Menü Bezárás

A WPA2-Enterprise Wi-Fi biztonság bevezetése kisvállalkozásoknál

Előszó

A vezeték nélküli hálózat beállításakor a Wi-Fi Protected Access (WPA) biztonságának két nagyon különböző módját találja, amelyek a WPA és a WPA2 verzióra egyaránt vonatkoznak.

A legkönnyebben beállítható a személyes mód, amelyet technikailag PSK (Pre-Shared Key) módnak neveznek. Ez nem igényel semmit a vezeték nélküli routeren vagy hozzáférési pontokon (AP) kívül, és egyetlen jelszót vagy jelszót használ az összes felhasználó/készülék számára.

A másik a vállalati mód – amelyet vállalkozásoknak és szervezeteknek kell használniuk -, és RADIUS, 802.1X, 802.11i vagy EAP módként is ismert. Ez jobb biztonságot és kulcskezelést biztosít, és támogatja az egyéb vállalati típusú funkciókat, például a VLAN-okat és a NAP-ot. A felhasználók 802.1X hitelesítésének kezeléséhez azonban külső hitelesítési kiszolgálóra, úgynevezett RADIUS (Remote Authentication Dial In User Service) kiszolgálóra van szükség.

Itt olyan információkat és tippeket osztok meg, amelyek segítenek megérteni, beállítani és kezelni a vállalati Wi-Fi biztonságot a kisvállalkozásokban – még akkor is, ha Windows Server nélküli, nem tartományi hálózatot üzemeltet.

A vállalati üzemmód előnyeinek megértése

A vállalati üzemmód lehetővé teszi, hogy a felhasználók felhasználónévvel és jelszóval és/vagy digitális tanúsítvánnyal jelentkezzenek be a Wi-Fi hálózatba. Mindkét hitelesítő-típus bármikor megváltoztatható vagy visszavonható a kiszolgálón, ha egy Wi-Fi eszköz elveszik vagy ellopják, vagy ha egy alkalmazott elhagyja a szervezetet. A Személyes mód használatakor a jelszót minden AP-n és Wi-Fi eszközön manuálisan kellene módosítani.

Mivel a Vállalati mód minden felhasználó számára dinamikus és egyedi titkosítási kulcsot biztosít, megakadályozza a felhasználók közötti szimatolást is a vezeték nélküli hálózaton. A Személyes mód használatakor a sikeresen csatlakozó felhasználók láthatják egymás forgalmát – esetleg jelszavakat, e-maileket és más érzékeny adatokat.

A dinamikus kulcsozás a WPA (TKIP) és a WPA2 (AES) titkosítás általános erősségét is segíti. A Personal mód érzékenyebb a brute-force szótári támadásokra, amelyek felfedhetik a titkosítási kulcsot a hackerek számára. Ezért nagyon fontos, hogy a Személyes mód használatakor hosszú és összetett jelszavakat hozzon létre.

Minden kiszolgálási lehetőséget figyelembe kell venni

Ha a kisvállalkozás rendelkezik Windows Serverrel, akkor a szükséges RADIUS-kiszolgálóhoz használhatja az Internet Authenticate Service (IAS) vagy a Network Policy Server (NPS) funkciót. Ehhez segítséget nyújt Brien Posey vagy jómagam egy korábbi cikksorozata.

Más lehetőségek is vannak, amelyek nagyszerűek azok számára, akik nem rendelkeznek tartományi hálózattal:

  • Vásároljon és használjon olyan AP-ket, amelyek beépített RADIUS-kiszolgálóval rendelkeznek. Ilyen például a HP ProCurve 530 és a ZyXEL NWA-3500 vagy NWA3166, amelyek ára 150 dollár körül mozog. Ha egyszerű vezeték nélküli beállításról van szó, talán megúszhatja, ha csak egyet vásárol, és olcsóbb AP-ket használ a nagyobb lefedettség érdekében.
  • Elkészíthet saját útválasztót/átjárót beépített RADIUS-kiszolgálóval, például a RouterOS vagy a Zeroshell segítségével. Ez általában a szoftver telepítéséből áll egy szerverre. Kisebb és kevésbé fontos hálózatok esetében akár egy régi számítógépet is leporolhat és újrahasznosíthat a feladatra.
  • Hostolt szolgáltatást, például az AuthenticateMyWiFi-t használhatja, hogy megspórolja a saját szerver felállításához szükséges időt, pénzt és szakértelmet. Emellett segítséget nyújt az ügyfélkonfigurációhoz, és megkönnyíti a vállalati biztonság több helyszínen történő telepítését.
  • Kapjon ingyenes szervert, például a TekRADIUS egy ingyenes GUI-alapú Windows-alkalmazást.
  • Kapjon ingyenes és nyílt forráskódú szervert, például a FreeRADIUS-t, amely egyszerű szöveges fájlokat használ a konfigurációhoz és parancssort a felügyelethez. Elsősorban Linux/Unix gépekre készült, de Windowson is futtatható.
  • Vásároljon és használjon RADIUS-kiszolgálószoftvert, például Elektron (750 $) Windowsra vagy Mac OS X-re és ClearBox (599 $) Windowsra.

Egyszerűbb ügyfélkonfiguráció

A RADIUS-kiszolgáló futtatása mellett a vállalati mód a végfelhasználók számítógépén és Wi-Fi eszközein bonyolultabb ügyfélkonfigurációt is igényel. A Személyes módban csak egy jelszót kell megadni, amikor erre felszólítják, és ezt általában a végfelhasználók is megtehetik. A vállalati módhoz azonban valószínűleg telepíteni kell a kiszolgáló tanúsítványszolgáltató (CA) tanúsítványát az ügyfelekre (valamint az EAP-TLS használata esetén a felhasználónkénti tanúsítványokat), majd manuálisan konfigurálni kell a vezeték nélküli biztonsági és 802.1X hitelesítési beállításokat. A legjobb, ha az informatikai vagy műszaki személyzet végzi eleinte az ügyfelek konfigurációjának beállítását és hibaelhárítását, vagy egy telepítési segédprogramot használ segítségül.

Ha Windows Server-t használ, akkor a tanúsítvány(ok) elosztása és a beállítások konfigurálása távolról és központilag is elvégezhető a csoportházirend segítségével, legalábbis a tartományhoz csatlakozó Windows-gépek esetében.

Nem tartományi hálózatok esetében az ingyenes SU1X 802.1X segédprogram vagy kereskedelmi lehetőségek használata is szóba jöhet: XpressConnect és Quick1X. Az ilyen típusú segédprogramok segítségével megadhatja vagy rögzítheti a biztonsági és hitelesítési beállításokat, és létrehozhat egy ügyfélbeállító programot. A végfelhasználók (vagy akár az informatikai személyzet) ezután futtathatják a programot, automatizálva a számítógépük konfigurálását. Segíthetnek a RADIUS-kiszolgáló hitelesítésszolgáltatói tanúsítványának (és esetleg a végfelhasználói tanúsítványoknak, ha EAP-TLS-t használunk) a terjesztésében is. Egyesek egyéb ellenőrzéseket és vezeték nélküli beállítások módosítását is elvégezhetik, hogy segítsék a telepítést, például a meglévő SSID-k profiljainak eltávolítását és a profilprioritások beállítását.

Az általános lépések megértése

Azért, hogy jobban megértse a WPA/WPA2-Enterprise és a 802.1X beállítását, íme az alapvető általános lépések:

  1. Válasszon ki, telepítsen és konfiguráljon egy RADIUS-kiszolgálót, vagy használjon egy hosztolt szolgáltatást.
  2. Hozzon létre egy hitelesítésszolgáltatót (CA), így digitális tanúsítványt állíthat ki és telepíthet a RADIUS-kiszolgálóra, ami a RADIUS-kiszolgáló telepítésének és konfigurálásának részeként is elvégezhető. Alternatív megoldásként vásárolhat digitális tanúsítványt egy nyilvános hitelesítésszolgáltatótól, például a GoDaddy-től vagy a Verisigntól, így nem kell a kiszolgáló tanúsítványát az összes ügyfélre telepítenie. Ha EAP-TLS-t használ, akkor minden egyes végfelhasználó számára digitális tanúsítványokat is létrehozhat.
  3. A kiszolgálón töltse fel a RADIUS-ügyféladatbázist az egyes AP-k IP-címével és megosztott titkával.
  4. A kiszolgálón töltse fel a felhasználói adatokat az egyes végfelhasználók felhasználónevével és jelszavával.
  5. Minden egyes AP-n konfigurálja a WPA/WPA2-Enterprise biztonságot, és adja meg a RADIUS-kiszolgáló IP-címét és az adott AP számára létrehozott megosztott titkot.
  6. Minden Wi-Fi számítógépen és eszközön konfigurálja a WPA/WPA2-Enterprise biztonságot, és állítsa be a 802.1X hitelesítési beállításokat.

Összefoglalás

A kisvállalkozásoknak a vállalati Wi-Fi biztonság beállítása során felmerülő fő aggályokat tárgyaltuk. Most már alapvetően tisztában kell lennie az előnyökkel, a kiszolgálási lehetőségekkel és az ügyfélkonfiguráció egyszerűsítésével. Jó képet kell kapnia arról is, hogy mivel jár, és hol érdemes kezdenie.

Amint az alapvető hitelesítést felállította és működésbe hozta, kísérletezhet az engedélyezési és elszámolási funkciókkal. Az engedélyezési funkciók jellemzően lehetővé teszik, hogy bizonyos felhasználók számára korlátozza bizonyos számítógépek és AP-k használatát, valamint a kapcsolódási napok és időpontok korlátozását. A könyvelés segítségével jelentéseket és naplókat készíthet a használatról hibaelhárítás, ellenőrzés vagy számlázás céljából.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük