Nggunakake VPN kanggo ngamanake jaringan nirkabel perusahaan



Ing artikel iki aku bakal ngrembug desain WLAN kampus sing cukup rumit nanging aman sing bisa digelar ing lingkungan perusahaan.

Salah sijine keprigelan utama karo jaringan nirkabel sing aktif saiki yaiku keamanan data Keamanan Tradisional 802.11 WLAN nyakup panggunaan otentikasi mbukak utawa bebarengan-kunci lan kunci privasi (WEP) sing padha karo statis. Saben unsur kontrol lan privasi bisa dikompromi. WEP ngoperasikake lapisan link data lan mbutuhake kabeh pihak nuduhake kunci rahasia sing padha. Loro-lorone 40 lan 128-bit variasi saka WEP bisa gampang rusak karo alat sing kasedhiya. Wujud kunci WEP 128-bit bisa dipérang minangka sethithik 15 menit ing WLAN lalu lintas dhuwur amarga keluwih alesan ing algoritma enkripsi RC4. Nggunakake metode anggempur FMS miturut teori sampeyan bisa nurunake kunci WEP ing sawetara saka 100,000 menyang paket 1,000,000 sing dienkripsi nggunakake tombol sing padha.

Nalika sawetara jaringan bisa njaluk kanthi otentikasi mbukak utawa dituduhake lan kunci enkripsi WEP sing didéfinisi sacara statis, iku ora becik kanggo ngandelake jumlah keamanan kasebut mung ing lingkungan jaringan perusahaan ing ngendi hadiah bisa dadi worth saka upaya sing bakal dadi penyerang. Ing kasus iki, sampeyan kudu mbutuhake keamanan lengkap.

Ana sawetara enkripsi enkripsi sing anyar kanggo ngatasi kelemahan WEP kaya sing ditegesake dening standar IEEE 802.11i. Peningkatan piranti lunak kanggo WEP berbasis RC4 dikenal minangka TKIP utawa Protokol Integritas Kunci Temporal lan AES sing bakal dianggep alternatif sing kuwat kanggo RC4. Versi Enterprise Wi-Fi Protected Access utawa WPA TKIP uga kalebu PPK (per packet keying) lan MIC (mriksa integritas pesen). WPA TKIP uga ngluwihi vektor initialization saka bit 24 menyang bit 48 lan mbutuhake 802.1X kanggo 802.11. Nggunakake WPA bebarengan EAP kanggo otentikasi terpusat lan distribusi tombol dinamis minangka alternatif sing luwih kuwat kanggo standar keamanan 802.11 tradisional.

Nanging pilihan saya uga akeh liyane yaiku kanggo nglapis IPSec ing ndhuwur tlaga teksku sing jelas 802.11. IPSec nyedhiyakake kerahasiaan, integritas, lan keaslian komunikasi data ing jaringan tanpa jaminan kanthi ndandani data kanthi DES, 3DES utawa AES. Kanthi nempatake titik akses jaringan nirkabel ing LAN sing didhewekaken, mung titik metu sing dilindhungi saringan lalu lintas mung ngijini terowongan IPSec ditetepake dadi alamat host sing ndadekake jaringan nirkabel ora ana guna kajaba sampeyan duwe kredensial otentikasi menyang VPN. Sawise sambungan IPSec dipercaya wis digawé kabeh lalu lintas saka piranti pungkasan menyang bagean dipercaya saka jaringan bakal rampung dilindhungi. Sampeyan mung kudu ngatasi pangurus jalur akses supaya ora bisa diganggu.

Sampeyan bisa ndandani DHCP lan utawa layanan DNS uga kanggo gampang manajemen nanging yen sampeyan pengin nglakoni kanthi becik kanggo nyaring karo dhaptar alamat MAC lan mateni penyiaran SSID samubarang sing subnet nirkabel jaringan kerep dilindhungi saka Potensi DoS serangan.

Saiki, sampeyan isih bisa ngubengi dhaptar alamat MAC lan SSID sing ora disiarake kanthi MAC lan MAC cloning program bebarengan karo ancaman keamanan paling gedhe sing isih ana ing kana, Social Engineering nanging resiko utamane isih mung kakehan potensial layanan kanggo akses nirkabel. Ing sawetara kasus iki bisa dadi resiko cukup gedhe kanggo mriksa metu layanan otentikasi lengkap kanggo entuk akses menyang jaringan nirkabel kasebut.

Maneh, tujuan utami ing artikel iki yaiku kanggo nggawe nirkabel gampang diakses lan menehi kasedhiyan pangguna tanpa mbecikake sumber daya internal kritis lan nempatake aset perusahaan sampeyan kanthi resiko. Kanthi ngisolasi jaringan nirkabel tanpa kabel saka jaringan kabel sing dipercaya, mbutuhake otentikasi, wewenang, akuntansi, lan terowongan VPN sing terenkripsi sing wis rampung.

Coba deleng gambar ing ndhuwur. Ing desain iki aku wis nggunakake antarmuka antarmuka kaping lan antarmuka VPN multi concentrator kanggo ngamanake jaringan kanthi tingkat kepercayaan sing beda ing saben zona. Ing skenario iki kita duwe antarmuka njaba sing paling dipercaya sing paling murah, banjur DMZ Wireless sing luwih dipercaya, banjur rada dipercaya VPN DMZ lan antarmuka nang njero sing paling dipercaya. Saben antarmuka iki bisa dumunung ing saklar fisik sing beda-beda utawa mung VLAN sing ora ditrapake ing kain intern.

Minangka sampeyan bisa ndeleng saka gambar jaringan nirkabel dumunung ing segmen DMZ nirkabel. Cara mung menyang jaringan dipercaya internal utawa bali menyang njaba (internet) liwat antarmuka DMZ nirkabel ing firewall. Kawicaksanan mung mbatalake ngidini subnet DMZ kanggo ngakses alamat antarmuka VPN saka VPN sing dumunung ing DMZ liwat ESP lan ISAKMP (IPSec). Mung inbound rules ing DMZ VPN yaiku ESP lan ISAKMP saka subnet nirkabel DMZ menyang alamat antarmuka njaba VPN concentrator. Iki ngidini trowongan IPSec VPN bakal dibangun saka klien VPN ing inang nirkabel menyang antarmuka internal VPN concentrator sing mapan ing jaringan dipercaya internal. Sawise terowongan kasebut diprakarsakake, kredensial pengguna didentokake dening server AAA internal, layanan sing didiskripsikake miturut kredensial lan mulai diawasi sesi. Sabanjure alamat internal sing sah diwenehake lan pangguna nduweni kemampuan kanggo ngakses sumber daya internal perusahaan utawa menyang Internet saka jaringan internal yen wewenang kasebut ngidini.

Rancangan iki bisa diowahi kanthi cara sing beda-beda gumantung saka kasedhiyan peralatan lan desain jaringan internal. DMZs firewall bisa bener diganti dening antarmuka router sing mlaku ing daftar akses keamanan utawa malah modul switching rute internal sakbeneré nuntun VLANs sing beda. Konsentrator bisa diganti dening firewall sing VPN mampu ngendi IPSec VPN ditanggepi langsung ing DMZ nirkabel kayata DMZ VPN ora bakal dibutuhake ing kabeh.

Iki minangka salah sawijining cara sing luwih aman nggabungake WLAN kampus perusahaan menyang kampus perusahaan sing wis ana.