Najdôležitejším aspektom akéhokoľvek nastavenia internetu v roku 2019 je bezdrôtová sieť. Káblové pripojenia sú rýchlejšie a často bezpečnejšie, pričom sieť zariadení ležiacich okolo vášho domu vyžaduje bezdrôtový signál. Od inteligentných televízorov a reproduktorov po smartfóny a tablety je bezdrôtové pripojenie jednoducho nevyhnutnosťou v roku 2019.
Pokiaľ ide o bezdrôtový internet, budete sa samozrejme zaoberať mnohými rôznymi bezpečnostnými podmienkami, ktoré nemusíte poznať, čo vedie k veľkému zmätku okolo bezdrôtového sieťového priestoru. Všade sú skratky a množstvo možností, pričom väčšina z nich sa zaoberá priamo bezpečnostnými protokolmi. To všetko znamená, že vaša sieťová bezpečnosť je priamo ohrozená, pokiaľ neviete presne, čo robíte.
V tomto článku sa preto pozrieme na zabezpečenie WPA2 Enterprise, ako to funguje a či to potrebujete. Toto je váš sprievodca nastavením WPA2 Enterprise vo vašej sieti, od histórie WPA ako bezpečnostného protokolu až po to, ako môže WPA2 Enterprise skutočne vylepšiť vašu domácu bezpečnosť.
Čo je to WPA2?
V reakcii na bezpečnostnú katastrofu, ktorá bola WEP, WiFi Alliance vyvinula WPA (WiFi Protected Access.) Pretože WPA bola priamou reakciou na WEP, vyriešila mnohé z mnohých problémov WEP. WPA implementoval protokol TKIP (Temporal Key Integrity Protocol), ktorý výrazne zlepšil bezdrôtové šifrovanie dynamickým generovaním kľúčov pre každý prenášaný paket. WPA zahŕňa aj kontroly, aby sa zabezpečilo, že s prenášanými údajmi nebude manipulované.
Kým WPA bola dobrá, má aj svoje nedostatky. Väčšina z nich pochádza z používania TKIP. TKIP bolo vylepšením šifrovania WEP, stále je však využiteľné. Aliancia Wi-Fi tak predstavila WPA2 s povinným šifrovaním AES (Advanced Encryption Standard). AES je silnejší šifrovací štandard s podporou 256bitového šifrovania. Odteraz je WPA2 s AES najbezpečnejšou možnosťou.
Aký je rozdiel medzi podnikmi a osobnými?
Teraz je tu ešte otázka WPA2 Enterprise. Nakoniec, pravdepodobne ste na tento článok klikli. Ak ste sa pozreli na konfiguračné nastavenia bezdrôtového smerovača vykonané po roku 2006, možno ste si všimli, že existujú dve možnosti pre WPA2. Na väčšine smerovačov nájdete jeden s označením „Enterprise“ a druhý s označením „Personal“. Obe možnosti sú WPA2 a používajú rovnaké šifrovanie AES. Rozdiel medzi nimi spočíva v tom, ako zvládajú pripojenie používateľov k sieti.
WPA2 Personal tiež používa WPA2-PSK alebo WPA2 Pre-Shared Key, pretože spravuje pripojenia k sieti pomocou hesla, ktoré už bolo zdieľané s osobou, ktorá sa pripája. Funguje to dobre pre malé domáce siete, pretože vo všeobecnosti môžete všetkým v sieti dôverovať a nie sú príliš cieľom pre potenciálnych narušiteľov. Je pravdepodobné, že ak ste sa pripojili k sieti Wi-Fi v dome priateľa alebo ste si vytvorili vlastnú bezdrôtovú sieť, bola nakonfigurovaná pomocou protokolu WPA2-PSK.
WPA2 Enterprise sa samozrejme zameriava viac na podnikových používateľov. Namiesto toho, aby sa na autentifikáciu prístupu použilo jediné heslo, WPA2 Enterprise sa pri autentifikácii spolieha na server RADIUS a databázu samostatných poverení klienta. Toto je skvelé pre firmy, pretože majú prostriedky na nastavenie servera na autentifikáciu. Podniky tiež potrebujú väčšie bezpečnostné potreby. Podnik sa tiež môže rýchlo zotaviť v prípade straty alebo krádeže zariadenia tým, že každému používateľovi priradí svoje prihlasovacie údaje. Okrem toho umožňuje podniku chrániť sa pred nespokojnými zamestnancami, ktorí by mohli chcieť poškodiť ich sieť.
Aké sú výhody WPA2 Enterprise?
Výhody WPA2 Enterprise nie sú pre každého úplne výhodou. Ak chcete vytvoriť jednoduchú domácu sieť s malými problémami s údržbou alebo údržbou, WPA2 Enterprise pre vás nebude dobrým riešením. Je to skôr opak toho, čo chcete. Ak však podnikáte alebo hľadáte jemné zabezpečenie vo svojej domácej sieti, WPA2 Enterprise má niekoľko vlastností, vďaka ktorým je vynikajúcim kandidátom.
WPA2 Enterprise využíva databázu. Aj keď to nemusí byť veľa, keď máte čo do činenia len s hŕstkou používateľov, pri práci s veľkým počtom pripojení môže byť rozhodujúce mať výkon a užitočnosť databázy. Umožňuje správcom siete efektívne sledovať a spravovať údaje a manipulovať s nimi pomocou nástrojov, s ktorými sú oboznámení.
Použitie databázy tiež pomáha vylepšiť ďalšiu kľúčovú charakteristiku podnikových sietí WPA2, schopnosť zakázať poverenia používateľov. Správca siete môže ľahko zablokovať účet používateľa v prípade straty, odcudzenia alebo odchodu používateľa zo spoločnosti. Individuálne prihlasovacie údaje tiež pomáhajú zachytávať potenciálne hrozby tým, že uľahčujú odstránenie akéhokoľvek ohrozeného počítača zo siete.
WPA2 Enterprise eliminuje potrebu meniť prihlasovacie informácie, keď správca odstráni používateľa zo siete alebo ak je ohrozený jeden počítač. Bolo by obrovskou bolesťou pre IT oddelenie veľkej spoločnosti, že by sa pri každom odchode zo spoločnosti muselo každé zariadenie v sieti znova pripojiť novým prihlasovacím menom. To jednoducho nedáva zmysel.
Používanie jednotlivých autentifikačných kľúčov užívateľa tiež rozdeľuje sieť, čím obmedzuje, ku ktorým sieťovým údajom má každý užívateľ prístup. V sieti WPA2-PSK môže každý užívateľ vidieť sieťové údaje všetkých ostatných používateľov. Preto je útočník alebo útočník veľmi ľahký získať prístup k ďalším informáciám v sieti a spôsobiť väčšie škody. Pre podnikové siete to nie je problém, vďaka jednotlivým kľúčom.
Ďalšou skvelou vlastnosťou WPA2 Enterprise je schopnosť používať certifikáty na autentifikáciu. Heslá sú problematické z mnohých dôvodov, v neposlednom rade z dôvodu ich zraniteľnosti voči slovníkovým útokom. Čo je ešte horšie, je takmer nemožné spoliehať sa na používateľov, ktorí vytvárajú silné heslá. Je to skoro ako ľudia, ktorí si inštinktívne vyberajú odpadky zakaždým. Toto je skutočne najväčšie riziko pre siete WPA2-PSK. Certifikáty sú takmer ako poistenie proti zlým heslám. Aj keď je útočník schopný uhádnuť hrozné heslo používateľa, bez certifikátu používateľa sa nebude môcť prihlásiť. Certifikáty poskytujú ďalšiu vrstvu ochrany pre podnikové siete.
Ako implementujete podnikovú sieť WPA2?
Je absolútne nemožné pokryť každú možnú konfiguráciu a kombináciu okolností, ktoré môžu viesť k vytvoreniu siete WPA2 Enterprise WiFi. Nikto nebude mať rovnaký sieťový hardvér a softvér a nikto nebude mať tých istých klientov. Existujú však základné kroky, ktoré môžu správcovia siete použiť pri každom nastavení siete.
Predtým, ako sa pustíte do samotnej siete, vytvorte databázu používateľov. Môže sa to zdať ako prehnané, ale MySQL alebo kompatibilný klon ako MariaDB je najlepšou voľbou. Svoju databázu môžete nastaviť na svojom vlastnom počítači, existujúcom databázovom serveri alebo na rovnakom počítači ako server RADIUS. To, kde sa rozhodnete, by malo závisieť od toho, aká veľká bude databáza a ako plánujete jej správu. MySQL sa ukázal ako rýchly a spoľahlivý. Je to tiež open source a kompatibilný s akoukoľvek serverovou platformou, ktorú si vyberiete.
Server RADIUS je jadrom WPA2 Enterprise. Je to hlavný faktor, ktorý odlišuje podnikové siete od osobných. RADIUS zodpovedá za správu pripojení a autentifikáciu. Tiež koordinuje všetko, čo sa deje medzi smerovačom, databázou a klientmi. Existuje niekoľko možností pre nastavenie servera RADIUS. V niektorých prípadoch má router zabudovaný RADIUS. Na výber je tiež množstvo komerčných možností. FreeRADIUS je vynikajúci server RADIUS s otvoreným zdrojovým kódom, ktorý je možné nasadiť na servery založené na Linuxe, Windows a Mac. V každom prípade budete musieť nakonfigurovať server RADIUS tak, aby sa pripojil a použil vašu databázu MySQL.
Potrebujete nejaké kľúče. Šifrovacie kľúče sú samozrejme dôležitou súčasťou celej tejto rovnice. Existuje opäť niekoľko spôsobov, ako pristupovať k vytváraniu kľúčov a vytvoreniu certifikačnej autority. Na takmer akomkoľvek operačnom systéme je OpenSSL vynikajúcou možnosťou. OpenSSL je tiež program s otvoreným zdrojom, ktorý je kompatibilný s takmer každou platformou.
S nakonfigurovanými a spustenými servermi a vygenerovanými kľúčmi môžete konečne nastaviť smerovač. Každý smerovač je iný, takže tu nie je ľahké prejsť na špecifiká. Uistite sa, že bezdrôtové nastavenia smerovača prepnete na WPA2 Enterprise so šifrovaním AES. Vášmu smerovaču budete tiež musieť poskytnúť informácie na pripojenie k serveru RADIUS.
Nakoniec môžete začať pripájať klientov. Vytvorte poverenia klienta a vymieňajte si kľúče. Pripojenie každého klienta bude iné. Každý operačný systém a zariadenie spracováva pripojenie k sieťam a spravuje pripojenia inak. Vo všeobecnosti budete potrebovať svoje certifikáty a prihlasovacie informácie, ktoré ste už vytvorili. Nezabudnite nakonfigurovať klientske zariadenia tak, aby sa automaticky pripájali, aby sa ušetrili budúce problémy.
Takže prepnem?
V závislosti od toho, kto ste a čo potrebujete, aby vaša sieť urobila, môže byť dobrý nápad prepínanie. Ak je vaša sieť nakonfigurovaná na používanie protokolov WEP alebo WPA, prepnite teraz na WPA2! Nečakajte. Len to urob. Ak používate WPA2 Personal a uvažujete o prechode na podnikanie, nie je to také jasné.
Ak ste domáci používateľ, neprepnite na WPA2 Enterprise a neviete nič o databázach alebo spustených serveroch. Skončíte frustrovaní nefunkčnou sieťou. Držte sa WPA2 Personal a vyberte silné heslo. Budete s tým oveľa šťastnejší.
Ak podnikáte a máte zamestnancov, prechod na podnikové Wi-Fi môže byť pre vás tým správnym krokom. Len sa uistite, že ste pripravení a všetky časti a súčasti máte v poriadku, skôr ako začnete skočiť. Správna konfigurácia je pre bezpečnosť rovnako dôležitá ako výber správneho šifrovania a štandardu WiFi.
