Jebkura interneta iestatīšanas vissvarīgākais aspekts 2019. gadā ir jūsu bezvadu tīkls. Kamēr vadu savienojumi ir ātrāki un bieži vien drošāki, ap jūsu māju esošo ierīču litanijai ir nepieciešams bezvadu signāls. Sākot ar viedajiem televizoriem un skaļruņiem līdz viedtālrunim un planšetdatoram, bezvadu savienojums ir vienkārši nepieciešams 2019. gadā.
Protams, runājot par bezvadu internetu, jums nāksies saskarties ar daudziem dažādiem drošības noteikumiem, kurus jūs, iespējams, nepārzināt, radot daudz neskaidrību par bezvadu tīkla telpu. Visur ir akronīmi un daudz iespēju, vairums no tām tieši attiecas uz drošības protokoliem. Tas viss nozīmē, ka jūsu tīkla drošība ir tieši apdraudēta, ja vien precīzi nezināt, ko darāt.
Tāpēc šajā rakstā mēs apskatīsim WPA2 Enterprise drošību, kā tā darbojas un vai jums tas ir nepieciešams. Sākot ar WPA kā drošības protokola vēsturi un beidzot ar to, kā WPA2 Enterprise var patiesi uzlabot mājas drošību, šis ir jūsu ceļvedis WPA2 Enterprise iestatīšanai jūsu tīklā.
Kas ir WPA2?
Reaģējot uz drošības katastrofu, kas bija WEP, WiFi alianse izstrādāja WPA (WiFi Protected Access.) Tā kā WPA bija tieša reakcija uz WEP, tā atrisināja daudzas no WEP daudzajām problēmām. WPA ieviesa TKIP (Temporal Key Integrity Protocol), kas ievērojami uzlaboja bezvadu šifrēšanu, dinamiski ģenerējot atslēgas katrai nosūtītajai paketei. WPA ietver arī pārbaudes, lai pārliecinātos, ka pārsūtītie dati nav tikuši sagrozīti.
Lai gan WPA bija labs, tajā ir arī trūkumi. Lielākā daļa no tām radās, izmantojot TKIP. TKIP bija uzlabojums salīdzinājumā ar WEP šifrēšanu, taču tas joprojām ir izmantojams. Tātad, Wi-Fi alianse ieviesa WPA2 ar obligātu AES (Advanced Encryption Standard) šifrēšanu. AES ir spēcīgāks šifrēšanas standarts ar atbalstu 256 bitu šifrēšanai. No šī brīža visdrošākā ir WPA2 ar AES.
Kāda ir atšķirība starp uzņēmumu un personīgo?
Tagad joprojām pastāv šis WPA2 Enterprise jautājums. Galu galā, iespējams, tieši tāpēc jūs noklikšķinājāt uz šo rakstu. Ja esat apskatījis bezvadu maršrutētāja konfigurācijas iestatījumus, kas veikti pēc 2006. gada, iespējams, pamanījāt, ka WPA2 ir divas iespējas. Vairumā maršrutētāju jūs varat atrast vienu ar apzīmējumu “Enterprise”, bet otru apzīmēt ar “Personal”. Abas opcijas ir WPA2 un izmanto to pašu AES šifrēšanu. Atšķirība starp tām rodas no tā, kā viņi apstrādā lietotāju pieslēgšanu tīklam.
WPA2 Personal izmanto arī WPA2-PSK vai WPA2 iepriekš koplietotu atslēgu, jo tā pārvalda savienojumus ar tīklu ar paroli, kas jau ir koplietota personai, kas izveido savienojumu. Tas labi darbojas mazos mājas tīklos, jo parasti var uzticēties visiem tīkla lietotājiem, un tie nav potenciālo iebrucēju mērķis. Iespējams, ja esat izveidojis savienojumu ar bezvadu internetu pie drauga mājas vai iestatījis pats savu bezvadu tīklu, tas tika konfigurēts ar WPA2-PSK.
WPA2 Enterprise acīmredzami ir vairāk vērsts uz biznesa lietotājiem. Tā vietā, lai piekļuves autentificēšanai izmantotu tikai vienu paroli, WPA2 Enterprise paļaujas uz RADIUS serveri un atsevišķu klienta akreditācijas datu bāzi. Tas ir lieliski piemērots uzņēmumiem, jo tiem ir resursi, lai iestatītu serveri autentifikācijai. Uzņēmumiem ir arī lielākas drošības vajadzības. Uzņēmums var arī ātri atgūties, ja ierīce tiek pazaudēta vai nozagta, katram lietotājam piešķirot savu pieteikuminformāciju. Turklāt tas ļauj uzņēmumam pasargāt sevi no neapmierinātiem darbiniekiem, kuri varētu vēlēties kaitēt viņu tīklam.
Kādas ir WPA2 Enterprise priekšrocības?
WPA2 Enterprise priekšrocības nav tieši priekšrocības visiem. Ja jūs tikai vēlaties izveidot vienkāršu mājas tīklu ar nelielām grūtībām vai nepieciešamo uzturēšanu, WPA2 Enterprise jums nebūs labs risinājums. Tas ir gandrīz pilnīgi pretējs tam, ko vēlaties. Tomēr, ja jūs vadāt uzņēmējdarbību vai meklējat smalku drošību mājas tīklā, WPA2 Enterprise ir vairākas īpašības, kas padara to par lielisku kandidātu.
WPA2 Enterprise izmanto datu bāzi. Lai gan tas var nebūt liels darījums, kad jūs nodarbojaties tikai ar dažiem lietotājiem, datu bāzes jaudai un lietderībai var būt izšķiroša nozīme, strādājot ar lielu skaitu savienojumu. Tas ļauj tīkla administratoriem efektīvi izsekot, pārvaldīt un manipulēt ar datiem, izmantojot viņiem pazīstamus rīkus.
Datubāzes izmantošana palīdz uzlabot arī citu WPA2 uzņēmuma tīklu galveno īpašību - iespēju atspējot lietotāju akreditācijas datus. Tīkla administrators var viegli atspējot lietotāja kontu, ja ierīce tiek pazaudēta, nozagta vai lietotājs aiziet no uzņēmuma. Atsevišķi pieteikšanās akreditācijas dati arī palīdz ierobežot iespējamos draudus, padarot visu apdraudēto mašīnu no tīkla vienkāršu noņemšanu.
WPA2 Enterprise novērš nepieciešamību mainīt pieteikšanās informāciju, ja administrators noņem lietotāju no tīkla vai tiek apdraudēta viena mašīna. Lielas korporācijas IT nodaļai būtu milzīgas sāpes, ja katru reizi, kad kāds aiziet no uzņēmuma, katrai tīklā esošajai ierīcei vajadzētu būt atkārtoti savienotai ar jaunu pieteikuminformāciju. Tam vienkārši nav jēgas.
Atsevišķu lietotāju autentifikācijas atslēgu izmantošana arī nodalās tīklā, ierobežojot, kādiem tīkla datiem katram lietotājam ir piekļuve. WPA2-PSK tīklā katrs lietotājs var redzēt tīkla datus par visiem citiem lietotājiem. Tas iebrucējam vai potenciālajam uzbrucējam ir ļoti viegli piekļūt vairāk informācijas tīklā un radīt lielāku kaitējumu. Uzņēmējdarbības tīkliem tā nav problēma, pateicoties atsevišķām atslēgām.
Vēl viena lieliska WPA2 Enterprise īpašība ir spēja izmantot sertifikātus autentifikācijai. Paroles ir problemātiskas tik daudzu iemeslu dēļ, kas ne mazāk svarīgi ir to neaizsargātība pret vārdnīcu uzbrukumiem. Sliktākā situācijā ir gandrīz neiespējami paļauties uz saviem lietotājiem, lai izveidotu spēcīgas paroles. Gandrīz kā cilvēki instinktīvi katru reizi izvēlas atkritumus. Tas faktiski ir vislielākais WPA2-PSK tīklu risks. Sertifikāti ir gandrīz kā apdrošināšanas polise pret sliktām parolēm. Pat ja uzbrucējs var uzminēt lietotāja šausmīgo paroli, viņš joprojām nevarēs pieteikties bez šī lietotāja sertifikāta. Sertifikāti nodrošina vēl vienu aizsardzības līmeni uzņēmuma tīkliem.
Kā jūs ieviešat WPA2 uzņēmumu tīklu?
Ir absolūti neiespējami aptvert visas iespējamās konfigurācijas un apstākļu kombinācijas, kas var būt saistītas ar WPA2 Enterprise WiFi tīkla iestatīšanu. Nevienam nebūs tāda pati tīkla aparatūra un programmatūra, un nevienam nebūs to pašu klientu. Tomēr ir pamata darbības, kuras tīkla administratori var izmantot katrā tīkla iestatīšanā.
Pirms jūs iedziļināties pašā tīklā, izveidojiet savu lietotāju datu bāzi. Tas varētu šķist pārāk liels, taču labākais risinājums ir MySQL vai saderīgs klons, piemēram, MariaDB. Jūs varat iestatīt savu datu bāzi uz savas mašīnas, esoša datu bāzes servera vai tajā pašā mašīnā kā ar RADIUS serveri. Tas, kur izvēlaties, ir atkarīgs no tā, cik liela būs datu bāze un no kā jūs plānojat to pārvaldīt. MySQL ir pierādījusi sevi ātri un uzticami. Tas ir arī atvērtā koda un saderīgs ar jebkuru izvēlēto servera platformu.
RADIUS serveris ir WPA2 Enterprise sirds. Tas ir galvenais faktors, kas atšķir uzņēmumu tīklus no personīgajiem. RADIUS ir atbildīgs par savienojumu un autentifikācijas pārvaldību. Tas arī koordinē visu, kas notiek starp maršrutētāju, datu bāzi un klientiem. RADIUS servera iestatīšanai ir vairākas iespējas. Dažos gadījumos maršrutētājā ir iebūvēts RADIUS. Ir arī vairākas komerciālas iespējas, no kurām izvēlēties. FreeRADIUS ir lielisks atvērtā koda RADIUS serveris, ko var izvietot uz Linux, Windows un Mac serveriem. Jebkurā gadījumā jums būs jākonfigurē RADIUS serveris, lai izveidotu savienojumu ar MySQL datu bāzi un izmantotu to.
Jums būs nepieciešami daži taustiņi. Šifrēšanas atslēgas acīmredzami ir svarīga sastāvdaļa visā vienādojumā. Atkal ir vairāki veidi, kā pieeja ģenerēt atslēgas un izveidot sertifikātu autoritāti. Gandrīz jebkurā operētājsistēmā OpenSSL ir lieliska iespēja. OpenSSL ir arī atvērtā koda programma, kas ir savietojama ar gandrīz jebkuru platformu.
Kad abi serveri ir konfigurēti un darbojas, un jūsu atslēgas ir ģenerētas, jūs beidzot varat iestatīt maršrutētāju. Katrs maršrutētājs ir atšķirīgs, tāpēc šeit nav viegli iedziļināties specifikā. Tikai pārliecinieties, vai maršrutētāja bezvadu iestatījumus pārslēdzat uz WPA2 Enterprise ar AES šifrēšanu. Jums arī būs jāsniedz maršrutētājam informācija, lai izveidotu savienojumu ar RADIUS serveri.
Visbeidzot, jūs varat sākt savienot klientus. Izveidojiet klienta akreditācijas datus un apmaiņas atslēgas. Katra klienta savienošana būs atšķirīga. Katra operētājsistēma un ierīce apstrādā savienojumu ar tīkliem un savienojumu pārvaldību atšķirīgi. Vispārīgi runājot, jums būs nepieciešami sertifikāti un jau izveidotā pieteikšanās informācija. Pārliecinieties, ka klienta ierīces ir jākonfigurē tā, lai tās automātiski izveidotu savienojumu, lai saglabātu problēmas nākotnē.
Tātad, vai es varu pārslēgties?
Pārslēgšana var būt laba ideja atkarībā no tā, kas jūs esat un kas jums jādara, lai tīkls darbotos. Ja jūsu tīkls pašlaik ir konfigurēts WEP vai WPA lietošanai, pārslēdzieties uz WPA2 tūlīt! Negaidi. Vienkārši dari to. Ja jūs izmantojat WPA2 Personal un domājat par pāreju uz uzņēmējdarbību, tas nav tik skaidrs.
Nepārslēdzieties uz WPA2 Enterprise, ja esat mājas lietotājs un neko nezināt par datu bāzēm vai serveru darbību. Jūs vienkārši nonāksit sarūgtināts par sabojātu tīklu. Pieturieties pie WPA2 Personal un atlasiet spēcīgu paroli. Ar to jūs būsiet daudz priecīgāks.
Ja jūs vadāt biznesu un jums ir darbinieki, pāreja uz uzņēmuma WiFi varētu būt jums pareizais solis. Pirms sākat lēcienu, pārliecinieties, vai esat sagatavots un vai visas detaļas un gabali ir kārtībā. Pareiza konfigurācija ir tikpat svarīga drošībai kā pareizās šifrēšanas un WiFi standarta izvēle.
