Самый важный аспект любой настройки интернета в 2019 году - это ваша беспроводная сеть. Хотя проводные соединения быстрее и зачастую более безопасны, для множества устройств, лежащих вокруг вашего дома, требуется беспроводной сигнал. От смарт-телевизоров и колонок до смартфона и планшета - беспроводное соединение просто необходимо в 2019 году.
Конечно, когда речь идет о беспроводном интернете, вам придется столкнуться с множеством различных терминов безопасности, с которыми вы, возможно, не знакомы, что приведет к путанице вокруг пространства беспроводной сети. Повсюду есть аббревиатуры и множество вариантов, большинство из которых имеют непосредственное отношение к протоколам безопасности. Все это означает, что безопасность вашей сети находится под прямой угрозой, если вы точно не знаете, что делаете.
Итак, в этой статье мы рассмотрим безопасность WPA2 Enterprise, как она работает и нужна ли она вам. От истории WPA как протокола безопасности до того, как WPA2 Enterprise может действительно укрепить вашу домашнюю безопасность, это ваше руководство по настройке WPA2 Enterprise в вашей сети.
Что такое WPA2?
В ответ на катастрофу безопасности, которая была WEP, WiFi Alliance разработал WPA (WiFi Protected Access.) Поскольку WPA был прямым ответом на WEP, он решил многие из многих проблем WEP. WPA внедрил TKIP (протокол целостности временного ключа), который значительно улучшил беспроводное шифрование за счет динамической генерации ключей для каждого передаваемого пакета. WPA также включает проверки, чтобы гарантировать, что переданные данные не были подделаны.
В то время как WPA был хорош, у него также есть свои недостатки. Большинство из них возникли в результате использования TKIP. TKIP был улучшением по сравнению с WEP-шифрованием, но все еще можно использовать. Итак, Wi-Fi Alliance представил WPA2 с обязательным шифрованием AES (Advanced Encryption Standard). AES - более сильный стандарт шифрования с поддержкой 256-битного шифрования. На данный момент WPA2 с AES является наиболее безопасным вариантом.
В чем разница между предприятием и личным?
Теперь еще есть вопрос о WPA2 Enterprise. В конце концов, именно поэтому вы, в первую очередь, нажали на эту статью. Если вы посмотрели на параметры конфигурации беспроводного маршрутизатора, сделанные после 2006 года, вы, возможно, заметили, что есть два варианта для WPA2. На большинстве маршрутизаторов вы можете найти один с пометкой «Enterprise», а другой с пометкой «Personal». Оба варианта - WPA2 и используют одинаковое шифрование AES. Разница между ними заключается в том, как они обрабатывают подключение пользователей к сети.
WPA2 Personal также использует WPA2-PSK или WPA2 Pre-Shared Key, поскольку он управляет подключениями к сети с помощью пароля, который уже был предоставлен человеку, который подключается. Это хорошо работает для небольших домашних сетей, потому что вы, как правило, можете доверять всем в сети, и они не являются большой целью для потенциальных злоумышленников. Скорее всего, если вы подключились к WiFi в доме друга или настроили собственную беспроводную сеть, он был настроен с WPA2-PSK.
WPA2 Enterprise, очевидно, больше ориентирован на бизнес-пользователей. Вместо того, чтобы просто использовать один пароль для аутентификации доступа, WPA2 Enterprise использует сервер RADIUS и базу данных отдельных учетных данных клиента для аутентификации. Это отлично подходит для бизнеса, потому что у них есть ресурсы для настройки сервера для аутентификации. Предприятия также имеют большие потребности в безопасности. Бизнес также может быстро восстановиться в случае утери или кражи устройства, назначив каждому пользователю собственную регистрационную информацию. Кроме того, это позволяет бизнесу защитить себя от недовольных сотрудников, которые могут нанести вред своей сети.
Каковы преимущества WPA2 Enterprise?
Преимущества WPA2 Enterprise - не совсем преимущества для всех. Если вы просто хотите настроить простую домашнюю сеть без особых хлопот или необходимости технического обслуживания, WPA2 Enterprise не будет хорошим решением для вас. Это в значительной степени противоположно тому, что вы хотите. Однако, если вы ведете бизнес или ищете детальную защиту в домашней сети, WPA2 Enterprise обладает рядом характеристик, которые делают его превосходным кандидатом.
WPA2 Enterprise использует базу данных. Хотя это может не иметь большого значения, когда вы имеете дело только с небольшим количеством пользователей, при работе с большим количеством соединений может быть крайне важно иметь мощность и полезность базы данных. Он позволяет сетевым администраторам легко отслеживать, управлять и манипулировать данными с помощью инструментов, с которыми они знакомы эффективным способом.
Использование базы данных также помогает улучшить еще одну ключевую характеристику корпоративных сетей WPA2 - возможность отключать учетные данные пользователей. Администратор сети может легко отключить учетную запись пользователя в случае, если устройство потеряно, украдено или этот пользователь покидает компанию. Индивидуальные учетные данные также помогают сдерживать потенциальные угрозы, упрощая удаление любого взломанного компьютера из сети.
WPA2 Enterprise избавляет от необходимости изменять информацию для входа в систему, когда администратор удаляет пользователя из сети или когда один компьютер подвергается риску. Для ИТ-отдела крупной корпорации было бы огромной болью переподключать каждое устройство в своей сети с новым логином каждый раз, когда кто-то покидает компанию. Это просто не имеет смысла.
Использование отдельных ключей аутентификации пользователя также разделяет сеть, ограничивая, к каким сетевым данным каждый пользователь имеет доступ. В сети WPA2-PSK каждый пользователь может видеть данные сети любого другого пользователя. Это позволяет злоумышленнику или потенциальному злоумышленнику легко получить доступ к дополнительной информации в сети и нанести больший ущерб. Для корпоративных сетей это не проблема, благодаря отдельным ключам.
Еще одна замечательная особенность WPA2 Enterprise - возможность использовать сертификаты для аутентификации. Пароли проблематичны по многим причинам, не в последнюю очередь из-за их уязвимости к атакам по словарю. Что еще хуже, почти невозможно положиться на своих пользователей, чтобы создать надежные пароли. Как будто люди инстинктивно каждый раз выбирают мусорные. На самом деле это самый большой риск для сетей WPA2-PSK. Сертификаты почти как страховой полис от плохих паролей. Даже если злоумышленник сможет угадать ужасный пароль пользователя, он все равно не сможет войти без сертификата этого пользователя. Сертификаты обеспечивают еще один уровень защиты корпоративных сетей.
Как вы реализуете корпоративную сеть WPA2?
Абсолютно невозможно охватить все возможные конфигурации и сочетания обстоятельств, которые могут повлиять на настройку сети WPA2 Enterprise WiFi. Ни у кого не будет одинакового сетевого оборудования и программного обеспечения, и никто не будет иметь одинаковых клиентов. Однако существуют основные шаги, которые сетевые администраторы могут использовать при любой настройке сети.
Прежде чем копаться в самой сети, настройте свою базу данных пользователей. Это может показаться излишним, но MySQL или совместимый клон, такой как MariaDB, - лучший вариант. Вы можете настроить свою базу данных на своем компьютере, на существующем сервере баз данных или на том же компьютере, что и сервер RADIUS. Выбор места зависит от размера базы данных и от того, как вы планируете управлять ею. MySQL зарекомендовал себя быстро и надежно. Он также с открытым исходным кодом и совместим с любой серверной платформой, которую вы выберете.
Сервер RADIUS является сердцем WPA2 Enterprise. Это основной фактор, который отличает корпоративные сети от личных. RADIUS отвечает за управление соединениями и аутентификацию. Он также координирует все, что происходит между маршрутизатором, базой данных и клиентами. Существует несколько вариантов настройки сервера RADIUS. В некоторых случаях в маршрутизатор встроен RADIUS. Существует также ряд коммерческих опций на выбор. FreeRADIUS - это отличный RADIUS-сервер с открытым исходным кодом, который можно развернуть на серверах под управлением Linux, Windows и Mac. В любом случае вам придется настроить сервер RADIUS для подключения и использования базы данных MySQL.
Тебе понадобятся ключи. Ключи шифрования, очевидно, являются важным компонентом во всем этом уравнении. Опять же, есть несколько способов создания ваших ключей и создания центра сертификации. Почти во всех операционных системах OpenSSL - отличный вариант. OpenSSL также является программой с открытым исходным кодом, которая совместима практически с любой платформой.
Когда оба сервера настроены и работают, а ваши ключи сгенерированы, вы, наконец, можете настроить свой маршрутизатор. Каждый роутер отличается от других, поэтому здесь сложно разобраться в деталях. Просто убедитесь, что вы переключаете беспроводные настройки вашего маршрутизатора на WPA2 Enterprise с шифрованием AES. Вам также нужно будет предоставить маршрутизатору информацию для подключения к вашему серверу RADIUS.
Наконец, вы можете начать подключать клиентов. Создание учетных данных клиента и обмен ключами. Подключение каждого клиента будет отличаться. Каждая операционная система и устройство по-разному обрабатывают подключение к сетям и управляют подключениями. Вообще говоря, вам понадобятся ваши сертификаты и данные для входа, которые вы уже создали. Обязательно настройте клиентские устройства для автоматического подключения, чтобы сохранить будущие неприятности.
Итак, я переключаюсь?
В зависимости от того, кем вы являетесь и для чего нужна ваша сеть, переключение может быть хорошей идеей. Если ваша сеть настроена на использование WEP или WPA, переключитесь на WPA2 сейчас! Не жди Просто сделай это. Если вы используете WPA2 Personal и думаете о переходе на корпоративный уровень, это не так очевидно.
Не переключайтесь на WPA2 Enterprise, если вы домашний пользователь и ничего не знаете о базах данных или работающих серверах. Вы просто будете разочарованы сломанной сетью. Придерживайтесь WPA2 Personal и выберите надежный пароль. Вы будете намного счастливее с этим.
Если вы работаете в бизнесе и у вас есть сотрудники, переход на корпоративный WiFi может быть правильным выбором для вас. Просто убедитесь, что вы подготовлены и располагаете все детали и детали по порядку, прежде чем совершать прыжок. Правильная конфигурация так же важна для безопасности, как и выбор правильного шифрования и стандарта WiFi.
