Kutumia VPN ili kupata mtandao wa wireless mtandao



Katika makala hii nitajadili klabu ya WLAN ambayo inaweza kutumiwa katika mazingira ya biashara.

Moja ya masuala ya msingi kwa kuendesha mitandao ya wireless leo ni usalama wa data Jadi 802.11 WLAN usalama ni pamoja na matumizi ya uthibitisho wa wazi au wa pamoja-msingi na funguo sawa ya wired faragha (WEP). Kila moja ya mambo haya ya kudhibiti na faragha yanaweza kuathiriwa. WEP inafanya kazi juu ya safu ya kiungo cha data na inahitaji kwamba vyama vyote vifungue siri moja. Vipengele vyote vya 40 na 128-bit vya WEP vinaweza kuvunjika kwa urahisi na zana zinazopatikana kwa urahisi. Funguo za WEP za 128-bit zinaweza kuvunjika kwa dakika kidogo kama 15 kwenye WLAN ya trafiki ya juu kwa sababu ya uhaba wa asili katika mfumo wa encryption ya RC4. Kutumia mbinu ya mashambulizi ya FMS kinadharia unaweza kupata ufunguo wa WEP katika aina mbalimbali kutoka kwa 100,000 hadi kwa pakiti za 1,000,000 zilizofichwa kwa kutumia kifaa sawa.

Wakati mitandao fulani inaweza kupata na uhalali wa ufunguo wa wazi au wa pamoja na ukielezea kwa ufunguo funguo za encryption ya WEP sio wazo nzuri ya kutegemea kiasi hiki cha usalama pekee katika mazingira ya mtandao wa biashara ambapo tuzo inaweza kuwa na jitihada kwa mtu atakuwa mshambuliaji. Katika kesi hii utahitaji usalama wa kupanuliwa.

Kuna baadhi ya nyongeza mpya za encryption kusaidia kushinda udhaifu wa WEP kama ilivyoelezwa na kiwango cha IEEE 802.11i. Vidokezo vya Programu ya WEP ya RC4 inayojulikana kama TKIP au Programu ya Muhimu ya Usahihi na AES ambayo inaweza kuchukuliwa kuwa mbadala yenye nguvu kwa RC4. Matoleo ya biashara ya Upatikanaji wa Wi-Fi Protected au WPA TKIP pia inajumuisha PPK (kwa pakiti keying) na MIC (ukaguzi wa uadilifu wa ujumbe). TPA ya WPA pia huongeza vector ya uanzishaji kutoka bits 24 hadi bits 48 na inahitaji 802.1X kwa 802.11. Kutumia WPA pamoja na EAP kwa kuthibitisha kati na usambazaji muhimu wa nguvu ni mbadala kubwa zaidi kwa kiwango cha jadi cha usalama wa 802.11.

Hata hivyo, upendeleo wangu pamoja na wengine wengi ni kufunika IPSec juu ya trafiki yangu ya wazi ya 802.11. IPSec hutoa usiri, uaminifu, na uhalali wa mawasiliano ya data kwenye mitandao isiyohifadhiwa kwa kuandika data na DES, 3DES au AES. Kwa kuweka kituo cha upatikanaji wa mtandao wa wireless kwenye LAN ya pekee ambako sehemu pekee ya kuondoka inalindwa na filters za trafiki tu kuruhusu handaki ya IPSec kuanzishwa kwenye anwani maalum ya jeshi inaleta mtandao wa wireless ukiwa na maana isipokuwa una sifa za uthibitishaji kwa VPN. Mara baada ya uunganisho wa IPSec ulioaminika umeanzishwa kila trafiki kutoka kwenye kifaa cha mwisho hadi sehemu inayoaminika ya mtandao italindwa kabisa. Unahitaji tu kuimarisha usimamizi wa hatua ya kufikia hivyo hauwezi kuharibiwa.

Unaweza kukimbia huduma za DHCP na DNS pia kwa urahisi wa usimamizi lakini kama unataka kufanya hivyo ni wazo nzuri kuchuja na orodha ya anwani ya MAC na kuzima utangazaji wowote wa SSID kama subnet ya wireless ya mtandao ni salama fulani kutoka kwa DoS zinazoweza mashambulizi.

Sasa ni wazi bado unaweza kuzunguka orodha ya anwani ya MAC na SSID isiyo ya kutangaza na mipango ya random MAC na MAC cloning pamoja na tishio kubwa la usalama nje huko bado hadi sasa, Uhandisi wa Jamii lakini hatari kuu bado ni kupoteza uwezo wa huduma kwa upatikanaji wa wireless. Katika hali nyingine hii inaweza kuwa hatari kubwa ya kutosha kuchunguza huduma za kuthibitishwa kupanuliwa ili kupata upatikanaji wa mtandao wa wireless yenyewe.

Tena, lengo la msingi katika makala hii ni kufanya wireless iwe rahisi kufikia na kutoa urahisi wa mtumiaji wa mwisho bila kuacha rasilimali zako za ndani za ndani na kuweka mali yako ya kampuni katika hatari. Kwa kutenganisha mtandao usio na uhakika wa wireless kutoka mtandao unaoaminika wa waya, unahitaji uthibitisho, idhini, uhasibu na handaki ya VPN encrypted tumefanya hivyo tu.

Angalia kuchora hapo juu. Katika kubuni hii nimekuwa nimeunganisha firewall nyingi za interface na interface nyingi za VPN concentrator ili kuhakikisha mtandao kuwa na ngazi tofauti za uaminifu katika kila eneo. Katika hali hii tuna nafasi ya chini ya kuaminika ya nje, kisha DMZ ya Wayahudi isiyoaminika zaidi, kisha kuaminika zaidi ya VPN DMZ na kisha kuaminika ndani interface. Kila moja ya interfaces hizi inaweza kuishi kwenye kubadili tofauti ya kimwili au tu VLAN isiyoingizwa ndani ya chuo chako cha ndani cha kubadili kitambaa.

Kama unaweza kuona kutoka kuchora mtandao wa wireless iko ndani ya sehemu ya DMZ ya wireless. Njia pekee ndani ya mtandao wa kuaminika wa ndani au kurudi nje (internet) ni kupitia interface ya wireless ya DMZ ya wireless. Sheria za nje zimewezesha subnet ya DMZ kufikia concentrators ya VPN nje ya anwani ya interface ambayo inakaa kwenye VPN DMZ kupitia ESP na ISAKMP (IPSec). Sheria tu zinazoingia kwenye DPZ ya VPN ni ESP na ISAKMP kutoka kwenye subnet ya DMZ ya wireless kwenye anwani ya interface ya nje ya concentrator ya VPN. Hii inaruhusu tunnel ya IPSec VPN kujengwa kutoka kwa mteja wa VPN kwenye jeshi la wireless kwa interface ya ndani ya concentrator ya VPN ambayo inakaa kwenye mtandao wa kuaminika wa ndani. Mara tu handaki ni ombi imeanzishwa utambulisho wa mtumiaji ni kuthibitishwa na server AAA ndani, huduma ni mamlaka kulingana na sifa hizo na uhasibu wa kikao kuanza. Kisha anwani ya ndani halali imetolewa na mtumiaji ana uwezo wa kufikia rasilimali za kampuni ya ndani au mtandao kutoka kwenye mtandao wa ndani ikiwa idhini inaruhusu.

Mpangilio huu unaweza kubadilishwa kwa njia mbalimbali tofauti kulingana na upatikanaji wa vifaa na kubuni mtandao wa ndani. DMZ ya firewall inaweza kweli kubadilishwa na interfaces router inayoendesha orodha ya upatikanaji wa usalama au hata njia ya ndani ya kubadili moduli karibu na kuendesha VLAN tofauti. The concentrator inaweza kubadilishwa na firewall ambayo ilikuwa na uwezo wa VPN ambapo IPSec VPN imekamilika moja kwa moja kwenye DMZ ya wireless kama vile VPN DMZ haikuhitajika kabisa.

Hii ni moja ya njia salama zaidi za kuunganisha kampeni ya biashara ya WLAN katika chuo kikuu cha biashara kilichopo.