Menu Zavřeno

Nasazení zabezpečení WPA2-Enterprise Wi-Fi v malých firmách

Úvod

Při nastavování bezdrátové sítě se setkáte se dvěma velmi odlišnými režimy zabezpečení WPA (Wi-Fi Protected Access), které platí pro verze WPA i WPA2.

Nejjednodušší na nastavení je osobní režim, odborně nazývaný režim PSK (Pre-Shared Key). Nevyžaduje nic jiného než bezdrátový směrovač nebo přístupové body (AP) a používá jedinou přístupovou frázi nebo heslo pro všechny uživatele/zařízení.

Druhý je režim Enterprise – který by měly používat podniky a organizace – a je známý také jako režim RADIUS, 802.1X, 802.11i nebo EAP. Poskytuje lepší zabezpečení a správu klíčů a podporuje další funkce podnikového typu, jako jsou VLAN a NAP. Vyžaduje však externí ověřovací server, tzv. server RADIUS (Remote Authentication Dial In User Service), který se stará o ověřování uživatelů podle standardu 802.1X.

Podělím se s vámi o informace a tipy, které vám pomohou pochopit, nastavit a spravovat zabezpečení podnikové sítě Wi-Fi v malých firmách – a to i v případě, že provozujete síť bez domény a serveru Windows.

Pochopte výhody podnikového režimu

Podnikový režim umožňuje uživatelům přihlašovat se do sítě Wi-Fi pomocí uživatelského jména a hesla a/nebo digitálního certifikátu. Oba typy pověření lze na serveru kdykoli změnit nebo zrušit, když dojde ke ztrátě nebo krádeži zařízení Wi-Fi nebo když zaměstnanec opustí organizaci. Při použití osobního režimu by bylo nutné přístupovou frázi ručně změnit na všech přístupových bodech a zařízeních Wi-Fi.

Protože podnikový režim poskytuje každému uživateli dynamický a jedinečný šifrovací klíč, zabraňuje také slídění mezi uživateli v bezdrátové síti. Při použití osobního režimu mohou úspěšně připojení uživatelé navzájem vidět svůj provoz – případně hesla, e-maily a další citlivé údaje.

Dynamický klíč také pomáhá celkové síle šifrování WPA (TKIP) a WPA2 (AES). Osobní režim je náchylnější na slovníkové útoky hrubou silou, které mohou hackerům odhalit šifrovací klíč. Proto je při použití režimu Personal velmi důležité vytvářet dlouhé a složité přístupové fráze.

Zvažte všechny možnosti serveru

Pokud má malá firma server Windows, můžete pro požadovaný server RADIUS použít funkci Internet Authenticate Service (IAS) nebo Network Policy Server (NPS). Nápovědu najdete v předchozí sérii článků Briena Poseyho nebo u mě.

Existuje několik dalších možností, které jsou skvělé pro ty, kdo nemají doménovou síť:

  • Koupit a používat přístupové body, které mají vestavěný server RADIUS. Příkladem jsou HP ProCurve 530 a ZyXEL NWA-3500 nebo NWA3166, jejichž cena se pohybuje kolem 150 USD a výše. Pokud se jedná o jednoduchou bezdrátovou konfiguraci, možná si vystačíte s nákupem pouze jednoho a použitím levnějších přístupových bodů pro větší pokrytí.
  • Vytvořte si vlastní směrovač/bránu s vestavěným serverem RADIUS, například s RouterOS nebo Zeroshell. To obvykle spočívá v instalaci softwaru na server. U menších a méně důležitých sítí můžete dokonce oprášit a znovu použít starý počítač pro tuto práci.
  • Využijte hostovanou službu, například AuthenticateMyWiFi, abyste ušetřili čas, peníze a odborné znalosti potřebné k nastavení vlastního serveru. Poskytuje také pomoc s konfigurací klienta a usnadňuje nasazení podnikového zabezpečení na více místech.
  • Využijte freewarový server, například TekRADIUS bezplatnou aplikaci pro Windows založenou na grafickém rozhraní.
  • Využijte bezplatný server s otevřeným zdrojovým kódem, například FreeRADIUS, který pro konfiguraci používá prosté textové soubory a pro správu příkazový řádek. Primárně je určen pro počítače se systémem Linux/Unix, ale může běžet i v systému Windows.
  • Zakoupit a používat serverový software RADIUS, například Elektron (750 USD) pro systém Windows nebo Mac OS X a ClearBox (599 USD) pro systém Windows.

Ulehčení konfigurace klientů

Kromě provozování serveru RADIUS vyžaduje režim Enterprise také složitější konfiguraci klientů v počítačích a zařízeních Wi-Fi koncových uživatelů. Režim Personal vyžaduje pouze zadání přístupové fráze na výzvu, což obvykle mohou provést koncoví uživatelé. V případě režimu Enterprise však bude pravděpodobně nutné do klientů nainstalovat certifikát certifikační autority serveru (plus certifikáty pro jednotlivé uživatele, pokud se používá protokol EAP-TLS) a poté ručně nakonfigurovat nastavení zabezpečení bezdrátového připojení a ověřování 802.1X. Počáteční nastavení a řešení problémů s konfigurací klientů by měl nejlépe provést IT nebo technický personál, případně použít nástroj pro nasazení.

Pokud je použit server se systémem Windows, je možné distribuovat certifikát(y) a konfigurovat nastavení vzdáleně a centrálně pomocí zásad skupiny, alespoň pro počítače se systémem Windows, které jsou připojeny k doméně.

Pro sítě bez domény můžete zvážit použití bezplatného nástroje SU1X 802.1X nebo komerčních možností: XpressConnect a Quick1X. Tyto typy nástrojů umožňují zadat nebo zachytit nastavení zabezpečení a ověřování a vygenerovat klientský instalační program. Koncoví uživatelé (nebo i pracovníci IT) pak mohou tento program spustit a automatizovat tak konfiguraci svého počítače. Mohou také pomoci distribuovat certifikát certifikační autority serveru RADIUS (a případně i certifikáty koncových uživatelů, pokud se používá protokol EAP-TLS). Některé z nich mohou také provádět další kontroly a změny nastavení bezdrátového připojení, které usnadní nasazení, například odebrání profilů pro existující SSID a nastavení priorit profilů.

Pochopení celkových kroků

Pro lepší pochopení procesu nastavení protokolů WPA/WPA2-Enterprise a 802.1X, uvádíme základní celkové kroky:

  1. Vyberte, nainstalujte a nakonfigurujte server RADIUS nebo použijte hostovanou službu.
  2. Vytvořte certifikační autoritu (CA), abyste mohli vystavit a nainstalovat digitální certifikát na server RADIUS, což lze provést v rámci instalace a konfigurace serveru RADIUS. Případně můžete zakoupit digitální certifikát od veřejné certifikační autority, například GoDaddy nebo Verisign, abyste nemuseli instalovat certifikát serveru na všechny klienty. Pokud používáte protokol EAP-TLS, vytvořte také digitální certifikáty pro každého koncového uživatele.
  3. Na serveru naplňte databázi klientů RADIUS adresou IP a sdíleným tajemstvím pro každý přístupový bod.
  4. Na serveru naplňte uživatelská data uživatelskými jmény a hesly pro každého koncového uživatele.
  5. Na každém přístupovém bodě nakonfigurujte zabezpečení pro WPA/WPA2-Enterprise a zadejte IP adresu serveru RADIUS a sdílené tajemství, které jste vytvořili pro daný přístupový bod.
  6. Na každém počítači a zařízení Wi-Fi nakonfigurujte zabezpečení pro WPA/WPA2-Enterprise a nastavte nastavení ověřování 802.1X.

Shrnutí

Probrali jsme hlavní problémy, které by měly mít malé podniky při nastavování zabezpečení podnikové Wi-Fi. Nyní byste měli mít základní přehled o výhodách, možnostech serveru a zjednodušení konfigurace klienta. Měli byste také mít dobrou představu o tom, co všechno obnáší a kde byste měli začít.

Pokud jste zprovoznili základní ověřování, můžete experimentovat s funkcemi autorizace a účtování. Autorizační funkce obvykle zahrnují možnost omezit konkrétní uživatele na používání určitých počítačů a přístupových bodů a omezit dny a časy připojení. Účetnictví vám může pomoci vytvářet zprávy a protokoly o používání pro účely řešení problémů, auditu nebo fakturace.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *