استفاده از یک VPN برای ایمن سازی شبکه بیسیم سازمانی



در این مقاله، من درباره یک طرح WLAN محوطه سازی نسبتا پیچیده اما مطمئن که می تواند در یک محیط سازمانی مستقر شود، بحث خواهم کرد.

یکی از نگرانی های اصلی در حال اجرای شبکه های بی سیم امروزه امنیت داده ها امنیت سنتی 802.11 WLAN شامل استفاده از کلید های باز یا مشترک با کلید و کلیدهای استاندارد WEP است. هر یک از این عناصر کنترل و حریم خصوصی می تواند به خطر بیفتد. WEP در لایه پیوند داده ها عمل می کند و نیازمند آن است که همه طرفین یک کلید مخفی دارند. هر دو نوع 40 و 128 بیت از WEP می توانند به راحتی با ابزارهایی که به راحتی در دسترس هستند شکسته شوند. به دلیل کمبود ذاتی در الگوریتم رمزنگاری RC128، کلیدهای WEP static 15 بیتی می توانند به اندازه 4 دقیقه در WLAN ترافیک بالا خراب شوند. با استفاده از روش حمله FMS، شما می توانید یک کلید WEP را در محدوده ای از 100,000 به 1,000,000 بسته های رمزگذاری شده با استفاده از همان کلید ایجاد کنید.

در حالی که برخی از شبکه ها می توانند با تایید هویت کلید باز یا مشترک و کلیدهای رمزنگاری WEP تعیین شده، این یک ایده خوب نیست که به تنهایی در یک محیط شبکه شرکتی، که در آن جایزه می تواند تلاش برای حمله به مهاجم باشد، تکیه بر این مقدار امنیت باشد. در این مورد شما نیاز به نوعی امنیت گسترده دارید.

برخی از پیشرفت های رمزنگاری جدید برای کمک به غلبه بر آسیب پذیری WEP وجود دارد که توسط استاندارد IEEE 802.11i تعریف شده است. پیشرفت های نرم افزاری به WEP مبتنی بر RC4 شناخته شده به عنوان TKIP یا پروتکل یکپارچگی کلیدی زمانی و AES که جایگزین قوی تر برای RC4 می شود. نسخه های Enterprise Wi-Fi Protected Access یا WPA TKIP علاوه بر این شامل PPK (برای هر کلید بسته بندی) و MIC (بررسی یکپارچگی پیام). WPA TKIP همچنین بردار اولیه را از بیت های 24 به بیت های 48 گسترش می دهد و نیاز به 802.1X برای 802.11 دارد. استفاده از WPA در امتداد EAP برای تأیید اعتبار متمرکز و توزیع کلید دینامیکی جایگزین بسیار قوی تر برای استاندارد امنیتی 802.11 است.

با این حال، من ترجیح می دهم و همچنین بسیاری دیگر، IPSec را در بالای ترافیک متن 802.11 متنی خود قرار دهم. IPSec با محرمانه بودن، صداقت و اعتبار ارتباطات داده ها در سراسر شبکه های ناخواسته، رمزنگاری داده ها با DES، 3DES یا AES را فراهم می کند. با قرار دادن نقطه دستیابی شبکه بی سیم در یک شبکه جدا شده که تنها نقطه خروج با فیلترهای ترافیک محافظت می شود تنها اجازه می دهد که یک تابع IPSec بر روی یک آدرس میزبان خاص ایجاد شود و این باعث می شود که شبکه بی سیم بی فایده باشد، مگر اینکه اعتبار احراز هویت را به VPN داشته باشید. هنگامی که اتصال معتبر IPSec برقرار شده است، تمام ترافیک از دستگاه پایان به بخش قابل اعتماد از شبکه به طور کامل محافظت می شود. شما فقط باید مدیریت نقطه دسترسی را سخت تر کنید تا بتوان با آن دستکاری نکرد.

شما می توانید خدمات DHCP و یا DNS را نیز برای راحتی مدیریت اجرا کنید، اما اگر می خواهید این کار را انجام دهید، ایده خوبی برای فیلتر کردن با لیست آدرس MAC است و هر گونه پخش SSID را غیر فعال کنید تا زیر شبکه شبکه بی سیم از قابلیت های بالقوه DOS محافظت شود حملات

در حال حاضر بدیهی است که شما هنوز می توانید لیست آدرس MAC و SSID بدون پخش را با برنامه های MAC و MAC شبیه سازی تصادفی همراه با بزرگترین تهدید امنیتی وجود دارد هنوز هم تا به امروز، مهندسی اجتماعی، اما خطر اصلی هنوز تنها از دست دادن احتمال خدمات به دسترسی بی سیم. در بعضی موارد این ممکن است به اندازه کافی خطرناک باشد تا سرویس های احراز هویت پیشرفته را برای دسترسی به شبکه بی سیم خود بررسی کنید.

باز هم هدف اصلی این مقاله این است که دسترسی بی سیم به راحتی به راحتی دسترسی داشته باشد و امکان دسترسی آسان به کاربران نداشته باشد بدون اینکه به منابع داخلی بحرانی آسیب برساند و سرمایه های شرکت شما را در معرض خطر قرار دهد. با جدا کردن شبکه بی سیم بدون امنیت از شبکه سیمی قابل اعتماد، نیاز به احراز هویت، مجوز، حسابداری و یک تونل VPN رمزگذاری شده، فقط این کار را انجام داده ایم.

نگاهی به طرح بالا. در این طراحی، من یک فایروال چندگانه و یک کانکتور مجتمع VPN چند منظوره برای امنیت شبکه با سطوح مختلف اعتماد در هر منطقه استفاده کردم. در این سناریو، کمترین واسط بیرونی قابل اطمینان، و سپس DMZ بی سیم بی اعتبارتر، سپس DMZ کمی بیشتر مورد اعتماد VPN و سپس رابط درونمایه ترین مورد اعتماد، داریم. هر یک از این اینترفیس ها می توانند روی یک سوئیچ فیزیکی متفاوت یا به سادگی یک VLAN غیر مجاز در محیط سوئیچ داخلی خود قرار گیرند.

همانطور که می توانید از نقاشی ببینید، شبکه بی سیم در داخل بخش DMZ بی سیم قرار دارد. تنها راه دسترسی به شبکه داخلی قابل اعتماد و یا بازگشت به خارج (اینترنت) از طریق رابط DMZ بی سیم در فایروال است. تنها قوانین خروجی اجازه می دهد تا زیر شبکه های DMZ دسترسی به متمرکز کننده های VPN خارج از آدرس رابط است که در DMZ VPN از طریق ESP و ISAKMP (IPSec) واقع شده است. تنها قوانین ورودی در VPN DMZ ESP و ISAKMP از زیر شبکه شبکه DMZ بی سیم به آدرس رابط خارجی کانکتور VPN است. این اجازه می دهد تا یک تونل IPSec VPN از مشتری VPN در میزبان بی سیم به رابط داخلی کانکتور VPN که در شبکه اعتماد داخلی در نظر گرفته شده است ساخته شود. هنگامی که درخواست تونل آغاز می شود، اعتبار کاربر توسط سرور AAA داخلی تأیید می شود، خدمات بر اساس آن اعتبارنامه ها و شروع حسابرسی جلسه مجاز می باشد. سپس یک آدرس معتبر داخلی اختصاص داده می شود و کاربر می تواند برای دسترسی به منابع داخلی شرکت یا به اینترنت از شبکه داخلی اگر مجوز به آن اجازه می دهد.

این طراحی را می توان با توجه به وجود تجهیزات و طراحی شبکه داخلی چندین روش تغییر داد. DMZ های فایروال واقعا می تواند توسط رابط های روتر جایگزین لیست های دسترسی به امنیت و یا حتی یک ماژول سوئیچینگ داخلی عملا مسیریابی VLAN های مختلف. متمرکز می تواند توسط یک فایروال که VPN قادر است جایی که VPN IPSec مستقر در DMZ بی سیم را متوقف کرد به طوری که DMZ VPN در همه مورد نیاز نیست.

این یکی از راه های امن تر برای یکپارچه سازی WLAN پردیس شرکت ها به یک پردیس سازمانی موجود است.