VPN a úsáid chun líonra gan sreang fiontar a fháil



San Airteagal seo, pléifidh mé dearadh WLAN atá casta go leor ach slán a d'fhéadfaí a úsáid i dtimpeallacht fiontar.

Ceann de na príomhábhair imní maidir le líonraí gan sreang a reáchtáil sa lá atá inniu ann ná slándáil sonraí Áirítear le slándáil Traidisiúnta Traidisiúnta 802.11 úsáid fíordheimhnithe oscailte nó eochair-roinnte agus eochracha príobháideachta coibhéiseacha sreinge statach (WEP). Is féidir gach ceann de na gnéithe rialaithe agus príobháideachais seo a chur i mbaol. Feidhmíonn WEP ar an tsraith nasc sonraí agus éilíonn sé go roinneann gach páirtí an eochair rúnda chéanna. Is féidir leaganacha 40 agus XNUM-giotán de WEP a bhriseadh go héasca le huirlisí atá ar fáil go héasca. Is féidir eochracha statacha WEP 128-giotán a bhriseadh i miontuairiscí 128 ar WLAN ard-tráchta mar gheall ar easnamh bunúsach sa algartam criptithe RC15. Ag baint úsáide as modh ionsaí an Chórais Bhainistíochta Airgeadais go teoiriciúil, is féidir leat eochair WEP a fháil i raon ó 4 go 100,000 paicéad atá criptithe ag baint úsáide as an eochair chéanna.

Cé gur féidir le roinnt líonraí teacht le fíordheimhniú eochair oscailte nó comhroinnte agus eochracha criptithe WEP atá sainmhínithe go statach, ní smaoineamh maith é an méid slándála seo a bheith agat i dtimpeallacht líonra fiontraíochta ina bhféadfadh an duais a bheith ina hiarrthóir. Sa chás seo beidh urrús sínte éigin de dhíth ort.

Tá roinnt feabhsuithe criptithe nua ann chun cabhrú le soghontachtaí WEP a shárú mar atá sainithe ag caighdeán IEEE 802.11i. Feabhsuithe bogearraí ar WEP RC4-bhunaithe ar a dtugtar TKIP nó Prótacal Treorach um Ionracas Tráthúil agus AES a mheasfaí a bheith ina rogha malartach níos láidre ná RC4. I measc na leaganacha fiontraíochta de Rochtain Chosanta Wi -Fi nó TKIP WPA tá PPK (in aghaidh eochracha paicéad) agus MIC (seiceáil sláine teachtaireachta). Síneann WPA TKIP freisin an veicteoir initialization ó giotán 24 a giotán 48 agus éilíonn 802.1X do 802.11. Tá úsáid WPA feadh EAP le haghaidh fíordheimhniú láraithe agus dáileadh eochair dinimiciúil ina rogha malartach i bhfad níos láidre ná an caighdeán traidisiúnta slándála 802.11.

Mar sin féin, is é mo rogha féin agus a lán eile rogha IPSec a fhorleagan ar bharr mo thrácht shoiléir téacs 802.11. Soláthraíonn IPSec rúndacht, sláine agus barántúlacht na cumarsáide sonraí ar fud na líonraí neamhurraithe trí shonraí a chriptiú le ROS, 3DES nó AES. Tríd an bpointe rochtana líonra gan sreang a chur ar LAN scoite ina bhfuil an t-aon phointe fágála cosanta le scagairí tráchta nach gceadaíonn ach do thollán IPSec a bheith bunaithe ar aitheasc óstach ar leith ní fhágann sé go bhfuil an líonra gan sreang in úsáid mura bhfuil dintiúir fíordheimhnithe agat leis an VPN. Nuair a bheidh an ceangal IPSec iontaofa bunaithe beidh gach trácht ón bhfeiste deiridh chuig an gcuid iontaofa den líonra cosanta go hiomlán. Ní gá duit ach bainistiú an phointe rochtana a chruachadh ionas nach féidir cur isteach air.

Is féidir leat seirbhísí DHCP agus nó DNS a reáchtáil chomh maith le go mbeidh sé éasca bainistíocht a dhéanamh ach más mian leat é sin a dhéanamh is maith an smaoineamh é liosta seoltaí MAC a scagadh agus aon chraoladh SSID a dhíchumasú ionas go gcosnófar fóirlíon gan sreang an líonra ó Dhochar-Phoitéinseal féideartha ionsaithe.

Anois is léir go bhféadfá teacht timpeall ar liosta seoltaí MAC agus an SSID neamhchraolta le cláir chlónála MAC agus MAC randamacha chomh maith leis an mbagairt slándála is mó atá ann go dtí seo, Innealtóireacht Shóisialta go fóill ach níl an priacal príomha fós ina chailliúint seirbhíse. chuig an rochtain gan sreang. I gcásanna áirithe d'fhéadfadh sé seo a bheith ina riosca mór go leor chun seiceáil a dhéanamh ar sheirbhísí fíordheimhnithe sínte chun rochtain a fháil ar an líonra gan sreang féin.

Arís, is é an príomhchuspóir atá ag an airteagal seo an sreang gan stró a dhéanamh níos éasca agus an áis deiridh a sholáthar gan do chuid acmhainní inmheánacha criticiúla a chur i mbaol agus sócmhainní do chuideachtaí a chur i mbaol. Tríd an líonra gan sreang neamhurraithe a leithlisiú ón ngréasán sreangaithe iontaofa, a éilíonn fíordheimhniú, údarú, cuntasaíocht agus tollán criptithe VPN atá déanta againn go díreach.

Féach ar an líníocht thuas. Sa dearadh seo bhain mé úsáid as balla dóiteáin il-chomhéadain agus as comhéadan VPN il-chomhéadain chun an líonra a dhaingniú le leibhéil éagsúla muiníne i ngach crios. Sa chás seo tá an comhéadan seachtrach is ísle muinín againn, ansin an DMZ gan Sreang beagán níos iontaofa, ansin an VPN DMZ atá níos iontaofa agus ansin an comhéadan taobh istigh is iontaofa. D'fhéadfadh gach ceann de na comhéadain seo cónaí ar athrú fisiciúil difriúil nó ar VLAN neamhthreoraithe i bhfabraic lasctha an champais.

Mar a fheiceann tú ón líníocht tá an líonra gan sreang suite taobh istigh den deighleog gan sreang DMZ. Is é an t-aon bhealach isteach sa líonra inmheánach iontaofa nó ar ais ar an taobh amuigh (idirlíon) ná tríd an gcomhéadan DMZ gan sreang ar an mballa dóiteáin. Ceadaíonn na rialacha seachtracha amháin don fho-alt DMZ rochtain a fháil ar na comhchruinnithe VPN lasmuigh den seoladh comhéadain a chónaíonn ar an VPN DMZ trí ESP agus ISAKMP (IPSec). Is é an t-aon rialacha isteach maidir le VPN DMZ ná an ESP agus ISAKMP ón bhfo-líne DMZ gan sreang go dtí seoladh comhéadan seachtrach an chomhchruinnithe VPN. Ligeann sé seo do thollán VPN IPSec a thógáil ón gcliant VPN ar an óstach gan sreang chuig comhéadan inmheánach an chomhchruinnitheora VPN a chónaíonn ar an líonra inmheánach iontaofa. Nuair a chuirtear tús leis an tollán iarrtar na dintiúir úsáideora ag an bhfreastalaí AAA inmheánach, údaraítear seirbhísí bunaithe ar na dintiúir sin agus tosaíonn cuntasaíocht seisiún. Ansin tá seoladh inmheánach bailí sannta agus tá an cumas ag an úsáideoir rochtain a fháil ar acmhainní inmheánacha na cuideachta nó ar an Idirlíon ón líonra inmheánach má cheadaíonn an t-údarú é.

D'fhéadfaí an dearadh seo a athrú ar bhealaí éagsúla ag brath ar infhaighteacht trealaimh agus ar dhearadh an líonra inmheánaigh. D'fhéadfaí comhéadain ródaire a chur in ionad na DMZ ballaí dóiteáin a reáchtálann liostaí rochtana slándála nó fiú modúl inmheánach um athrú bealaigh a sheolann beagnach VLANanna éagsúla. D'fhéadfaí balla dóiteáin a bhí in ann an VPN VPN a chur in áit go díreach ag an DMZ gan sreang ionas nach mbeadh an VPN DMZ ag teastáil ar chor ar bith.

Tá sé seo ar cheann de na bealaí is sábháilte chun campas fiontraíochta WLAN a lánpháirtiú i gcampas fiontraíochta atá ann cheana féin.