Utilizar unha VPN para asegurar unha rede sen fíos empresarial



Neste artigo discutirei un deseño WLAN dun campus bastante complexo pero seguro que se podería despregar nun ambiente empresarial.

Unha das principais preocupacións na execución das redes sen fíos hoxe en día é a seguridade dos datos. A seguridade WLAN de 802.11 tradicional inclúe o uso de claves de privacidade (WEP) de autenticación de chaves abertas ou compartidas. Cada un destes elementos de control e privacidade pódese comprometer. WEP opera na capa de enlace de datos e require que todas as partes compartan a mesma clave secreta. As variantes de WEP de 40 e de bit 128 pódense facilmente romper con ferramentas dispoñibles. As claves WEP estáticas de 128 poden romperse en tan pouco como minutos de 15 nun WLAN de alto tráfico debido a unha deficiencia inherente no algoritmo de cifrado RC4. Usando o método de ataque FMS, teóricamente pode derivar unha clave WEP nun intervalo de paquetes 100,000 a 1,000,000 cifrados usando a mesma clave.

Aínda que algunhas redes poden ocorrer coa autenticación de claves abertas ou compartidas e claves de cifrado WEP definidas estáticamente, non é boa idea contar con esta cantidade de seguridade só nun ambiente de rede empresarial onde o premio podería valer o esforzo para ser un atacante. Neste caso necesitarás algún tipo de seguridade estendida.

Hai algunhas novas melloras de cifrado para axudar a superar as vulnerabilidades WEP definidas polo estándar IEEE 802.11i. Melloras no software de WEP baseado en RC4 coñecido como TKIP ou Protocolo de integridade de teclas temporais e AES que se consideraría unha alternativa máis forte a RC4. As versións empresariais de Wi-Fi Protected Access ou WPA TKIP inclúen ademais PPK (por paquete) e MIC (verificación de integridade de mensaxes). O WPA TKIP tamén estende o vector de inicialización de bits 24 a bits 48 e require 802.1X para 802.11. Usar WPA xunto a EAP para a autenticación centralizada e a distribución de chaves dinámicas é unha alternativa moito máis forte ao estándar de seguridade tradicional 802.11.

Non obstante, a miña preferencia, así como moitos outros, é superar IPSec encima do meu texto claro Tráfico 802.11. IPSec ofrece confidencialidade, integridade e autenticidade das comunicacións de datos a través de redes non seguras cifrando datos con DES, 3DES ou AES. Ao colocar o punto de acceso á rede sen fíos nunha rede illada onde o único punto de saída está protexido con filtros de tráfico, só permite que se estableza un túnel IPSec a un enderezo host específico, fai inútil a rede sen fíos a menos que teña credenciais de autenticación na VPN. Unha vez que se estableceu a conexión IPSec de confianza, todo o tráfico desde o dispositivo final á parte de confianza da rede estará completamente protexido. Só ten que endurecer a xestión do punto de acceso para que non se poida alterar.

Pode executar tamén servizos DHCP e / ou DNS para facilitar a xestión, pero se o desexa é boa idea filtrar cunha lista de enderezos MAC e desactivar calquera transmisión SSID de xeito que a subrede sen fíos da rede estea un pouco protexida contra os potenciais DOS. ataques.

Agora, obviamente, aínda pode moverse pola lista de enderezos MAC e os SSID non emitidos con programas de clonación MAC e MAC ao chou, xunto coa maior ameaza de seguridade aínda por aí, enxeñería social, pero o principal risco aínda é só unha posible perda de servizo ao acceso sen fíos. Nalgúns casos isto pode supoñer un risco suficiente para comprobar os servizos de autenticación estendidos para acceder á propia rede sen fíos.

De novo, o obxectivo principal deste artigo é facer que o sistema de rede sen fíos sexa algo fácil de acceder e proporcionar a comodidade do usuario final sen comprometer os seus recursos internos críticos e poñer en risco os activos das súas empresas. Ao illar a rede sen fíos non segura da rede con fíos de confianza, esixindo autenticación, autorización, contabilidade e un túnel VPN cifrado fixemos exactamente isto.

Bótalle un ollo ao debuxo anterior. Neste deseño empreguei un firewall de múltiples interfaces e un concentrador de VPN de múltiples interfaces para garantir realmente a rede con diferentes niveis de confianza en cada zona. Neste escenario temos a interfaz externa máis fiable, despois a DMZ un pouco máis fiable, despois a DMZ VPN lixeiramente máis fiable e logo a interface interna máis fiable. Cada unha destas interfaces podería residir nun interruptor físico diferente ou simplemente nunha VLAN sen enlace no tecido de cambio interno do campus.

Como podes ver no debuxo, a rede sen fíos está situada dentro do segmento DMZ sen fíos. A única forma de entrar na rede de confianza interna ou de volver ao exterior (internet) é a través da interface DMZ sen fíos no cortalumes. As únicas regras de saída permiten que a subrede DMZ acceda aos concentradores de VPN fóra do enderezo da interface que reside na VPN DMZ a través de ESP e ISAKMP (IPSec). As únicas regras de entrada na VPN DMZ son ESP e ISAKMP da subred DMZ sen fíos á dirección da interface externa do concentrador VPN. Isto permite que se constrúe un túnel VPN IPSec desde o cliente VPN no servidor sen fíos á interface interna do concentrador VPN que reside na rede de confianza interna. Unha vez iniciado o túnel, as credenciais do usuario son autenticadas polo servidor AAA interno, os servizos están autorizados en base a esas credenciais e comeza a contabilidade de sesión. Entón asignarase unha dirección interna válida e o usuario ten a posibilidade de acceder a recursos internos da empresa ou a Internet desde a rede interna se a autorización o permite.

Este deseño podería modificarse de varias maneiras diferentes dependendo da dispoñibilidade do equipo e do deseño de rede interno. As DMZ de firewall poderían realmente ser substituídas por interfaces de enrutador que executasen listas de acceso de seguridade ou incluso un módulo de conmutación de rutas interno virtualmente enrutando diferentes VLAN. O concentrador podería ser substituído por un firewall capaz de VPN onde a VPN IPSec terminou directamente na DMZ sen fíos de xeito que a VPN DMZ non fose necesaria.

Esta é unha das formas máis seguras de integrar un campus empresarial WLAN nun campus empresarial xa seguro.