Menu Sluiten

WPA2-Enterprise Wi-Fi beveiliging in kleine bedrijven

Inleiding

Bij het opzetten van een draadloos netwerk, vindt u twee zeer verschillende modi van Wi-Fi Protected Access (WPA) beveiliging, die van toepassing zijn op zowel de WPA als de WPA2 versies.

De eenvoudigste om in te stellen is de Persoonlijke modus, technisch gezien de Pre-Shared Key (PSK) modus genoemd. Er is niets anders nodig dan de draadloze router of toegangspunten (AP’s) en er wordt gebruik gemaakt van een enkele passphrase of wachtwoord voor alle gebruikers/apparaten.

De andere is de Enterprise-modus – die moet worden gebruikt door bedrijven en organisaties – en is ook bekend als de RADIUS, 802.1X, 802.11i, of EAP-modus. Deze modus biedt betere beveiliging en sleutelbeheer, en ondersteunt andere ondernemingsfunctionaliteit, zoals VLAN’s en NAP. Het vereist echter een externe authenticatie server, genaamd een Remote Authentication Dial In User Service (RADIUS) server om de 802.1X authenticatie van gebruikers af te handelen.

Hier deel ik informatie en tips om u te helpen bij het begrijpen, opzetten en beheren van enterprise Wi-Fi beveiliging in kleine bedrijven, zelfs als u een non-domain netwerk zonder Windows Server heeft.

Begrijp de voordelen van de ondernemingsmodus

De ondernemingsmodus stelt gebruikers in staat om in te loggen op het Wi-Fi netwerk met een gebruikersnaam en wachtwoord en/of een digitaal certificaat. Beide credential-types kunnen op elk moment worden gewijzigd of ingetrokken op de server wanneer een Wi-Fi apparaat verloren of gestolen is, of een medewerker de organisatie verlaat. Wanneer de Persoonlijke modus wordt gebruikt, moet de wachtwoordzin handmatig worden gewijzigd op alle AP’s en Wi-Fi apparaten.

Omdat de Bedrijfsmodus elke gebruiker een dynamische en unieke encryptiesleutel geeft, voorkomt het ook gebruiker-tot-gebruiker ‘snooping’ op het draadloze netwerk. Wanneer de Persoonlijke modus wordt gebruikt, kunnen gebruikers die succesvol zijn verbonden, elkaars verkeer zien – mogelijk wachtwoorden, e-mails en andere gevoelige gegevens.

De dynamische sleuteloverdracht helpt ook de algehele sterkte van de WPA (TKIP) en WPA2 (AES) encryptie. De Persoonlijke modus is gevoeliger voor brute-force woordenboekaanvallen die de coderingssleutel kunnen onthullen aan hackers. Daarom is het erg belangrijk om lange en complexe wachtzinnen te maken als de Persoonlijke modus wordt gebruikt.

Overweeg alle Server Opties

Als het kleine bedrijf een Windows Server heeft, kunt u de Internet Authenticate Service (IAS) of Network Policy Server (NPS) functie gebruiken voor de benodigde RADIUS server. Voor hulp kunt u een eerdere serie artikelen van Brien Posey of mijzelf raadplegen.

Er zijn diverse andere opties, zeer geschikt voor degenen die niet beschikken over een domeinnetwerk:

  • Koop en gebruik AP’s die een ingebouwde RADIUS server hebben. Voorbeelden zijn de HP ProCurve 530 en ZyXEL NWA-3500 of NWA3166, en kosten rond de $150 en meer. Als het een eenvoudige draadloze installatie is, kunt u er misschien mee wegkomen om er slechts één te kopen en goedkopere AP’s te gebruiken voor meer dekking.
  • Maak uw eigen router/gateway met een ingebouwde RADIUS server, zoals met RouterOS of Zeroshell. Dit bestaat meestal uit het installeren van de software op een server. Voor kleinere en minder cruciale netwerken kunt u zelfs een oude PC afstoffen en opnieuw gebruiken.
  • Gebruik een hosted service, zoals AuthenticateMyWiFi, om de tijd, het geld en de expertise te besparen die nodig zijn voor het opzetten van een eigen server. Deze dienst biedt ook hulp bij de clientconfiguratie en maakt het eenvoudiger om de bedrijfsbeveiliging op meerdere locaties in te zetten.
  • Gebruik een freeware server, zoals TekRADIUS een gratis GUI-gebaseerde Windows-toepassing.
  • Gebruik een gratis en open source server, zoals FreeRADIUS, die gebruikmaakt van platte-tekstbestanden voor de configuratie en een commandoregel voor het beheer. Voornamelijk voor Linux/Unix machines, maar kan ook op Windows draaien.
  • Koop en gebruik RADIUS server software, zoals Elektron ($750) voor Windows of Mac OS X en ClearBox ($599) voor Windows.

Eenvoudige Client Configuratie

Naast het draaien van een RADIUS server, vereist de Enterprise modus ook een complexere client configuratie op de computers en Wi-Fi apparaten van de eindgebruikers. De Personal mode vereist alleen het invoeren van een wachtwoordzin wanneer daarom wordt gevraagd, en kan meestal worden gedaan door de eindgebruikers. Maar voor de Enterprise-modus moet u waarschijnlijk het certificaat van de certificeringsinstantie (CA) van de server op de clients installeren (plus certificaten per gebruiker als u EAP-TLS gebruikt) en vervolgens de instellingen voor draadloze beveiliging en 802.1X-verificatie handmatig configureren. Het is het beste als de IT-afdeling of het technisch personeel de eerste configuratie uitvoert en problemen oplost, of een implementatieprogramma gebruikt om te helpen.

Als een Windows Server wordt gebruikt, is het mogelijk om het certificaat of de certificaten te distribueren en de instellingen op afstand en centraal te configureren met behulp van Groepsbeleid, tenminste voor de Windows machines die zijn aangesloten op het domein.

Voor netwerken die geen deel uitmaken van het domein, kunt u het gratis SU1X 802.1X hulpprogramma gebruiken of commerciële opties: XpressConnect en Quick1X. Met dit soort hulpprogramma’s kunt u de beveiligings- en verificatie-instellingen opgeven of vastleggen en een client-setupprogramma genereren. Eindgebruikers (of zelfs IT-personeel) kunnen het programma vervolgens uitvoeren, waardoor de configuratie van hun computer wordt geautomatiseerd. Ze kunnen ook helpen bij het verspreiden van het CA-certificaat van de RADIUS-server (en eventueel eindgebruikerscertificaten als EAP-TLS wordt gebruikt). Sommigen kunnen ook andere controles uitvoeren en draadloze instellingen wijzigen om te helpen bij de implementatie, zoals het verwijderen van profielen voor bestaande SSID’s en het instellen van profielprioriteiten.

Begrijp de algemene stappen

Om u te helpen het proces van het opzetten van WPA/WPA2-Enterprise en 802.1X, zijn hier de algemene stappen:

  1. Kies, installeer en configureer een RADIUS server, of gebruik een gehoste dienst.
  2. Maak een Certificaat Autoriteit (CA) aan, zodat u een digitaal certificaat kunt uitgeven en installeren op de RADIUS server, wat kan worden gedaan als onderdeel van de installatie en configuratie van de RADIUS server. U kunt ook een digitaal certificaat kopen van een openbare CA, zoals GoDaddy of Verisign, zodat u het servercertificaat niet op alle clients hoeft te installeren. Als u EAP-TLS gebruikt, moet u ook digitale certificaten maken voor iedere eindgebruiker.
  3. Op de server vult u de RADIUS client database met het IP adres en de gedeelde geheimen voor ieder AP.
  4. Op de server vult u de gebruikersgegevens met de gebruikersnamen en wachtwoorden voor iedere eindgebruiker.
  5. Op elk AP, configureer de beveiliging voor WPA/WPA2-Enterprise en voer het RADIUS server IP adres in en het gedeelde geheim dat u heeft gemaakt voor dat specifieke AP.
  6. Op elke Wi-Fi computer en apparaat, configureer de beveiliging voor WPA/WPA2-Enterprise en stel de 802.1X authenticatie instellingen in.

Samenvatting

We hebben de belangrijkste zorgen besproken die kleine bedrijven moeten hebben bij het opzetten van Wi-Fi beveiliging voor bedrijven. Nu zou u een basisinzicht moeten hebben in de voordelen, serveropties, en het vereenvoudigen van de clientconfiguratie. U zou ook een goed idee moeten hebben van wat er allemaal bij komt kijken en waar u moet beginnen.

Als u eenmaal de basis authenticatie op orde heeft, kunt u experimenteren met autorisatie en accounting functionaliteit. Autorisatie-functies omvatten meestal het beperken van het gebruik van bepaalde computers en AP’s door specifieke gebruikers, en het beperken van het aantal dagen en tijden waarop verbindingen tot stand kunnen worden gebracht. Boekhouding kan u helpen rapporten en logs over het gebruik te produceren voor probleemoplossing, controle of facturering.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *