Utilisation d'un VPN pour sécuriser un réseau sans fil d'entreprise



Dans cet article, nous aborderons une conception de WLAN de campus assez complexe mais sécurisée pouvant être déployée dans un environnement d'entreprise.

La sécurité des données est aujourd'hui l'une des principales préoccupations des réseaux sans fil en cours d'exploitation. La sécurité 802.11 WLAN traditionnelle inclut l'utilisation d'une authentification à clé ouverte ou partagée et de clés WEP (Wired Equivalent Privacy) statiques. Chacun de ces éléments de contrôle et de confidentialité peut être compromis. WEP fonctionne sur la couche liaison de données et nécessite que toutes les parties partagent la même clé secrète. Les variantes 40 et 128-bit de WEP peuvent facilement être décomposées avec des outils facilement disponibles. Les clés WEP statiques sur bits 128 peuvent être cassées en aussi peu que 15 minutes sur un réseau WLAN à trafic élevé en raison d'une lacune inhérente à l'algorithme de chiffrement RC4. En utilisant théoriquement la méthode d'attaque FMS, vous pouvez dériver une clé WEP dans une plage allant des paquets 100,000 aux paquets 1,000,000 cryptés à l'aide de la même clé.

Bien que certains réseaux puissent s’en tirer avec une authentification par clé ouverte ou partagée et des clés de cryptage WEP définies de manière statique, il n’est pas judicieux de s’appuyer uniquement sur cette sécurité dans un environnement réseau d’entreprise où la récompense pourrait valoir la peine d’être un attaquant. Dans ce cas, vous aurez besoin d'une sorte de sécurité étendue.

De nouvelles améliorations en matière de chiffrement ont été apportées pour aider à surmonter les vulnérabilités WEP telles que définies par le standard IEEE 802.11i. Les améliorations logicielles apportées au protocole WEP basé sur RC4, connues sous le nom de TKIP ou protocole d'intégrité des clés temporelles et AES, seraient considérées comme une alternative plus solide à RC4. Les versions d'entreprise de Wi -Fi Protected Access ou WPA TKIP incluent en outre PPK (clé par paquet) et MIC (vérification de l'intégrité des messages). WPA TKIP étend également le vecteur d'initialisation de bits 24 à bits 48 et requiert 802.1X pour 802.11. L'utilisation de WPA avec EAP pour l'authentification centralisée et la distribution dynamique de clés constitue une alternative bien plus solide au standard de sécurité 802.11 traditionnel.

Cependant, ma préférence, ainsi que de nombreuses autres, est de superposer IPSec au-dessus de mon trafic 802.11 en texte clair. IPSec assure la confidentialité, l'intégrité et l'authenticité des communications de données sur des réseaux non sécurisés en cryptant les données avec DES, 3DES ou AES. En plaçant le point d'accès réseau sans fil sur un réseau LAN isolé où le seul point de sortie est protégé par des filtres de trafic permettant uniquement l'établissement d'un tunnel IPSec vers une adresse hôte spécifique, le réseau sans fil devient inutile à moins que vous ne disposiez de données d'authentification pour le VPN. Une fois la connexion IPSec sécurisée établie, tout le trafic entre le périphérique final et la partie sécurisée du réseau sera complètement protégé. Il vous suffit de renforcer la gestion du point d’accès pour qu’il ne puisse pas être altéré.

Vous pouvez également exécuter des services DHCP et / ou DNS pour faciliter la gestion, mais si vous souhaitez le faire, il est conseillé de filtrer avec une liste d’adresses MAC et de désactiver toute diffusion SSID de sorte que le sous-réseau sans fil du réseau soit quelque peu protégé contre les dénis de service potentiels. attaques.

Maintenant, évidemment, vous pouvez toujours contourner la liste d'adresses MAC et le SSID non diffusé avec des programmes de clonage MAC et MAC aléatoires ainsi que la plus grande menace pour la sécurité qui existe encore à ce jour, l'ingénierie sociale, mais le risque principal reste une perte potentielle de service. à l'accès sans fil. Dans certains cas, cela peut représenter un risque suffisamment important pour pouvoir accéder aux services d'authentification étendue afin d'accéder au réseau sans fil lui-même.

Encore une fois, l'objectif principal de cet article est de rendre l'accès sans fil plus facile et de fournir un confort d'utilisation à l'utilisateur final sans compromettre vos ressources internes critiques et sans mettre en péril les actifs de votre entreprise. En isolant le réseau sans fil non sécurisé du réseau câblé approuvé, en exigeant authentification, autorisation, comptabilité et un tunnel VPN crypté, nous l'avons fait.

Regardez le dessin ci-dessus. Dans cette conception, j'ai utilisé un pare-feu à plusieurs interfaces et un concentrateur à plusieurs interfaces VPN pour sécuriser réellement le réseau avec différents niveaux de confiance dans chaque zone. Dans ce scénario, nous avons l'interface extérieure de confiance la plus basse, puis la DMZ sans fil légèrement plus fiable, puis la DMZ VPN légèrement plus fiable et l'interface la plus fiable. Chacune de ces interfaces peut résider sur un commutateur physique différent ou simplement sur un VLAN non routé dans la structure de commutateurs de votre campus interne.

Comme vous pouvez le voir sur le dessin, le réseau sans fil est situé à l'intérieur du segment DMZ sans fil. L'interface DMZ sans fil sur le pare-feu est le seul moyen d'accéder au réseau de confiance interne ou de revenir à l'extérieur (Internet). Les seules règles sortantes permettent au sous-réseau DMZ d'accéder aux concentrateurs VPN en dehors de l'adresse d'interface résidant sur le DMZ VPN via ESP et ISAKMP (IPSec). Les seules règles entrantes sur le VPN DMZ sont ESP et ISAKMP du sous-réseau DMZ sans fil à l'adresse de l'interface externe du concentrateur VPN. Cela permet de créer un tunnel VPN IPSec du client VPN de l'hôte sans fil à l'interface interne du concentrateur VPN qui réside sur le réseau approuvé interne. Une fois que la demande de tunnel est lancée, les informations d'identification de l'utilisateur sont authentifiées par le serveur AAA interne, les services sont autorisés en fonction de ces informations d'identification et la comptabilisation de session commence. Ensuite, une adresse interne valide est attribuée et l'utilisateur peut accéder aux ressources internes de l'entreprise ou à Internet à partir du réseau interne si l'autorisation le permet.

Cette conception peut être modifiée de différentes manières en fonction de la disponibilité des équipements et de la conception du réseau interne. Les DMZ de pare-feu pourraient en réalité être remplacées par des interfaces de routeur exécutant des listes d'accès sécurisées ou même un module de commutation de routage interne acheminant virtuellement différents VLAN. Le concentrateur pourrait être remplacé par un pare-feu compatible VPN, le VPN IPSec se terminant directement au niveau de la zone démilitarisée sans fil, de sorte que ce dernier ne serait plus nécessaire.

C'est l'un des moyens les plus sécurisés d'intégrer un réseau WLAN de campus d'entreprise à un campus d'entreprise sécurisé existant.