Menu Fechar

Implementando a Segurança Wi-Fi WPA2-Enterprise em Pequenas Empresas

Introduction

p> Ao configurar uma rede sem fio, você encontrará dois modos muito diferentes de segurança de Acesso Protegido Wi-Fi (WPA), que se aplicam tanto à versão WPA quanto à WPA2.
p> O modo mais fácil de configurar é o modo Pessoal, tecnicamente chamado de modo Chave Pré-partilhada (PSK). Ele não requer nada além do roteador wireless ou pontos de acesso (APs) e usa uma única frase ou senha para todos os usuários/dispositivos.

O outro é o modo Empresarial – que deve ser usado por empresas e organizações – e também é conhecido como modo RADIUS, 802.1X, 802.11i, ou EAP. Ele fornece melhor segurança e gerenciamento de chaves, e suporta outras funcionalidades do tipo empresarial, tais como VLANs e NAP. Entretanto, ele requer um servidor de autenticação externo, chamado servidor Remote Authentication Dial In User Service (RADIUS) para lidar com a autenticação 802.1X de usuários.

p>Aqui vou compartilhar informações e dicas para ajudá-lo a entender, configurar e gerenciar a segurança Wi-Fi corporativa em pequenas empresas – mesmo que rodando uma rede não-domínio sem um servidor Windows.

Entenda os benefícios do modo empresarial

O modo empresarial permite que os usuários façam login na rede Wi-Fi com um nome de usuário e senha e/ou um certificado digital. Ambos os tipos de credenciais podem ser alterados ou revogados a qualquer momento no servidor quando um dispositivo Wi-Fi se perde ou é roubado, ou quando um funcionário deixa a organização. Ao usar o modo Pessoal, a frase-chave teria de ser alterada manualmente em todos os APs e dispositivos Wi-Fi.

p>p>Desde que o modo Empresarial fornece a cada utilizador uma chave de encriptação dinâmica e única, também previne a bisbilhotice de utilizador para utilizador na rede sem fios. Ao usar o modo Pessoal, os usuários conectados com sucesso podem ver as senhas de tráfego, e-mails e outros dados sensíveis uns dos outros.

A chave dinâmica também ajuda na força geral da criptografia WPA (TKIP) e WPA2 (AES). O modo Pessoal é mais susceptível a ataques de dicionário de força bruta que podem revelar a chave de encriptação aos hackers. É por isso que é muito importante criar frases-passe longas e complexas quando o modo Pessoal é usado.

h2>Consider All Server Options
p>Se a pequena empresa tiver um Windows Server, você poderia usar o serviço de autenticação da Internet (IAS) ou o recurso Network Policy Server (NPS) para o servidor RADIUS necessário. Para ajuda você pode consultar uma série de artigos anteriores por Brien Posey ou por mim.

Existem várias outras opções, ótimas para quem não tem um domínio de rede:

ul>

  • Comprar e usar APs que tenham um servidor RADIUS incorporado. Exemplos incluem o HP ProCurve 530 e ZyXEL NWA-3500 ou NWA3166, e rodam por volta de $150 ou mais. Se for uma simples configuração wireless, você pode se safar com a compra de apenas um e usar APs mais baratos para mais cobertura.
    /li>
  • Create your own router/gateway with a built-in RADIUS server, such as with RouterOS or Zeroshell. Isto normalmente consiste em instalar o software em um servidor. Para redes menores e menos cruciais, você poderia até mesmo remover o pó e redirecionar um PC antigo para o trabalho.
  • Utilizar um serviço hospedado, como o AuthenticateMyWiFi, para economizar tempo, dinheiro e experiência necessários na configuração do seu próprio servidor. Ele também fornece ajuda na configuração do cliente e facilita a implantação da segurança corporativa em vários locais.
    /li>
  • Utilizar um servidor freeware, como o TekRADIUS um aplicativo gratuito baseado em GUI.
  • Utilizar um servidor gratuito e de código aberto, como o FreeRADIUS, que usa arquivos de texto simples para configuração e linha de comando para administração. Principalmente para máquinas Linux/Unix mas também pode ser executado em Windows.
  • Comprar e usar software de servidor RADIUS, como Elektron ($750) para Windows ou Mac OS X e ClearBox ($599) para Windows.
  • Easing Client Configuration

    Além de executar um servidor RADIUS, o modo Enterprise também requer uma configuração cliente mais complexa nos computadores e dispositivos Wi-Fi dos usuários finais. O modo Pessoal requer apenas a introdução de uma frase-chave quando solicitado, e pode ser feito normalmente pelos utilizadores finais. Mas para o modo Enterprise, é provável que você precise instalar o certificado de autoridade de certificado (CA) do servidor nos clientes (mais certificados por usuário se estiver usando EAP-TLS) e depois configurar manualmente as configurações de segurança sem fio e autenticação 802.1X. É melhor para o pessoal de TI ou técnico configurar e solucionar problemas inicialmente na configuração do cliente, ou usar um utilitário de implantação para ajudar.

    Se um Servidor Windows for usado, você pode ser capaz de distribuir o(s) certificado(s) e configurar as configurações remota e centralmente usando a Política de Grupo, pelo menos para as máquinas Windows que são unidas ao domínio.

    Para redes sem domínio, você pode considerar o uso do utilitário gratuito SU1X 802.1X ou opções comerciais: XpressConnect e Quick1X. Estes tipos de utilitários permitem especificar ou capturar as configurações de segurança e autenticação e gerar um programa de configuração do cliente. Os utilizadores finais (ou mesmo o pessoal de TI) podem então executar o programa, automatizando a configuração do seu computador. Eles também podem ajudar a distribuir o certificado CA do servidor RADIUS (e possivelmente certificados de usuário final, se estiver usando EAP-TLS). Alguns também podem realizar outras verificações e mudanças de configuração sem fio para ajudar na implantação, tais como remover perfis para SSIDs existentes e definir prioridades de perfil.

    br>>h2>Understand the Overall Steps
    p>Para ajudá-lo a entender melhor o processo de configuração de WPA/WPA2-Enterprise e 802.1X, aqui estão os passos gerais básicos:

    1. Selecionar, instalar e configurar um servidor RADIUS, ou usar um serviço hospedado.
    2. Criar uma autoridade certificadora (CA), para que você possa emitir e instalar um certificado digital no servidor RADIUS, o que pode ser feito como parte da instalação e configuração do servidor RADIUS. Alternativamente, você pode comprar um certificado digital de uma CA pública, como GoDaddy ou Verisign, para não ter que instalar o certificado do servidor em todos os clientes. Se usar EAP-TLS, você também criaria certificados digitais para cada usuário final.
    3. No servidor, preencha a base de dados do cliente RADIUS com o endereço IP e o segredo compartilhado para cada AP.
    4. No servidor, preencha os dados do usuário com nomes de usuário e senhas para cada usuário final.m cada AP, configure a segurança para WPA/WPA2-Enterprise e insira o endereço IP do servidor RADIUS e o segredo compartilhado que você criou para aquele AP.
      >/li>>li> Em cada computador e dispositivo Wi-Fi, configure a segurança para WPA/WPA2-Enterprise e defina as configurações de autenticação 802.1X.
    5. /ol>>>br>>>h2>Sumário>br>>p> Discutimos as principais preocupações que as pequenas empresas devem ter ao configurar a segurança Wi-Fi empresarial. Agora você deve ter um entendimento básico dos benefícios, das opções do servidor e da simplificação da configuração do cliente. Você também deve ter uma boa idéia do que está envolvido e por onde você deve começar.

      Após você ter a autenticação básica funcionando, você pode experimentar com a funcionalidade de autorização e contabilidade. Os recursos de autorização normalmente incluem permitir que você limite usuários específicos a usar certos computadores e APs e limitar dias e horários de conexão. A contabilidade pode ajudá-lo a produzir relatórios e registros de uso para fins de solução de problemas, auditoria ou faturamento.

    Deixe uma resposta

    O seu endereço de email não será publicado. Campos obrigatórios marcados com *