface mahimong magpuyo sa usa ka lain-laing mga pisikal nga switch o usa ka wala mausab nga VLAN sa imong internal nga kampus switch nga panapton.

Sama sa imong makita gikan sa pagdrowing sa wireless network nahimutang sulod sa wireless nga DMZ nga bahin. Ang bugtong paagi ngadto sa internal nga kasaligang network o balik sa gawas (internet) mao ang pinaagi sa wireless DMZ interface sa firewall. Ang bugtong outbound nga mga lagda nagtugot sa DMZ subnet sa pag-access sa mga VPN concentrators sa gawas sa interface address nga anaa sa VPN DMZ pinaagi sa ESP ug ISAKMP (IPSec). Ang bugtong inbound rules sa VPN DMZ mao ang ESP ug ISAKMP gikan sa wireless DMZ subnet ngadto sa address sa external interface sa VPN concentrator. Kini nagtugot sa IPSec VPN tunnel nga tukoron gikan sa VPN client sa wireless host ngadto sa internal nga interface sa VPN concentrator nga nagpuyo sa internal nga kasaligang network. Sa higayon nga ang tunnel ang gipangayo gipasiugdahan ang mga kredensyal sa tiggamit gipamatud-an sa internal nga AAA server, ang mga serbisyo gitugutan sumala sa mga kredensyal ug pagsugod sa pagsugod sa session. Unya ang usa ka balido nga internal nga address gi-assign ug ang user adunay abilidad sa pag-access sa internal resources sa kompaniya o sa Internet gikan sa internal nga network kon ang pagtugot niini nagtugot niini.

Kini nga disenyo mahimong mausab sa nagkalain-lain nga mga paagi depende sa pagkabaton sa mga ekipo ug sa internal nga disenyo sa network. Ang firewall DMZs mahimong tinuod nga mapulihan sa mga interface sa router nga nagpadagan sa mga access list sa seguridad o bisan sa usa ka internal nga ruta nga switching module nga halos nagbalhin-balhin sa lainlaing VLANs. Ang concentrator mahimong mapulihan sa usa ka firewall nga VPN nga makahimo kung diin ang IPSec VPN direktang natapos sa wireless DMZ aron ang VPN DMZ dili gikinahanglan.

Usa kini sa mas masaligon nga mga pamaagi sa pag-integrate sa usa ka enterprise campus WLAN ngadto sa usa ka kasamtangan nga sinaligan nga campus sa negosyo.