Najpomembnejši vidik katere koli nastavitve interneta v letu 2019 je vaše brezžično omrežje. Medtem ko so žične povezave hitrejše in pogosto bolj varne, bo litanija naprav, ki ležijo okoli vaše hiše, zahtevala brezžični signal. Od pametnih televizorjev in zvočnikov do vašega pametnega telefona in tabličnega računalnika je brezžična povezava v letu 2019 preprosto nujna.
Seveda, ko gre za brezžični internet, se boste ukvarjali z veliko različnimi varnostnimi pogoji, ki jih morda ne poznate, kar povzroča veliko zmede glede prostora za brezžično omrežje. Povsod so kratice in veliko možnosti, večina teh pa se ukvarja neposredno z varnostnimi protokoli. Vse to pomeni, da je varnost omrežja neposredno ogrožena, razen če natančno veste, kaj počnete.
V tem članku si bomo ogledali varnost WPA2 Enterprise, kako deluje in ali ga potrebujete. Od zgodovine WPA kot varnostnega protokola do tega, kako lahko WPA2 Enterprise resnično poveže varnost doma, je to vaše vodilo za nastavitev WPA2 Enterprise v vašem omrežju.
Kaj je WPA2?
Kot odziv na varnostno nesrečo, ki je bila WEP, je WiFi Alliance razvil WPA (WiFi Protected Access.) Ker je bil WPA neposreden odgovor na WEP, je rešil številne težave WEP. WPA je implementiral TKIP (Temporal Key Integrity Protocol), ki je močno izboljšal brezžično šifriranje z dinamičnim generiranjem ključev za vsak poslani paket. WPA vključuje tudi preverjanja za zagotovitev, da poslani podatki niso bili poseženi.
Čeprav je bil WPA dober, ima tudi svoje pomanjkljivosti. Večina jih izvira iz uporabe TKIP. TKIP je bil izboljšanje v primerjavi s šifriranjem WEP, vendar je še vedno uporaben. Zavezništvo Wi-Fi je torej uvedlo WPA2 z obveznim šifriranjem AES (Advanced Encryption Standard). AES je močnejši šifrirni standard s podporo za 256-bitno šifriranje. Do zdaj je WPA2 z AES najbolj varna možnost.
Kakšna je razlika med podjetniškim in osebnim?
Zdaj še vedno obstaja vprašanje WPA2 Enterprise. Konec koncev, verjetno ste prav zato kliknili na ta članek. Če ste pogledali konfiguracijske nastavitve brezžičnega usmerjevalnika po letu 2006, ste morda opazili, da obstajata dve možnosti za WPA2. Na večini usmerjevalnikov lahko najdete enega z oznako »Enterprise«, na drugem pa »Personal«. Obe možnosti sta WPA2 in uporabljata isto AES šifriranje. Razlika med njimi je v tem, kako ravnajo s povezovanjem uporabnikov v omrežje.
WPA2 Personal gre tudi po predvajalnem ključu WPA2-PSK ali WPA2, ker upravlja povezave do omrežja z geslom, ki je že bilo delljeno z osebo, ki se povezuje. To deluje dobro za majhna domača omrežja, ker lahko na splošno zaupate vsem v omrežju in niso potencialni vsiljivci. Verjetno je, če ste se povezali z WiFi v hiši prijatelja ali vzpostavili svoje brezžično omrežje, je bilo konfigurirano z WPA2-PSK.
WPA2 Enterprise je očitno bolj osredotočen na poslovne uporabnike. Namesto da bi za preverjanje pristnosti uporabili eno geslo, se WPA2 Enterprise za preverjanje pristnosti opira na strežnik RADIUS in bazo podatkov ločenih poverilnic stranke. Za podjetja je to super, saj imajo vire za nastavitev strežnika za preverjanje pristnosti. Tudi podjetja imajo večje varnostne potrebe. Podjetje si lahko hitro opomore tudi v primeru, da je naprava izgubljena ali ukradena tako, da vsakemu uporabniku dodeli svoje podatke za prijavo. Poleg tega podjetju omogoča, da se zaščiti pred nezadovoljnimi zaposlenimi, ki bi morda želeli škodovati svoji mreži.
Kakšne so prednosti WPA2 Enterprise?
Prednosti WPA2 Enterprise niso ravno prednosti za vse. Če samo iščete vzpostavitev preprostega domačega omrežja z malo težav ali vzdrževanja, WPA2 Enterprise ne bo dobra rešitev za vas. Precej nasprotno od tega, kar želite. Če pa vodite podjetje ali iščete natančno zaščito v domačem omrežju, ima WPA2 Enterprise več lastnosti, zaradi katerih je odličen kandidat.
WPA2 Enterprise uporablja bazo podatkov. Čeprav se ne ukvarjate le s peščico uporabnikov, je moč in koristnost baze podatkov ključnega pomena pri delu z velikim številom povezav. Skrbnikom omrežij omogoča enostavno sledenje, upravljanje in obdelavo podatkov z orodji, ki jih poznajo na učinkovit način.
Uporaba baze podatkov pomaga tudi izboljšati drugo ključno značilnost omrežij WPA2 podjetja, možnost onemogočanja uporabniških poverilnic. Omrežni skrbnik lahko enostavno onemogoči uporabnikov račun v primeru izgube, kraje naprave ali izstopa iz podjetja. Posamezne poverilnice za prijavo pomagajo tudi pri omejevanju morebitnih groženj, saj je preprosto odstraniti vse ogrožene naprave iz omrežja.
WPA2 Enterprise odpravi potrebo po spremembi prijavnih podatkov, ko skrbnik odstrani uporabnika iz omrežja ali če je posamezen stroj ogrožen. Za IT-oddelek velike korporacije bi bila velika bolečina, da bi morali vsakič, ko nekdo zapusti podjetje, ponovno povezati vsako napravo v svojem omrežju z novo prijavo. To preprosto nima smisla.
Uporaba posameznih ključev za preverjanje pristnosti uporabnika tudi omrežje, ki omejuje, do katerih omrežnih podatkov ima vsak uporabnik dostop. V omrežju WPA2-PSK lahko vsak uporabnik vidi podatke o omrežju vsakega drugega uporabnika. Tako vsiljivec ali potencialni napadalec zelo olajša dostop do več informacij v omrežju in povzroči več škode. Za podjetniška omrežja to ni problem, zahvaljujoč posameznim ključem.
Druga velika značilnost WPA2 Enterprise je sposobnost uporabe potrdil za preverjanje pristnosti. Gesla so problematična iz toliko razlogov, nenazadnje je njihova ranljivost za napade na slovar. Da bi se poslabšali, je skoraj nemogoče, da se uporabniki zanesejo, da bodo ustvarili močna gesla. To je skoraj tako, kot da ljudje vsakič nagonsko izbirajo smeti. To je dejansko največje tveganje za omrežja WPA2-PSK. Potrdila so skoraj kot zavarovalna polica proti slabim geslom. Tudi če napadalec lahko ugiba grozljivo geslo uporabnika, se še vedno ne bo mogel prijaviti brez potrdila tega uporabnika. Potrdila zagotavljajo še en nivo zaščite podjetniških omrežij.
Kako izvajate podjetniško mrežo WPA2?
Popolnoma nemogoče je pokriti vsako možno konfiguracijo in kombinacijo okoliščin, ki lahko zaidejo v vzpostavitev omrežja WiFi WPA2 Enterprise. Nihče ne bo imel iste omrežne strojne in programske opreme in nihče ne bo imel istih odjemalcev. Obstajajo pa osnovni koraki, ki jih lahko skrbniki omrežij uporabijo pri vsaki nastavitvi omrežja.
Preden se vkopljete v samo omrežje, nastavite svojo uporabniško bazo podatkov. Mogoče se zdi, da bi bilo to preveč, vendar je MySQL ali združljiv klon, kot je MariaDB, najboljša možnost. Svojo bazo podatkov lahko nastavite na svojem računalniku, obstoječem strežniku baz podatkov ali na istem stroju kot strežnik RADIUS. Kje boste izbrali, je odvisno od tega, kako velika bo baza podatkov in kako nameravate z njo upravljati. MySQL se je izkazal hitro in zanesljivo. Je tudi odprtokoden in združljiv s katero koli platformo strežnika, ki jo izberete.
Strežnik RADIUS je v središču WPA2 Enterprise. To je glavni dejavnik, ki razlikuje mreže podjetij od osebnih. RADIUS je odgovoren za upravljanje povezav in overjanja. Prav tako usklajuje vse, kar poteka med usmerjevalnikom, bazo podatkov in odjemalci. Obstaja več možnosti za nastavitev RADIUS strežnika. V nekaterih primerih ima usmerjevalnik vgrajen RADIUS. Na izbiro je tudi več komercialnih možnosti. FreeRADIUS je odličen odprtokodni RADIUS strežnik, ki ga je mogoče namestiti v strežnike, ki temeljijo na Linuxu, Windows in Mac. V vsakem primeru boste morali svoj RADIUS strežnik konfigurirati za povezavo in uporabo baze podatkov MySQL.
Potrebovali boste nekaj ključev. Šifrirni ključi so očitno pomemben sestavni del celotne enačbe. Ponovno obstaja več načinov, kako pristopiti k ustvarjanju vaših ključev in vzpostavitvi organa za potrdila. V skoraj vseh operacijskih sistemih je OpenSSL odlična možnost. OpenSSL je tudi odprtokodni program, ki je združljiv s skoraj vsako platformo.
Ko sta konfigurirana in delujoča strežnika ter ustvarjeni ključi, lahko končno nastavite usmerjevalnik. Vsak usmerjevalnik je drugačen, zato tukaj ni enostavno podrobneje opisati. Prepričajte se, da ste brezžične nastavitve usmerjevalnika preklopili na WPA2 Enterprise s šifriranjem AES. Prav tako boste morali usmerjevalniku posredovati informacije za povezavo s strežnikom RADIUS.
Končno lahko začnete povezovati stranke. Ustvarite poverilnice strank in ključe za izmenjavo. Povezava vsakega odjemalca bo drugačna. Vsak operacijski sistem in naprava obravnava povezavo z omrežji in upravljanje povezav drugače. Na splošno boste potrebovali potrdila in podatke za prijavo, ki ste jih že ustvarili. Ne pozabite konfigurirati odjemalskih naprav, da se samodejno povežejo, da prihranite prihodnje težave.
Torej, naj preklopim?
Glede na to, kdo ste in kaj potrebujete za svoje omrežje, je preklapljanje morda dobra ideja. Če je vaše omrežje konfigurirano za trenutno uporabo WEP ali WPA, preklopite na WPA2 zdaj! Ne čakaj. Samo naredi. Če uporabljate WPA2 Personal in razmišljate o skoku na podjetje, to ni tako jasno.
Ne preklopite na WPA2 Enterprise, če ste domači uporabnik in ne veste ničesar o bazah podatkov ali delujočih strežnikih. Pravkar boste frustrirani zaradi porušene mreže. Držite se WPA2 Personal in izberite močno geslo. Z njo boste veliko bolj srečni.
Če imate podjetje in imate zaposlene, bi bil prehod za podjetniški WiFi prava poteza za vas. Prepričajte se, da ste pripravljeni in da so vsi deli in kosi v redu, preden začnete preskok. Pravilna konfiguracija je prav tako pomembna za varnost kot izbira prave šifriranja in standarda WiFi.
