Истифодаи VPN барои таъмини шабакаи бесими шабакавӣ



Дар ин мақола ман тарҳи оддӣ, вале бехатарии WLAN дар камераи муҳофизатиро муҳокима хоҳам кард, ки мумкин аст дар муҳити корхона ҷойгир карда шаванд.

Яке аз масъалаҳои аввалин бо шабакаҳои бесими шабакавӣ амнияти иттилоотӣ амнияти иттилоотии бехатарии 802.11 WLAN мебошад, ки истифодаи калидҳои кушод ё кушодаи калидӣ ва калидҳои бесими одилона (WEP) -ро дар бар мегирад. Ҳар яке аз ин унсурҳои назорати ва дахолатнопазирӣ метавонанд зарар расонанд. WEP дар табақаи иттилоотӣ фаъолият мекунад ва талаб мекунад, ки ҳамаи тарафҳо калиди махфиро дарбар гиранд. Ҳарду 40 ва 128-битҳо бо WEP метавонанд бо асбобҳои дастрас дастрас бошанд. Истифодаи калидҳои WEP-и статикии 128-bit дар муддати якчанд дақиқа 15 дар WLANи трафики баланд аз сабаби кам шудани алгоритми рамзии RC4 мумкин аст. Истифодаи усули FMS-ро истифода бурдан мумкин аст, шумо метавонед калиди WEP-ро дар доираи масофа аз 100,000-и 1,000,000 бо скрипт бо як калиди рамзгузорӣ карда метавонед.

Ҳангоме ки баъзе шабакаҳо метавонанд бо калиди кушод ё кушодани калидҳои кушодаи калидӣ ва муқаррарии муқарраршудаи WEP гиранд, ин фикри хуб нест, ки ба ин миқдори бехатарӣ танҳо дар фазои шабакавӣ кор кунад, ки дар он ҷо мукофот метавонад барои кӯшиш ба як ҳамлагар бошад. Дар ин ҳолат ба шумо якчанд намуди амният лозим аст.

Баъзе навъҳои нави рамзгузорӣ барои кӯмак ба осебпазирии WEP, ки аз ҷониби стандарти IEEE 802.11i муайян шудаанд, вуҷуд дорад. Таҷҳизоти нармафзор ба RC4-асоси WEP, ки ҳамчун TKIP ё Протоколи асосии Возеҳи Протоколи AES ва AES мебошанд, ки он ба RC4 алтернативаи қавӣ ҳисобида мешавад. Варақаҳои корпоративии дастрасии Wi-Fi ё ТБП TKIP илова бар он PPK (барои як бастаи бастабандӣ) ва MIC (тафтиши бетафовутӣ). WPA TKIP ҳамчунин вектори таҷҳизоти аз 24-и хурди 48 васеъшударо месозад ва 802.1X барои 802.11 талаб мекунад. Истифодаи WPA дар баробари EAP барои тасдиқкунии мутамарказ ва тақсимоти асосии динамикӣ ба стандарти амниятии анъанавии 802.11 возеҳ аст.

Бо вуҷуди ин, афзалияти ман ва инчунин бисёр касон ба IPSec дар болои трафикаи ман 802.11 тагйир ёфтааст. IPSec махфият, мукаммал ва дурустии алоқаи маълумотро дар шабакаҳои ноустувор бо роҳи DES, 3DES ё AES рамзгузорӣ мекунад. Бо ҷойгиршавии нуқтаи дастрасии бесими шабакавӣ дар LAN маҳдуд карда мешавад, ки танҳо нуқтаи чап бо филтрҳои трафики муҳофизат карда мешавад, ки танҳо нақшаи IPSec бояд ба суроғаи мушаххаси мизбон вогузор карда шавад, агар шумо ба VPN воҳиди authentication дода шавад. Пас аз пайвастшавӣ ба IPSec пайваст карда шудааст, ҳамаи трафикҳо аз дастгоҳҳои охир ба қисмати боэътимоди шабака пурра муҳофизат хоҳанд шуд. Танҳо ба шумо лозим аст, ки идоракунии нуқтаи дастрасиро заиф созед, то ки он бо вайрон карда нашавад.

Шумо метавонед DHCP ва DNS-хидматҳоро ҳам барои осонӣ идора кунед, аммо агар шумо хоҳед, ки ин корро бо рӯйхати адресҳои MAC филтрат кунед ва ҳар гуна садоҳои SSID-ро қатъ кунед, ба монанди зерсохтори бесими шабака, ҳамлаҳо.

Акнун равшан аст, ки шумо ҳоло ҳам метавонед дар рӯйхати нишонии MAC ва рақамии SSID бо барномаҳои ҷудошудаи MAC ва MAC дар якҷоягӣ бо таҳдидҳои бузургтарине, ки дар он ҳолат то ҳол ба вуҷуд омадаед, таҳия шудааст, аммо хавфи асосӣ дар он аст, ба дастрасии бесим. Дар баъзе ҳолатҳо ин метавонад хатари калонеро барои санҷидани хадамоти сервери тасдиқшуда барои дастрасӣ ба шабакаи бесими худ кунад.

Боз як ҳадафи асосӣ дар ин мақола ба банақшагирӣ осонтар аст ва дастрасии оқилонаи истифодабарандагонро бе сарпарастии захираҳои муҳими дохилии худ ва захираҳои ширкатҳои шумо дар хатар мегузорад. Бо вуруди шабакаи ноустувори бесими аз шабакаи боэътимодии собит, талаботро, ваколат, ҳисобот ва нақшаи VPR рамзгузорӣ кард, ки мо онро иҷро кардем.

Дар боло тасвирро дида бароед. Дар ин лоиҳа ман конфигуратсияи якчанд вирус ва VPN якчанд велосипед VPN-ро истифода бурд, то дар ҳақиқат амнияти шабакаро бо сатҳҳои гуногуни боварӣ дар ҳар як минтақаи бехатар таъмин созад. Дар ин варианти мо аз берун аз интерфейси камтарин баҳои мӯътадил, баъд аз он ки каме бештар боварии Wireless DMZ, пас аз чандин паёмҳои VPN DMZ ва пас аз он, дар дохили интерфейси бештар эътимодбахш вуҷуд дорад. Ҳар як ин интерфейсҳо метавонанд ба варақаи гуногуни ҷисмонӣ ё танҳо вурудоти VLAN дар матоъи дохилии дохилӣ дохил шаванд.

Тавре ки шумо метавонед аз чапи шабакаи бесим дар дохили сегменти бесими DMZ ҷойгир кунед, мебинед. Роҳи ягонаи дохили шабакаи боэътимод ё бозгашт ба берун (интернет) тавассути интерфейси бесими DMZ дар вирус Танҳо қоидаҳои берунӣ имкон медиҳад, ки зерсистемаи DMZ барои конфронсҳои VPN берун аз суроғаи интернетие, ки дар VPN DMZ тавассути ESP ва ISAKMP (IPSec) ҷойгир аст, иҷозат диҳад. Танҳо қоидаҳои воридшуда дар VPN DMZ ESP ва ISAKMP аз зерсохтори бесими DMZ ба суроғаи интерфейси берунаи конфигуратори VPN мебошад. Ин ба нақби IPSec VPN бояд аз муштарии VPN дар мизбони беноқил ба дохили конвертери дохилии консентратори VPN, ки дар шабакаи дохилии дохилӣ ҷойгир аст, сохта шавад. Пас аз он, ки нақд дархост карда мешавад, ташаббусҳои корбар бо сервери дохилии AAA тасдиқ карда шудааст, хизматрасониҳо дар асоси ин маълумотҳо ва баҳисобгирии баҳисобгашта оғоз мешаванд. Сипас, суроғаи дохилии дохилӣ таъин карда мешавад ва истифодабаранда имкон медиҳад, ки дастрасӣ ба захираҳои дохилӣ ё Интернет аз шабакаи дохилӣ, агар иҷозатнома имконпазир бошад.

Ин тарҳ метавонад дар якчанд роҳҳо, вобаста ба мавҷудияти таҷҳизот ва тарроҳии дохили шабака тағйир ёбад. DMZs firewall метавонанд бо асбобҳои роумингӣ, ки рӯйхати дастрасии бехатари бехатариро доранд, ё ҳатто модули гузариши хатсайрии дохилӣ ба таври воқеӣ вариантҳои гуногуни VLAN-ро иваз кунанд. Консентрат метавонад метавонист бо VPI, ки VPN-ро идора карда буд, иваз кунад, ки дар он ҷо IPSec VPN бевосита дар DMZ бесим набошад, ба монанди VPN DMZ талаб намекунад.

Ин яке аз усулҳои бехатарии ҳамгиро кардани иншооти WLAN-корхонаи корпоративӣ ба иқтисоди бозорӣ мебошад.