Найважливішим аспектом будь-якого налаштування Інтернету у 2019 році є ваша бездротова мережа. Хоча провідні з'єднання швидші та найчастіше захищеніші, оснащення пристроїв, що лежать навколо вашого будинку, потребує бездротового сигналу. Від розумних телевізорів та динаміків до вашого смартфона та планшета, бездротове підключення - це просто обов’язково в 2019 році.
Звичайно, якщо мова йде про бездротовий Інтернет, ви збираєтеся мати справу з безліччю різних термінів безпеки, з якими ви, можливо, не знайомі, що призводить до великої плутанини навколо простору бездротової мережі. Всюди є абревіатури та безліч варіантів, більшість із яких стосуються безпосередньо протоколів безпеки. Все це означає, що безпека вашої мережі знаходиться під загрозою, якщо ви точно не знаєте, що ви робите.
Отже, у цій статті ми розглянемо безпеку WPA2 Enterprise, як вона працює та чи потрібна вона. Від історії WPA як протоколу безпеки до того, як WPA2 Enterprise може по-справжньому захистити вашу домашню безпеку, це посібник з налаштування WPA2 Enterprise у вашій мережі.
Що таке WPA2?
У відповідь на катастрофу безпеки, що сталася WEP, альянс WiFi розробив WPA (Wi-Fi Protected Access.) Оскільки WPA була прямою відповіддю на WEP, вона вирішила багато з багатьох проблем WEP. WPA впровадила TKIP (Temporal Key Integrity Protocol), який значно покращив бездротове шифрування шляхом динамічного генерування ключів для кожного переданого пакету. WPA також включає перевірки, щоб переконатися, що передані дані не були підроблені.
Хоча WPA була хорошою, вона також має свої недоліки. Більшість з них походить від використання TKIP. TKIP був покращенням в порівнянні з шифруванням WEP, але це все ще є корисним. Так, Wi-Fi Alliance запровадив WPA2 із обов'язковим шифруванням AES (Advanced Encryption Standard). AES - це більш сильний стандарт шифрування з підтримкою шифрування 256 біт. На сьогоднішній день WPA2 з AES є найбільш безпечним варіантом.
Яка різниця між корпоративним та особистим?
Тепер все ще існує питання WPA2 Enterprise. Зрештою, саме тому ви, в першу чергу, натиснули цю статтю. Якщо ви подивилися налаштування конфігурації бездротового маршрутизатора після 2006 року, можливо, ви помітили, що для WPA2 є два варіанти. На більшості маршрутизаторів ви можете знайти один з написом "Підприємство", а другий - "Особистий". Обидва варіанти WPA2 і використовують одне і те ж шифрування AES. Різниця між ними полягає в тому, як вони обробляють підключення користувачів до мережі.
WPA2 Personal також працює за допомогою WPA2-PSK або WPA2 заздалегідь спільним ключем, оскільки він керує з'єднаннями з мережею за допомогою пароля, який вже був наданий спільно з особою, яка підключається. Це добре підходить для малих домашніх мереж, оскільки ви, як правило, можете довіряти всім у мережі, і вони не є великою ціллю для потенційних зловмисників. Швидше за все, якщо ви підключились до WiFi в будинку свого друга або налаштували власну бездротову мережу, вона була налаштована за допомогою WPA2-PSK.
WPA2 Enterprise, очевидно, більше орієнтована на бізнес-користувачів. Замість того, щоб використовувати єдиний пароль для автентифікації доступу, WPA2 Enterprise покладається на сервер RADIUS та базу даних окремих клієнтських даних для аутентифікації. Це чудово для підприємств, оскільки вони мають ресурси для налаштування сервера для аутентифікації. Підприємства також мають більші потреби в безпеці. Бізнес також може швидко відновити випадок, якщо пристрій загублено або вкрадено, призначивши кожному користувачеві власну інформацію про вхід. Крім того, це дозволяє бізнесу захистити себе від незадоволених співробітників, які можуть захотіти завдати шкоди їхній мережі.
Які переваги WPA2 Enterprise?
Переваги WPA2 Enterprise - це не зовсім переваги для всіх. Якщо ви просто хочете створити просту домашню мережу з невеликим клопотом або необхідним обслуговуванням, WPA2 Enterprise не стане для вас хорошим рішенням. Це майже навпаки того, що ви хочете. Однак якщо ви займаєтесь бізнесом або шукаєте дрібнозернисту безпеку в домашній мережі, WPA2 Enterprise має кілька характеристик, які роблять її відмінним кандидатом.
WPA2 Enterprise використовує базу даних. Незважаючи на те, що ви не маєте особливих зусиль, коли ви маєте справу лише з декількома користувачами, але потужність та корисність бази даних може мати вирішальне значення при роботі з великою кількістю підключень. Це дозволяє мережним адміністраторам легко відслідковувати, керувати та обробляти дані інструментами, з якими вони знайомі ефективно.
Використання бази даних також допомагає розширити ще одну ключову характеристику корпоративних мереж WPA2, можливість відключення облікових даних користувачів. Мережевий адміністратор може легко вимкнути обліковий запис користувача у випадку втрати, вкрадання пристрою або виходу з компанії. Індивідуальні облікові дані для входу також допомагають стримувати потенційні загрози, спрощуючи видалення з мережі будь-якої компрометованої машини.
WPA2 Enterprise позбавляє необхідності змінювати інформацію про вхід, коли адміністратор видаляє користувача з мережі або порушена одна машина. Для ІТ-департаменту великої корпорації було б величезним болем потрібно повторно підключати кожен пристрій у своїй мережі з новим логіном кожного разу, коли хтось залишав компанію. Це просто не має сенсу.
Використання окремих ключів аутентифікації користувача також розділяє мережу, обмежуючи, до яких мережевих даних має доступ кожен користувач. У мережі WPA2-PSK кожен користувач може бачити мережеві дані кожного іншого користувача. Це дуже легко зловмиснику або потенційному зловмиснику отримати доступ до додаткової інформації в мережі та завдати більше шкоди. Для корпоративних мереж це не проблема, завдяки індивідуальним клавішам.
Ще одна чудова особливість WPA2 Enterprise - це можливість використовувати сертифікати для аутентифікації. Паролі є проблематичними з багатьох причин, не останньою з них є їх вразливість до атак на словники. Що ще гірше, майже неможливо розраховувати на своїх користувачів, щоб створити надійні паролі. Це майже як люди інстинктивно обирають сміття кожен раз. Це насправді найбільший ризик для мереж WPA2-PSK. Сертифікати майже схожі на страховий поліс від неправильних паролів. Навіть якщо зловмисник зможе відгадати жахливий пароль користувача, він все одно не зможе увійти без сертифіката цього користувача. Сертифікати забезпечують ще один рівень захисту мереж підприємства.
Як ви реалізуєте корпоративну мережу WPA2?
Абсолютно неможливо охопити всі можливі конфігурації та поєднання обставин, які можуть входити у налаштування Wi-Fi мережі WPA2 Enterprise. Ніхто не буде мати одне і те ж мережеве обладнання та програмне забезпечення, і ніхто не матиме однакових клієнтів. Однак є основні кроки, якими адміністратори мережі можуть скористатись у всіх налаштуваннях мережі.
Перш ніж зануритися в саму мережу, налаштуйте базу даних користувачів. Це може здатися надмірним, але MySQL або сумісний клон типу MariaDB - найкращий варіант. Ви можете налаштувати свою базу даних на власній машині, на існуючому сервері баз даних або на тій же машині, що і сервер RADIUS. Де ви обираєте, залежить, наскільки великою буде база даних та як ви плануєте керувати нею. MySQL зарекомендував себе швидко і надійно. Він також є відкритим кодом та сумісний із будь-якою платформою сервера, яку ви вибрали.
Сервер RADIUS лежить в основі WPA2 Enterprise. Це головний фактор, який відрізняє корпоративні мережі від особистих. RADIUS відповідає за керування з'єднаннями та автентифікацію. Він також координує все, що відбувається між маршрутизатором, базою даних та клієнтами. Існує ряд варіантів налаштування сервера RADIUS. У деяких випадках в маршрутизатор вбудований RADIUS. Також є ряд комерційних варіантів на вибір. FreeRADIUS - чудовий сервер RADIUS з відкритим кодом, який можна розгорнути на серверах Linux, Windows та Mac. У будь-якому випадку вам доведеться налаштувати ваш RADIUS-сервер для підключення та використання вашої бази даних MySQL.
Вам знадобиться кілька ключів. Ключі шифрування, очевидно, є важливим компонентом у цьому цілому рівнянні. Знову ж таки, існує декілька способів наблизитись до створення ваших ключів та встановлення сертифікату. Майже на будь-якій операційній системі OpenSSL - чудовий варіант. OpenSSL - це також програма з відкритим кодом, сумісна практично з будь-якою платформою.
З налаштованим і запущеним серверами та згенерованими вашими ключами, ви можете нарешті налаштувати свій маршрутизатор. Кожен маршрутизатор різний, тому тут не просто розібратися в специфіці. Просто переконайтеся, що ви переключили настройки бездротового маршрутизатора на WPA2 Enterprise з шифруванням AES. Вам також доведеться надати маршрутизатору інформацію для підключення до вашого RADIUS-сервера.
Нарешті, ви можете розпочати підключення клієнтів. Створіть облікові дані клієнта та ключі обміну. Підключення кожного клієнта буде різним. Кожна операційна система та пристрій по-різному обробляє з'єднання з мережами та керує з'єднаннями. Взагалі кажучи, вам знадобляться ваші сертифікати та інформація про вхід, яку ви вже створили. Обов’язково налаштуйте клієнтські пристрої для автоматичного підключення, щоб зберегти майбутні клопоти.
Отже, чи потрібно переключатися?
Залежно від того, хто ви є і для чого потрібна ваша мережа, перемикання може бути хорошою ідеєю. Якщо ваша мережа налаштована зараз використовувати WEP або WPA, переключіться на WPA2 зараз! Не чекай. Просто зроби це. Якщо ви використовуєте WPA2 Personal, і ви думаєте про перехід на підприємство, це не так зрозуміло.
Не переключайтесь на WPA2 Enterprise, якщо ви домашній користувач і нічого не знаєте про бази даних або запущені сервери. Ви просто розчаруєтесь у розбитій мережі. Дотримуйтесь WPA2 Personal і виберіть надійний пароль. Ви з цим будете набагато щасливішими.
Якщо ви займаєтесь бізнесом і маєте співробітників, перехід на корпоративний WiFi може бути правильним кроком для вас. Будьте впевнені, що ви готові і маєте всі частини та шматки в порядку, перш ніж робити стрибок. Правильна конфігурація так само важлива для безпеки, як вибір правильного шифрування та стандарту WiFi.
