استخدام VPN لتأمين شبكة لاسلكية للمؤسسة



في هذه المقالة سأناقش تصميم شبكة WLAN داخل الحرم الجامعي معقد إلى حد ما ولكنه آمن ويمكن نشره في بيئة مؤسسة.

أحد أهم اهتمامات تشغيل الشبكات اللاسلكية اليوم هو أمان البيانات يشمل أمان 802.11 WLAN التقليدي استخدام مصادقة مفتوحة أو مشتركة ومفاتيح خصوصية سلكية ثابتة مكافئة (WEP). يمكن اختراق كل عنصر من عناصر التحكم والخصوصية هذه. يعمل WEP على طبقة ارتباط البيانات ويتطلب من جميع الأطراف مشاركة نفس المفتاح السري. يمكن بسهولة كسر كل من المتغيرات 40 و 128-bit من WEP باستخدام الأدوات المتاحة بسهولة. يمكن تقسيم مفاتيح WEP الثابتة بت 128 في أقل من 15 دقيقة على شبكة WLAN عالية الحركة بسبب وجود عيب ملازم في خوارزمية تشفير RC4. باستخدام أسلوب هجوم FMS نظريًا ، يمكنك اشتقاق مفتاح WEP في نطاق من 100,000 إلى حزم 1,000,000 المشفرة باستخدام نفس المفتاح.

على الرغم من أن بعض الشبكات يمكن أن تعمل من خلال مصادقة المفتاح المفتوح أو المشترك ومفاتيح تشفير WEP المعرّفة بشكل ثابت ، فليس من الجيد الاعتماد على مقدار الأمان هذا وحده في بيئة شبكة مؤسسة حيث يمكن أن تكون الجائزة تستحق المجهود من أجل مهاجم. في هذه الحالة ، ستحتاج إلى نوع من الحماية الممتدة.

هناك بعض تحسينات التشفير الجديدة للمساعدة في التغلب على ثغرات WEP كما هو محدد بواسطة معيار IEEE 802.11i. تحسينات برمجية لـ WEP المستندة إلى RC4 والمعروفة باسم TKIP أو Temporal Key Integrity Protocol و AES والتي ستعتبر بديلاً أقوى عن RC4. تتضمن إصدارات المؤسسات من الوصول المحمي بالدقة اللاسلكية أو WPA TKIP بالإضافة إلى ذلك PPK (لكل مفتاح حزمة) و MIC (تدقيق تكامل الرسائل). يمتد WPA TKIP أيضًا متجه التهيئة من بتات 24 إلى بتات 48 ويتطلب 802.1X لـ 802.11. يعد استخدام WPA على طول EAP للمصادقة المركزية والتوزيع الديناميكي للمفتاح بديلاً أقوى لمعيار الأمان 802.11 التقليدي.

ومع ذلك ، فإن تفضيلي بالإضافة إلى كثيرين آخرين هو تراكب IPSec أعلى حركة مرور 802.11 النصية الواضحة. توفر IPSec سرية اتصالات البيانات وتكاملها وصحتها عبر شبكات غير آمنة من خلال تشفير البيانات باستخدام DES أو 3DES أو AES. من خلال وضع نقطة الوصول إلى الشبكة اللاسلكية على شبكة LAN معزولة حيث تكون نقطة الخروج الوحيدة محمية بفلاتر حركة المرور فقط مما يسمح بإنشاء نفق IPSec لعنوان مضيف معين ، فإنه يجعل الشبكة اللاسلكية غير مجدية إلا إذا كان لديك بيانات اعتماد مصادقة لـ VPN. بمجرد إنشاء اتصال IPSec الموثوق به ، ستكون كل حركة المرور من الجهاز النهائي إلى الجزء الموثوق به من الشبكة محمية بالكامل. ما عليك سوى تشديد إدارة نقطة الوصول بحيث لا يمكن العبث بها.

يمكنك تشغيل خدمات DHCP و DNS وكذلك لسهولة الإدارة ولكن إذا كنت ترغب في القيام بذلك ، فمن الأفضل أن تقوم بالتصفية باستخدام قائمة عناوين MAC وتعطيل أي بث SSID مثل الشبكة الفرعية اللاسلكية للشبكة محمية إلى حد ما من DoS المحتملة الهجمات.

من الواضح الآن أنه لا يزال بإمكانك التجول في قائمة عناوين MAC ومعرف SSID الذي لم يتم بثه من خلال برامج عشوائية لاستنساخ MAC و MAC مع أكبر تهديد أمني ما زال هناك حتى الآن ، الهندسة الاجتماعية ، لكن الخطر الأساسي لا يزال مجرد خسارة محتملة للخدمة للوصول اللاسلكي. في بعض الحالات ، قد يكون هذا مخاطرة كبيرة بما يكفي للتحقق من خدمات المصادقة الموسعة للوصول إلى الشبكة اللاسلكية نفسها.

مرة أخرى ، الهدف الأساسي في هذه المقالة هو جعل الوصول اللاسلكي سهلاً إلى حد ما وتوفير راحة المستخدم النهائي دون المساس بمواردك الداخلية الهامة وتعريض أصول شركتك للخطر. من خلال عزل الشبكة اللاسلكية غير الآمنة عن الشبكة السلكية الموثوق بها ، والتي تتطلب المصادقة ، والترخيص ، والمحاسبة ، ونفق VPN مشفر ، قمنا بذلك.

نلقي نظرة على الرسم أعلاه. في هذا التصميم ، استعملت جدار حماية متعدد الواجهات ومكثف VPN لواجهة متعددة لتأمين الشبكة بمستويات مختلفة من الثقة في كل منطقة. في هذا السيناريو ، لدينا أدنى واجهة خارجية موثوق بها ، ثم شبكة DMZ اللاسلكية الأكثر ثقة قليلاً ، ثم VPN DMZ الأكثر ثقة قليلاً ، ثم الواجهة الداخلية الأكثر ثقة. يمكن أن تتواجد كل واحدة من هذه الواجهات على مفتاح مادي مختلف أو ببساطة شبكة محلية ظاهرية غير مجزأة في نسيج مفتاح الحرم الجامعي الداخلي.

كما ترون من الرسم ، توجد الشبكة اللاسلكية داخل قطاع DMZ اللاسلكي. الطريقة الوحيدة للوصول إلى الشبكة الموثوقة الداخلية أو العودة إلى الخارج (الإنترنت) هي من خلال واجهة DMZ اللاسلكية على جدار الحماية. تسمح القواعد الصادرة الوحيدة لشبكة DMZ الفرعية بالوصول إلى مُركزات VPN خارج عنوان الواجهة الموجودة في VPN DMZ عبر ESP و ISAKMP (IPSec). القواعد الواردة فقط على VPN DMZ هي ESP و ISAKMP من الشبكة الفرعية DMZ اللاسلكية إلى عنوان الواجهة الخارجية لمركز VPN. يسمح ذلك بإنشاء نفق VPN IPSec من عميل VPN على المضيف اللاسلكي إلى الواجهة الداخلية لمركز VPN الذي يوجد على الشبكة الموثوقة الداخلية. بمجرد بدء تشغيل النفق ، تتم مصادقة بيانات اعتماد المستخدم بواسطة خادم AAA الداخلي ، ويتم اعتماد الخدمات بناءً على بيانات الاعتماد هذه وتبدأ محاسبة الجلسة. ثم يتم تعيين عنوان داخلي صالح ويكون لدى المستخدم القدرة على الوصول إلى موارد الشركة الداخلية أو إلى الإنترنت من الشبكة الداخلية إذا كان الترخيص يسمح بذلك.

يمكن تعديل هذا التصميم بعدة طرق مختلفة اعتمادًا على توفر المعدات وتصميم الشبكة الداخلية. يمكن بالفعل استبدال DMZ لجدار الحماية بواجهات جهاز توجيه تقوم بتشغيل قوائم وصول الأمان أو حتى وحدة تبديل مسار داخلي تقوم بتوجيه شبكات محلية ظاهرية مختلفة تقريبًا. يمكن استبدال المكثف بجدار حماية كان قادرًا على VPN حيث يتم إنهاء IPSec VPN مباشرةً على DMZ اللاسلكي بحيث لا تكون VPN DMZ مطلوبة على الإطلاق.

هذه هي إحدى الطرق الأكثر أمانًا لدمج شبكة WLAN داخل الحرم الجامعي في حرم مؤسسة مضمون حالي.