使用VPN来保护企业无线网络



在本文中,我将讨论可以在企业环境中部署的相当复杂但安全的园区WLAN设计。

当今运行无线网络的主要问题之一是数据安全性传统802.11 WLAN安全性包括使用开放或共享密钥身份验证和静态有线等效隐私(WEP)密钥。 这些控制和隐私元素中的每一个都可能受到损害。 WEP在数据链路层上运行,并要求所有各方共享相同的密钥。 WEP的40和128位变体都可以通过现成的工具轻松打破。 由于RC128加密算法存在固有的缺点,15位静态WEP密钥可以在高流量WLAN上以低至4分钟的速率中断。 理论上,使用FMS攻击方法,您可以在使用相同密钥加密的100,000到1,000,000数据包的范围内派生WEP密钥。

虽然有些网络可以使用开放或共享密钥身份验证和静态定义的WEP加密密钥,但在企业网络环境中单独依赖这种安全性并不是一个好主意,在这种环境中,奖励可能值得攻击者。 在这种情况下,您将需要某种扩展的安全性。

有一些新的加密增强功能可帮助克服IEEE 802.11i标准定义的WEP漏洞。 基于RC4的WEP的软件增强,称为TKIP或临时密钥完整性协议和AES,被认为是RC4的更强的替代方案。 企业版的Wi-Fi保护访问或WPA TKIP还包括PPK(每个包密钥)和MIC(消息完整性检查)。 WPA TKIP还将初始化向量从24位扩展到48位,并且需要802.1X用于802.11。 沿着EAP使用WPA进行集中身份验证和动态密钥分发是传统802.11安全标准的一个更强大的替代方案。

然而,我和其他许多人的偏好是在我的明文802.11流量之上覆盖IPSec。 IPSec通过使用DES,3DES或AES加密数据,在不安全的网络上提供数据通信的机密性,完整性和真实性。 通过将无线网络接入点放置在隔离的LAN上,其中唯一的出口点受流量过滤器保护,仅允许将IPSec隧道建立到特定主机地址,除非您具有VPN的身份验证凭据,否则无线网络将无用。 一旦建立了可信任的IPSec连接,就会完全保护从终端设备到网络可信部分的所有流量。 您只需要加强对接入点的管理,使其不会被篡改。

您也可以运行DHCP和/或DNS服务以便于管理,但如果您希望这样做,最好使用MAC地址列表进行过滤并禁用任何SSID广播,以使网络的无线子网在某种程度上免受潜在的DoS影响攻击。

现在显然你仍然可以绕过MAC地址列表和非广播SSID以及随机MAC和MAC克隆程序以及迄今为止仍存在的最大安全威胁,社会工程但主要风险仍然只是潜在的服务损失到无线接入。 在某些情况下,检查扩展认证服务以获得对无线网络本身的访问权限可能是一个很大的风险。

同样,本文的主要目标是使无线网络易于访问,并在不影响您的关键内部资源和使您的公司资产面临风险的情况下为最终用户提供便利。 通过将不安全的无线网络与可信的有线网络隔离,需要身份验证,授权,计费和加密的VPN隧道,我们就是这样做的。

看看上面的图纸。 在这个设计中,我使用了一个多接口防火墙和一个多接口VPN集中器来真正保护每个区域中具有不同信任级别的网络。 在这种情况下,我们拥有最低可信外部接口,然后是稍微更受信任的无线DMZ,然后是稍微更可靠的VPN DMZ,然后是最受信任的内部接口。 这些接口中的每一个都可以驻留在不同的物理交换机上,或者只是内部园区交换机结构中的未路由VLAN。

从图中可以看出,无线网络位于无线DMZ网段内。 进入内部可信网络或返回外部(互联网)的唯一方法是通过防火墙上的无线DMZ接口。 唯一的出站规则允许DMZ子网通过ESP和ISAKMP(IPSec)访问驻留在VPN DMZ上的接口地址之外的VPN集中器。 VPN DMZ上唯一的入站规则是从无线DMZ子网到VPN集中器外部接口地址的ESP和ISAKMP。 这允许从无线主机上的VPN客户端到驻留在内部可信网络上的VPN集中器的内部接口构建IPSec VPN隧道。 一旦启动了隧道请求,内部AAA服务器就会对用户凭据进行身份验证,并根据这些凭据授权服务并开始会话记帐。 然后分配有效的内部地址,并且如果授权允许,用户可以从内部网络访问公司内部资源或Internet。

根据设备的可用性和内部网络设计,可以通过几种不同的方式修改此设计。 防火墙DMZ实际上可以由运行安全访问列表的路由器接口替换,甚至可以由虚拟路由不同VLAN的内部路由交换模块替换。 集中器可以由具有VPN功能的防火墙替换,其中IPSec VPN直接终止于无线DMZ,因此根本不需要VPN DMZ。

这是将企业园区WLAN集成到现有安全企业园区中的一种更安全的方法。