Najvažniji aspekt bilo kojeg postavljanja interneta u 2019. je vaša bežična mreža. Dok su ožičene veze brže i često sigurnije, s litanija uređaja koji leže oko vaše kuće potreban je bežični signal. Od pametnih televizora i zvučnika do vašeg pametnog telefona i tableta, bežična veza u 2019. godini jednostavno je neophodna.
Naravno, kad je riječ o bežičnom internetu, suočavat ćete se s raznim sigurnosnim uvjetima koje možda niste upoznati, što dovodi do velike zbrke oko prostora bežične mreže. Posvuda su kratice i mnoštvo opcija, a većina njih bavi se izravno sigurnosnim protokolima. Sve to znači da je sigurnost vaše mreže izravno u opasnosti, osim ako ne znate točno što radite.
Stoga ćemo u ovom članku pogledati sigurnost WPA2 Enterprise, kako funkcionira i treba li vam. Od povijesti WPA kao sigurnosnog protokola do načina na koji WPA2 Enterprise doista može popraviti sigurnost vaše kuće, ovo je vaš vodič za postavljanje WPA2 Enterprise na vašoj mreži.
Što je WPA2?
Kao odgovor na sigurnosnu katastrofu koja je bila WEP, WiFi Alliance razvio je WPA (WiFi zaštićeni pristup.) Budući da je WPA izravan odgovor na WEP, riješio je mnoge probleme WEP-a. WPA je implementirao TKIP (Temporal Key Integrity Protocol), koji je uvelike poboljšao bežično šifriranje dinamičkim generiranjem ključeva za svaki poslani paket. WPA također uključuje provjere kako bi se osiguralo da prijeđeni podaci nisu ugroženi.
Iako je WPA bila dobra, ona ima i svojih nedostataka. Većina njih potječe iz upotrebe TKIP-a. TKIP je bio poboljšanje u odnosu na šifriranje WEP-a, ali još uvijek ga je moguće iskoristiti. Dakle, Wi-Fi savez uveo je WPA2 uz obaveznu AES (Advanced Encryption Standard) šifriranje. AES je jači standard šifriranja s podrškom za 256bitnu enkripciju. Do sada je WPA2 s AES-om najsigurnija opcija.
Koja je razlika između poduzetničkog i osobnog?
Još uvijek postoji to pitanje o WPA2 Enterprise. Napokon, to je razlog zašto ste upravo kliknuli na ovaj članak. Ako ste pogledali konfiguracijske postavke bežičnog usmjerivača napravljene nakon 2006. godine, možda ste primijetili da postoje dvije mogućnosti za WPA2. Na većini usmjerivača možete naći jedan s oznakom "Enterprise", a na drugom je "Personal". Obje su opcije WPA2 i koriste istu AES enkripciju. Razlika između njih proizlazi iz načina na koji rade s povezivanjem korisnika na mrežu.
WPA2 Personal također ide putem WPA2-PSK ili WPA2 unaprijed podijeljenog ključa jer upravlja vezama na mrežu lozinkom koja je već podijeljena s osobom koja se povezuje. Ovo dobro uspijeva u malim kućnim mrežama jer općenito možete vjerovati svima na mreži i nisu baš nimalo ciljani potencijalni uljezi. Vjerojatno su ako ste se spojili na WiFi u kući prijatelja ili postavili vlastitu bežičnu mrežu, konfiguriran je s WPA2-PSK.
WPA2 Enterprise očito je više usmjeren na poslovne korisnike. Umjesto da samo koristi jednu lozinku za provjeru autentičnosti, WPA2 Enterprise se za provjeru autentičnosti oslanja na RADIUS poslužitelj i bazu podataka zasebnih vjerodajnica klijenta. Ovo je sjajno za tvrtke jer imaju resurse za postavljanje poslužitelja za provjeru autentičnosti. Poduzeća također imaju veće sigurnosne potrebe. Poduzeće se također može brzo oporaviti u slučaju gubitka ili krađe uređaja dodjeljivanjem svakog korisnika svoje podatke za prijavu. Uz to, omogućuje tvrtki da se zaštiti od nezadovoljnih zaposlenika koji bi mogli naštetiti njihovoj mreži.
Koje su prednosti WPA2 poduzeća?
Prednosti WPA2 Enterprise nisu upravo prednosti za sve. Ako samo tražite postavljanje jednostavne kućne mreže s malo gnjavaže ili održavanja, WPA2 Enterprise neće biti dobro rješenje za vas. Prilično je suprotno od onoga što želite. Međutim, ako imate tvrtku ili tražite preciznu sigurnost na kućnoj mreži, WPA2 Enterprise ima nekoliko karakteristika zbog kojih je izvrstan kandidat.
WPA2 Enterprise koristi bazu podataka. Iako se ne radi o velikim problemima kada se bavite samo nekoliko korisnika, moć i korisnost baze podataka mogu biti presudni pri radu s velikim brojem veza. Omogućuje mrežnim administratorima da lako prate, upravljaju i manipuliraju podacima pomoću alata s kojima su upoznati.
Korištenje baze podataka također pomaže poboljšati još jednu ključnu karakteristiku WPA2 poslovnih mreža, mogućnost onemogućavanja vjerodajnica korisnika. Mrežni administrator može lako onemogućiti korisnički račun u slučaju gubitka, krađe uređaja ili ako korisnik napusti tvrtku. Individualne vjerodajnice za prijavu također pomažu u suzbijanju potencijalnih prijetnji jednostavnim uklanjanjem bilo kojeg kompromitiranog stroja s mreže.
WPA2 Enterprise eliminira potrebu za promjenom podataka o prijavi kad administrator ukloni korisnika iz mreže ili je ugrožen jedan stroj. To bi bila velika muka kad bi IT odjel velike korporacije morao ponovno povezati svaki uređaj u svojoj mreži s novom prijavom svaki put kad netko napusti tvrtku. To jednostavno nema smisla.
Upotreba pojedinačnih ključeva za provjeru autentičnosti korisnika također dijeli mrežu, ograničavajući mrežnim podacima svaki korisnik ima pristup. U WPA2-PSK mreži svaki korisnik može vidjeti mrežne podatke svakog drugog korisnika. To olakšava napadaču ili potencijalnom napadaču pristup do više informacija o mreži i nanosi veću štetu. Za poslovne mreže to nije problem, zahvaljujući pojedinačnim tipkama.
Druga velika značajka WPA2 Enterprise je mogućnost korištenja certifikata za provjeru autentičnosti. Lozinke su problematične iz toliko mnogo razloga, od kojih nije najvažnija ranjivost na napade u rječniku. Da stvar bude još gora, gotovo je nemoguće pouzdati se u vaše korisnike da stvore snažne lozinke. To je gotovo kao da ljudi instinktivno biraju smeće svaki put. To je zapravo najveći rizik za WPA2-PSK mreže. Certifikati su gotovo poput police osiguranja od loših lozinki. Čak i ako napadač uspije pogoditi groznu korisničku lozinku, i dalje se neće moći prijaviti bez certifikata tog korisnika. Potvrde pružaju još jedan nivo zaštite poslovnim mrežama.
Kako implementirati WPA2 Enterprise mrežu?
Apsolutno je nemoguće pokriti svaku moguću konfiguraciju i kombinaciju okolnosti koje mogu upasti u postavljanje WPA2 Enterprise WiFi mreže. Nitko neće imati isti mrežni hardver i softver, a nitko neće imati iste klijente. Međutim, postoje osnovni koraci koje mrežni administratori mogu koristiti u svim mrežnim postavkama.
Prije kopanja u samoj mreži postavite korisničku bazu podataka. To može izgledati kao overkill, ali MySQL ili kompatibilni klon poput MariaDB je najbolja opcija. Možete postaviti svoju bazu podataka na vlastiti stroj, postojeći poslužitelj baze podataka ili na isti stroj kao RADIUS poslužitelj. Gdje odaberete treba ovisiti o tome koliko će biti velika baza podataka i kako planirate upravljati njom. MySQL se pokazao brzim i pouzdanim. Također je otvorenog koda i kompatibilan je s onom god platformom poslužitelja koju odaberete.
Poslužitelj RADIUS nalazi se u srcu WPA2 Enterprise. Glavni je faktor koji razlikuje mreže poduzeća od osobnih. RADIUS je odgovoran za upravljanje vezama i provjeru autentičnosti. Također koordinira sve što se odvija između usmjerivača, baze podataka i klijenata. Postoji nekoliko mogućnosti za postavljanje RADIUS poslužitelja. U nekim slučajevima, usmjerivač ima ugrađen RADIUS. Također možete izabrati brojne komercijalne mogućnosti. FreeRADIUS je izvrstan RADIUS poslužitelj otvorenog koda koji se može primijeniti na poslužiteljima temeljenim na Linuxu, Windows-u i Mac-u. U svakom slučaju, morat ćete konfigurirati svoj RADIUS poslužitelj za povezivanje i upotrebu MySQL baze podataka.
Trebat će vam ključevi. Šifrirani ključevi očito su važna komponenta u cijeloj jednadžbi. Opet, postoji nekoliko načina za pristup generiranju vaših ključeva i uspostavljanju ovlaštenja za certifikate. U gotovo svakom operativnom sustavu OpenSSL je sjajna opcija. OpenSSL je također program otvorenog koda koji je kompatibilan sa bilo kojom platformom.
Sa konfiguriranim i pokrenutim poslužiteljima i generiranim ključevima, konačno možete postaviti usmjerivač. Svaki usmjerivač je različit, pa nije lako ući u detalje ovdje. Samo obavezno prebacite bežične postavke rutera na WPA2 Enterprise s AES enkripcijom. Također ćete morati pružiti vašem usmjerivaču informacije za povezivanje s vašim RADIUS poslužiteljem.
Napokon, možete započeti s povezivanjem klijenata. Izradite vjerodajnice klijenta i ključeve za razmjenu. Spajanje svakog klijenta će biti drukčije. Svaki operativni sustav i uređaj različito upravljaju vezama na mreže i upravljaju vezama. Općenito govoreći, trebat će vam vaši certifikati i podaci za prijavu koje ste već stvorili. Obavezno konfigurirajte klijentske uređaje za automatsko povezivanje za spremanje budućih problema.
Dakle, prebacim li se?
Ovisno o tome tko ste i što trebate od svoje mreže, prebacivanje može biti dobra ideja. Ako je vaša mreža konfigurirana da trenutno koristi WEP ili WPA, prebacite se na WPA2 odmah! Nemojte čekati. Jednostavno učinite to. Ako koristite WPA2 Personal, a razmišljate o prelasku na poduzeće, nije sve tako jasno.
Ne prelazite na WPA2 Enterprise ako ste kućni korisnik i ne znate ništa o bazama podataka ili pokretanim poslužiteljima. Upravo ćete završiti frustrirani slomljenom mrežom. Pridržavajte se WPA2 Personal i odaberite jaku lozinku. Bit ćete puno sretniji s tim.
Ako imate tvrtku i imate zaposlenike, prelazak na poslovni WiFi možda je pravi potez za vas. Samo budite sigurni da ste spremni i da imate sve dijelove i komade u redu prije nego što krenete. Pravilna konfiguracija jednako je važna za sigurnost kao i odabir prave šifriranja i WiFi standarda.
