Defnyddio VPN i sicrhau rhwydwaith di-wifr menter



Yn yr erthygl hon byddaf yn trafod cynllun gwead campws gweddol gymhleth ond diogel y gellid ei ddefnyddio mewn amgylchedd menter.

Un o'r prif bryderon ynglŷn â rhedeg rhwydweithiau di-wifr heddiw yw diogelwch data Mae diogelwch traddodiadol 802.11 WLAN yn cynnwys defnyddio allweddi allweddi agored neu a rennir ac allweddi preifatrwydd sefydlog WP. Gellir peryglu pob un o'r elfennau hyn o reolaeth a phreifatrwydd. Mae WEP yn gweithredu ar yr haen cyswllt data ac yn ei gwneud yn ofynnol i bob parti rannu'r un allwedd gyfrinachol. Mae'n hawdd torri amrywiadau 40 a 128-bit o WEP gydag offer sydd ar gael yn rhwydd. Gellir torri allweddi WEP 128-bit mewn cyn lleied â munudau 15 ar WLAN traffig uchel oherwydd diffyg cynhenid ​​yn yr algorithm amgryptio RC4. Gan ddefnyddio'r dull ymosodiad FMS yn ddamcaniaethol gallwch gael allwedd WEP mewn amrediad o becynnau 100,000 i 1,000,000 sydd wedi'u hamgryptio gan ddefnyddio'r un allwedd.

Er y gall rhai rhwydweithiau fynd trwy ddilysu allweddol agored neu a rennir ac allweddi amgryptio WEP sydd wedi'u diffinio'n ystadegol, nid yw'n syniad da dibynnu ar y swm hwn o ddiogelwch yn unig mewn amgylchedd rhwydwaith menter lle gallai'r wobr fod yn werth yr ymdrech i a fyddai'n ymosodwr. Yn yr achos hwn bydd angen rhyw fath o ddiogelwch estynedig arnoch.

Mae rhai gwelliannau amgryptio newydd i helpu i oresgyn gwendidau WEP fel y'u diffinnir gan safon IEEE 802.11i. Gwelliannau meddalwedd i WEP RC4-seiliedig o'r enw TKIP neu Protocol Uniondeb Allweddol Tymhorol ac AES a fyddai'n cael ei ystyried yn ddewis amgen cryfach i RC4. Mae fersiynau menter o Fynediad Gwarchodedig Wi -Fi neu TKIP WPA hefyd yn cynnwys PPK (fesul allwedd pecyn) a MIC (gwiriad cywirdeb neges). Mae WPA TKIP hefyd yn ymestyn y fector cychwynnol o ddarnau 24 i ddarnau 48 ac mae angen 802.1X ar gyfer 802.11. Mae defnyddio WPA ar hyd EAP ar gyfer dilysu canolog a dosbarthiad allwedd deinamig yn ddewis amgen llawer cryfach i'r safon diogelwch 802.11 draddodiadol.

Fodd bynnag, fy hoff ddewis yn ogystal â llawer o rai eraill yw troshaenu IPSec ar ben fy nhraffig testun clir 802.11. Mae IPSec yn darparu cyfrinachedd, uniondeb a dilysrwydd cyfathrebu data ar draws rhwydweithiau heb eu diogelu drwy amgryptio data gyda DES, 3DES neu AES. Drwy osod y pwynt mynediad rhwydwaith di-wifr ar LAN ynysig lle mae'r unig bwynt ymadael wedi'i ddiogelu gyda hidlyddion traffig yn caniatáu i dwnnel IPSec gael ei sefydlu i gyfeiriad gwesteiwr penodol, mae'n golygu nad yw'r rhwydwaith diwifr yn ddiwerth oni bai bod gennych ddilysiadau dilysu i'r VPN. Unwaith y bydd y cysylltiad IPSec y gellir ymddiried ynddo wedi'i sefydlu, bydd yr holl draffig o'r ddyfais olaf i'r rhan y gellir ymddiried ynddi yn cael ei diogelu'n llwyr. Nid oes angen i chi galedu rheolaeth y pwynt mynediad yn unig felly ni ellir ymyrryd ag ef.

Gallwch redeg gwasanaethau DHCP a / DNS hefyd er hwylustod rheoli ond os ydych chi'n dymuno gwneud hynny mae'n syniad da hidlo gyda rhestr cyfeiriad MAC ac analluogi unrhyw ddarllediad SSID fel bod is-wifr diwifr y rhwydwaith braidd yn ddiogel rhag DoS posibl ymosodiadau.

Nawr mae'n amlwg y gallwch chi o hyd fynd o gwmpas y rhestr cyfeiriadau MAC a'r SSID nad yw'n cael ei ddarlledu gyda rhaglenni clonio MAC a MAC ar hap ynghyd â'r bygythiad diogelwch mwyaf sydd yno hyd yn hyn, Peirianneg Gymdeithasol ond mae'r risg sylfaenol yn dal i fod yn golled posibl o wasanaeth o hyd. i'r mynediad di-wifr. Mewn rhai achosion gallai hyn fod yn risg digon mawr i edrych ar wasanaethau dilysu estynedig i gael mynediad i'r rhwydwaith di-wifr ei hun.

Unwaith eto, yr amcan pennaf yn yr erthygl hon yw gwneud y di-wifr braidd yn hawdd cael gafael arno a darparu cyfleustra i'r defnyddiwr terfynol heb gyfaddawdu eich adnoddau mewnol hanfodol a rhoi asedau'ch cwmnïau mewn perygl. Drwy arwahanu'r rhwydwaith di-wifr heb ei ddiogelu o'r rhwydwaith gwifrau y gellir ymddiried ynddo, sydd angen dilysu, awdurdodi, cyfrifyddu a thwnnel VPN wedi'i amgryptio, rydym wedi gwneud hynny.

Edrychwch ar y llun uchod. Yn y dyluniad hwn rwyf wedi defnyddio mur gwarchod rhyngwyneb lluosog a chrynhoad VPN rhyngwyneb lluosog i sicrhau'r rhwydwaith yn wirioneddol gyda gwahanol lefelau o ymddiriedaeth ym mhob parth. Yn y senario hwn mae gennym y rhyngwyneb allanol y gellir ymddiried ynddo fwyaf, yna'r DMZ Di-wifr ychydig yn fwy dibynadwy, yna VPN DMZ sydd ychydig yn fwy dibynadwy ac yna'r rhyngwyneb y gellir ymddiried ynddo fwyaf. Gallai pob un o'r rhyngwynebau hyn fyw ar switsh corfforol gwahanol neu ddim ond VLAN heb ei sianelu yn eich ffabrig switsh campws mewnol.

Fel y gwelwch o'r lluniad mae'r rhwydwaith di-wifr wedi'i leoli y tu mewn i'r segment DMZ di-wifr. Yr unig ffordd i mewn i'r rhwydwaith y gellir ymddiried ynddo'n fewnol neu yn ôl i'r tu allan (rhyngrwyd) yw drwy'r rhyngwyneb DMZ di-wifr ar y wal dân. Mae'r unig reolau allan yn caniatáu i'r is-adran DMZ gael mynediad at y crynodiadau VPN y tu allan i gyfeiriad rhyngwyneb sy'n byw ar VPN DMZ trwy ESP ac ISAKMP (IPSec). Yr unig reolau sy'n dod i mewn ar y VPN DMZ yw ESP ac ISAKMP o'r is-wifren ddi-wifr DMZ i gyfeiriad rhyngwyneb allanol y crynhoad VPN. Mae hyn yn caniatáu i dwnnel VPN IPSec gael ei adeiladu o'r cleient VPN ar y gwesteiwr di-wifr i ryngwyneb mewnol y crynhoad VPN sy'n byw ar y rhwydwaith y gellir ymddiried ynddo'n fewnol. Unwaith y bydd y twnnel yn cael ei ofyn, caiff y cymwysterau defnyddiwr eu dilysu gan y gweinydd AAA AAA, caiff gwasanaethau eu hawdurdodi yn seiliedig ar y cymwysterau hynny ac mae cyfrifeg sesiynau yn dechrau. Yna mae cyfeiriad mewnol dilys yn cael ei neilltuo ac mae gan y defnyddiwr y gallu i gael mynediad i adnoddau mewnol y cwmni neu i'r Rhyngrwyd o'r rhwydwaith mewnol os yw'r awdurdodiad yn caniatáu hynny.

Gellid addasu'r dyluniad hwn mewn sawl ffordd wahanol gan ddibynnu ar argaeledd offer a'r dyluniad rhwydwaith mewnol. Gallai'r DMZs muriau tân gael eu disodli mewn gwirionedd gan ryngwynebau llwybrydd sy'n rhedeg rhestrau mynediad diogelwch neu hyd yn oed modiwl newid llwybr mewnol sydd bron yn llwybro gwahanol VLAN. Gellid disodli'r crynhowr gan wal dân a oedd yn VPN a oedd yn golygu bod yr IPSec VPN yn dod i ben yn uniongyrchol yn y DMZ di-wifr fel na fyddai angen VPN DMZ o gwbl.

Mae hwn yn un o'r ffyrdd mwy diogel o integreiddio campws menter i mewn i gampws menter sicr.