Menggunakan VPN untuk mengamankan jaringan nirkabel perusahaan



Dalam artikel ini saya akan membahas desain WLAN kampus yang cukup kompleks namun aman yang dapat digunakan di lingkungan perusahaan.

Salah satu masalah utama dengan menjalankan jaringan nirkabel saat ini adalah keamanan data Keamanan 802.11 WLAN tradisional termasuk penggunaan otentikasi kunci terbuka atau dibagi-pakai dan kunci privasi setara kabel statis (WEP). Masing-masing elemen kontrol dan privasi ini dapat dikompromikan. WEP beroperasi pada lapisan tautan data dan mengharuskan semua pihak berbagi kunci rahasia yang sama. Kedua varian WEP 40 dan 128-bit dapat dengan mudah dipecah dengan alat yang tersedia. Kunci WEP statis 128-bit dapat dipecah hanya dalam 15 menit pada WLAN dengan lalu lintas tinggi karena kekurangan yang melekat pada algoritma enkripsi RC4. Menggunakan metode serangan FMS secara teoritis Anda dapat memperoleh kunci WEP dalam rentang dari paket 100,000 ke 1,000,000 yang dienkripsi menggunakan kunci yang sama.

Sementara beberapa jaringan dapat bertahan dengan otentikasi kunci terbuka atau bersama dan kunci enkripsi WEP yang ditentukan secara statis, itu bukan ide yang baik untuk mengandalkan jumlah keamanan ini sendirian di lingkungan jaringan perusahaan di mana hadiah dapat sebanding dengan upaya yang akan dilakukan oleh penyerang. Dalam hal ini Anda akan membutuhkan semacam keamanan tambahan.

Ada beberapa peningkatan enkripsi baru untuk membantu mengatasi kerentanan WEP seperti yang didefinisikan oleh standar IEEE 802.11i. Peningkatan perangkat lunak untuk WEP berbasis RC4 yang dikenal sebagai TKIP atau Temporal Key Integrity Protocol dan AES yang akan dianggap sebagai alternatif yang lebih kuat untuk RC4. Versi perusahaan dari Wi -Fi Protected Access atau WPA TKIP juga termasuk PPK (per kunci paket) dan MIC (pemeriksaan integritas pesan). WPA TKIP juga memperluas vektor inisialisasi dari bit 24 ke bit 48 dan membutuhkan 802.1X untuk 802.11. Menggunakan WPA sepanjang EAP untuk otentikasi terpusat dan distribusi kunci dinamis adalah alternatif yang jauh lebih kuat dari standar keamanan 802.11 tradisional.

Namun preferensi saya dan banyak orang lain adalah untuk overlay IPSec di atas lalu lintas 802.11 teks yang jelas saya. IPSec menyediakan kerahasiaan, integritas, dan keaslian komunikasi data di seluruh jaringan tanpa jaminan dengan mengenkripsi data dengan DES, 3DES atau AES. Dengan menempatkan titik akses jaringan nirkabel pada LAN terisolasi di mana satu-satunya titik keluar dilindungi dengan filter lalu lintas hanya memungkinkan terowongan IPSec untuk dibuat ke alamat host tertentu, itu membuat jaringan nirkabel tidak berguna kecuali Anda memiliki kredensial otentikasi ke VPN. Setelah koneksi IPSec tepercaya dibuat, semua lalu lintas dari perangkat akhir ke bagian tepercaya jaringan akan sepenuhnya terlindungi. Anda hanya perlu memperkeras pengelolaan titik akses agar tidak dapat dirusak.

Anda dapat menjalankan layanan DHCP dan atau DNS juga untuk kemudahan manajemen, tetapi jika Anda ingin melakukannya, ada baiknya menyaring dengan daftar alamat MAC dan menonaktifkan siaran SSID sehingga subnet nirkabel jaringan agak terlindungi dari potensi DoS. serangan.

Sekarang jelas Anda masih dapat menyiasati daftar alamat MAC dan SSID yang tidak disiarkan dengan program kloning MAC dan MAC acak serta ancaman keamanan terbesar di luar sana hingga saat ini, Rekayasa Sosial tetapi risiko utamanya masih berupa potensi hilangnya layanan ke akses nirkabel. Dalam beberapa kasus, ini mungkin risiko yang cukup besar untuk memeriksa layanan autentikasi yang diperluas untuk mendapatkan akses ke jaringan nirkabel itu sendiri.

Sekali lagi, tujuan utama dalam artikel ini adalah untuk membuat nirkabel agak mudah diakses dan memberikan kenyamanan pengguna akhir tanpa mengorbankan sumber daya internal penting Anda dan menempatkan aset perusahaan Anda dalam risiko. Dengan mengisolasi jaringan nirkabel yang tidak aman dari jaringan kabel tepercaya, yang membutuhkan otentikasi, otorisasi, akuntansi, dan terowongan VPN terenkripsi, kami telah melakukan hal itu.

Lihatlah gambar di atas. Dalam desain ini saya telah menggunakan firewall beberapa antarmuka dan beberapa konsentrator VPN antarmuka untuk benar-benar mengamankan jaringan dengan tingkat kepercayaan yang berbeda di setiap zona. Dalam skenario ini, kami memiliki antarmuka luar tepercaya terendah, lalu Wireless DMZ yang sedikit lebih tepercaya, kemudian DMZ VPN yang sedikit lebih tepercaya dan kemudian antarmuka dalam paling tepercaya. Masing-masing antarmuka ini dapat berada pada switch fisik yang berbeda atau hanya VLAN yang tidak dirutekan di fabric switch kampus internal Anda.

Seperti yang dapat Anda lihat dari gambar, jaringan nirkabel terletak di dalam segmen DMZ nirkabel. Satu-satunya jalan ke jaringan tepercaya internal atau kembali ke luar (internet) adalah melalui antarmuka DMZ nirkabel di firewall. Satu-satunya aturan keluar memungkinkan subnet DMZ untuk mengakses konsentrator VPN di luar alamat antarmuka yang berada di DMZ VPN melalui ESP dan ISAKMP (IPSec). Satu-satunya aturan masuk pada DMZ VPN adalah ESP dan ISAKMP dari subnet DMZ nirkabel ke alamat antarmuka eksternal konsentrator VPN. Hal ini memungkinkan terowongan IPSec VPN dibangun dari klien VPN pada host nirkabel ke antarmuka internal konsentrator VPN yang berada di jaringan tepercaya internal. Setelah terowongan dimulai, kredensial pengguna diautentikasi oleh server AAA internal, layanan diotorisasi berdasarkan kredensial tersebut dan sesi akuntansi dimulai. Kemudian alamat internal yang valid diberikan dan pengguna memiliki kemampuan untuk mengakses sumber daya perusahaan internal atau ke Internet dari jaringan internal jika otorisasi mengizinkannya.

Desain ini dapat dimodifikasi dalam beberapa cara berbeda tergantung pada ketersediaan peralatan dan desain jaringan internal. DMZ firewall sebenarnya dapat digantikan oleh antarmuka router yang menjalankan daftar akses keamanan atau bahkan modul rute internal yang secara virtual merutekan VLAN yang berbeda. Konsentrator dapat diganti dengan firewall yang mampu VPN di mana IPSec VPN diakhiri langsung di DMZ nirkabel sehingga DMZ VPN tidak akan diperlukan sama sekali.

Ini adalah salah satu cara yang lebih aman untuk mengintegrasikan WLAN kampus perusahaan ke dalam kampus perusahaan aman yang ada.