VPN bat erabiltzea enpresa haririk gabeko sare bat ziurtatzeko



Artikulu honetan campuseko WLAN diseinu nahiko konplexua baina segurua negozio-ingurunean zabaldu daitekeen eztabaidatuko dut.

Hari gabeko sareen funtzionamendurako kezka nagusienetako bat datuen segurtasuna da 802.11 WLAN segurtasun tradizionala barne hartzen du: gako irekia edo partekatutako autentifikazioa eta pribatutasun kable baliokide estatikoen erabilera (WEP). Kontrolatzeko eta pribatutasun elementu horietako bakoitza arriskuan jarri daiteke. WEPk datuen esteka erabiltzen du eta alderdi guztiek gako sekretu bera partekatzen dute. WEP-ren 40 eta 128-bit aldaerak erraz hauts daitezke erraz eskuragarri dauden tresnekin. 128-bit WEP gako estatikoak 15 minutuetan hautsi daitezke trafiko handiko WLAN batean RC4 enkriptatze algoritmoaren berezko akatsaren ondorioz. FMS erasoa metodoa erabiliz, teorian, WEP gakoa 100,000 eta 1,000,000 etiketatu ahal izango duzu gako bera erabiliz enkriptatutako paketeak.

Sare batzuek gako irekiak edo partekatutako autentifikazioak eta WEP estatikoki definitutako enkriptazio gakoak lor ditzaketen bitartean, ez da ideia ona bakarrik segurtasun kopuru horri konfiantzazko enpresa sareko ingurune batean. Kasu horretan, segurtasun hedatua behar duzu.

Zenbait enkriptatze hobekuntza berriak daude WEP ahuleziak gainditzeko, IEEE 802.11i arauak definitzen duen moduan. RC4-en oinarritutako WEP izeneko softwarearen hobekuntzak TKIP edo Temporal Key Integrity Protocol eta AES izenarekin ezagutzen dira, RC4-en alternatiba indartsuagoa izango liratekeen. Wi-Fi Protected Access edo WPA TKIP enpresako bertsioek PPK (paketeen bitartez sartuta) eta MIC (mezuen integritatearen egiaztapena) barne hartzen dituzte. WPA TKIP ere hasierako bektorea 24 bitetik 48 bitetara hedatzen da eta 802.1X behar du 802.11. WPA EAP erabiltzea autentifikazio zentralizatua eta gako dinamikoen banaketarekin 802.11 segurtasun estandar tradizionalaren alternatiba askoz indartsuagoa da.

Hala ere, nire lehentasuna eta beste asko IPSec gainjartzea da nire testu argia 802.11 trafikoaren gainean. IPSec-ek konfidentzialtasuna, osotasuna eta egiazkotasuna ematen ditu datuen komunikazioen sare seguruen bidez DES, 3DES edo AES datuekin enkriptatuz. Haririk gabeko sarbide sarbidea LAN isolatu batean kokatuta dagoen irteera puntua trafiko iragazkiekin babestuta dagoena, IPSec tunela ostalari helbide zehatz batera ezarri ahal izateko soilik egiten du haririk gabeko sarea VPNan autentifikaziorako kredentzialak izan ezean. IPSec konexio fidagarria ezarri ondoren, amaierako gailuko trafiko guztia sareko zati fidagarria guztiz babestuko da. Sarbide-puntuak kudeatzea soilik behar duzu, beraz, ezin da manipulatu.

DHCP eta / edo DNS zerbitzuak ere kudea ditzakezu kudeaketa errazak lortzeko, baina horretarako nahikoa da MAC helbideen zerrendarekin iragaztea eta edozein SSID irrati difusiorik ez izatea dohaineko sareko azpisai bat DoS potentziala babestuta dagoela. erasoak.

Orain, jakina, oraindik MAC helbideen zerrenda eta emandako SSID ezberdinak ausazko MAC eta MAC klonazio programak zeharkatu ahal izango dituzu oraindik ere segurtasun mehatxurik handienarekin batera, orain arte Gizarte Ingeniaritza baina lehen arriskua zerbitzua oraindik galtzea besterik ez da. haririk gabeko sarbidea. Zenbait kasutan hau nahikoa arriskua izan daiteke autentifikazio zerbitzu luzeak ikusteko haririk gabeko sare bera sartzeko.

Berriro ere, artikulu honen helburu nagusia hari gabeko sarbidea erraz iritsi eta azken erabiltzailearen erosotasuna eskaintzea da, zure barne baliabide kritikoak arriskuan jarri gabe eta zure enpresak aktibo arriskuan jarriz. Ziurtapena, baimena, kontabilitatea eta VPN enkriptatutako tunela enkriptatu bat hari gabeko sare fidagarria isolatuta isolatuta egotea.

Begiratu goiko marrazkia. Diseinu horretan hainbat interfaze firewall eta interfaze anitz VPN kontzentratzailea erabili ditut, eremu bakoitzean konfiantza maila desberdina duten sareak benetan segurtatzeko. Egoera horretan konfiantzazko kanpo-konfiguraziorik txikiena daukagu, gero haririk gabeko fidagarri DMZ apur bat fidagarriagoa, gero VPN DMZ apur bat fidagarria eta, ondoren, barruko interfaze fidagarriena. Interfaze horietako bakoitza aldaketa fisiko desberdina izan daiteke edo, besterik gabe, zure VLAN unrouted bat zure barneko campuseko switch ehuna.

Marrazkian ikus daitekeen moduan, hari gabeko sarearen haririk gabeko DMZ segmentuan dago. Barruko fidagarria den sareetara edo kanpora (Internetera) sartzeko haririk gabeko DMZ interfazearen bitartez da. Irteerako arau bakarrak DMZ azpisarekiko VPN DMZ-en kanpo interfazearen helbideak sartzeko VPN DMZ-n kanpoan sartzeko aukera ematen die ESP eta ISAKMP (IPSec) bidez. VPN DMZ-n sartzen diren arau bakarra ESP eta ISAKMP da haririk gabeko DMZ azpisarea, VPN kontzentratzailearen kanpoko interfazearen helbidera. Honek IPSec VPN tunela VPN bezeroaren haririk gabeko ostalari batetik VPN kontzentratzailearen barne interfaze fidagarria sare barruan eraikitzeko aukera ematen du. Eskaera egin ostean, AAA zerbitzariaren barneko egiaztagiriak egiaztatzen dira, kredentzialen arabera eta saioaren kontabilitatea abiarazten da. Ondoren, baliozko barneko helbide bat esleitzen zaio eta erabiltzaileak barneko sarearen barneko enpresen baliabideak edo Internetera sartzeko gaitasuna du, baimena onartzen badu.

Diseinu hau hainbat modutan aldatu daiteke ekipamenduaren erabilgarritasuna eta barne-sarearen diseinua kontuan hartuta. Suebakien DMZek segurtasun sarbide zerrendak exekutatzen dituzten edo etorkizuneko VLAN desberdinak birbidaltzen dituzten segurtasun atzipen zerrendak exekutatzen zituzten router interfazeak ere izan litezke. IPSec VPN zuzenean haririk gabeko DMZ-n amaitu zen VPNrako suebaki baten ordez ordeztu zitekeen kontzentratzailea, hala nola VPN DMZ-k ez luke behar izango.

Hau da enpresa-campuseko WLAN bat sartzeko dagoen seguru dagoen enpresa-campus batean sartzeko modu seguruenetako bat.