Belépés

Támogatóink



A VPN = biztonság illúziója?

Az InfoWorld oldalát olvasgatva akadtam össze egy átfogó hardware teszttel, ahol egy általam ismeretlen cég terméke kapta meg az első helyet. Megnézve a cég honlapját, találtam egy "white paper"-t az IpSec és a WiFi kapcsolatáról, The Illusion of Security: Using IPsec VPNs to Secure the Air címmel.

A WiFi hálózatok broadcastolják a jeleket szerte a világba, hogy a mobil felhasználók csatlakozhassanak egymáshoz és a külvilághoz. Ez azonban egy eddig ismeretlen problémával állította szembe az IT vezetőket: magát a levegőt kell biztonságossá tenni.

A 802.11 authentikáció egyik formájáról, a WEP-ről hamarosan kiderült, hogy nem váltotta be a hozzá fűzött reményeket a statikus kulcsaival, egy-kettőre törhetővé vált. Az így keletkezett űrt próbálták betömni az adminisztrátorok a VPN-el, amivel titkosították a kommunikációt és azonosították a felhasználókat a WLAN hálózatok felett. Ebben az időben született meg a 802.1x, port-alapú azonosítás olyan titkosítással, amely vagy dinamikus WEP-et használ cserélve a broadcast/multicast kulcsokat, vagy Temporal Key Integrity Protocol ( TKIP )-et, vagy az Advanced Encryption Standardot ( AES ).

Az IpSec használata hamis biztonságérzetbe ringatta a felhasználókat, hiszen alapjába véve a VPN-t a dial-up számára tervezték. ( Internet Protocol Security - IPSec - egy standard, amit az Internet Engineering Task Force - IETF - fejlesztett ki, azzal a céllal, hogy tunneleket használjanak Virtual Privat Network - VPN - létrehozásához, amellyel titkosítja az internet protokollt - IP - adatfolyamot, hogy így kommunikáljanak egymással biztonságosnak tekinthető hálózatok. Tehát a dial-up nem igazán a legjobb megfogalmazás - kodmon)

A biztonság nélkülözésénél a hamis biztonságérzet rosszabb. Az IpSec a pont-pont kommunikációkhoz lett tervezve, nem pedig olyan broadcast tipusúakhoz, mint a WiFi. Mivel az IpSec Layer 3-hoz lett kifejlesztve, így a WLAN Layer 2-je védtelen marad, magyarul attól függetlenül, hogy a kliens titkosítva kommunikál, az egyébként védtelen AP-hoz bárki csatlakozhat ( feltéve persze, ha nincs SSID titkosítás, vagy MAC szűrés ).

A 802.1x megadja a Layer 2 védelmet is, ezt IpSec-el kombinálva egy kitűnő biztonsági megoldáshoz juttatja a hálózat felhasználóit, de csak VPN megoldás nem elegendő.