Korzystanie z sieci VPN w celu zabezpieczenia firmowej sieci bezprzewodowej



W tym artykule omówię dość złożony, ale bezpieczny projekt kampusu WLAN, który można wdrożyć w środowisku przedsiębiorstwa.

Jednym z głównych problemów związanych z uruchomieniem dzisiaj sieci bezprzewodowych jest bezpieczeństwo danych. Tradycyjne zabezpieczenia 802.11 WLAN obejmują korzystanie z otwartego lub współużytkowanego klucza i statycznych kluczy WEP. Każdy z tych elementów kontroli i prywatności może zostać naruszony. WEP działa na warstwie łącza danych i wymaga, aby wszystkie strony korzystały z tego samego tajnego klucza. Zarówno warianty WEP 40, jak i 128 można łatwo złamać za pomocą łatwo dostępnych narzędzi. Statyczne klucze WEP 128-bitowe mogą zostać zerwane w zaledwie 15 minut w sieci WLAN o dużym natężeniu ruchu ze względu na wrodzoną wadę algorytmu szyfrowania RC4. Korzystając teoretycznie z metody ataku FMS, można uzyskać klucz WEP w zakresie od 100,000 do pakietów 1,000,000 zaszyfrowanych przy użyciu tego samego klucza.

Podczas gdy niektóre sieci mogą korzystać z uwierzytelniania przy użyciu otwartego lub współdzielonego klucza i statycznie zdefiniowanych kluczy szyfrowania WEP, nie jest dobrym pomysłem poleganie wyłącznie na tym poziomie bezpieczeństwa w środowisku sieci korporacyjnej, w którym nagroda może być warta wysiłku, aby być atakującym. W takim przypadku będziesz potrzebował pewnego rodzaju rozszerzonego bezpieczeństwa.

Istnieje kilka nowych ulepszeń szyfrowania, które pomagają przezwyciężyć luki WEP zdefiniowane przez standard IEEE 802.11i. Udoskonalenia oprogramowania do WEP opartego na RC4, znanego jako TKIP lub Temporal Key Integrity Protocol i AES, które byłyby uważane za silniejszą alternatywę dla RC4. Wersje Enterprise Wi-Fi Protected Access lub WPA TKIP dodatkowo zawierają PPK (na pakietowanie klucza) i MIC (sprawdzanie integralności wiadomości). WPA TKIP rozszerza również wektor inicjujący z bitów 24 na bity 48 i wymaga 802.1X dla 802.11. Użycie WPA wzdłuż EAP do scentralizowanego uwierzytelniania i dynamicznej dystrybucji kluczy jest znacznie silniejszą alternatywą dla tradycyjnego standardu bezpieczeństwa 802.11.

Jednak moja preferencja, podobnie jak wiele innych, polega na nakładaniu IPSec na mój ruch 802.11 z czystym tekstem. IPSec zapewnia poufność, integralność i autentyczność przesyłania danych w niezabezpieczonych sieciach poprzez szyfrowanie danych za pomocą DES, 3DES lub AES. Umieszczając punkt dostępu do sieci bezprzewodowej w odizolowanej sieci LAN, w której jedyny punkt wyjścia jest chroniony filtrami ruchu, umożliwiając ustanowienie tunelu IPSec tylko na określony adres hosta, czyni sieć bezprzewodową bezużyteczną, chyba że masz poświadczenia uwierzytelnienia do sieci VPN. Po ustanowieniu zaufanego połączenia IPSec cały ruch z urządzenia końcowego do zaufanej części sieci będzie całkowicie chroniony. Trzeba tylko wzmocnić zarządzanie punktem dostępu, aby nie można było nim manipulować.

Możesz również uruchamiać usługi DHCP i DNS, aby ułatwić zarządzanie, ale jeśli chcesz to zrobić, dobrze jest filtrować listę adresów MAC i wyłączyć nadawanie SSID, tak aby podsieć bezprzewodowa sieci była w pewnym stopniu chroniona przed potencjalnymi DoS ataki.

Teraz oczywiście możesz ominąć listę adresów MAC i nieemitowany identyfikator SSID z losowymi programami klonowania MAC i MAC wraz z największym zagrożeniem bezpieczeństwa, jakie dotychczas istniało, Inżynierii Społecznej, ale podstawowym ryzykiem jest nadal tylko potencjalna utrata usługi do dostępu bezprzewodowego. W niektórych przypadkach może to być wystarczająco duże ryzyko, aby sprawdzić rozszerzone usługi uwierzytelniania, aby uzyskać dostęp do samej sieci bezprzewodowej.

Ponownie, głównym celem tego artykułu jest ułatwienie dostępu do sieci bezprzewodowej i zapewnienie wygody użytkownikom końcowym bez narażania krytycznych zasobów wewnętrznych i narażania aktywów firmy na ryzyko. Izolując niezabezpieczoną sieć bezprzewodową od zaufanej sieci przewodowej, wymagającej uwierzytelniania, autoryzacji, księgowości i szyfrowanego tunelu VPN, właśnie to zrobiliśmy.

Spójrz na powyższy rysunek. W tym projekcie użyłem zapory sieciowej z wieloma interfejsami i koncentratora VPN z wieloma interfejsami, aby naprawdę zabezpieczyć sieć z różnymi poziomami zaufania w każdej strefie. W tym scenariuszu mamy najniższy zaufany interfejs zewnętrzny, a następnie nieco bardziej zaufany bezprzewodowy DMZ, a następnie nieco bardziej zaufany DMZ VPN, a następnie najbardziej zaufany interfejs wewnętrzny. Każdy z tych interfejsów może znajdować się na innym przełączniku fizycznym lub po prostu nieokreślonej sieci VLAN w strukturze przełącznika wewnętrznego kampusu.

Jak widać z rysunku, sieć bezprzewodowa znajduje się wewnątrz bezprzewodowego segmentu DMZ. Jedyną drogą do wewnętrznej zaufanej sieci lub z powrotem na zewnątrz (internet) jest bezprzewodowy interfejs DMZ na zaporze. Jedyne reguły wychodzące pozwalają podsieci DMZ na dostęp do koncentratorów VPN poza adresem interfejsu, który znajduje się w DMZ VPN za pośrednictwem ESP i ISAKMP (IPSec). Jedynymi regułami ruchu przychodzącego w sieci VPN DMZ są ESP i ISAKMP z bezprzewodowej podsieci DMZ do adresu zewnętrznego interfejsu koncentratora VPN. Pozwala to na zbudowanie tunelu IPSec VPN od klienta VPN na hoście bezprzewodowym do wewnętrznego interfejsu koncentratora VPN, który znajduje się w wewnętrznej zaufanej sieci. Po zainicjowaniu tunelu poświadczenia użytkownika są uwierzytelniane przez wewnętrzny serwer AAA, usługi są autoryzowane na podstawie tych poświadczeń i rozpoczyna się rozliczanie sesji. Następnie przypisywany jest prawidłowy adres wewnętrzny, a użytkownik ma możliwość dostępu do wewnętrznych zasobów firmy lub do Internetu z sieci wewnętrznej, jeśli zezwala na to autoryzacja.

Projekt ten można zmodyfikować na kilka różnych sposobów, w zależności od dostępności sprzętu i projektu sieci wewnętrznej. Strefy DMZ firewalla mogą w rzeczywistości zostać zastąpione przez interfejsy routera z listami dostępu bezpieczeństwa, a nawet wewnętrzny moduł przełączania tras wirtualnie trasujący różne sieci VLAN. Koncentrator mógłby zostać zastąpiony przez zaporę ogniową, która była zdolna do obsługi sieci VPN, gdzie sieć IPSec VPN kończyła się bezpośrednio w bezprzewodowej strefie DMZ, tak że strefa VPN DMZ w ogóle nie byłaby wymagana.

Jest to jeden z bardziej bezpiecznych sposobów integracji sieci korporacyjnej WLAN z istniejącym zabezpieczonym kampusem korporacyjnym.