Meny Stäng

Implementering av WPA2-säkerhet i småföretag

Introduktion

När du konfigurerar ett trådlöst nätverk hittar du två mycket olika lägen för WPA-säkerhet (Wi-Fi Protected Access), som gäller både WPA- och WPA2-versionerna.

Det enklaste att konfigurera är det personliga läget, som tekniskt kallas PSK-läget (Pre-Shared Key). Det kräver inget annat än den trådlösa routern eller åtkomstpunkterna (AP) och använder en enda lösenfras eller ett lösenord för alla användare/enheter.

Det andra läget är Enterprise-läget – som bör användas av företag och organisationer – och som också kallas RADIUS-, 802.1X-, 802.11i- eller EAP-läget. Det ger bättre säkerhet och nyckelhantering och har stöd för andra funktioner av företagstyp, t.ex. VLAN och NAP. Det kräver dock en extern autentiseringsserver, en så kallad RADIUS-server (Remote Authentication Dial In User Service) för att hantera 802.1X-autentisering av användare.

Här delar jag med mig av information och tips som hjälper dig att förstå, konfigurera och hantera Wi-Fi-företagssäkerhet i småföretag – även om du kör ett nätverk som inte är ett domännätverk utan en Windows Server.

Förstå fördelarna med företagsläge

Entreprenadläget gör det möjligt för användare att logga in på Wi-Fi-nätverket med användarnamn och lösenord och/eller ett digitalt certifikat. Båda typerna av autentiseringsuppgifter kan ändras eller återkallas när som helst på servern när en Wi-Fi-enhet förloras eller stjäls, eller när en anställd lämnar organisationen. När man använder det personliga läget måste lösenfrasen ändras manuellt på alla AP:er och Wi-Fi-enheter.

Då företagsläget ger varje användare en dynamisk och unik krypteringsnyckel, förhindrar det också snokande från användare till användare i det trådlösa nätverket. När man använder det personliga läget kan framgångsrikt anslutna användare se varandras trafik – eventuellt lösenord, e-post och andra känsliga data.

Den dynamiska nyckeln bidrar också till den totala styrkan i WPA- (TKIP) och WPA2-krypteringen (AES). Det personliga läget är mer känsligt för brute-force-ordboksattacker som kan avslöja krypteringsnyckeln för hackare. Därför är det mycket viktigt att skapa långa och komplexa lösenfraser när det personliga läget används.

Konsultera alla serveralternativ

Om det lilla företaget har en Windows Server kan du använda funktionen Internet Authenticate Service (IAS) eller Network Policy Server (NPS) för den RADIUS-server som krävs. För hjälp kan du se en tidigare artikelserie av Brien Posey eller mig själv.

Det finns flera andra alternativ, bra för dem som saknar ett domännätverk:

  • Köp och använd AP:s som har en inbyggd RADIUS-server. Exempel är HP ProCurve 530 och ZyXEL NWA-3500 eller NWA3166, och kostar runt 150 dollar och uppåt. Om det är en enkel trådlös installation kan du kanske komma undan med att köpa bara en och använda billigare AP:er för mer täckning.
  • Skapa en egen router/gateway med inbyggd RADIUS-server, t.ex. med RouterOS eller Zeroshell. Detta består vanligtvis av att installera programvaran på en server. För mindre och mindre viktiga nätverk kan du till och med damma av och återanvända en gammal dator för uppgiften.
  • Använd en värdtjänst, t.ex. AuthenticateMyWiFi, för att spara den tid, de pengar och den expertis som krävs för att sätta upp en egen server. Den ger också hjälp med klientkonfiguration och gör det lättare att distribuera företagssäkerheten på flera platser.
  • Använd en gratisserver, t.ex. TekRADIUS en gratis GUI-baserad Windows-applikation.
  • Använd en server med fri och öppen källkod, t.ex. FreeRADIUS, som använder klartextfiler för konfiguration och kommandoraden för administration. Främst för Linux/Unix-maskiner men kan även köras på Windows.
  • Köp och använd RADIUS-serverprogramvara, t.ex. Elektron (750 dollar) för Windows eller Mac OS X och ClearBox (599 dollar) för Windows.

Lättare klientkonfiguration

Företagsläget kräver förutom att köra en RADIUS-server även en mer komplicerad klientkonfiguration på slutanvändarnas datorer och Wi-Fi-enheter. I det personliga läget behöver man bara ange en lösenfras när man blir tillfrågad, och detta kan vanligtvis göras av slutanvändarna. Men för Enterprise-läget måste du förmodligen installera serverns certifikat från certifikatutfärdaren (CA) på klienterna (plus certifikat per användare om du använder EAP-TLS) och sedan manuellt konfigurera inställningarna för trådlös säkerhet och 802.1X-autentisering. Det är bäst att IT- eller teknikpersonalen initialt konfigurerar och felsöker klientkonfigurationen, eller använder ett verktyg för distribution för att hjälpa till.

Om en Windows Server används kan du kanske distribuera certifikatet/certifikaten och konfigurera inställningarna på distans och centralt med hjälp av Grupprincip, åtminstone för de Windows-maskiner som är anslutna till domänen.

För nätverk som inte är domäner kan du överväga att använda det kostnadsfria verktyget SU1X 802.1X eller kommersiella alternativ: XpressConnect och Quick1X. Med dessa typer av verktyg kan du ange eller registrera säkerhets- och autentiseringsinställningarna och generera ett installationsprogram för klienten. Slutanvändare (eller till och med IT-personal) kan sedan köra programmet och automatisera konfigurationen av deras dator. De kan också hjälpa till att distribuera RADIUS-serverns CA-certifikat (och eventuellt slutanvändarcertifikat om EAP-TLS används). Vissa kan också utföra andra kontroller och ändringar av trådlösa inställningar för att underlätta distributionen, t.ex. ta bort profiler för befintliga SSID:er och ställa in profilprioriteringar.

Förstå de övergripande stegen

För att hjälpa dig att bättre förstå processen för att konfigurera WPA/WPA2-Enterprise och 802.1X, är här de grundläggande övergripande stegen:

  1. Välj, installera och konfigurera en RADIUS-server, eller använd en värdtjänst.
  2. Skapa en certifikatutfärdare (CA), så att du kan utfärda och installera ett digitalt certifikat på RADIUS-servern, vilket kan göras som en del av installationen och konfigurationen av RADIUS-servern. Alternativt kan du köpa ett digitalt certifikat från en offentlig certifikatutfärdare, till exempel GoDaddy eller Verisign, så att du inte behöver installera servercertifikatet på alla klienter. Om du använder EAP-TLS skapar du också digitala certifikat för varje slutanvändare.
  3. På servern fyller du RADIUS-klientdatabasen med IP-adressen och den delade hemligheten för varje AP.
  4. På servern fyller du användardata med användarnamn och lösenord för varje slutanvändare.
  5. På varje AP konfigurerar du säkerheten för WPA/WPA2-Enterprise och anger RADIUS-serverns IP-adress och den delade hemlighet som du skapade för just den AP:n.
  6. På varje Wi-Fi-dator och -enhet konfigurerar du säkerheten för WPA/WPA2-Enterprise och ställer in autentiseringsinställningarna för 802.1X.

Sammanfattning

Vi har diskuterat de huvudsakliga bekymren som små företag bör ha när de konfigurerar Wi-Fi-företagssäkerhet. Nu bör du ha en grundläggande förståelse för fördelarna, serveralternativ och förenklad klientkonfiguration. Du bör också ha en god uppfattning om vad som krävs och var du bör börja.

När du har fått igång grundläggande autentisering kan du experimentera med auktoriserings- och redovisningsfunktionalitet. Auktoriseringsfunktioner inkluderar vanligtvis att du kan begränsa specifika användare till att använda vissa datorer och AP:er och begränsa anslutningsdagar och -tider. Redovisning kan hjälpa dig att ta fram rapporter och loggar om användningen för felsökning, revision eller fakturering.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *