Menu Chiudi

Implementare la sicurezza Wi-Fi WPA2-Enterprise nelle piccole imprese

Introduzione

Quando si imposta una rete wireless, si trovano due modalità molto diverse di sicurezza Wi-Fi Protected Access (WPA), che si applicano a entrambe le versioni WPA e WPA2.

La più semplice da impostare è la modalità Personal, tecnicamente chiamata modalità Pre-Shared Key (PSK). Non richiede nulla oltre al router wireless o ai punti di accesso (AP) e usa una singola passphrase o password per tutti gli utenti/dispositivi.

L’altra è la modalità Enterprise – che dovrebbe essere usata da aziende e organizzazioni ed è anche conosciuta come modalità RADIUS, 802.1X, 802.11i, o EAP. Fornisce una migliore sicurezza e gestione delle chiavi, e supporta altre funzionalità di tipo aziendale, come VLAN e NAP. Tuttavia, richiede un server di autenticazione esterno, chiamato server RADIUS (Remote Authentication Dial In User Service) per gestire l’autenticazione 802.1X degli utenti.

Qui condividerò informazioni e suggerimenti per aiutarvi a capire, impostare e gestire la sicurezza Wi-Fi aziendale nelle piccole imprese, anche se si esegue una rete non di dominio senza un server Windows.

Capire i vantaggi della modalità Enterprise

La modalità Enterprise permette agli utenti di accedere alla rete Wi-Fi con un nome utente e una password e/o un certificato digitale. Entrambi i tipi di credenziali possono essere cambiati o revocati in qualsiasi momento sul server quando un dispositivo Wi-Fi viene perso o rubato, o un dipendente lascia l’organizzazione. Quando si usa la modalità Personal, la passphrase dovrebbe essere cambiata manualmente su tutti gli AP e i dispositivi Wi-Fi.

Siccome la modalità Enterprise fornisce a ogni utente una chiave di crittografia dinamica e unica, impedisce anche lo snooping da utente a utente sulla rete wireless. Quando si usa la modalità Personal, gli utenti connessi con successo possono vedere il traffico dell’altro – possibilmente password, email e altri dati sensibili.

La chiave dinamica aiuta anche la forza complessiva della crittografia WPA (TKIP) e WPA2 (AES). La modalità Personal è più suscettibile agli attacchi brute-force dictionary che possono rivelare la chiave di crittografia agli hacker. Questo è il motivo per cui è molto importante creare passphrase lunghe e complesse quando si usa la modalità Personal.

Considera tutte le opzioni del server

Se la piccola impresa ha un server Windows, si potrebbe usare la funzione Internet Authenticate Service (IAS) o Network Policy Server (NPS) per il server RADIUS richiesto. Per un aiuto potete fare riferimento a una precedente serie di articoli di Brien Posey o di me.

Ci sono diverse altre opzioni, ottime per chi non ha una rete di dominio:

  • Acquistare e usare AP che hanno un server RADIUS integrato. Alcuni esempi sono HP ProCurve 530 e ZyXEL NWA-3500 o NWA3166, e vanno dai 150 dollari in su. Se si tratta di una semplice configurazione wireless, si può essere in grado di cavarsela comprandone solo uno e usando AP più economici per una maggiore copertura.
  • Creare il proprio router/gateway con un server RADIUS integrato, come con RouterOS o Zeroshell. Questo di solito consiste nell’installare il software su un server. Per le reti più piccole e meno cruciali, si potrebbe anche rispolverare e riutilizzare un vecchio PC per il lavoro.
  • Utilizzare un servizio in hosting, come AuthenticateMyWiFi, per risparmiare il tempo, il denaro e le competenze necessarie per impostare il proprio server. Fornisce anche un aiuto per la configurazione del client e rende più facile l’implementazione della sicurezza aziendale in più sedi.
  • Utilizzare un server freeware, come TekRADIUS un’applicazione gratuita basata su GUI per Windows.
  • Utilizzare un server gratuito e open source, come FreeRADIUS, che utilizza file di testo semplice per la configurazione e la riga di comando per l’amministrazione. Principalmente per macchine Linux/Unix, ma può funzionare anche su Windows.
  • Acquistare e usare un software server RADIUS, come Elektron ($750) per Windows o Mac OS X e ClearBox ($599) per Windows.

Configurazione client semplificata

Oltre a eseguire un server RADIUS, la modalità Enterprise richiede anche una configurazione client più complessa sui computer e dispositivi Wi-Fi degli utenti finali. La modalità Personal richiede solo l’inserimento di una passphrase quando richiesto, e di solito può essere fatto dagli utenti finali. Ma per la modalità Enterprise avrete probabilmente bisogno di installare il certificato dell’autorità di certificazione (CA) del server sui client (più i certificati per utente se si usa EAP-TLS) e poi configurare manualmente la sicurezza wireless e le impostazioni di autenticazione 802.1X. È meglio per il personale IT o tecnico impostare inizialmente e risolvere i problemi di configurazione del client, o usare un’utilità di distribuzione per aiutare.

Se viene usato un server Windows, potreste essere in grado di distribuire i certificati e configurare le impostazioni in remoto e centralmente usando Criteri di gruppo, almeno per le macchine Windows che sono unite al dominio.

Per reti senza dominio, potreste considerare di usare l’utilità gratuita SU1X 802.1X o opzioni commerciali: XpressConnect e Quick1X. Questi tipi di utility vi permettono di specificare o catturare le impostazioni di sicurezza e autenticazione e di generare un programma di configurazione del client. Gli utenti finali (o anche il personale IT) possono poi eseguire il programma, automatizzando la configurazione del loro computer. Possono anche aiutare a distribuire il certificato CA del server RADIUS (ed eventualmente i certificati degli utenti finali se si usa EAP-TLS). Alcuni possono anche eseguire altri controlli e modifiche alle impostazioni wireless per aiutare l’implementazione, come la rimozione dei profili per gli SSID esistenti e l’impostazione delle priorità dei profili.

Capire i passi complessivi

Per aiutarvi a capire meglio il processo di impostazione di WPA/WPA2-Enterprise e 802. 1X, ecco la procedura di base per la configurazione di WPA/WPA2-Enterprise.1X, ecco i passi generali di base:

  1. Scegliere, installare e configurare un server RADIUS, o usare un servizio ospitato.
  2. Creare un’autorità di certificazione (CA), in modo da poter emettere e installare un certificato digitale sul server RADIUS, che può essere fatto come parte dell’installazione e configurazione del server RADIUS. In alternativa, è possibile acquistare un certificato digitale da una CA pubblica, come GoDaddy o Verisign, in modo da non dover installare il certificato del server su tutti i client. Se usate EAP-TLS, dovreste anche creare certificati digitali per ogni utente finale.
  3. Sul server, popolate il database client RADIUS con l’indirizzo IP e il segreto condiviso per ogni AP.
  4. Sul server, popolate i dati utente con nomi utente e password per ogni utente finale.
  5. Su ogni AP, configura la sicurezza per WPA/WPA2-Enterprise e inserisci l’indirizzo IP del server RADIUS e il segreto condiviso che hai creato per quel particolare AP.
  6. Su ogni computer e dispositivo Wi-Fi, configura la sicurezza per WPA/WPA2-Enterprise e imposta le impostazioni di autenticazione 802.1X.

Sommario

Abbiamo parlato delle principali preoccupazioni che le piccole imprese dovrebbero avere quando impostano la sicurezza Wi-Fi aziendale. Ora dovreste avere una comprensione di base dei vantaggi, delle opzioni del server e della semplificazione della configurazione del client. Dovreste anche avere una buona idea di ciò che è coinvolto e da dove dovreste iniziare.

Una volta che avete ottenuto l’autenticazione di base, potete sperimentare le funzionalità di autorizzazione e accounting. Le funzionalità di autorizzazione tipicamente includono la possibilità di limitare utenti specifici all’uso di determinati computer e AP e di limitare i giorni e gli orari di connessione. La contabilità può aiutarvi a produrre rapporti e registri sull’uso per la risoluzione dei problemi, la verifica o la fatturazione.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *