Usando una VPN para asegurar una red inalámbrica empresarial



En este artículo analizaré un diseño de WLAN de campus bastante complejo pero seguro que podría implementarse en un entorno empresarial.

Una de las principales preocupaciones con la ejecución de redes inalámbricas en la actualidad es la seguridad de datos. La seguridad de WLAN 802.11 tradicional incluye el uso de la autenticación de clave compartida o abierta y las claves de privacidad estática cableada equivalente (WEP). Cada uno de estos elementos de control y privacidad puede verse comprometido. WEP opera en la capa de enlace de datos y requiere que todas las partes compartan la misma clave secreta. Tanto las variantes de 40 como las de 128-bit de WEP pueden romperse fácilmente con herramientas fácilmente disponibles. Las claves WEP estáticas de 128-bit se pueden dividir en tan solo minutos 15 en una WLAN de alto tráfico debido a un defecto inherente en el algoritmo de encriptación RC4. Usando el método de ataque FMS teóricamente, puede derivar una clave WEP en un rango de 100,000 a paquetes 1,000,000 encriptados usando la misma clave.

Si bien algunas redes pueden arreglárselas con la autenticación de clave abierta o compartida y las claves de encriptación WEP definidas estáticamente, no es una buena idea confiar solo en esta cantidad de seguridad en un entorno de red empresarial en el que el premio valga la pena para un atacante. En este caso, necesitará algún tipo de seguridad extendida.

Hay algunas nuevas mejoras de cifrado para ayudar a superar las vulnerabilidades de WEP definidas por el estándar IEEE 802.11i. Las mejoras de software para WEP basadas en RC4 conocidas como TKIP o Temporal Key Integrity Protocol y AES, se considerarían como una alternativa más sólida a RC4. Las versiones empresariales de Wi -Fi Protected Access o WPA TKIP también incluyen PPK (por clave de paquete) y MIC (verificación de integridad del mensaje). WPA TKIP también extiende el vector de inicialización de los bits 24 a los bits 48 y requiere 802.1X para 802.11. El uso de WPA a lo largo de EAP para la autenticación centralizada y la distribución dinámica de claves es una alternativa mucho más sólida al estándar de seguridad 802.11 tradicional.

Sin embargo, mi preferencia, al igual que muchas otras, es superponer IPSec sobre el tráfico 802.11 de texto claro. IPSec proporciona confidencialidad, integridad y autenticidad de las comunicaciones de datos a través de redes no seguras al cifrar los datos con DES, 3DES o AES. Al colocar el punto de acceso a la red inalámbrica en una LAN aislada donde el único punto de salida está protegido con filtros de tráfico, lo que solo permite establecer un túnel IPSec para una dirección de host específica, lo que hace que la red inalámbrica sea inútil a menos que tenga credenciales de autenticación para la VPN. Una vez que se haya establecido la conexión IPSec de confianza, todo el tráfico del dispositivo final a la parte confiable de la red estará completamente protegido. Solo necesita fortalecer la administración del punto de acceso para que no pueda ser manipulado.

También puede ejecutar servicios DHCP y / o DNS para facilitar la administración, pero si desea hacerlo, es una buena idea filtrar con una lista de direcciones MAC y deshabilitar cualquier difusión de SSID, de modo que la subred inalámbrica de la red esté algo protegida de posibles DoS. los ataques.

Ahora, obviamente, aún puede sortear la lista de direcciones MAC y el SSID no emitido con programas aleatorios de clonación de MAC y MAC, junto con la mayor amenaza de seguridad que existe hasta la fecha, Ingeniería Social, pero el riesgo principal es solo una posible pérdida de servicio Al acceso inalámbrico. En algunos casos, esto podría ser un riesgo suficientemente grande como para retirar los servicios de autenticación extendidos para obtener acceso a la propia red inalámbrica.

Nuevamente, el objetivo principal de este artículo es hacer que la conexión inalámbrica sea algo de fácil acceso y brindar comodidad para el usuario final sin comprometer sus recursos internos críticos y poner en riesgo los activos de su empresa. Al aislar la red inalámbrica no segura de la red cableada de confianza, que requiere autenticación, autorización, contabilidad y un túnel VPN cifrado, hemos hecho exactamente eso.

Echa un vistazo al dibujo de arriba. En este diseño, he utilizado un firewall de interfaz múltiple y un concentrador VPN de interfaz múltiple para asegurar realmente la red con diferentes niveles de confianza en cada zona. En este escenario tenemos la interfaz externa de confianza más baja, luego la DMZ inalámbrica un poco más confiable, luego la DMZ VPN un poco más confiable y luego la interfaz interna más confiable. Cada una de estas interfaces podría residir en un conmutador físico diferente o simplemente en una VLAN sin enrutar en su estructura interna de conmutador de campus.

Como puede ver en el dibujo, la red inalámbrica se encuentra dentro del segmento inalámbrico de DMZ. La única forma de ingresar a la red de confianza interna o de regresar al exterior (internet) es a través de la interfaz inalámbrica DMZ en el firewall. Las únicas reglas de salida permiten que la subred DMZ acceda a los concentradores VPN fuera de la dirección de la interfaz que reside en la DMN VPN a través de ESP e ISAKMP (IPSec). Las únicas reglas de entrada en la VPN DMZ son ESP e ISAKMP desde la subred DMZ inalámbrica a la dirección de la interfaz externa del concentrador de VPN. Esto permite que se construya un túnel VPN IPSec desde el cliente VPN en el host inalámbrico a la interfaz interna del concentrador VPN que reside en la red de confianza interna. Una vez que se inicia la solicitud del túnel, las credenciales del usuario son autenticadas por el servidor interno AAA, los servicios se autorizan según esas credenciales y se inicia la contabilidad de la sesión. Luego, se asigna una dirección interna válida y el usuario tiene la capacidad de acceder a los recursos internos de la empresa o a Internet desde la red interna si la autorización lo permite.

Este diseño podría modificarse de varias maneras diferentes según la disponibilidad del equipo y el diseño de la red interna. Las DMZ de firewall podrían ser reemplazadas por interfaces de enrutador que ejecutan listas de acceso de seguridad o incluso un módulo de conmutación de ruta interna que enruta virtualmente diferentes VLAN. El concentrador podría ser reemplazado por un cortafuegos con capacidad de VPN donde el IPSec VPN terminaba directamente en la DMZ inalámbrica, de modo que la VPN DMZ no sería necesaria en absoluto.

Esta es una de las formas más seguras de integrar una WLAN de campus empresarial en un campus empresarial seguro existente.