VPN을 사용하여 엔터프라이즈 무선 네트워크 보안



이 기사에서는 엔터프라이즈 환경에 배치 할 수있는 상당히 복잡하지만 안전한 캠퍼스 WLAN 설계에 대해 설명합니다.

오늘날 무선 네트워크를 실행하는 데있어 주요 관심사 중 하나는 데이터 보안입니다. 기존의 802.11 WLAN 보안에는 개방형 또는 공유 키 인증 및 WEP (Wired Equivalent Privacy) 키 사용이 포함됩니다. 이러한 통제 및 개인 정보 보호 요소는 각각 손상 될 수 있습니다. WEP는 데이터 링크 계층에서 작동하며 모든 당사자가 동일한 비밀 키를 공유해야합니다. WNP의 40 및 128 비트 변형은 쉽게 사용할 수있는 도구로 쉽게 손상 될 수 있습니다. 128 비트의 정적 WEP 키는 RC15 암호화 알고리즘의 고유 한 결점 때문에 트래픽이 많은 WLAN에서 4 분만큼 작게 나눌 수 있습니다. 이론적으로 FMS 공격 방법을 사용하면 동일한 키를 사용하여 암호화 된 100,000 패킷에서 1,000,000 패킷까지 범위의 WEP 키를 파생시킬 수 있습니다.

일부 네트워크는 개방형 또는 공유 키 인증 및 정적으로 정의 된 WEP 암호화 키로 얻을 수 있지만, 상금이 공격자가 될 가치가있는 기업 네트워크 환경에서만이 보안 수준에 의존하는 것은 좋지 않습니다. 이 경우에는 일종의 확장 된 보안이 필요합니다.

IEEE 802.11i 표준에 정의 된대로 WEP 취약점을 극복하는 데 도움이되는 새로운 암호화 기능이 추가되었습니다. RC4 기반 WEP (TKIP 또는 임시 키 무결성 프로토콜) 및 RC4에 대한 강력한 대안으로 간주되는 AES에 대한 소프트웨어 향상 Wi-Fi Protected Access 또는 WPA TKIP의 엔터프라이즈 버전에는 PPK (패킷 키잉 당) 및 MIC (메시지 무결성 검사)가 추가로 포함됩니다. WPA TKIP는 초기화 벡터를 24 비트에서 48 비트까지 확장하고 802.1에 802.11X를 요구합니다. 중앙 인증 및 동적 키 배포를 위해 EAP에 따라 WPA를 사용하는 것이 전통적인 802.11 보안 표준의 훨씬 강력한 대안입니다.

그러나 내 선호도뿐만 아니라 다른 많은 사람들이 내 일반 텍스트 802.11 트래픽 위에 IPSec을 오버레이하는 것입니다. IPSec은 DES, 3DES 또는 AES로 데이터를 암호화하여 보안되지 않은 네트워크에서 데이터 통신의 기밀성, 무결성 및 신뢰성을 제공합니다. 유일한 종료 점이 트래픽 필터로 보호되는 격리 된 LAN에 무선 네트워크 액세스 포인트를 배치하면 IPSec 터널을 특정 호스트 주소에 설정할 수 있으므로 VPN에 대한 인증 자격 증명이 없으면 무선 네트워크가 쓸모 없게됩니다. 신뢰할 수있는 IPSec 연결이 설정되면 최종 장치에서 네트워크의 신뢰할 수있는 부분까지의 모든 트래픽이 완전히 보호됩니다. 액세스 포인트의 관리를 강화해야만 훼손 될 수 있습니다.

DHCP 및 DNS 서비스를 쉽게 관리 할 수 ​​있지만 원하는 경우 MAC 주소 목록으로 필터링하고 SSID 브로드 캐스트를 비활성화하여 네트워크의 무선 서브넷이 잠정적 인 DoS로부터 보호되도록하는 것이 좋습니다. 공격.

이제는 여전히 MAC 주소 목록과 무작위 MAC 및 MAC 복제 프로그램을 사용하여 비 방송 SSID를 얻을 수 있습니다. 현재까지도 가장 큰 보안 위협이 있지만 사회 공학이지만 주 위험은 여전히 ​​서비스의 잠재적 손실 일뿐입니다 무선 액세스. 어떤 경우에는 무선 네트워크 자체에 대한 액세스 권한을 얻기 위해 확장 된 인증 서비스를 체크 아웃 할만큼 큰 위험이있을 수 있습니다.

이 기사의 주요 목적은 무선 액세스를 다소 용이하게하고 중요한 내부 리소스를 손상시키지 않고 회사 자산을 위험에 빠뜨리지 않고 최종 사용자의 편의를 제공하는 것입니다. 신뢰할 수있는 유선 네트워크에서 보안되지 않은 무선 네트워크를 격리함으로써 인증, 권한 부여, 계정 및 암호화 된 VPN 터널을 필요로했습니다.

위의 그림을 살펴보십시오. 이 설계에서는 다중 인터페이스 방화벽과 다중 인터페이스 VPN 집중 장치를 사용하여 각 영역에서 서로 다른 수준의 신뢰 수준으로 네트워크를 안전하게 보호했습니다. 이 시나리오에서 가장 신뢰할 수있는 외부 인터페이스가 있고, 약간 더 신뢰할 수있는 무선 DMZ, 약간 더 신뢰할 수있는 VPN DMZ 및 가장 신뢰할 수있는 내부 인터페이스가 있습니다. 이러한 각 인터페이스는 내부 캠퍼스 스위치 패브릭의 다른 물리적 스위치 또는 라우팅되지 않은 VLAN에 상주 할 수 있습니다.

도면에서 알 수 있듯이 무선 네트워크는 무선 DMZ 세그먼트 안에 있습니다. 내부의 신뢰할 수있는 네트워크 또는 외부 (인터넷)로가는 유일한 방법은 방화벽상의 무선 DMZ 인터페이스를 이용하는 것입니다. 유일한 아웃 바운드 규칙은 DMZ 서브넷이 ESP 및 ISAKMP (IPSec)를 통해 VPN DMZ에있는 인터페이스 주소 외부의 VPN 집중 장치에 액세스 할 수있게합니다. VPN DMZ의 인바운드 규칙은 무선 DMZ 서브넷에서 VPN 집중 장치의 외부 인터페이스 주소까지의 ESP 및 ISAKMP입니다. 이렇게하면 무선 호스트의 VPN 클라이언트에서 내부의 신뢰할 수있는 네트워크에있는 VPN 집중 장치의 내부 인터페이스로 IPSec VPN 터널을 구축 할 수 있습니다. 터널 요청이 시작되면 사용자 자격 증명이 내부 AAA 서버에 의해 인증되고 서비스는 해당 자격 증명을 기반으로 권한이 부여되며 세션 계정이 시작됩니다. 그런 다음 유효한 내부 주소가 할당되고 사용자는 내부 회사 자원이나 내부 네트워크에서 인터넷에 액세스 할 수있는 권한이 부여됩니다.

이 디자인은 장비의 가용성 및 내부 네트워크 설계에 따라 여러 가지 방법으로 수정할 수 있습니다. 방화벽 DMZ는 실제로 보안 액세스 목록을 실행하는 라우터 인터페이스 또는 가상적으로 다른 VLAN을 라우팅하는 내부 라우트 스위칭 모듈로 대체 될 수 있습니다. 집중 장치는 IPSec VPN이 무선 DMZ에서 직접 종료되어 VPN DMZ가 전혀 필요하지 않은 VPN이 가능한 방화벽으로 대체 될 수 있습니다.

이는 엔터프라이즈 캠퍼스 WLAN을 기존 보안 엔터프라이즈 캠퍼스에 통합하는보다 안전한 방법 중 하나입니다.