Аж ахуйн нэгжийн утасгүй сүлжээг аюулгүй болгохын тулд VPN ашиглах



Энэ өгүүлэлд би орчин тойрон дахь аж ахуйн орчинд байршуулах боломжтой цогцолбор боловч аюулгүй кампус WLAN загварыг хэлэлцэх болно.

Өнөөдөр утасгүй сүлжээ ажиллуулж байгаа гол асуудал бол өгөгдлийн аюулгүй байдал Уламжлалт 802.11 WLAN-ын аюулгүй байдал нь нээлттэй буюу хуваалцсан түлхүүр баталгаажуулалт, статик утастай адилтгах нууцлал (WEP) түлхүүрийг ашиглах явдал юм. Хяналт, нууцлалын эдгээр элементүүд бүгд эвдэгдэж болно. WEP нь өгөгдлийн холболтын давхарга дээр ажилладаг бөгөөд бүх талууд ижил нууц түлхүүрийг хуваалцахыг шаарддаг. WEP-ийн 40 болон 128-битийн хувилбарууд нь бэлэн байгаа хэрэгслүүдээр хялбархан эвдрэх боломжтой байдаг. 128-bit статик WEP түлхүүрүүд нь RC15 шифрлэх алгоритм дахь уламжлалт дутагдалтай байдлаас болж өндөр урсгал бүхий WLAN-д 4 минутын дотор бага зэрэг эвдэрсэн байна. FMS довтолгооны аргыг онолын хувьд та ижил түлхүүр ашиглан шифрлэсэн 100,000-ээс 1,000,000 пакетуудын хүрээнээс WEP түлхүүрийг оноох боломжтой.

Зарим сүлжээнүүд нээлттэй эсвэл хуваалцсан түлхүүрийг баталгаажуулах боломжтой бөгөөд статикаар WEP-ийн шифрлэлтийн түлхүүрүүдтэй холбогдож болох боловч байгууллагын сүлжээний орчинд энэ хэмжээний аюулгүй байдалд л найдвар тавих нь зохисгүй санаа юм. Энэ тохиолдолд та ямар нэгэн өргөтгөсөн аюулгүй байдал хэрэгтэй болно.

IEEE 802.11i стандартаар тодорхойлогдсон WEP эмзэг байдлыг даван туулахад туслахын тулд шинэ шифрлэлтийн сайжруулалтууд байдаг. RC4-д илүү хүчтэй хувилбар гэж тооцогдох TKIP, Temporal Key Integrity Protocol болон AES гэж нэрлэгддэг RC4-д суурилсан WEP-д програм хангамжийг сайжруулах. Wi-Fi Protected Access эсвэл WPA TKIP аж ахуйн нэгжийн хувилбарууд нь PPK (пакет түлхүүрт бүрт) болон MIC (мессежийн бүрэн бүтэн байдлыг шалгах) багтдаг. WPA TKIP нь 24 битээс эхлүүлэх векторыг өргөтгөж 48-д 802.1X-ийг шаарддаг. EAP-ийн дагуу WAP-ийг ашиглах нь төвлөрсөн баталгаажуулалт болон динамик түлхүүр түгээлтэнд уламжлалт 802.11-ийн аюулгүй байдлын стандартад илүү хүчтэй хувилбар юм.

Гэсэн хэдий ч миний таашаалд болон бусад олон хүмүүс миний тодорхой бичвэрийн 802.11 урсгал дээр IPSec-ийг overlay болгох юм. IPSec нь DES, 3DES эсвэл AES-тэй өгөгдлийг шифрлэж нууцлалгүй байдал, бүрэн бүтэн байдал, найдвартай байдлыг хангаж өгдөг. Зөвшөөрөл бүхий итгэмжлэлүүдийг VPN-д нэвтрүүлэхгүй бол зөвхөн сүлжээн дэх цорын ганц гарах цэгийг замын шүүлтүүрээр хамгаалагдсан зөвхөн IPSec туннель нь тодорхой хост хаягаар үүсгэгдсэн тусгаарлагдсан LAN дээр утасгүй сүлжээний хандалтын цэгийг байрлуулна. Итгэлтэй IPSec холболт тогтоогдсоны дараа эцсийн төхөөрөмжөөс сүлжээний итгэмжлэгдсэн хэсэг рүү чиглэсэн бүх урсгал бүрэн хамгаалагдсан болно. Та зөвхөн хандалтын цэгийн удирдлагыг хатууруулахын тулд зөвхөн засварлах боломжгүй болно.

Та DHCP болон DNS үйлчилгээг удирдахад хялбар болгохын тулд, харин та MAC хаягийн жагсаалтыг шүүх болон SSID нэвтрүүлгийг шүүхэд өгөх нь зүйтэй юм. Хэрэв сүлжээний утасгүй сүлжээний дэд сүлжээ нь боломжит DoS халдлага

Мэдээжээр та MAC хаягийн жагсаалт болон цацагдаагүй SSID-г санамсаргүйгээр MAC болон MAC клон хийх хөтөлбөрүүдтэй хамт хамгийн сүүлийн үеийн аюулгүй байдлын аюул заналын хамтаар Social Engineering гэхээсээ илүүтэйгээр эргэн тойронд нь авч үзэж болох юм Утасгүй холболт руу. Зарим тохиолдолд энэ нь утасгүй сүлжээнд хандахын тулд өргөтгөсөн баталгаажуулалтын үйлчилгээг шалгахад ихээхэн эрсдэлтэй байж болох юм.

Энэ өгүүлэл дэх үндсэн зорилго нь утасгүй холболтыг амар хялбар болгох, эцсийн хэрэглэгчийн тухтай байдлыг хангах, өөрийн дотоод нөөцийг эрсдэлд оруулж, компаниудын хөрөнгийг эрсдэлд оруулах явдал юм. Найдвартай утастай сүлжээнээс найдваргүй утасгүй сүлжээг тусгаарлаж бид нэвтрэлт танилт, зөвшөөрөл, нягтлан бодох бүртгэл болон шифрлэгдсэн VPN туннель хийх шаардлагатай болсон.

Дээрх зургийг харна уу. Энэ загварт олон интерфэйс галт хана болон олон интерфэйс VPN баяжуулах төхөөрөмжийг ашигладаг бөгөөд бүс бүрт итгэлцлийн өөр өөр түвшний найдвартай сүлжээг ашиглана. Энэ тохиолдолд хамгийн бага итгэмжлэгдсэн гадны интерфейстэй, тэгээд арай илүү итгэмжлэгдсэн утасгүй DMZ, тэгээд арай илүү итгэж болох VPN DMZ, дараа нь хамгийн найдвартай интерфэйстэй байдаг. Эдгээр интерфейсүүд нь өөр өөр физик унтраалгаар эсвэл таны дотоод кампус шилжүүлгийн даавуу дээр unrouted VLAN дээр байрлаж болно.

Зураг дээрээс утасгүй сүлжээнд утасгүй DMZ сегмент дотор байрладаг. Дотоод итгэмжлэгдсэн сүлжээнд эсвэл интернетэд буцах цорын ганц арга бол галт хана дээрх утасгүй DMZ интерфейсээр дамждаг. Зөвхөн гадагшаа чиглэсэн дүрэм нь DMZ дэд сүлжээ нь ESP болон ISAKMP (IPSec) дамжуулан VPN DMZ дээр байрлаж байгаа интерфэйс хаягаас гадна VPN баяжуулах төхөөрөмжүүдэд хандахыг зөвшөөрдөг. VPN DMZ дээрх гадагшаа чиглэсэн дүрмүүд нь утасгүй DMZ дэд сүлжээнээс ESP ба ISAKMP нь VPN баяжуулах төхөөрөмжийн гадаад интерфейсийн хаяг руу шилждэг. Энэ нь утасгүй хост дээр VPN клиентээс IPSec VPN-ийн туннелийг дотоод сүлжээнд холбогдсон VPN баяжуулах дотоод интерфейс уруу ашиглахыг зөвшөөрдөг. Туннелийн хүсэлтийг эхлүүлсний дараа хэрэглэгчийн итгэмжлэл нь дотоод AAA серверээр баталгаажсан тул үйлчилгээнүүд эдгээр итгэмжлэлүүд дээр тулгуурлан үйлчилгээ эрхлэх бөгөөд сеанс бүртгэл эхлэхээс эхэлдэг. Дараа нь зөв дотоод хаягийн хаяг өгөгдсөн бөгөөд хэрэглэгч зөвшөөрөгдсөн бол дотоод сүлжээний эх үүсвэрээс эсвэл Интернэтээс дотоод сүлжээнд хандах боломжтой байдаг.

Энэхүү загварыг тоног төхөөрөмжийн хүртээмж, дотоод сүлжээний дизайнаас хамааран өөр өөр аргаар өөрчилж болно. Галт хана DMZs нь үнэндээ аюулгүй байдлын хандалтын жагсаалтыг ажиллуулах чиглүүлэгч интерфэйсүүдээр солигдож болох юмуу эсвэл дотоод чиглүүлэлтийн шилжүүлэгч модулийг бараг чиглүүлэх өөр өөр VLAN-уудаар сольж болох юм. Баяжуулах үйлдвэрийг VPN DMZ-г шаардахгүй байхын тулд IPSec VPN-ийг шууд утасгүй DMZ-д шууд зогсоох боломжтой VPN-ийг галт ханаар сольж болно.

Энэ нь аж ахуйн нэгжийн WLAN кампусыг одоо байгаа баталгаатай аж үйлдвэрийн цогцолбор болгон нэгтгэх илүү аюулгүй арга замуудын нэг юм.