የድርጅት ሽቦ አልባ አውታር ለመጠበቅ አንድ ቪፒኤን ተጠቅሞ



በዚህ ጽሁፍ በድርጅት አካባቢ ሊሰራ የሚችል ውስብስብ ሆኖም ግን ደህንነቱ የተረጋገጠ የካምፕ WLAN ዲዛይን በተመለከተ እወያያለሁ.

ዛሬ ዋየርለስ ኔትወርክን ከዋና ዋና ችግሮች አንዱ የውሂብ ደህንነት ነው. ባህላዊ የ 802.11 WLAN ደህንነት የክፍት ወይም የተጋራ ቁልፍ ማረጋገጫን መጠቀም እና የዊቲክ ሽቦ ማመሳሰል (WEP) ቁልፎች አጠቃቀምን ያካትታል. እያንዳንዱ የቁጥጥር እና የግላዊነት ክፍሎች ሊጣሱ ይችላሉ. WEP በ "የውሂብ አገናኝ ድርድር" ውስጥ ይሠራል እና ሁሉም ወገኖች ተመሳሳይ ሚስጥራዊ ቁልፍ እንዲጋሩ ይፈልጋል. ሁለቱም የ 40 እና የ 128 ቢት WEP ልዩነቶች በቀላሉ ከሚገኙ መሣሪያዎች ጋር በቀላሉ ሊበቱ ይችላሉ. በ "RC128" የኢንክሪፕሽን ስልተ-ቀመር ውስጥ በተፈጠረ አለመግባባት ምክንያት የ 15- ቢት ስታንዳርድ WEP ቁልፎች በከፍተኛ ትራፊክ WLAN ላይ እስከ 4 ደቂቃዎች ድረስ ሊሰረዙ ይችላሉ. የንድፍ መከላከያ ዘዴን በመጠቀም የንድፍ መከላከያ ዘዴን በመጠቀም ከ "100,000" እስከ "1,000,000" ተመሳሳይ ቁልፍ በመጠቀም በተመሳሳዩ የ "WEP" ቁልፍ ማግኘት ይችላሉ.

አንዳንድ አውታረ መረቦች በክፍት ወይም የተጋሩ ቁልፍ ማረጋገጥ እና በተለቀቁ የተወሰነ የ WEP ምስጠራ ቁልፎች ሊገኙባቸው ቢችሉም ሽልማቱ በአጥቂው ላይ በሚገኝበት የድርጅት አካባቢ ውስጥ ብቻ በዚህ የደህንነት መጠን መተማመን ጥሩ ሃሳብ አይደለም. በዚህ ሁኔታ ውስጥ አንዳንድ የተራዘመ ደህንነት ሊኖርዎት ይችላል.

በ IEEE802.11i ደረጃ እንደተቀመጠው የ WEP ተጋላጭነቶችን ለማሸነፍ ለማገዝ አንዳንድ አዲስ የምስጠራ ማሻሻያዎች አሉ. ከ RC4-based WEP የተገኙ የሶፍትዌር ማሻሻያዎች TKIP ወይም Tempoal Key Integrity Protocol እና AES ተብሎ የሚጠራ ጠንካራ አማራጭ ነው ተብሎ የሚታወቀው. የ Wi-Fi የተጠበቀ ጥበቃ ወይም የ WPA TKIP የሶፍትዌር ስሪቶች በተጨማሪ እንደ PPK (በእያንዳንዱ ፓኬት ቁልፍ ቅንጅቶች) እና MIC (የገጽ መልዕክት ጥብቅ ፍተሻ) ያካትታል. WPA TKIP በተጨማሪም የ "X" ንጣፍ ከ 4 bits ወደ 24 bits ያሰፋዋል እና 48X ለ 802.1 ያስፈልገዋል. ለ EWAP በተዘጋጀ EAP ለትርጉም ማረጋገጫ እና ተለዋዋጭ የቁልፍ ማከፋፈያ በመጠቀም ከኤክስኤንኤን የ 802.11 የደህንነት መስፈርት የተሻለ አማራጭ ነው.

ይሁን እንጂ የእኔ ምርጫ እንዲሁም ሌሎች ብዙ ጥራቻው የፅሁፍ ን የ 802.11 ትራፊክ አናት ላይ የ IPSec መደረጊያ ንጣፍ ማድረግ ነው. IPSec መረጃን ከ DES, 3DES ወይም AES በማመስጠር በአስተማማኝ ባልሆኑ አውታረ መረቦች ውስጥ የመረጃ ግንኙነቶችን ምሥጢራዊነት, ጥብቅነት እና ሚስጥራዊነትን ያቀርባል. የገመድ አልባው አውታረመረብ መገናኛ ነጥብ በተለየ የ LAN ውስጥ ብቸኛው የመግቢያ ነጥብ በ "ትራፊክ ማጣሪያዎች" ሲጠበቁ የ "IPSec" ዋሽንግተን በአንድ የተወሰነ የአስተናጋጅ አድራሻ እንዲመሰረት ሲፈቅድለት የሽቦ አልባ አውታር ፋይዳው ለ VPN ካልሆነ በስተቀር ገመድ አልባው ኔትዎርክ ጥቅም የለውም. አንዴ የታመነ የ IPSec ግንኙነት ከተፈጠረ መሣሪያ ጀምሮ እስከ የታመነው የአውታረመረብ ክፍል ፍሰት ሙሉ በሙሉ ይጠበቃል. ሊነቀፍ የማይችል የመድረሻ ነጥብ አስተዳደርን ማጠናከር ብቻ ነው.

ለማቀናበር የ DHCP እና የዲ ኤን ኤስ አገልግሎቶችን ለማከናወን እና ለማቀናበር ከፈለጉ በ MAC አድራሻ ዝርዝር ማጣራት እና ማንኛውም የ SSID ስርጭትን ማሰናከል ጥሩ ሃሳብ ሲሆን ይህም የኔትወርክ ገመድ ያለው ገመድ አልባ አውታረ መረብ ከጥቃት ሊጠበቀው ይችላል. ጥቃቶች.

አሁን ግን የ MAC አድራሻ ዝርዝሮችን እና ያልተሰረቀውን SSID በቃለ-መጠይቅ MAC እና MAC ክሎኒን ፕሮግራሞች አማካኝነት እስከዛሬ ድረስ ከሚታወቀው ከፍተኛ የደህንነት ስጋት ጎን ለጎን, ማህበራዊ ኢንጂነሪንግ ቢሆንም ዋናው አደጋ ብቻ አሁንም አገልግሎት ሊሰጥ ይችላል ወደ ገመድ አልባ መዳረስ. በአንዳንድ አጋጣሚዎች ገመድ አልባው ኔትወርክን በራሱ ለመዳረስ የተራዘመ የማረጋገጫ አገልግሎቶችን ለመፈተሽ ትልቅ አደጋ ሊፈጥር ይችላል.

አሁንም በዚህ ውስጥ ዋነኛው ዓላማ ሽቦ አልባው ውስጣዊ ሃብታችንን ሳያስከትል እና የኩባንያዎቹን ንብረቶች አደጋ ላይ ሳያስከትል ለተጠቃሚው ምቹ ሁኔታን ለማቅረብ እና ለተጠቃሚው ምቾት እንዲሰጥ ማድረግ ነው. ያልተረጋገጠ ገመድ አልባ አውታረመረብን ከተታየ የባለ መረቡ አውታረመረብ በማለያየት, ማረጋገጫ, ማረጋገጫ, ሂሳብ እና ልክ ያንን ያደረግነው የተመሳጠረ የ VPN ዋይ አውጭ ይጠይቃል.

ከላይ ያለውን ስዕል ይመልከቱ. በዚህ ንድፍ ውስጥ በእያንዳንዱ ዞን የተለያየ ደረጃ ያላቸውን መተማመኛዎች የተመለከተውን መረብ ለማረጋጋት በርካታ የበይነመረብ ፋየርዎል እና በርካታ የቪ ፒ ኤን የበኩረ-አቀባበል ተጠቀምኩ. በዚህ ሁኔታ ውስጥ ዝቅተኛ የታመነ የውጭ በይነገጽ, እና ከዚያ ይበልጥ ጥብቅ የሆነ ገመድ አልባ ዲኤምኤል, ከዚያም ይበልጥ የሚታመን በ VPN DMZ እና በአብዛኛው የሚታመን የውስጥ በይነገጽ ነው. እነዚህ ሁለንተናዊ አቀራረቦች በተሇይም በተሇያዩ አካሊዊ መቀየር ሊይ ሉኖሩ ይችሊለ ወይም በ "ውስጣዊ ካምፕ" ማቀፊያ ሌብስዎ ውስጥ ሉተቋረጡ ይችሊለ.

ከስልቱ ማየት እንደሚቻለው ገመድ አልባው ኔትወርክ በገመድ አልባ ዲኤምዝ ውስጥ ይገኛል. ወደ ውስጣዊ የታመነ አውታረመረብ ውስጥ ወይም ወደ ውጫዊ (ኢንተርኔት) የሚገቡበት ብቸኛ መንገድ በኬላ ዊንዶው ባለ ገመድ አልባ ዲኤምኤል በኩል ነው. ከውጪ የሚወጣው ህጎች ብቻ የዲኤምኤልኤን ንዑስ አካል የ VPN ማዛመጃዎችን በ VPN DMZ በኩል በ ESP እና ISAKMP (IPSec) ውስጥ ከሚገኙት የውስጥ አድራሻዎች ጋር እንዲደርሱ ይፈቅዳሉ. በ VPN DMZ ውስጥ የሚገኙት የወቅቱ ህጎች ብቻ ከሽቦ አልባ ዲኤምኤል ቨርዥን እስከ ኤሌክትሮኒክ ቪኤንሲ ኮምፕዩተር ውጫዊ በይነገጽ ላይ ESP እና ISAKMP ናቸው. ይሄ IPSec VPN ዋንኛ በገመድ አልባ አስተናጋጁ ውስጥ ባለው የውስጥ ባለአውታረመረብ ውስጥ የሚኖረው የ VPN መዋረከቢያ ውስጣዊ በይነገጽ ላይ ከ VPN ደንበኛ ለመገንባት ያስችለዋል. የመሠውያው ሽፋኑ ጥያቄ ከተነሳ በኋላ የተጠቃሚ ምስክርነቶች በድረገጽ AAA ሰርቨር በኩል ተረጋግጠዋል, አገልግሎቶቹ በእነዚህ ምስክርነቶች እና በክፍለ-ጊዜ ሂሳብ መጀመሪያ ላይ የተመሰረቱ ናቸው. ከዚያ ትክክለኛ የሆነ የውስጥ አድራሻ ይሰጥና ተጠቃሚው ፈቀዳው ከፈቀደው የውስጥ ኩባንያዎችን ከውስጣዊ አውታረመረብ የመጠቀም ችሎታ አለው.

ይህ ዲዛይን እንደ መሳሪያው እና የውስጥ አውታረመረብ ንድፍ አቅርቦቶች በበርካታ የተለያዩ መንገዶች ሊስተካከል ይችላል. የፋየርዎል ዲኤምአርች በስራ ላይ የሚውሉ የደህንነት ጥበቃ መጠቀሚያ ዝርዝሮችን ወይም ውስጣዊ የመንገድ ማቀነባበሪያ ሞዴሎችን የተለያዩ VLANዎችን በማስተዋወቅ ሊተካ ይችላል. ኮምፕዩተር በቪኤንኤፒ (VPN) አቅራቢያ በ IFCፋ VPN ቀጥታ በገመድ አልባ ዲኤምኤል (DMZ) ውስጥ እንዲቋረጥ በማድረግ በ VPN DMZ ፈጽሞ አይጠየቅም.

ይህ ኢንተርፕራይዝ ካምፓስን WLAN ን አሁን ባለው ደህንነቱ በተረጋገጠ የድርጅት ካምፓስ ውስጥ ለማካተት በጣም አስተማማኝ መንገድ ነው.