Օգտագործելով VPN- ը ձեռնարկության անլար ցանցի ապահովման համար



Այս հոդվածում ես կքննարկեմ բավականին բարդ, բայց անվտանգ դասի WLAN նախագծում, որը կարող է տեղակայվել ձեռնարկության միջավայրում:

Անլար ցանցերի հիմնական խնդիրներից մեկը այսօր տվյալների անվտանգությունն է: Ավանդական 802.11 WLAN- ի անվտանգությունը ներառում է բաց կամ համօգտագործվող հիմնական նույնականացման եւ ստատիկ հաղորդակցման համարժեք գաղտնիության (WEP) ստեղների օգտագործում: Վերահսկողության եւ գաղտնիության այս տարրերից յուրաքանչյուրը կարող է վտանգվել: WEP- ն գործում է տվյալների շերտի շերտի վրա եւ պահանջում է, որ բոլոր կողմերը կիսեն նույն գաղտնի բանալին: WEP- ի 40 եւ 128-bit տարբերակները հեշտությամբ կարող են կոտրվել, հեշտությամբ հասանելի գործիքներով: 128-bit ստատիկ WEP- ի ստեղները կարող են կոտրվել որպես 15 րոպե, բարձր տրաֆիկի WLAN- ում, քանի որ RC4 կոդավորման ալգորիթմում բնորոշ թերություն է: Օգտագործելով FMS- ի հարձակման մեթոդը, տեսականորեն դուք կարող եք ձեռք բերել WEP բանալին 100,000- ից մինչեւ 1,000,000 փաթեթ `կոդավորված օգտագործելով նույն բանալին:

Թեեւ որոշ ցանցեր կարող են ստանալ բաց կամ համօգտագործվող հիմնական վավերացման եւ ստանդարտ կերպով սահմանված WEP կոդավորման բանալիներով, դա լավ գաղափար է ապավինել միայն այս գումարի անվտանգության միայն ձեռնարկության ցանցի միջավայրում, որտեղ մրցանակը կարող է արժենալ արժի, որը կարող է հարձակվող լինել: Այս դեպքում ձեզ հարկավոր է մի շարք ընդլայնված անվտանգության:

Կան մի քանի նոր կոդավորող սարքեր, որոնք կօգնեն հաղթահարել WEP- ի խոցելիությունը, ինչպես սահմանված է IEEE 802.11i ստանդարտով: Ծրագրային ապահովման սարքավորումները RC4- ի վրա հիմնված WEP- ի կողմից, որը հայտնի է որպես TKIP կամ Temporal Key Integrity Protocol եւ AES- ը, որը համարվում է RC4- ին ավելի ուժեղ այլընտրանք: Wi-Fi պաշտպանված մուտքագրման կամ WPA TKIP- ի ձեռնարկական տարբերակները ներառում են նաեւ PPK (մեկ փաթեթային բանալի) եւ MIC (հաղորդագրության ամբողջականության ստուգում): WPA TKIP- ը նաեւ ընդլայնում է 24 բիթից 48 բիթը սկզբնավորման վեկտորը եւ պահանջում է 802.1X համար 802.11: Օգտագործելով WPA- ն, EAP- ի կողմից կենտրոնացված վավերացման եւ դինամիկ բաշխման համար, ավանդական 802.11 անվտանգության ստանդարտին շատ ավելի ուժեղ այլընտրանք է:

Այնուամենայնիվ, իմ նախապատվությունը, ինչպես նաեւ շատ ուրիշներ, IPSec- ի տեղադրումը իմ հստակ տեքստի 802.11 երթեւեկության վերին մասում է: IPSec- ը ապահովում է գաղտնիություն, ամբողջականություն եւ տվյալների հաղորդակցման իսկությունը, անթույլատրելի ցանցերում, DES- ի, 3DES- ի կամ AES- ի տվյալների կոդավորմամբ: Տեղադրելով անլար ցանցի մուտքի կետը մեկուսացված LAN- ում, որտեղ միակ ելքի կետը պաշտպանված է երթեւեկության ֆիլտրերով, միայն թույլատրելով IPSec թունելի ստեղծում կոնկրետ հյուրընկալող հասցեին, այն տալիս է անլար ցանցի աննպատակ, եթե դուք չունեք վավերացման հավատարմագրերը VPN- ին: Երբ վստահված IPSec կապն արդեն հաստատվել է, վերջնական սարքի բոլոր ցանցերը վստահելի հատվածին ամբողջությամբ պաշտպանված կլինեն: Դուք միայն պետք է խստացնեք մուտքի կետի կառավարումը, որպեսզի այն չխախտվի:

Դուք կարող եք գործարկել DHCP եւ DNS ծառայություններ, ինչպես նաեւ կառավարման հեշտությամբ, բայց եթե ցանկանում եք դա անել, լավ գաղափար է զտել MAC հասցեների ցուցակի հետ եւ անջատել ցանկացած SSID հեռարձակման, որ ցանցի անլար ենթաէլեկտրակայանը մի փոքր պաշտպանված է Պոտենցիալ DoS հարձակումները:

Այժմ ակնհայտ է, որ դուք դեռ կարող եք ստանալ MAC հասցեների ցանկը եւ ոչ հեռարձակվող SSID- ը պատահական MAC- ի եւ MAC- ի կլոնավորման ծրագրերի հետ միասին, ամենամեծ անվտանգության սպառնալիքով, մինչդեռ մինչ օրս, սոցիալական ինժիներն, սակայն հիմնական ռիսկը դեռեւս միայն պոտենցիալ կորուստ է դեպի անլար մատչելիություն: Որոշ դեպքերում դա կարող է բավականաչափ մեծ ռիսկ լինել, ստուգելու երկարատեւ վավերացման ծառայությունները `անլար ցանցին իրեն մատչելու համար:

Կրկին, այս հոդվածի հիմնական նպատակն է անլար դյուրին դարձնել հնարավորինս հեշտ օգտագործման եւ վերջնական օգտագործման հարմարավետություն ապահովել, առանց վտանգի ձեր ներքին ներքին ռեսուրսները եւ ձեր ընկերությունների ակտիվները վտանգի տակ դնելը: Ապահովելով անխափան անլար ցանցը վստահելի ցանցից, պահանջելով վավերացման, թույլտվության, հաշվառման եւ կոդավորված VPN թունելի, մենք արեցինք հենց այդպես:

Վերցրեք վերեւում նկարված նկարը: Այս դիզայնի մեջ ես օգտագործել եմ բազմակի ինտերֆեյսի firewall եւ բազմակի ինտերֆեյսի VPN խտանյութեր, որոնք իսկապես ապահովում են ցանցը յուրաքանչյուր գոտում վստահության տարբեր մակարդակներով: Այս սցենարում մենք ունենք ամենացածր վստահելի արտաքին ինտերֆեյսը, ապա մի փոքր ավելի վստահելի Wireless DMZ- ը, ապա մի փոքր ավելի վստահելի VPN DMZ եւ ապա առավել վստահելի ինտերֆեյս: Այս ինտերֆեյսներից յուրաքանչյուրը կարող է ապրել այլ ֆիզիկական անջատիչի կամ պարզապես տեղակայված VLAN- ի ձեր ներքին ճամբարի switch fabric- ում:

Ինչպես տեսնում եք նկարում, անլար ցանցը գտնվում է անլար DMZ հատվածի ներսում: Ներքին վստահելի ցանցի կամ ետ դեպի արտաքին (ինտերնետ) միակ ճանապարհը անլար DMZ ինտերֆեյսի միջոցով է firewall- ում: Միակ ելքային կանոնները հնարավորություն են տալիս DMZ ենթահամակարգին մուտք գործել VPN- ի կենտրոնացնողներին `ելնելով ինտերֆեյսի հասցեից, որը բնակվում է ESP եւ ISAKMP (IPSec) միջոցով VPN DMZ- ում: VPN DMZ- ի միակ մուտքային կանոնները ESP- ը եւ ISAKMP- ը անլար DMZ ենթահամակարգից դեպի VPN կենտրոնի արտաքին ինտերֆեյսի հասցեին: Սա թույլ է տալիս IPSec VPN թունելի կառուցել VPN- ի հաճախորդից `անլար հոստի վրա, ներքին վստահելի ցանցի վրա գտնվող VPN կենտրոնի ներքին ինտերֆեյսի: Թունելի է պահանջվում, երբ օգտագործողի հավատարմագրերը հաստատվում են ներքին AAA սերվերի կողմից, ծառայությունները լիազորված են այդ հավատարմագրերի հիման վրա եւ հաշվարկային հաշվարկների մեկնարկից հետո: Այնուհետեւ վավերական ներքին հասցե է նշանակվում, եւ օգտագործողը ներքին ցանցի ներսում ներքին ցանցից օգտվելու կարողություն ունի կամ ինտերնետը, եթե թույլտվությունը թույլ է տալիս:

Այս դիզայնը կարող է փոփոխվել մի քանի տարբեր ձեւերով `կախված սարքավորումների մատչելիությունից եւ ներքին ցանցի դիզայնից: Firewall DMZs- ը, ըստ էության, կարող է փոխարինվել անվտանգության մուտքի ցուցակներով կամ նույնիսկ ներքին երթուղու switching մոդուլով, տարբեր VLAN- ների ուղղությամբ երթուղղիչի ինտերֆեյսով: Խտանյութի կենտրոնացնողը կարող էր փոխարինվել VPN- ի այնպիսի firewall- ով, որտեղ IPSec VPN- ն անմիջապես դադարեցվեց անլար DMZ- ին, այնպես որ VPN DMZ- ը չի պահանջվի ընդհանրապես:

Սա ձեռնարկությունների տեղակայման WLAN- ն ինտեգրվելու առավել անվտանգ եղանակներից մեկն է `գոյություն ունեցող ապահովված ձեռնարկության ճամբարում: