使用VPN來保護企業無線網絡



在本文中,我將討論可以在企業環境中部署的相當複雜但安全的園區WLAN設計。

當今運行無線網絡的主要問題之一是數據安全性傳統802.11 WLAN安全性包括使用開放或共享密鑰身份驗證和靜態有線等效隱私(WEP)密鑰。 這些控制和隱私元素中的每一個都可能受到損害。 WEP在數據鏈路層上運行,並要求所有各方共享相同的密鑰。 WEP的40和128位變體都可以通過現成的工具輕鬆打破。 由於RC128加密算法存在固有的缺點,15位靜態WEP密鑰可以在高流量WLAN上以低至4分鐘的速率中斷。 理論上,使用FMS攻擊方法,您可以在使用相同密鑰加密的100,000到1,000,000數據包的範圍內派生WEP密鑰。

雖然有些網絡可以使用開放或共享密鑰身份驗證和靜態定義的WEP加密密鑰,但在企業網絡環境中單獨依賴這種安全性並不是一個好主意,在這種環境中,獎勵可能值得攻擊者。 在這種情況下,您將需要某種擴展的安全性。

有一些新的加密增強功能可幫助克服IEEE 802.11i標准定義的WEP漏洞。 基於RC4的WEP的軟件增強,稱為TKIP或臨時密鑰完整性協議和AES,被認為是RC4的更強的替代方案。 企業版的Wi-Fi保護訪問或WPA TKIP還包括PPK(每個包密鑰)和MIC(消息完整性檢查)。 WPA TKIP還將初始化向量從24位擴展到48位,並且需要802.1X用於802.11。 沿著EAP使用WPA進行集中身份驗證和動態密鑰分發是傳統802.11安全標準的一個更強大的替代方案。

然而,我和其他許多人的偏好是在我的明文802.11流量之上覆蓋IPSec。 IPSec通過使用DES,3DES或AES加密數據,在不安全的網絡上提供數據通信的機密性,完整性和真實性。 通過將無線網絡接入點放置在隔離的LAN上,其中唯一的出口點受流量過濾器保護,僅允許將IPSec隧道建立到特定主機地址,除非您具有VPN的身份驗證憑據,否則無線網絡將無用。 一旦建立了可信任的IPSec連接,就會完全保護從終端設備到網絡可信部分的所有流量。 您只需要加強對接入點的管理,使其不會被篡改。

您也可以運行DHCP和/或DNS服務以便於管理,但如果您希望這樣做,最好使用MAC地址列表進行過濾並禁用任何SSID廣播,以使網絡的無線子網在某種程度上免受潛在的DoS影響攻擊。

現在顯然你仍然可以繞過MAC地址列表和非廣播SSID以及隨機MAC和MAC克隆程序以及迄今為止仍存在的最大安全威脅,社會工程但主要風險仍然只是潛在的服務損失到無線接入。 在某些情況下,檢查擴展認證服務以獲得對無線網絡本身的訪問權限可能是一個很大的風險。

同樣,本文的主要目標是使無線網絡易於訪問,並在不影響您的關鍵內部資源和使您的公司資產面臨風險的情況下為最終用戶提供便利。 通過將不安全的無線網絡與可信的有線網絡隔離,需要身份驗證,授權,計費和加密的VPN隧道,我們就是這樣做的。

看看上面的圖紙。 在這個設計中,我使用了一個多接口防火牆和一個多接口VPN集中器來真正保護每個區域中具有不同信任級別的網絡。 在這種情況下,我們擁有最低可信外部接口,然後是稍微更受信任的無線DMZ,然後是稍微更可靠的VPN DMZ,然後是最受信任的內部接口。 這些接口中的每一個都可以駐留在不同的物理交換機上,或者只是內部園區交換機結構中的未路由VLAN。

從圖中可以看出,無線網絡位於無線DMZ網段內。 進入內部可信網絡或返回外部(互聯網)的唯一方法是通過防火牆上的無線DMZ接口。 唯一的出站規則允許DMZ子網通過ESP和ISAKMP(IPSec)訪問駐留在VPN DMZ上的接口地址之外的VPN集中器。 VPN DMZ上唯一的入站規則是從無線DMZ子網到VPN集中器外部接口地址的ESP和ISAKMP。 這允許從無線主機上的VPN客戶端到駐留在內部可信網絡上的VPN集中器的內部接口構建IPSec VPN隧道。 一旦啟動了隧道請求,內部AAA服務器就會對用戶憑據進行身份驗證,並根據這些憑據授權服務並開始會話記帳。 然後分配有效的內部地址,並且如果授權允許,用戶可以從內部網絡訪問公司內部資源或Internet。

根據設備的可用性和內部網絡設計,可以通過幾種不同的方式修改此設計。 防火牆DMZ實際上可以由運行安全訪問列表的路由器接口替換,甚至可以由虛擬路由不同VLAN的內部路由交換模塊替換。 集中器可以由具有VPN功能的防火牆替換,其中IPSec VPN直接終止於無線DMZ,因此根本不需要VPN DMZ。

這是將企業園區WLAN集成到現有安全企業園區中的一種更安全的方法。