Использование сервера Trihomed ISA/VPN для защиты беспроводных сетей

Опубликовано: 14 Апреля, 2023

Использование сервера Trihomed ISA/VPN для защиты беспроводных сетей

Часть 1. Принципы проектирования DMZ, VPN, WLAN и контроля доступа

Томас В. Шиндер, доктор медицины

Беспроводные сети становятся все более популярными как в малых офисах, так и в средних и корпоративных сетях. Беспроводная сеть позволяет беспроводным клиентам перемещаться по офису, зданию или даже всему университетскому городку и поддерживать стабильную и надежную связь с внутренней сетью или Интернетом. Внедрение беспроводных сетей продолжает расти ускоренными темпами, и если у вас еще нет беспроводной локальной сети, она появится в ближайшем будущем.

Проблема в том, что беспроводные сети страдают от серьезных недостатков безопасности, которые напрямую связаны с тем, что делает их такими привлекательными. Беспроводные сети представляют собой идеальный пример единственного неумолимого закона безопасности: безопасность и удобство всегда находятся в обратной зависимости.

Например, удобство возможности «подцепить» WLAN-соединение от беспроводной точки доступа (WAP), которая транслирует свой SSID, обратно пропорционально тому факту, что голубоволосый пацан на парковке тоже собирается подключиться к тот же самый WAP, выполняя свой зловещий заговор, чтобы скомпрометировать вашу сеть или украсть вашу пропускную способность в Интернете.

Это не означает, что беспроводные локальные сети безнадежно небезопасны. Есть вещи, которые вы можете сделать, чтобы сделать беспроводную сеть почти такой же безопасной, как проводная сеть. Некоторые стандартные действия, ориентированные на безопасность, которые вы можете предпринять, включают:

  • Запретить WAP транслировать свой SSID
  • Реализовать фильтрацию MAC-адресов
  • Включить WEP или другой протокол шифрования данных

    • Вы можете запретить случайным пользователям находить вашу WLAN, отключив широковещательную рассылку SSID. Это требует, чтобы вы сообщили своим беспроводным клиентам, что такое SSID, чтобы они могли вручную настроить его для своих беспроводных сетевых подключений. Это влечет за собой больше административных издержек, чем широковещательная рассылка SSID, потому что вам нужно найти способ сообщить SSID известным, а иногда и неизвестным пользователям.

    Фильтрация MAC-адресов позволяет вам воспользоваться удобством широковещательной передачи вашего SSID и по-прежнему ограничивать количество беспроводных клиентов, подключающихся к WLAN. Фильтрация MAC-адресов — это простая форма контроля доступа к сети, при которой вы создаете список MAC-адресов, которым разрешено подключаться к WAP. Если MAC-адрес беспроводного клиента отсутствует в списке, клиенту не разрешен доступ к WAP и WLAN. Проблема в том, что MAC-адрес относительно легко подделать. Конечно, сетевому преступнику нужно знать, какой адрес подделывать.

    Один из способов, с помощью которого злоумышленники могут узнать, какие MAC-адреса разрешены, — это прослушивание беспроводного трафика, когда он движется «по проводу» (по воздуху в случае WLAN). Вы можете замедлить работу этих криминальных «снифферов», используя сетевой протокол шифрования данных. Протокол беспроводной эквивалентной конфиденциальности (WEP) может использоваться для защиты данных при их перемещении от беспроводного клиента к WAP. Однако существуют методы, которые позволяют злоумышленнику прослушивать и взломать ваш WEP-ключ. Необходимо собрать несколько гигабайт данных, но безработный хакер-преступник, сидящий на стоянке перед вашим офисом, без проблем просиживает там часами, если ему нужно сделать это для сбора необходимых данных.

    Еще одна опция безопасности, которую вы можете добавить в свой набор приемов безопасности беспроводной сети, — это аутентификация 802.1x. 801.1x требует, чтобы беспроводной клиент использовал сертификат для аутентификации в сети до того, как беспроводная сетевая карта получит доступ. Если сетевая карта не может аутентифицироваться, клиент не допускается в WLAN. Фактически, вы можете использовать тот же механизм для аутентификации подключений Ethernet. Однако, несмотря на то, что 802.1x очень крутой и мощный, ваши точки доступа должны его поддерживать, и вам все равно придется развернуть PKI. Кто захочет потратить кругленькую сумму на Cisco WAP и кто захочет взять на себя административные расходы, связанные с PKI, если вам это не нужно?

    Есть ли безопасный метод, который сочетает в себе безопасность и удобство? Как насчет метода, который включает в себя следующее:

  • Позволяет транслировать ваш SSID
  • Нет необходимости в MAC-фильтре
  • Нет PKI
  • Нет необходимости в WEP, WPA или любом другом протоколе шифрования данных беспроводной сети.
  • Защитите свою внутреннюю сеть от беспроводного клиента

    • Как мы все это делаем? Ответ — трехсетевой ISA Server. Trihomed ISA Server позволяет разместить всех ваших беспроводных клиентов в сегменте DMZ на основе LAT. Сегмент DMZ на основе LAT считается доверенным для ISA Server, но он безопасно отделен от внутренней сети. Поскольку узлы DMZ на основе LAT подвергаются политике брандмауэра, вы можете использовать управление доступом на основе IP-адреса (набор клиентских адресов). Вы настраиваете любые беспроводные клиенты, которым требуется доступ к ресурсам во внутренней сети, с VPN-подключениями, которые соединяются с брандмауэром ISA Server/VPN-сервером. Базовая установка выглядит так, как показано ниже.

    WAP подключается к коммутатору или концентратору, а беспроводные клиенты подключаются к WAP автоматически, поскольку SSID передается в широковещательном режиме и ключи WEP не требуются. Вы даже можете найти некоторые ресурсы на основе сервера в сегменте DMZ на основе LAT WLAN, к которым беспроводные клиенты могут получить доступ, но при этом запретить им доступ к внутренней сети или Интернету. Все это делается с помощью политики брандмауэра ISA Server и VPN.

    На рисунке ниже показано, что происходит, когда вы настраиваете беспроводных клиентов DMZ в качестве клиентов VPN. Беспроводные VPN-клиенты подключаются к ISA/VPN-серверу так же, как VPN-клиенты внешней сети подключаются к серверу. Как только беспроводные VPN-клиенты устанавливают VPN-связь, эти клиенты получают доступ не только к ресурсам во внутренней сети, но и к ресурсам в Интернете.

    Обычно вы хотите предоставить анонимному беспроводному клиенту доступ к Интернету, а не к внутренней сети. Этого можно добиться с помощью политик IPSec и/или фильтров пакетов RRAS. Целью как фильтров пакетов RRAS, так и политик IPSec является предотвращение обмена данными между идентификатором сети WLAN и идентификатором внутренней сети.

    DMZ на основе LAT позволяет клиентам WEP получать доступ к Интернету. DMZ на основе LAT не позволяет беспроводным клиентам получить доступ к внутренней сети, поскольку вся концепция DMZ на основе LAT зависит от того факта, что адреса DMZ не могут связываться с хостами по идентификаторам внутренней сети.

    Если вы хотите разрешить узлам DMZ на основе LAT доступ к внутренней сети и Интернету, необходимо выполнить два требования:

  • Разрешить VPN-подключения к брандмауэру/VPN-серверу ISA Server, чтобы VPN-клиенты могли получить доступ к ресурсам во внутренней сети.
  • Разрешить узлам с идентификатором сети на основе LAT доступ к Интернету с помощью правил протокола и правил сайта и контента. Это требует, чтобы вы разрешили раздельное туннелирование на этих VPN-клиентах, расположенных в сегменте DMZ WLAN. Если разрешено раздельное туннелирование, клиенты будут получать доступ к Интернету через интерфейс беспроводной сетевой карты, а не через интерфейс VPN. Это плохая конфигурация безопасности, поскольку раздельное туннелирование позволяет VPN-клиенту при правильных обстоятельствах (или неправильных обстоятельствах, в зависимости от того, как вы смотрите на проблему) действовать как маршрутизатор между полностью незащищенной сетью (Интернет) и защищенной сетью. сеть (внутренняя сеть). Однако запретить раздельное туннелирование недостаточно, поскольку WLAN также небезопасна. Все беспроводные клиенты в сегменте DMZ на основе LAT должны запускать базовый брандмауэр на основе хоста, такой как брандмауэр подключения интерфейса Windows XP, на своем беспроводном интерфейсе NIC. Вы можете принудительно применить эту политику к VPN-клиентам, поскольку эти клиенты находятся под вашим административным контролем. Вы НИКОГДА не разрешаете VPN-подключения к внутренней сети с хостов, которые не находятся под вашим административным контролем.
  • Предпочтительной конфигурацией является запрет раздельного туннелирования и требование, чтобы клиенты DMZ VPN на основе LAT получали доступ к Интернету через их канал VPN. Преимущество этого заключается в шифровании всего, что перемещается между беспроводными VPN-клиентами и Интернетом (по крайней мере, пока пакеты проходят через сегмент DMZ), включая всю конфиденциальную информацию, которую клиент может передавать хостам в Интернете.

    • Я настоятельно рекомендую запретить раздельное туннелирование. В вашем анонимном сегменте WLAN достаточно проблем с безопасностью, чтобы не создавать их в вашей частной внутренней сети, поскольку ваши VPN-клиенты разрешают раздельное туннелирование.

    Чтобы выполнить эту работу, вам необходимо сделать следующее:

  • Установите и настройте Windows Server 2003 с тремя сетевыми интерфейсами.
  • Установите и настройте ISA Server — создайте элементы политики, правила протокола и правила сайта и контента.
  • Запустите мастер VPN брандмауэра ISA Server и настройте конфигурацию RRAS VPN.
  • Настройте фильтры пакетов RRAS для создания DMZ на основе LAT.
  • При необходимости создайте фильтры пакетов IPSec для поддержки фильтров пакетов RRAS.
  • Настройте коннектоиды VPN-клиента
  • Настройте VPN-клиенты в качестве клиента брандмауэра и веб-прокси.

    • На самом деле, вы не должны делать это таким образом. Например, вы можете использовать Windows 2000 и четыре или пять сетевых интерфейсов, если хотите. Я предпочитаю использовать Windows Server 2003, потому что он кажется более стабильным и определенно более безопасным. У меня не было проблем с запуском брандмауэра ISA Server на компьютере с Windows Server 2003, поэтому я буду продолжать рекомендовать его до тех пор, пока не увижу что-то достаточно надежное, чтобы отказаться от этой рекомендации.

    Используйте методы, которые я описываю на http://www.isaserver.org/tutorials/installon2003.html, чтобы установить брандмауэр ISA Server на машине с Windows Server 2003. Перед установкой ISA Server убедитесь, что вы установили все сетевые карты на сервер. Хотя вы можете установить дополнительные сетевые карты после установки ISA Server, вы можете столкнуться с проблемами в зависимости от ролей, которые играют серверы. Если вы устанавливаете брандмауэр ISA Server в качестве брандмауэра, а не приложения общего назначения, почтового или веб-сервера, у вас не возникнет проблем с добавлением сетевых карт после установки ISA Server.

    Брандмауэр ISA Server поставляется с очень удобным мастером подключения к VPN-клиенту, который настраивает RRAS для разрешения входящих VPN-подключений. Мастер делает почти всю работу за вас, но вам, возможно, потребуется немного настроить его, чтобы поддерживать схему адресации, которая вам подходит. Ознакомьтесь с моими статьями, посвященными VPN-серверу, на странице www.isaserver.org/shinder, где вы найдете советы и рекомендации по настройке VPN-сервера после завершения работы мастера VPN. Вам также будет полезно посетить сайт www.microsoft.com/vpn и ознакомиться с официальными документами по конфигурациям VPN-сервера и VPN-шлюза Windows Server 2003.

    В основе концепции DMZ на основе LAT лежит фильтрация пакетов RRAS и политики IPSec. ISA Server не управляет соединениями и не применяет политику брандмауэра к соединениям между хостами LAT. Поскольку сегмент WLAN DMZ является частью LAT, брандмауэр ISA Server не будет применять политику брандмауэра. Вы будете использовать фильтр пакетов RRAS и, при необходимости, политики IPSec, чтобы контролировать, какой трафик может перемещаться между сегментами LAT. В этом примере мы хотим разрешить только VPN-клиентам подключаться к внутренней сети, поэтому фильтры пакетов RRAS и политики IPSec предотвратят все соединения между DMZ на основе LAT и внутренней сетью.

    Последней частью головоломки является настройка коннектоидов VPN-клиентов на компьютерах с Windows 2000 и Windows XP. Затем вы настраиваете эти машины в качестве клиентов веб-прокси и брандмауэра после завершения коннектоидов. Это позволяет применять политику брандмауэра к этим VPN-клиентам. Опять же, важно принудительно применить политику брандмауэра к этим VPN-клиентам, потому что VPN-клиент действует как любой другой клиент в вашей внутренней сети.

    Резюме

    В этой статье мы рассмотрели основные принципы проектирования VPN, DMZ, WLAN и управления доступом, которые мы будем использовать для создания нашего безопасного сегмента DMZ на основе LAT WLAN. Во второй и третьей частях этой статьи мы рассмотрим пошаговые детали конфигурации, чтобы вы могли протестировать концепцию в своей собственной лаборатории, прежде чем развертывать ее в своей производственной сети. Увидимся на следующей неделе с подробностями!

    Надеюсь, вам понравилась эта статья, и вы нашли в ней что-то, что вы можете применить к своей сети. Если у вас есть какие-либо вопросы по поводу того, что я обсуждал в этой статье, зайдите на http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=13;t=001585 и разместите сообщение. Я буду проинформирован о вашем сообщении и отвечу на ваши вопросы как можно скорее. Спасибо! -Том

    Кибер-безопасность

    РЕКОМЕНДУЕМЫЕ СТАТЬИ

    Информационная безопасность и системная IT-интеграция
    27 Июня, 2024
    Брандмауэр в ИТ-системе
    15 Апреля, 2023
    Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
    15 Апреля, 2023
    Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
    15 Апреля, 2023
    Виртуальная частная сеть
    15 Апреля, 2023
    Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
    15 Апреля, 2023
    Стратегия Microsoft в отношении .NET
    15 Апреля, 2023
    SSH
    15 Апреля, 2023