Verwenden eines VPN zum Sichern eines drahtlosen Unternehmensnetzwerks



In diesem Artikel werde ich ein recht komplexes, aber sicheres WLAN-Design für den Campus erläutern, das in einer Unternehmensumgebung bereitgestellt werden kann.

Eines der Hauptprobleme beim Betrieb drahtloser Netzwerke ist heutzutage die Datensicherheit. Die herkömmliche 802.11-WLAN-Sicherheit umfasst die Verwendung von Open- oder Shared-Key-Authentifizierung und statischen WEP-Schlüsseln (Wired Equivalent Privacy). Jedes dieser Elemente der Kontrolle und der Privatsphäre kann beeinträchtigt werden. WEP arbeitet auf der Datenverbindungsschicht und erfordert, dass alle Parteien denselben geheimen Schlüssel gemeinsam nutzen. Sowohl 40- als auch 128-Bit-Varianten von WEP können mit leicht verfügbaren Tools problemlos beschädigt werden. Statische 128-Bit-WEP-Schlüssel können in einem stark frequentierten WLAN aufgrund eines inhärenten Mangels des RC15-Verschlüsselungsalgorithmus in nur 4 Minuten gebrochen werden. Mit der FMS-Angriffsmethode können Sie theoretisch einen WEP-Schlüssel in einem Bereich von 100,000- bis 1,000,000-Paketen ableiten, die mit demselben Schlüssel verschlüsselt sind.

Während einige Netzwerke mit offener oder gemeinsam genutzter Schlüsselauthentifizierung und statisch definierten WEP-Verschlüsselungsschlüsseln auskommen, ist es in einer Unternehmensnetzwerkumgebung, in der sich der Aufwand für einen Angreifer lohnen könnte, keine gute Idee, sich auf diese Sicherheitsstufe zu verlassen. In diesem Fall benötigen Sie eine erweiterte Sicherheit.

Es gibt einige neue Verschlüsselungsverbesserungen, mit denen WEP-Schwachstellen gemäß dem IEEE 802.11i-Standard behoben werden können. Software-Verbesserungen für RC4-basiertes WEP, bekannt als TKIP oder Temporal Key Integrity Protocol, und AES, die als stärkere Alternative zu RC4 angesehen würden. Unternehmensversionen von Wi-Fi Protected Access oder WPA TKIP enthalten zusätzlich PPK (per Packet Keying) und MIC (Message Integrity Check). WPA TKIP erweitert auch den Initialisierungsvektor von 24-Bits auf 48-Bits und erfordert 802.1X für 802.11. Die Verwendung von WPA zusammen mit EAP für die zentrale Authentifizierung und die dynamische Schlüsselverteilung ist eine viel stärkere Alternative zum traditionellen 802.11-Sicherheitsstandard.

Ich und viele andere bevorzugen es jedoch, IPSec über meinen Klartext-802.11-Datenverkehr zu legen. IPSec bietet Vertraulichkeit, Integrität und Authentizität der Datenkommunikation über ungesicherte Netzwerke, indem Daten mit DES, 3DES oder AES verschlüsselt werden. Indem Sie den drahtlosen Netzwerkzugriffspunkt in einem isolierten LAN platzieren, in dem der einzige Austrittspunkt durch Verkehrsfilter geschützt ist, die nur den Aufbau eines IPSec-Tunnels zu einer bestimmten Hostadresse ermöglichen, wird das drahtlose Netzwerk unbrauchbar, es sei denn, Sie verfügen über Authentifizierungsdaten für das VPN. Sobald die vertrauenswürdige IPSec-Verbindung hergestellt wurde, wird der gesamte Datenverkehr vom Endgerät zum vertrauenswürdigen Teil des Netzwerks vollständig geschützt. Sie müssen nur die Verwaltung des Zugriffspunkts verstärken, damit keine Manipulationen daran vorgenommen werden können.

Sie können auch DHCP- und / oder DNS-Dienste ausführen, um die Verwaltung zu vereinfachen. Wenn Sie dies jedoch möchten, empfiehlt es sich, nach einer MAC-Adressliste zu filtern und alle SSID-Broadcasts zu deaktivieren, damit das drahtlose Subnetz des Netzwerks vor potenziellem DoS geschützt ist Anschläge.

Jetzt können Sie natürlich immer noch die MAC-Adressliste und die nicht gesendete SSID mit zufälligen MAC- und MAC-Klonprogrammen umgehen, zusammen mit der bislang größten Sicherheitsbedrohung, Social Engineering. Das Hauptrisiko besteht jedoch immer noch in einem potenziellen Dienstausfall zum drahtlosen Zugang. In einigen Fällen ist dies möglicherweise ein ausreichend großes Risiko, um erweiterte Authentifizierungsdienste auszuprobieren, um Zugriff auf das drahtlose Netzwerk selbst zu erhalten.

Wiederum besteht das Hauptziel in diesem Artikel darin, den Zugriff auf das WLAN zu vereinfachen und dem Endbenutzer Komfort zu bieten, ohne Ihre kritischen internen Ressourcen zu gefährden und die Vermögenswerte Ihres Unternehmens zu gefährden. Indem wir das ungesicherte drahtlose Netzwerk vom vertrauenswürdigen kabelgebundenen Netzwerk isolieren und Authentifizierung, Autorisierung, Abrechnung und einen verschlüsselten VPN-Tunnel benötigen, haben wir genau das getan.

Schauen Sie sich die Zeichnung oben an. In diesem Design habe ich eine Firewall mit mehreren Schnittstellen und einen VPN-Konzentrator mit mehreren Schnittstellen verwendet, um das Netzwerk wirklich mit unterschiedlichen Vertrauensebenen in jeder Zone zu sichern. In diesem Szenario haben wir die niedrigste vertrauenswürdige externe Schnittstelle, dann die etwas vertrauenswürdigere drahtlose DMZ, dann die etwas vertrauenswürdigere VPN-DMZ und dann die vertrauenswürdigste interne Schnittstelle. Jede dieser Schnittstellen kann sich auf einem anderen physischen Switch oder einfach einem nicht gerouteten VLAN in Ihrer internen Campus-Switch-Struktur befinden.

Wie Sie in der Zeichnung sehen können, befindet sich das drahtlose Netzwerk innerhalb des drahtlosen DMZ-Segments. Der einzige Weg in das interne vertrauenswürdige Netzwerk oder zurück nach außen (Internet) führt über die drahtlose DMZ-Schnittstelle an der Firewall. Die einzigen ausgehenden Regeln ermöglichen dem DMZ-Subnetz den Zugriff auf die VPN-Konzentratoren außerhalb der Schnittstellenadresse, die sich in der VPN-DMZ befindet, über ESP und ISAKMP (IPSec). Die einzigen eingehenden Regeln in der VPN-DMZ sind ESP und ISAKMP vom drahtlosen DMZ-Subnetz bis zur Adresse der externen Schnittstelle des VPN-Konzentrators. Dies ermöglicht den Aufbau eines IPSec-VPN-Tunnels vom VPN-Client auf dem drahtlosen Host zur internen Schnittstelle des VPN-Konzentrators, die sich im internen vertrauenswürdigen Netzwerk befindet. Sobald die Tunnelanforderung initiiert ist, werden die Benutzeranmeldeinformationen vom internen AAA-Server authentifiziert, Dienste werden basierend auf diesen Anmeldeinformationen autorisiert und die Sitzungsabrechnung wird gestartet. Anschließend wird eine gültige interne Adresse zugewiesen, und der Benutzer kann vom internen Netzwerk aus auf interne Unternehmensressourcen oder das Internet zugreifen, sofern die Autorisierung dies zulässt.

Dieses Design kann abhängig von der Verfügbarkeit der Geräte und dem internen Netzwerkdesign auf verschiedene Arten geändert werden. Die Firewall-DMZs könnten tatsächlich durch Router-Interfaces mit Sicherheitszugriffslisten oder sogar durch ein internes Route-Switching-Modul ersetzt werden, das verschiedene VLANs virtuell routet. Der Konzentrator könnte durch eine VPN-fähige Firewall ersetzt werden, bei der das IPSec-VPN direkt an der drahtlosen DMZ terminiert wird, sodass die VPN-DMZ überhaupt nicht erforderlich ist.

Dies ist eine der sichersten Möglichkeiten, ein Unternehmens-Campus-WLAN in einen vorhandenen gesicherten Unternehmens-Campus zu integrieren.