Aduprà una VPN per assicurà una rete wireless d'azienda



In questu articulu parleraghju un design abbastanza cumpletu ma sicuru di WLAN in u campus chì puderebbe esse distribuito in un ambiente di impresa.

Una di e primure preoccupazioni in esecuzione di reti senza fili oghje hè a sicurezza di i dati Tradiziunale di sicurezza WNAN di 802.11 include l'usu di chiavi aperta o autenticazione di chjave è chjavi statichi di riservatezza (WEP). Ognunu di sti elementi di cuntrollu è riservatezza si ponu compromessi. WEP opereghja nantu à u stratu di liata di dati è impone chì tutte e parti anu cunsate u mo chjave secretu. Sia e variante 40 è 128-bit di WEP pò esse facilmente speziate cù strumentu pruieghjule. I tasti statici WEP di 128-bit possono esse spezzati in quant'è 15 minuti in un WLAN ad alto traffico a causa di una mancanza inerente nell'algoritmo di crittografia RC4. Usendu u metodo di attacco FMS teoricamente, pudete truvà una chiave WEP in un intervallo da 100,000 a pacchi 1,000,000 criptografati cù a stessa chjave.

Mentre alcune reti ponu truvallà cù autenticazione chja chiusa o cumuna è chjavi di criptografia WEP definiti staticamente ùn hè una bona idea di basà nantu à sta quantità di sicurezza solu in un ambientu di rete d'azienda chì u premiu pò esse innamuratu di un sforzatore. In questo casu bisognu qualchì specie di sicurezza estesa.

Ci sò qualchi novu miglioramenti di crittografia per aiutà a vince a vulnerabilità WEP, cum'è definita da u standard IEEE 802.11i. Miglioramenti di u software à WEP basatu in RC4 chjamatu TKIP o Temporal Key Integrity Protocol è AES chì saranu cunsiderati una alternativa forti à RC4. E versioni Enterprise di Wi-Fi Protected Access o WPA TKIP includenu dinò PPK (per pussulitu) è MIC (verifica di integrità di i messaggi). WPA TKIP estende u vectoru di inizializazione da bit 24 in bit 48 è impone 802.1X per 802.11. U serviziu WPA cù EAP per l'autentificazione centralizata è a distribuzione dinamica di chjavi hè un'alternativa assai più forte à u standard di sicurezza tradiziunale 802.11.

Tuttavia a mo preferenza è ancu tanti altri sò di sovrapposizione IPSec nantu à u mo serviziu mio trafficu di testu chiaru 802.11. IPSec fornisce riservatezza, integrità è autenticità di e comunicazioni di dati in rete cunecurata criptografendu dati cù DES, 3DES o AES. Inserendu u punto di accesso di rete senza filu nantu à una LAN isolata duve u solu puntu di uscita hè protettatu cù filtri di trafficu permettendu solu un tunnel di IPSec esse stabilitu à un indirizzu di l'ospite specificu, rende a rete senza filu inutile menu a meno chì avete le credenziali di autenticazione di a VPN. Una volta chì a cunnessione IPSec di fiducia hè stata stabilita, tuttu u trafficu da u dispositiu finale à a porzione fidata di a rete sarà pienu prutetta. Avete solu bisognu di indurisce a gestione di u puntu di accesso per allora ùn pò esse manghjatu.

Pudete dighjà serviziu DHCP o DNS per facilità di gestione, ma se vulete fà ciò hè una bona idea di filtra cù una lista d'indirizzi MAC è disattivà ogni radiodiffusione SSID in manera chì a subnet wireless di a rete sia un pocu prutetta da i potenziali DoS attacchi.

Avà, evidentemente, pudete ancu spiegà intornu à a lista d'indirizzi MAC è u SSID non trasmissu cù prugrammi di clonazione MAC è MAC induve si primure a più grande minaccia di sicurezza, ancu sinu finu, Ingegneria Sociale ma u risicu primu hè solu un potenziale perdita di serviziu all'accessu senza fili. In certi casi questu pò esse un risicu abbastanza altru per esaminà i servizii di autenticazione allargati per avè accesso à a rete senza fili stessa.

Ancu una volta, u primu scopu in st'articulu hè di fà a wireless un po 'faciule di accede è di furnisce a praticità dell'utenti finali senza compromisà e vostre risorse internu critiche è mettendu i vostri attivi di risorse à risicu. Hè isolendu a rete senza filu micca garantita da a rete cablata attendente, necessitendu autenticazione, autorizazione, contabilità è un tunnel criptografatu VPN chì avemu fattu sulu.

Fighjate à u disegnà sopra. In stu prughjettu aghju usatu un firewall à più interfacce è un cunfiguratore VPN à più interfacce per assicurà veramente a rete cù diversi livelli di fiducia in ogni zona. In stu scenario, avemu l'interfaccia fora di fiducia più bassu, allora u DMZ senza cunnuscenza leggermente più fidatu, allora a VPN DMZ leggermente più attenduta è dopu l'interfaccia interna più fidata. Ognuna di queste interfacce puderebbe risiedite nantu à un altru commutatore fisicu o semplicemente una VLAN incassata in u vostru tessutu di cambiamentu in u campus universale.

Comu pudete vede da u schema, a rete wireless hè situata in u segmentu DMZ wireless. L'unu modu in a rete interna cunfidenza o torna ind'u esterno (internet) hè in l'interfaccia DMZ senza filu in u firewall. L'uniche regule in uscita permettenu à la subnet DMZ di accede à i concentratori VPN fora di l'indirizzu di l'interfaccia chì risiede in a DMZ VPN via ESP è ISAKMP (IPSec). L'unica regola in entrata di a VPN DMZ hè ESP è ISAKMP da a subnet DMZ senza filu à l'indirizzu di l'interfaccia externa di u concentratore VPN. Questu permette à un tunnel VPN IPSec di esse custruitu da u client VPN in l'amministratore senza filu à l'interfaccia interna di u concentratore VPN chì risiede nant'à a rete interna cunfidenziale. Una volta iniziò a tunnelia hè una richiesta, e credenziali di l'utente sò autentificate da u servore interno AAA, i servizii sò autorizzati in base à sti credenziali è inizia a contazione di sessione. Dopu un indirizzu interno validu hè assegnatu è l'utente quessa accede à e risorse interne di l'impresa o à Internet da a rete interna, sì l'autorizzazione ne permette.

Questu cuncepimentu puderia esse modificatu in diversi maneri, in quantu a dispunibilità di e attrezzature è di u cuncepimentu di a rete interna. I DMZ di u firewall puderanu in realtà esse sostituiti da interfacce di router in esecuzione di elenchi di accessu à a sicurezza o ancu un modulu di cambiamentu di rotta interna praticamentu di rotazione di diversi VLAN. U concentratore pudia esse rimpiazzatu da un firewall chì era capace di VPN in cui a VPN IPSec hè terminata direttamente à a DMZ senza filu per chì a VPN DMZ ùn sia micca necessaria.

Questu hè unu di i modi più sicuri d'integrazione di un campus di impresa in WLAN in un campus universitariu sicuru esistente.