Utilitzant una VPN per garantir una xarxa sense fils d'empresa



En aquest article parlaré d’un disseny WLAN de campus bastant complex però segur, que es podria desplegar en un entorn empresarial.

Una de les principals preocupacions per al funcionament de les xarxes sense fils avui dia és la seguretat de les dades La seguretat tradicional WLAN de 802.11 inclou l'ús d'autenticació de claus obertes o compartides i claus de privadesa de privadesa (WEP) estàtiques. Es pot comprometre cadascun d’aquests elements de control i privadesa. WEP opera a la capa d’enllaç de dades i requereix que totes les parts comparteixin la mateixa clau secreta. Les variants de WEP de 40 i de bits 128 es poden trencar fàcilment amb eines disponibles. Les claus estàtiques WEP de bit 128 es poden trencar en minuts tan sols com a 15 en un WLAN de gran trànsit a causa d’una deficiència inherent a l’algoritme de xifratge RC4. L’ús del mètode d’atac FMS teòricament pot derivar una clau WEP en un rang des de 100,000 a paquets 1,000,000 xifrats amb la mateixa clau.

Mentre que algunes xarxes poden passar-se amb autenticació de claus obertes o compartides i claus de xifrat WEP definides de forma estàtica, no és recomanable confiar en aquesta quantitat de seguretat només en un entorn de xarxa empresarial on el premi podria valer l'esforç per a un atacant. En aquest cas, necessitareu una mena de seguretat estesa.

Hi ha algunes millores noves del xifrat per ajudar a superar les vulnerabilitats WEP, tal com es defineix a l’estàndard IEEE 802.11i. Millores en el programari de WEP basat en RC4 conegut com a protocol TKIP o protocol temporal d’integritat i AES, que es consideraria una alternativa més forta a RC4. Les versions empresarials de Wi-Fi Protected Access o WPA TKIP inclouen, a més, PPK (per paquets de codificació) i MIC (comprovació de la integritat dels missatges). WPA TKIP també estén el vector d'inicialització de bits 24 a bits 48 i requereix 802.1X per a 802.11. L’ús de WPA al llarg d’EAP per a l’autenticació centralitzada i la distribució de claus dinàmiques és una alternativa molt més forta a la norma de seguretat tradicional 802.11.

No obstant això, la meva preferència, així com molts altres, és superposar IPSec a la part superior del meu trànsit de text clar 802.11. IPSec proporciona confidencialitat, integritat i autenticitat de les comunicacions de dades a través de xarxes no segures xifrant dades amb DES, 3DES o AES. Si col·loqueu el punt d’accés de xarxa sense fils a una LAN aïllada on l’únic punt de sortida està protegit amb filtres de trànsit, només permet establir un túnel IPSec a una adreça d’ordinador específica, la xarxa sense fils és inútil, llevat que tingueu credencials d’autenticació a la VPN. Quan s’hagi establert la connexió IPSec de confiança, es protegirà completament el trànsit del dispositiu final a la part de confiança de la xarxa. Només cal endurir la gestió del punt d’accés, de manera que no es pugui alterar.

Podeu executar també serveis DHCP i / o DNS per facilitar-ne la gestió, però si voleu fer-ho, és recomanable filtrar amb una llista d’adreça MAC i desactivar qualsevol emissió SSID de manera que la subxarxa sense fils de la xarxa estigui una mica protegida dels possibles DoS atacs.

Ara, òbviament, encara podeu desplaçar-vos per la llista d’adreça MAC i el SSID no emès amb programes de clonació MAC i MAC aleatoris, així com la més gran amenaça per a la seguretat, fins ara, enginyeria social, però el risc principal encara és només una possible pèrdua de servei a l'accés sense fils. En alguns casos, pot ser que existeixi un risc suficient per comprovar serveis d’autenticació estesos per accedir a la xarxa sense fils.

Una vegada més, l’objectiu principal d’aquest article és fer que la connexió sense fils sigui fàcil d’accedir i proporcioni la comoditat de l’usuari final sense comprometre els seus recursos interns crítics i posar en risc els seus actius de les empreses. Amb l’aïllament de la xarxa sense fils segura de la xarxa cablejada de confiança, que requereix autenticació, autorització, comptabilitat i un túnel VPN xifrat hem fet això.

Mireu el dibuix anterior. En aquest disseny he utilitzat un tallafocs d’interfície múltiple i un concentrador de VPN d’una interfície múltiple per assegurar realment la xarxa amb diferents nivells de confiança a cada zona. En aquest escenari tenim la interfície externa de confiança més baixa, després la DMZ sense fils una mica més fiable, després la DMZ VPN lleugerament més fiable i després la interfície interna més fiable. Cadascuna d’aquestes interfícies podria residir en un interruptor físic diferent o simplement en una VLAN sense enllaçar al vostre teixit de canvi intern del campus.

Com podeu veure en el dibuix, la xarxa sense fils es troba dins del segment DMZ sense fils. L’única manera d’accedir a la xarxa de confiança interna o de tornar a l’exterior (Internet) és a través de l’interfície DMZ sense fils del tallafoc. Les úniques regles de sortida permeten a la subxarxa DMZ accedir als concentradors VPN fora de l'adreça de la interfície que resideix a la VPN DMZ via ESP i ISAKMP (IPSec). Les úniques regles d’entrada del VPN DMZ són ESP i ISAKMP de la subxarxa DMZ sense fils a l’adreça de la interfície externa del concentrador VPN. Això permet construir un túnel IPSec VPN des del client VPN de l’host sense fil a la interfície interna del concentrador VPN que resideix a la xarxa de confiança interna. Un cop iniciada la sol·licitud del túnel, les credencials de l’usuari s’autenticaran amb el servidor AAA intern, els serveis estan autoritzats en funció d’aquestes credencials i s’inicia la comptabilitat de la sessió. A continuació, s’assigna una adreça interna vàlida i l’usuari té la possibilitat d’accedir a recursos interns de l’empresa oa Internet des de la xarxa interna si l’autorització ho permet.

Aquest disseny es podria modificar de diferents maneres segons la disponibilitat d’equips i el disseny de la xarxa interna. Les DMZ del tallafocs es podrien substituir realment per interfícies d’encaminador que executessin llistes d’accés de seguretat o fins i tot un mòdul de commutació de ruta interna que enrutés pràcticament diferents VLAN. El concentrador podria ser reemplaçat per un tallafoc que era capaç de VPN on la VPN IPSec finalitzés directament a la DMZ sense fils, de manera que la VPN DMZ no seria necessària.

Aquesta és una de les maneres més segures d’integrar un campus d’empreses WLAN en un campus empresarial segur.