бир VPN колдонуу ишкана зымсыз тармагын камсыз кылуу



Бул макалада мен ишканасынын айлана-чөйрөнү жайгаштырыла турган бир топ татаал, бирок коопсуз кампустун WLAN долбоорду талкуулайт.

Бүгүнкү күндө зымы чуркап менен баштапкы маселелердин бири коопсуздугунун салттуу 802.11 WLAN коопсуздук ачык же чогуу-негизги аныктыгын жана статикалык зымдуу барабар купуялык (WEP) ачкычтарынын пайдаланууну камтыйт болуп саналат. контролдоо жана жашырындуулук бул элементтердин ар бир бузулушу мүмкүн. WEP маалыматтар шилтемеси катмарында иштейт жана бардык партиялар ошондой эле жашыруун ачкыч менен бөлүшүү керек. 40 жана 128-бит WEP менен Чыгарылган да жонокой даяр куралдар менен талкаланып калышы мүмкүн. Анткени RC128 алгоритми менен ажырагыс жетишсиздигине 15-бит статикалык WEP баскычтары жогорку жол WLAN боюнча 4 мүнөт эле аз сынган болот. FMS чабуул ыкмасын колдонуу менен теориялык жактан да ошол эле ачкычын колдонуу менен ИП 100,000 пакеттери 1,000,000 бир катар бир WEP баскычын алууга болот.

кээ бир тармактар ​​ачык же бөлүшүлгөн ачкыч текшерүү жана статистикалык WEP коддоо баскычтар аныкталган менен алууга болот, ал эми аны байге чабуулчу турган күч болушу мүмкүн жалгыз ишкана тармак чөйрөдө коопсуздук ушул суммага таянуу жакшы идея эмес. Бул учурда сиз узак коопсуздук кандайдыр бир муктаж болот.

IEEE 802.11i стандарт менен аныкталган WEP аялуу жардам берүү үчүн бир нече жаңы коддоо жабдуулар бар чечүү. RC4 негизделген TKIP же Убактылуу ачыш бүтүндүгү протоколунун жана RC4 үчүн күчтүү атаандаш иликтенерине AES деп аталган WEP үчүн программалык жабдууларды. Wi-Fi корголгон мүмкүндүк алуу же WPA TKIP ишканасы котормолорунда кошумча PPK (пакетинен күнүнө жазылышы) жана МИХ (кабар бүтүндүгүн текшерүү) камтыйт. WPA TKIP да чекесинен 24 үчүн 48 бит тартып баштоо багыттарын камтыйт жана 802.1 үчүн 802.11X талап кылат. борборлоштурулган аныктыгын жана динамикалык негизги таратуу үчүн EAP бирге WPA колдонуу салттуу 802.11 коопсуздук стандарты бир топ күчтүү атаандаш болот.

Бирок менин артыкчылык, ошондой эле көптөгөн башка менин ачык текст 802.11 кыймылынын үстүнө IPSec капта болуп саналат. IPSec DES, 3DES же AES менен маалыматтарды encrypting жашыруундуулукту, актыкты жана күрөөсүз тармактардагы маалымат байланыш аныктыгын камсыз кылат. Сиз VPN үчүн текшерүү грамоталарын ээ болбосо, пайдасыз зымсыз тармагын көрсөтөт конкреттүү алуучу дарегине белгиленет үчүн IPSec туннель гана чыгуу чекити жол чыпкалары гана жол менен корголгон алыскы LAN боюнча зымсыз тармак кирүүчү чекит коюу менен. ишенимдүү IPSec байланыш тармагынын ишенимдүү бөлүгүнө акыры аппараттын бардык кыймылын түзүлгөн кийин толугу менен корголот. Сиз гана кийлигишүүсү мүмкүн эмес, андыктан кирүү башкарууну таш керек.

Сиз башкаруу жеӊилдетүү боюнча, ошондой эле DHCP же DNS кызматын чуркай алат, бирок анын жакшы идеясы MAC дареги тизме менен чыпкалоо жана тармактын зымсыз субтүйүндү мындай бир SSID берүүнү өчүрүү бир болуучу Дос коргоп жатат, эмне керек болсо, кол салуулар.

Эми, албетте, Сиз дагы MAC дареги тизме менен эмес берүүнү SSID ири коопсуздук коркунучу чыгып, ошол жерде али күнгө чейин аны менен бирге туш MAC жана MAC клондоштуруу программалары менен айланып аласыз, коомдук Engineering, бирок негизги коркунучу дагы деле кызмат гана мүмкүн болгон жоготуусу болуп саналат зымсыз жетүү. Айрым учурларда бул зымсыз тармакка өзү жетүү үчүн узак убакыт кызмат текшерип үчүн чоң жетиштүү коркунучу болушу мүмкүн.

Дагы, бул макалада негизги милдети Радиону Сиздин сын ички ресурстарды бузбай жана тобокелге сиздин компаниялар каражаттарын которгону жок колдонуучу ы¾гайлуу экендигин кирүү менен камсыз кылуу үчүн бир аз жеңил болуп саналат. ишенимдүү зымдуу Тармактан кылынбаган зымсыз тармакка бөлүп, аныктыгын тастыктоону талап, уруксат, бухгалтердик эсепке алуу жана биз ошол кылган бир түшүүдө VPN туннелин менен.

Жогоруда чүчүкулак карап алып. Бул долбоор менен мен, чынында эле, ар бир аймакта ишеним түрдүү денгээлде тор менен камсыз кылуу үчүн бир нече Interface тармактык жана бир нече Interface VPN concentrator колдонгон. Бул жагдайда, биз төмөнкү тышкы макамын ишенимдүү бар, анда бир аз ишенимдүү Wireless ДМЗда, анда бир аз ишенимдүү VPN ДМЗда, андан кийин көпчүлүк иштей ичинде ишенген. Бул сызууларды ар ички кампустун которуу кездемеден ар кандай физикалык которулуп, же жөн гана бир unrouted VLAN жашаган мүмкүн.

жакындоо үчүн зымсыз тармакка да көрүнүп тургандай зымсыз DMZ сегментинде ичинде жайгашкан. сырттан (интернет) ички ишенимдүү тармакка же гана жолу тармактык боюнча зымсыз DMZ иштей болуп саналат. гана Чыгуучу эрежелери DMZ субтүйүндү ESP жана ISAKMP (IPSec) аркылуу VPN ДМЗда жашаган Interface дареги тышкары VPN байытуу кирүүгө уруксат берет. VPN ДМЗда гана оюнунун эрежелери VPN concentrator тышкы иштей дарегине зымсыз DMZ беткабы тартып ESP жана ISAKMP болуп саналат. Бул ички ишенимдүү тармакта жашаган VPN concentrator ички иштей зымсыз аскер боюнча VPN кардардын бир IPSec VPN туннель курула берет. туннель өтүнүчү колдонуучу аныктоо ички AAA тейлөө аркылуу сахих болот демилгеленет кийин, кызмат көрсөтүүлөрдү ошол грамотасынын жана сессия эсепке алуу башталды негизинде гана уруксат берилет. Андан кийин уруксат берет, ал болсо, жарактуу ички дареги дайындалган жана колдонуучу ички Компаниянын ресурстары же Интернетке ички тармагынын жетүү мүмкүнчүлүгү бар.

Бул долбоор жабдуулардын болушу жана ички тармактын дизайны жараша, ал бир нече ар кандай жолдор менен өзгөртүлүшү мүмкүн. Тармактык DMZs иш жүзүндө дээрлик ар VLANs багытоо коопсуздук кирүү тизмесин иштеп, ал тургай, ички каттам туташтыргыч модулу роутер сызууларды менен алмаштырылышы мүмкүн. concentrator VPN DMZ бардык шарттарды аткарууну талап кылууга болбойт деп, мисалы, зымсыз ДМЗда түздөн-түз IPSec VPN токтотулат VPN жөндөмдүү болгон тармактык менен алмаштырылышы мүмкүн.

Бул учурда күрөө менен камсыз болгон ишкана кампуска кирген ишкана кампустун WLAN жалпылаштыруу коопсуз жолдорунун бири болуп саналат.