Najważniejszym aspektem każdej konfiguracji Internetu w 2019 roku jest twoja sieć bezprzewodowa. Podczas gdy połączenia przewodowe są szybsze i często bardziej bezpieczne, a litania urządzeń leżących w domu wymagają sygnału bezprzewodowego. Od inteligentnych telewizorów i głośników po smartfony i tablety, połączenie bezprzewodowe jest po prostu koniecznością w 2019 roku.
Oczywiście, jeśli chodzi o bezprzewodowy internet, będziesz mieć do czynienia z wieloma różnymi warunkami bezpieczeństwa, których możesz nie znać, co prowadzi do wielu zamieszania wokół przestrzeni sieci bezprzewodowej. Wszędzie są akronimy i mnóstwo opcji, z których większość dotyczy bezpośrednio protokołów bezpieczeństwa. Wszystko to oznacza, że bezpieczeństwo sieci jest bezpośrednio zagrożone, chyba że wiesz dokładnie, co robisz.
W tym artykule przyjrzymy się zabezpieczeniom WPA2 Enterprise, jak to działa i czy tego potrzebujesz. Od historii WPA jako protokołu bezpieczeństwa po to, jak WPA2 Enterprise może naprawdę wzmocnić twoje domowe bezpieczeństwo, to jest twój przewodnik po konfigurowaniu WPA2 Enterprise w sieci.
Co to jest WPA2?
W odpowiedzi na katastrofę bezpieczeństwa, jaką było WEP, WiFi Alliance opracowało WPA (WiFi Protected Access). Ponieważ WPA była bezpośrednią odpowiedzią na WEP, rozwiązało wiele z wielu problemów WEP. WPA wdrożyło TKIP (Temporal Key Integrity Protocol), co znacznie poprawiło szyfrowanie bezprzewodowe, dynamicznie generując klucze dla każdego przesyłanego pakietu. WPA obejmuje również kontrole, aby upewnić się, że przesyłane dane nie zostały zmienione.
Chociaż WPA było dobre, ma również swoje wady. Większość z nich pochodzi z korzystania z TKIP. TKIP stanowi ulepszenie w stosunku do szyfrowania WEP, ale nadal można go wykorzystać. Tak więc Wi-Fi Alliance wprowadził WPA2 z obowiązkowym szyfrowaniem AES (Advanced Encryption Standard). AES to silniejszy standard szyfrowania z obsługą szyfrowania 256-bitowego. Na razie WPA2 z AES jest najbezpieczniejszą opcją.
Jaka jest różnica między Enterprise a Personal?
Teraz wciąż jest to pytanie dotyczące WPA2 Enterprise. W końcu prawdopodobnie dlatego kliknąłeś ten artykuł w pierwszej kolejności. Jeśli spojrzałeś na ustawienia konfiguracji routera bezprzewodowego wykonane po 2006 roku, być może zauważyłeś, że istnieją dwie opcje WPA2. Na większości routerów można znaleźć jeden oznaczony jako „Enterprise”, a drugi oznaczony jako „Personal”. Obie opcje to WPA2 i używają tego samego szyfrowania AES. Różnica między nimi wynika z tego, jak radzą sobie z podłączaniem użytkowników do sieci.
WPA2 Personal korzysta również z klucza wstępnego WPA2-PSK lub WPA2, ponieważ zarządza połączeniami z siecią za pomocą hasła, które zostało już udostępnione osobie łączącej się. Działa to dobrze w przypadku małych sieci domowych, ponieważ ogólnie można ufać wszystkim w sieci i nie są one celem zbyt wielu potencjalnych intruzów. Możliwe, że jeśli podłączyłeś się do Wi-Fi w domu znajomego lub skonfigurowałeś własną sieć bezprzewodową, skonfigurowano ją z WPA2-PSK.
WPA2 Enterprise jest oczywiście bardziej skoncentrowana na użytkownikach biznesowych. Zamiast używać tylko jednego hasła do uwierzytelnienia dostępu, WPA2 Enterprise korzysta z serwera RADIUS i bazy danych oddzielnych danych uwierzytelniających klienta do uwierzytelnienia. Jest to świetne rozwiązanie dla firm, ponieważ mają zasoby do skonfigurowania serwera do uwierzytelniania. Firmy mają również większe potrzeby w zakresie bezpieczeństwa. Firma może również szybko odzyskać dane w przypadku zagubienia lub kradzieży urządzenia, przypisując każdemu użytkownikowi własne dane logowania. Ponadto pozwala firmie chronić się przed niezadowolonymi pracownikami, którzy mogą chcieć zaszkodzić swojej sieci.
Jakie są zalety WPA2 Enterprise?
Zalety WPA2 Enterprise nie są dokładnie zaletami dla wszystkich. Jeśli chcesz po prostu założyć prostą sieć domową, która wymaga niewielkich problemów lub konserwacji, WPA2 Enterprise nie będzie dla Ciebie dobrym rozwiązaniem. To prawie przeciwieństwo tego, czego chcesz. Jeśli jednak prowadzisz firmę lub szukasz drobiazgowych zabezpieczeń w sieci domowej, WPA2 Enterprise ma kilka cech, które sprawiają, że jest doskonałym kandydatem.
WPA2 Enterprise korzysta z bazy danych. Chociaż może to nie być wielka sprawa, gdy masz do czynienia tylko z garstką użytkowników, posiadanie mocy i użyteczności bazy danych może być kluczowe podczas pracy z dużą liczbą połączeń. Umożliwia administratorom sieci łatwe śledzenie, zarządzanie i manipulowanie danymi za pomocą narzędzi, które są im znane w efektywny sposób.
Korzystanie z bazy danych pomaga również ulepszyć kolejną kluczową cechę sieci korporacyjnych WPA2, możliwość wyłączenia poświadczeń użytkowników. Administrator sieci może łatwo wyłączyć konto użytkownika w przypadku zagubienia, kradzieży urządzenia lub opuszczenia firmy przez użytkownika. Indywidualne dane logowania pomagają również ograniczyć potencjalne zagrożenia, ułatwiając usunięcie z sieci dowolnego zainfekowanego komputera.
WPA2 Enterprise eliminuje potrzebę zmiany informacji logowania, gdy administrator usuwa użytkownika z sieci lub pojedynczy komputer jest zagrożony. Ogromnym problemem dla działu IT dużej korporacji byłoby ponowne podłączenie każdego urządzenia w sieci za pomocą nowego loginu za każdym razem, gdy ktoś opuszczał firmę. To po prostu nie ma sensu.
Użycie pojedynczych kluczy uwierzytelnienia użytkownika dzieli także sieć na przedziały, ograniczając dostęp do danych sieciowych, do których każdy użytkownik ma dostęp. W sieci WPA2-PSK każdy użytkownik może zobaczyć dane sieciowe każdego innego użytkownika. Dzięki temu intruzowi lub potencjalnemu napastnikowi bardzo łatwo jest uzyskać dostęp do większej ilości informacji w sieci i spowodować więcej szkód. W przypadku sieci korporacyjnych nie stanowi to problemu dzięki indywidualnym kluczom.
Kolejną świetną funkcją WPA2 Enterprise jest możliwość używania certyfikatów do uwierzytelniania. Hasła są problematyczne z wielu powodów, między innymi z ich podatności na ataki słownikowe. Co gorsza, prawie niemożliwe jest poleganie na twoich silnych hasłach. To prawie tak, jakby ludzie instynktownie wybierali śmieci za każdym razem. Jest to w rzeczywistości największe ryzyko dla sieci WPA2-PSK. Certyfikaty są prawie jak polisa ubezpieczeniowa na złe hasła. Nawet jeśli atakujący jest w stanie odgadnąć okropne hasło użytkownika, nadal nie będzie mógł się zalogować bez certyfikatu tego użytkownika. Certyfikaty zapewniają kolejną warstwę ochrony sieci korporacyjnych.
Jak wdrażasz WPA2 Enterprise Network?
Absolutnie niemożliwe jest uwzględnienie każdej możliwej konfiguracji i kombinacji okoliczności, które mogą mieć wpływ na konfigurację sieci WPA2 Enterprise WiFi. Nikt nie będzie miał tego samego sprzętu i oprogramowania sieciowego i nikt nie będzie miał tych samych klientów. Istnieją jednak podstawowe kroki, które administratorzy sieci mogą wykonać przy każdej konfiguracji sieci.
Przed kopaniem się w samej sieci skonfiguruj bazę danych użytkowników. To może wydawać się przesadą, ale MySQL lub kompatybilny klon, taki jak MariaDB, jest najlepszą opcją. Możesz skonfigurować bazę danych na własnym komputerze, istniejącym serwerze bazy danych lub na tym samym komputerze co serwer RADIUS. Wybór powinien zależeć od tego, jak duża będzie baza danych i jak planujesz nią zarządzać. MySQL sprawdziło się szybko i niezawodnie. Jest również open source i kompatybilny z dowolną platformą serwerową, którą wybierzesz.
Serwer RADIUS jest sercem WPA2 Enterprise. Jest to główny czynnik odróżniający sieci korporacyjne od osobistych. RADIUS odpowiada za zarządzanie połączeniami i uwierzytelnianiem. Koordynuje także wszystko, co dzieje się między routerem, bazą danych i klientami. Istnieje wiele opcji konfiguracji serwera RADIUS. W niektórych przypadkach router ma wbudowaną funkcję RADIUS. Istnieje również wiele komercyjnych opcji do wyboru. FreeRADIUS jest doskonałym serwerem RADIUS typu open source, który można wdrożyć na serwerach z systemami Linux, Windows i Mac. W każdym razie musisz skonfigurować serwer RADIUS, aby łączył się z bazą danych MySQL i korzystał z niej.
Potrzebujesz kluczy. Klucze szyfrowania są oczywiście ważnym składnikiem tego całego równania. Ponownie istnieje wiele sposobów podejścia do generowania kluczy i ustanawiania urzędu certyfikacji. W prawie każdym systemie operacyjnym OpenSSL jest świetną opcją. OpenSSL to także program typu open source, który jest kompatybilny z niemal każdą platformą.
Po skonfigurowaniu i uruchomieniu obu serwerów i wygenerowaniu kluczy możesz w końcu skonfigurować router. Każdy router jest inny, więc nie jest łatwo przejść do szczegółów. Upewnij się tylko, że zmieniłeś ustawienia routera na WPA2 Enterprise z szyfrowaniem AES. Będziesz także musiał podać routerowi informacje, aby połączyć się z serwerem RADIUS.
Wreszcie możesz zacząć łączyć klientów. Utwórz poświadczenia klienta i wymień klucze. Łączenie każdego klienta będzie inne. Każdy system operacyjny i urządzenie obsługuje różne połączenia z sieciami i zarządzanie połączeniami. Ogólnie rzecz biorąc, będziesz potrzebować certyfikatów i informacji logowania, które już utworzyłeś. Pamiętaj, aby skonfigurować urządzenia klienckie tak, aby łączyły się automatycznie, aby uniknąć problemów w przyszłości.
Więc czy się zmieniam?
W zależności od tego, kim jesteś i od czego potrzebujesz swojej sieci, przełączanie może być dobrym pomysłem. Jeśli Twoja sieć jest skonfigurowana do korzystania z WEP lub WPA, przełącz się teraz na WPA2! Nie czekaj Po prostu to zrób. Jeśli używasz WPA2 Personal i zastanawiasz się nad przejściem do przedsiębiorstwa, nie jest to takie jasne.
Nie przełączaj się na WPA2 Enterprise, jeśli jesteś użytkownikiem domowym i nie wiesz nic o bazach danych lub serwerach. Po prostu sfrustrujesz się z powodu zepsutej sieci. Trzymaj się WPA2 Personal i wybierz silne hasło. Będziesz z tym znacznie szczęśliwszy.
Jeśli prowadzisz firmę i masz pracowników, przejście na Wi-Fi w przedsiębiorstwie może być właściwym rozwiązaniem. Po prostu upewnij się, że jesteś przygotowany i masz wszystkie części i części w porządku przed wykonaniem skoku. Prawidłowa konfiguracja jest tak samo ważna dla bezpieczeństwa, jak wybór odpowiedniego szyfrowania i standardu WiFi.
