Най-важният аспект на всяка настройка на интернет през 2019 г. е вашата безжична мрежа. Докато кабелните връзки са по-бързи и често по-защитени, като литанията на устройствата, разположени около къщата ви, изискват безжичен сигнал. От интелигентни телевизори и високоговорители до вашия смартфон и таблет, безжичната връзка е просто задължителна през 2019 г.
Разбира се, когато става въпрос за безжичен интернет, вие ще се занимавате с много различни условия за сигурност, с които може да не сте запознати, което води до много объркване около пространството за безжична мрежа. Навсякъде има акроними и множество опции, като повечето от тях се занимават директно със протоколи за сигурност. Всичко това означава, че вашата мрежова сигурност е пряко застрашена, освен ако не знаете точно какво правите.
За тази статия ще разгледаме сигурността на WPA2 Enterprise, как тя работи и дали имате нужда от нея. От историята на WPA като протокол за сигурност до това как WPA2 Enterprise може наистина да защити домашната ви сигурност, това е вашето ръководство за настройка на WPA2 Enterprise във вашата мрежа.
Какво е WPA2?
В отговор на бедствието в сигурността, което беше WEP, WiFi Alliance разработи WPA (WiFi Protected Access.) Тъй като WPA беше пряк отговор на WEP, той реши много от многото проблеми на WEP. WPA внедри TKIP (Temporal Key Integrity Protocol), който значително подобри криптирането на безжичната мрежа чрез динамично генериране на ключове за всеки предаван пакет. WPA включва и проверки, за да се гарантира, че предаваните данни не са били подправени.
Докато WPA беше добър, той също има своите недостатъци. Повечето от тях произхождат от използването на TKIP. TKIP беше подобрение спрямо криптирането на WEP, но все още е използваемо. И така, Wi-Fi Alliance въведе WPA2 със задължително AES (Advanced Encryption Standard) криптиране. AES е по-силен стандарт за криптиране с поддръжка за 256-битово криптиране. Към момента WPA2 с AES е най-сигурната опция.
Каква е разликата между Enterprise и Personal?
Сега все още има въпросът за WPA2 Enterprise. В крайна сметка, вероятно затова сте кликнали на тази статия на първо място. Ако сте разгледали конфигурационните настройки на безжичен рутер, направени след 2006 г., може би сте забелязали, че има две опции за WPA2. На повечето рутери можете да намерите единия с надпис „Enterprise“, а другият да е маркиран „Personal“. И двете опции са WPA2 и използват едно и също AES криптиране. Разликата между тях идва от това как те се справят с свързването на потребителите към мрежата.
WPA2 Personal също преминава чрез WPA2-PSK или WPA2 Pre-Shared Key, защото той управлява връзки към мрежата с парола, която вече е споделена с човека, който се свързва. Това работи добре за малки домашни мрежи, защото по принцип можете да се доверите на всички в мрежата и те не са много цел за потенциални натрапници. Вероятно е, ако сте се свързали с WiFi в къщата на приятел или сте създали своя собствена безжична мрежа, тя е била конфигурирана с WPA2-PSK.
WPA2 Enterprise очевидно е фокусиран повече върху бизнес потребителите. Вместо само да използва една парола за удостоверяване на достъп, WPA2 Enterprise разчита на RADIUS сървър и база данни с отделни клиентски идентификационни данни за удостоверяване. Това е чудесно за бизнеса, тъй като те разполагат с ресурси да настроят сървър за удостоверяване. Бизнесът също има по-големи нужди за сигурност. Фирмата също може бързо да се възстанови в случай, че дадено устройство бъде изгубено или откраднато, като назначи на всеки потребител своя собствена информация за вход. Освен това, той позволява на бизнеса да се защити от недоволни служители, които може да искат да навредят на мрежата си.
Какви са предимствата на WPA2 Enterprise?
Предимствата на WPA2 Enterprise не са точно предимства за всички. Ако просто искате да настроите обикновена домашна мрежа с малко караница или поддръжка, WPA2 Enterprise няма да бъде добро решение за вас. Доста е точно обратното на това, което искате. Ако обаче управлявате бизнес или търсите фина защита в домашната си мрежа, WPA2 Enterprise има няколко характеристики, които го правят отличен кандидат.
WPA2 Enterprise използва база данни. Въпреки че може да не е голяма работа, когато имате работа само с шепа потребители, притежаването на мощ и полезност на база данни може да бъде от решаващо значение при работа с голям брой връзки. Тя дава възможност на мрежовите администратори да проследяват, управляват и манипулират данни лесно с инструменти, с които са запознати по ефективен начин.
Използването на база данни също помага да се подобри друга ключова характеристика на корпоративните мрежи на WPA2, възможността да се деактивират идентификационните данни на потребителите. Мрежовият администратор може лесно да деактивира акаунта на потребителя в случай, че дадено устройство бъде изгубено, откраднато или този потребител напусне компанията. Индивидуалните идентификационни данни за вход също помагат за ограничаване на потенциалните заплахи, като правят лесно премахването на компрометирана машина от мрежата.
WPA2 Enterprise елиминира необходимостта от промяна на данните за вход, когато администраторът премахне потребител от мрежата или е компрометирана една машина. Би било огромна болка за ИТ отдела на голяма корпорация да трябва да свързва отново всяко устройство в мрежата си с нов вход всеки път, когато някой напусне компанията. Това просто няма смисъл.
Използването на отделни ключове за удостоверяване на потребител също разделя мрежата, като ограничава до какви мрежови данни всеки потребител има достъп. В мрежа WPA2-PSK всеки потребител може да види мрежовите данни на всеки друг потребител. Това прави много лесно за натрапник или потенциален нападател да получи достъп до повече информация в мрежата и да причини повече щети. За корпоративните мрежи това не е проблем, благодарение на отделните клавиши.
Друга голяма характеристика на WPA2 Enterprise е възможността да се използват сертификати за удостоверяване. Паролите са проблематични поради толкова много причини, като най-малкото от тях е тяхната уязвимост към атаки в речник. За да се влошат нещата, почти невъзможно е да разчитате на потребителите си да създават силни пароли. Това е почти като хората инстинктивно да избират всеки път боклуци. Това всъщност е най-големият риск за WPA2-PSK мрежите. Сертификатите са почти като застрахователна полица срещу лоши пароли. Дори ако нападателят е в състояние да отгатне ужасна парола на потребителя, той все още няма да може да влезе без сертификата на този потребител. Сертификатите осигуряват още един слой защита на корпоративните мрежи.
Как реализирате корпоративна мрежа WPA2?
Абсолютно невъзможно е да се покрият всяка възможна конфигурация и комбинация от обстоятелства, които могат да влязат в настройка на WPA2 Enterprise WiFi мрежа. Никой няма да има същия мрежов хардуер и софтуер и никой няма да има същите клиенти. Съществуват обаче основни стъпки, които администраторите на мрежата могат да използват при всяка настройка на мрежата.
Преди да ровите в самата мрежа, настройте вашата потребителска база данни. Може да изглежда като overkill, но MySQL или съвместим клонинг като MariaDB е най-добрият вариант. Можете да настроите вашата база данни на собствена машина, съществуващ сървър на база данни или на същата машина като RADIUS сървъра. Където изберете трябва да зависи от това колко голяма ще бъде базата данни и как планирате да я управлявате. MySQL се доказа бързо и надеждно. Освен това е с отворен код и съвместим с която и сървърна платформа да изберете.
RADIUS сървърът е в основата на WPA2 Enterprise. Това е основният фактор, който отличава корпоративните мрежи от личните. RADIUS отговаря за управлението на връзки и удостоверяване. Той също така координира всичко, което става между рутера, базата данни и клиентите. Има редица опции за настройка на RADIUS сървър. В някои случаи на рутер има вграден RADIUS. Има и редица търговски опции, от които да избирате. FreeRADIUS е отличен RADIUS сървър с отворен код, който може да бъде разгърнат на Linux, Windows и Mac сървъри. Във всеки случай ще трябва да конфигурирате вашия RADIUS сървър, за да се свържете и използвате вашата база данни MySQL.
Ще ви трябват някои ключове. Ключовете за шифроване очевидно са важен компонент в цялото уравнение. Отново има няколко начина да подходите към генерирането на вашите ключове и създаването на сертификатен орган. В почти всяка операционна система OpenSSL е чудесна опция. OpenSSL е също програма с отворен код, която е съвместима с почти всяка платформа.
С конфигурирани и работещи сървъри и генерирани ключове, най-накрая можете да настроите вашия рутер. Всеки рутер е различен, така че тук не е лесно да навлизате в специфики. Просто се уверете, че превключвате безжичните настройки на вашия рутер на WPA2 Enterprise с криптиране AES. Също така ще трябва да предоставите на вашия рутер информация, за да се свържете към вашия RADIUS сървър.
Накрая можете да започнете да свързвате клиенти. Създайте клиентски идентификационни данни и ключове за обмен. Свързването на всеки клиент ще бъде различно. Всяка операционна система и устройство се свързва по различен начин с мрежите и управлява връзките. Най-общо казано, ще ви трябва сертификатите и данните за вход, които вече сте създали. Не забравяйте да конфигурирате клиентските устройства да се свързват автоматично, за да спестите бъдещи проблеми.
И така, превключвам ли?
В зависимост от това кой сте и от какво се нуждаете от вашата мрежа, превключването може да е добра идея. Ако вашата мрежа е конфигурирана да използва WEP или WPA в момента, преминете към WPA2 сега! Не чакайте. Просто го направи. Ако използвате WPA2 Personal и мислите да преминете към предприятие, това не е толкова ясно.
Не преминавайте към WPA2 Enterprise, ако сте домашен потребител и не знаете нищо за бази данни или работещи сървъри. Просто ще бъдете разочаровани от счупена мрежа. Придържайте се към WPA2 Personal и изберете силна парола. Ще бъдете много по-щастливи с него.
Ако управлявате бизнес и имате служители, преминаването към корпоративната WiFi може да е правилният ход за вас. Просто бъдете сигурни, че сте подготвени и разполагате с всички части и части, преди да направите скока. Правилната конфигурация е също толкова важна за сигурността, колкото избора на правилното криптиране и WiFi стандарта.
