A ’cleachdadh VPN gus lìonra iomairt gun uèir a dhèanamh



San artaigil seo bidh mi a ’deasbad mu dhealbhadh làrach-lìn a tha gu math toinnte ach tèarainte a dh’ fhaodar a chleachdadh ann an àrainneachd iomairt.

Tha aon de na prìomh dhraghan le lìonraidhean gun uèir a ruith an-diugh mar thèarainteachd dàta Tha tèarainteachd tèarainteachd thraidiseanta 802.11 a ’toirt a-steach cleachdadh fìreanachadh fosglaidh fosgailte no co-roinnte agus iuchraichean dìomhaireachd (WP) co-ionann le uèir. Faodar bacadh a chuir air gach aon de na h-eileamaidean seo de smachd agus dìomhaireachd. Tha WEP ag obair air an t-sreath ceangail dàta agus ag iarraidh gum bi na pàrtaidhean uile a ’roinn an aon rud dìomhair. Tha an dà chuid 40 agus 128-bit de sheòrsachan WEP furasta a bhriseadh le innealan a tha ri fhaighinn gu furasta. Faodar na h-iuchraichean stob 128-bit a bhriseadh ann an dìreach cho beag ri 15 mionaid air WLAN trafaic àrd air sgàth dìth ann an algairim crioptachaidh RC4. Le bhith a ’cleachdadh modh ionnsaigh FMS gu teòiridheach faodaidh tu iuchair WEP fhaighinn ann an raon bho 100,000 gu 1,000,000 pacaidean le crioptachadh a’ cleachdadh an aon iuchair.

Ged a dh'fhaodas cuid de lìonraidhean a bhith a ’faighinn tro bhith a’ fìreanachadh dearbh-fhosgailte fosgailte no co-roinnte agus iuchraichean crioptachaidh WEP air an sònrachadh gu staitistigeil chan e beachd math a th ’ann a bhith an crochadh air an ìre de thèarainteachd seo a-mhàin ann an àrainneachd lìonra iomairt far am b effort’ fhiach an duais a bhrosnachadh dha ionnsaigh. Anns a ’chùis seo bidh feum agad air seòrsa de thèarainteachd leudaichte.

Tha cuid de leasachaidhean ùra crioptachaidh ann gus cuideachadh le bhith a ’rèiteach so-leònteachdan WEP mar a tha iad air an sònrachadh leis an inbhe IEEE 802.11i. Leasachaidhean bathar-bog gu WEP RC4-stèidhichte air a bheil TKIP no Protocal Teirmeachd Àmagal agus AES a bhiodh air a mheas mar roghainn nas fheàrr seach RC4. Tha tionndaidhean iomairt de Wi -Fi Protected Access no WPA TKIP cuideachd a ’toirt a-steach PPK (gach iuchair phacaid) agus MIC (sgrùdadh iomlanachd teachdaireachd). Bidh WPA TKIP a ’leudachadh gu h-iomlan an vector tùs-tòiseachaidh bho pìosan 24 gu pìosan 48 agus feumaidh 802.1X airson 802.11. Tha a bhith a ’cleachdadh WPA an cois EAP airson dearbhadh ann an meadhanachadh agus sgaoileadh prìomh-dhèanta cudromach mar roghainn eile nas làidire seach ìre tèarainteachd 802.11 traidiseanta.

Ach tha mo roghainn cho math ri mòran eile a ’dol thairis air IPSec air bàrr mo thrafaig soilleir 802.11. Tha IPSec a ’toirt seachad dìomhaireachd, ionracas, agus dearbhteachd conaltraidhean dàta thar lìonraidhean neo-thèarainte le bhith a’ sgrùdadh dàta le DES, 3DES no AES. Le bhith a ’cuir a’ phuing ruigsinneachd lìonra gun uèir air LAN air leth far a bheil an aon àm fàgail air a dhìon le criathragan trafaig a leigeas le tunail IPSec a stèidheachadh a-mach gu seòladh aoigheachd sònraichte, bheir e an lìonra gun uèir a-steach gun feum na teisteanasan dearbhachaidh agad don VPN. Aon uair is gu bheil an ceangal IPSec earbsach air a stèidheachadh, bidh an trafaig uile bhon inneal-crìochnachaidh gu cuid earbsach den lìonradh air a dhìon gu tur. Chan fheum thu ach riaghladh an ionaid-inntrigidh a chruadhachadh gus nach gabh dragh a chuir air.

Is urrainn dhut seirbheisean DHCP agus no DNS a ruith a-mach airson furasda riaghlaidh ach ma tha thu airson sin a dhèanamh, is e deagh bheachd a th ’ann a bhith a’ gluasad le liosta sheòlaidhean MAC agus cur às do chraoladh SSID a bhios a ’ciallachadh gu bheil fo-earrann gun uèir a’ lìonra a ’dìon bho dh’ chomasachd ionnsaighean.

A-nise gu follaiseach is urrainn dhut fhathast a dhol timcheall air liosta seòlaidhean MAC agus an SSID nach eil air a chraoladh le prògraman clonaidh MAC agus MAC air thuaiream còmhla ris a ’bhagairt tèarainteachd as motha fhathast gu ruige seo, Innleadaireachd Sòisealta ach tha am prìomh chunnart fhathast gun call seirbheis. an cothrom gun uèir. Ann an cuid de chùisean dh'fhaodadh seo a bhith na chunnart mòr gu leòr airson sùil a thoirt air seirbheisean dearbhaidh leudaichte gus faighinn a-steach don lìonra gun uèir.

A-rithist, is e am prìomh amas san artaigil seo a bhith a ’dèanamh an uèirleas furasta faighinn thuige agus a bhith a’ toirt seachad an goireas aig a ’neach-cleachdaidh deireannach gun a bhith a’ toirt buaidh air na goireasan air an taobh a-staigh agus a ’cur maoin ann an cunnart. Le bhith a ’iomallachadh an lìonra uèirleas neo-thèarainte bhon lìonra le earbsa earbsach, ag iarraidh dearbhadh, ceadachadh, cunntasachd agus tunail VPN crioptaichte, tha sinn air sin a dhèanamh.

Thoir sùil air an dealbh gu h-àrd. Anns an dealbhadh seo tha mi air balla-teine ​​ioma-phàirteach a chleachdadh agus co-òrdanaiche VPN ioma-eadar-aghaidh gus an lìonra a dhèanamh tèarainte le diofar ìrean earbsa anns gach sòn. San t-suidheachadh seo tha an eadar-aghaidh taobh a-muigh as ìsle aig a bheil earbsa, agus an uair sin an DMZ gun sreang nas earbsaiche, an uair sin an VPN DMZ a tha nas earbsaiche, agus an eadar-aghaidh taobh a-staigh as earbsaiche. Dh'fhaodadh gach aon de na còmhraidhean sin a bhith a ’fuireach air atharrachadh fiosaigeach eadar-dhealaichte no dìreach VLAN gun chraoladh anns an aodach atharrachadh taobh a-staigh den àrainn agad.

Mar a chì thu bhon dealbh tha an lìonra gun uèir taobh a-staigh roinn de uèir DMZ. Is e an aon dòigh a-steach don lìonra earbsach air an taobh a-staigh no air ais chun an taobh a-muigh (eadar-lìon) tro eadar-aghaidh DMZ gun uèir air a ’bhalla-teine. Tha na riaghailtean a-muigh a ’toirt cead do fo-chlàr DMZ dol gu faighinn gu cruinnichean VPN taobh a-muigh seòladh eadar-aghaidh a tha a’ fuireach air VPN DMZ tro ESP agus ISAKMP (IPSec). Is e na riaghailtean a tha a ’nochdadh a-steach air VPN DMZ ESP agus ISAKMP bhon fo-chlàr DMZ gun uèir gu seòladh eadar-aghaidh taobh a-muigh co-òrdanaiche VPN. Leigidh seo le tunail IPSec VPN a thogail bhon chliant VPN air an òstair gun uèir a thoirt do eadar-aghaidh taobh a-staigh an co-òrdanaiche VPN a tha a ’fuireach air an lìonra earbsach air an taobh a-staigh. Aon uair is gu bheilear a ’tagradh airson an tunail, thèid na teisteanasan luchd-cleachdaidh a dhearbhadh leis an fhrithealaiche AAA taobh a-staigh, bidh seirbheisean air an ceadachadh a rèir nan teisteanasan sin agus tòiseachadh cunntasachd sheiseanan. An uairsin thèid seòladh dligheach taobh a-staigh a shònrachadh agus tha comas aig an neach-cleachdaidh goireasan taobh a-staigh na companaidh fhaighinn air an eadar-lìon bhon lìonra taobh a-staigh ma cheadaicheas an cead.

Dh'fhaodadh an dealbhadh seo atharrachadh ann an grunn dhòighean eadar-dhealaichte a rèir na tha ri fhaighinn de dh'innealan agus an dealbhachadh lìonraidh air an taobh a-staigh. An àite sin dh ’fhaodadh eadar-bhallachan a bhith a’ dol an àite DMZs ballaichean teine ​​a ’ruith liostaichean ruigsinneachd tèarainteachd no eadhon modal atharrachadh slighe air an taobh a-staigh cha mhòr a’ dol gu diofar VLAN. Dh'fhaodte balla teine ​​a chur an àite a ’chuir VPN a-steach far an robh IPSec VPN a’ tighinn gu crìch gu dìreach aig an DMZ gun uèir mar nach biodh feum air VPN DMZ idir.

Is e seo aon de na dòighean as cinntiche a bhith a ’ceangal campas iomairt a bhith air a thoirt a-steach do àrainn iomairt a tha ann.