Nejdůležitějším aspektem jakéhokoli nastavení internetu v roce 2019 je bezdrátová síť. Kabelová připojení jsou rychlejší a často bezpečnější, zatímco zařízení, která leží kolem vašeho domu, vyžadují bezdrátový signál. Od chytrých televizorů a reproduktorů po chytrý telefon a tablet je bezdrátové připojení v roce 2019 prostě nutností.
Samozřejmě, pokud jde o bezdrátový internet, budete se zabývat mnoha různými bezpečnostními podmínkami, které nemusíte znát, což vede k velkému zmatku kolem bezdrátového síťového prostoru. Všude jsou zkratky a spousta možností, přičemž většina z nich se zabývá přímo bezpečnostními protokoly. To vše znamená, že zabezpečení sítě je přímo ohroženo, pokud přesně nevíte, co děláte.
V tomto článku se tedy podíváme na zabezpečení WPA2 Enterprise, jak to funguje a zda je potřebujete. Toto je váš průvodce nastavením WPA2 Enterprise ve vaší síti, od historie WPA jako bezpečnostního protokolu až po to, jak může WPA2 Enterprise skutečně vylepšit zabezpečení vašeho domova.
Co je to WPA2?
V reakci na bezpečnostní katastrofu, která byla WEP, vyvinula WiFi Alliance WPA (WiFi Protected Access.) Protože WPA byla přímou reakcí na WEP, vyřešila mnoho z mnoha problémů WEP. WPA implementoval protokol TKIP (Temporal Key Integrity Protocol), který výrazně zlepšil bezdrátové šifrování dynamickým generováním klíčů pro každý přenášený paket. WPA také zahrnuje kontroly, aby bylo zajištěno, že s přenášenými daty nebylo manipulováno.
Zatímco WPA byla dobrá, má také své nedostatky. Většina z nich pocházela z používání TKIP. TKIP bylo vylepšením šifrování WEP, ale je stále využitelné. Aliance Wi-Fi tak představila WPA2 s povinným šifrováním AES (Advanced Encryption Standard). AES je silnější šifrovací standard s podporou 256bitového šifrování. Od této chvíle je WPA2 s AES nejbezpečnější možností.
Jaký je rozdíl mezi Enterprise a Personal?
Nyní je tu otázka WPA2 Enterprise. Koneckonců, to je pravděpodobně důvod, proč jste klikli na tento článek na prvním místě. Pokud jste se podívali na nastavení konfigurace bezdrátového směrovače provedeného po roce 2006, možná jste si všimli, že existují dvě možnosti pro WPA2. Na většině směrovačů najdete jeden s označením „Enterprise“ a druhý s názvem „Personal“. Obě možnosti jsou WPA2 a používají stejné šifrování AES. Rozdíl mezi nimi spočívá v tom, jak zvládají připojení uživatelů k síti.
WPA2 Personal také používá WPA2-PSK nebo WPA2 Pre-Shared Key, protože spravuje připojení k síti pomocí hesla, které již bylo sdíleno s osobou, která se připojuje. To funguje dobře pro malé domácí sítě, protože obecně můžete věřit všem v síti a pro potenciální vetřelce nejsou příliš cílem. Je pravděpodobné, že pokud jste se připojili k WiFi v domě přítele, nebo si vytvořili vlastní bezdrátovou síť, byla nakonfigurována pomocí WPA2-PSK.
WPA2 Enterprise se zjevně více zaměřuje na firemní uživatele. Místo autentizace pomocí jediného hesla se WPA2 Enterprise spoléhá na server RADIUS a databázi samostatných klientských údajů. To je skvělé pro firmy, protože mají prostředky k nastavení serveru pro ověřování. Podniky také potřebují větší zabezpečení. Podnik se také může rychle zotavit v případě ztráty nebo krádeže zařízení tím, že každému uživateli přiřadí své přihlašovací údaje. Navíc umožňuje podniku chránit se před nespokojenými zaměstnanci, kteří by mohli chtít poškodit jejich síť.
Jaké jsou výhody WPA2 Enterprise?
Výhody WPA2 Enterprise nejsou pro každého úplně výhodou. Pokud se chystáte zřídit jednoduchou domácí síť s minimálními nároky na údržbu nebo údržbu, WPA2 Enterprise pro vás nebude dobrým řešením. Je to skoro opak toho, co chcete. Pokud však provozujete firmu nebo hledáte domácí zabezpečení s jemnou strukturou, má WPA2 Enterprise několik vlastností, díky kterým je vynikajícím kandidátem.
WPA2 Enterprise využívá databázi. I když to nemusí být velký problém, když máte co do činění pouze s hrstkou uživatelů, při práci s velkým počtem připojení může být rozhodující mít moc a užitečnost databáze. Umožňuje správcům sítě snadno sledovat, spravovat a manipulovat s daty pomocí nástrojů, s nimiž jsou dobře obeznámeni.
Použití databáze také pomáhá vylepšit další klíčovou charakteristiku podnikových sítí WPA2, schopnost zakázat pověření uživatelů. Správce sítě může snadno deaktivovat uživatelský účet v případě, že dojde ke ztrátě, krádeži nebo odchodu uživatele ze společnosti. Individuální přihlašovací údaje také pomáhají omezit potenciální hrozby tím, že usnadňují odebrání ohroženého počítače ze sítě.
WPA2 Enterprise eliminuje potřebu změnit přihlašovací údaje, když správce odstraní uživatele ze sítě nebo je ohrožen jediný počítač. Bylo by obrovskou bolestí pro oddělení IT velké korporace, kdykoli by někdo opustil společnost, musel znovu připojit každé zařízení ve své síti novým přihlášením. To prostě nedává smysl.
Použití jednotlivých autentizačních klíčů uživatelů také rozděluje síť, čímž omezuje, ke kterým síťovým datům má každý uživatel přístup. V síti WPA2-PSK vidí každý uživatel síťová data všech ostatních uživatelů. Díky tomu je útočník nebo potenciální útočník velmi snadný získat přístup k více informacím v síti a způsobit další škody. U podnikových sítí to není problém, díky jednotlivým klíčům.
Další skvělou vlastností WPA2 Enterprise je schopnost používat certifikáty pro autentizaci. Hesla jsou problematická z mnoha důvodů, v neposlední řadě je to jejich zranitelnost vůči slovníkovým útokům. Aby toho nebylo málo, je téměř nemožné spoléhat se na vaše uživatele při vytváření silných hesel. Je to skoro jako lidé, kteří si instinktivně vyberou odpadky pokaždé. To je vlastně největší riziko pro sítě WPA2-PSK. Certifikáty jsou téměř jako pojištění proti špatným heslům. I když je útočník schopen uhodnout hrozné heslo uživatele, stále se nebude moci přihlásit bez tohoto certifikátu uživatele. Certifikáty poskytují další vrstvu ochrany podnikovým sítím.
Jak implementujete podnikovou síť WPA2?
Je absolutně nemožné pokrýt všechny možné konfigurace a kombinace okolností, které mohou vést k nastavení sítě WPA2 Enterprise WiFi. Nikdo nebude mít stejný síťový hardware a software a nikdo nebude mít stejné klienty. Síťoví administrátoři však mohou při každém nastavení sítě použít základní kroky.
Než začnete kopat do samotné sítě, vytvořte databázi uživatelů. Může to vypadat jako nadměrné množství, ale MySQL nebo kompatibilní klon jako MariaDB je nejlepší volbou. Databázi můžete nastavit na svém vlastním počítači, existujícím databázovém serveru nebo na stejném počítači jako server RADIUS. Místo, kde se rozhodnete, by mělo záviset na tom, jak velká bude databáze a jak ji plánujete spravovat. MySQL se osvědčil rychle a spolehlivě. Je to také open source a kompatibilní s jakoukoli serverovou platformou, kterou si vyberete.
Server RADIUS je jádrem WPA2 Enterprise. Je to hlavní faktor, který odlišuje podnikové sítě od osobních. RADIUS odpovídá za správu připojení a ověřování. Rovněž koordinuje vše mezi routerem, databází a klienty. Existuje několik možností pro nastavení serveru RADIUS. V některých případech má router vestavěný RADIUS. K dispozici je také řada komerčních možností. FreeRADIUS je vynikající server RADIUS s otevřeným zdrojovým kódem, který lze nasadit na servery založené na Linuxu, Windows a Mac. V každém případě budete muset nakonfigurovat server RADIUS tak, aby se připojoval a používal vaši databázi MySQL.
Budeš potřebovat nějaké klíče. Šifrovací klíče jsou samozřejmě důležitou součástí celé této rovnice. Opět existuje řada způsobů, jak přistupovat ke generování vašich klíčů a vytvoření certifikační autority. Na téměř každém operačním systému je OpenSSL skvělá volba. OpenSSL je také open source program, který je kompatibilní s téměř jakoukoli platformou.
S nakonfigurovanými i spuštěnými servery a generováním vašich klíčů můžete konečně nastavit router. Každý router je jiný, takže zde není snadné jít do specifik. Jen se ujistěte, že přepnete bezdrátové nastavení routeru na WPA2 Enterprise pomocí šifrování AES. Pro připojení k serveru RADIUS budete muset routeru poskytnout také informace.
Nakonec můžete začít připojovat klienty. Vytvořte pověření klienta a vyměňte klíče. Připojení každého klienta bude jiné. Každý operační systém a zařízení zpracovává připojení k sítím a spravuje připojení jinak. Obecně řečeno, budete potřebovat své certifikáty a přihlašovací údaje, které jste již vytvořili. Nezapomeňte nakonfigurovat klientská zařízení tak, aby se automaticky připojovala a ukládala budoucí potíže.
Takže přepnu?
V závislosti na tom, kdo jste a co potřebujete, aby vaše síť dělala, může být přepínání dobrý nápad. Pokud je vaše síť nakonfigurována pro současné použití WEP nebo WPA, přepněte nyní na WPA2! Nečekejte. Prostě to udělej. Pokud používáte WPA2 Personal a přemýšlíte o přechodu na podnik, není to tak jasné.
Nepřepínejte na WPA2 Enterprise, pokud jste domácí uživatel a nevíte nic o databázích nebo spuštěných serverech. Skončíte frustrovaní přerušenou sítí. Držte se WPA2 Personal a vyberte silné heslo. Budete s tím mnohem šťastnější.
Pokud provozujete firmu a máte zaměstnance, přechod na podnikové WiFi může být pro vás tím správným krokem. Jen se ujistěte, že jste připraveni a mají všechny části a kusy v pořádku před zahájením skok. Správná konfigurace je pro zabezpečení stejně důležitá jako výběr správného šifrování a standardu WiFi.
