Развертывание WPA2-Enterprise Wi-Fi Security на малых предприятиях

Введение

При настройке беспроводной сети вы обнаружите два совершенно разных режима безопасности Wi-Fi Protected Access (WPA), которые применяются как к версиям WPA, так и к версиям WPA2.

Самый простой в настройке — персональный режим, технически называемый режимом Pre-Shared Key (PSK). Он не требует ничего, кроме беспроводного маршрутизатора или точек доступа (AP), и использует единую парольную фразу или пароль для всех пользователей/устройств.

Другой — это режим предприятия, который должен использоваться предприятиями и организациями, он также известен как режим RADIUS, 802.1X, 802.11i или EAP. Он обеспечивает лучшую безопасность и управление ключами, а также поддерживает другие функции корпоративного типа, такие как VLAN и NAP. Однако для обработки аутентификации пользователей 802.1X требуется внешний сервер аутентификации, называемый сервером службы удаленной аутентификации пользователей по телефонной линии (RADIUS).

Здесь я поделюсь информацией и советами, которые помогут вам понять, настроить корпоративную безопасность Wi-Fi и управлять ею на малых предприятиях, даже если вы используете не доменную сеть без Windows Server.

Узнайте о преимуществах корпоративного режима

Режим Enterprise позволяет пользователям входить в сеть Wi-Fi с помощью имени пользователя и пароля и/или цифрового сертификата. Оба типа учетных данных могут быть изменены или отозваны в любое время на сервере, когда устройство Wi-Fi потеряно или украдено, или сотрудник покидает организацию. При использовании персонального режима парольную фразу необходимо будет вручную изменить на всех точках доступа и устройствах Wi-Fi.

Поскольку корпоративный режим предоставляет каждому пользователю динамический и уникальный ключ шифрования, он также предотвращает отслеживание беспроводных сетей между пользователями. При использовании персонального режима успешно подключенные пользователи могут видеть трафик друг друга — возможно, пароли, электронные письма и другие конфиденциальные данные.

Динамический ключ также повышает общую надежность шифрования WPA (TKIP) и WPA2 (AES). Персональный режим более восприимчив к атакам методом грубой силы по словарю, которые могут раскрыть ключ шифрования хакерам. Вот почему очень важно создавать длинные и сложные парольные фразы при использовании персонального режима.

Рассмотрите все варианты сервера

Если в малом бизнесе есть Windows Server, вы можете использовать функцию Internet Authenticate Service (IAS) или Network Policy Server (NPS) для необходимого сервера RADIUS. За помощью вы можете обратиться к предыдущей серии статей Брайена Поузи или меня.

Есть несколько других вариантов, отлично подходящих для тех, у кого нет доменной сети:

• Купите и используйте точки доступа со встроенным RADIUS-сервером. Примеры включают HP ProCurve 530 и ZyXEL NWA-3500 или NWA3166 и стоят около 150 долларов и выше. Если это простая настройка беспроводной сети, вы можете купить только одну и использовать более дешевые точки доступа для большего покрытия.
  
• Создайте свой собственный маршрутизатор/шлюз со встроенным сервером RADIUS, например, с RouterOS или Zeroshell. Обычно это установка программного обеспечения на сервер. Для небольших и менее важных сетей можно даже стереть пыль и перепрофилировать старый ПК для работы.
  
• Используйте размещенную службу, такую как AuthenticateMyWiFi, чтобы сэкономить время, деньги и опыт, необходимые для настройки собственного сервера. Он также предоставляет помощь по настройке клиента и упрощает развертывание корпоративной безопасности в нескольких местах.
  
• Используйте бесплатный сервер, такой как TekRADIUS, бесплатное приложение Windows с графическим интерфейсом.
  
• Используйте бесплатный сервер с открытым исходным кодом, такой как FreeRADIUS, который использует текстовые файлы для настройки и командную строку для администрирования. В первую очередь для машин Linux/Unix, но может работать и в Windows.
  
• Приобретите и используйте серверное программное обеспечение RADIUS, такое как Elektron (750 долларов США) для Windows или Mac OS X и ClearBox (599 долларов США) для Windows.

Упрощение настройки клиента

В дополнение к запуску сервера RADIUS режим предприятия также требует более сложной конфигурации клиента на компьютерах и устройствах Wi-Fi конечных пользователей. Персональный режим требует ввода парольной фразы только при появлении запроса, и обычно это может сделать конечный пользователь. Но для корпоративного режима вам, вероятно, потребуется установить сертификат центра сертификации (ЦС) сервера на клиентов (плюс сертификаты для каждого пользователя при использовании EAP-TLS), а затем вручную настроить параметры безопасности беспроводной сети и аутентификации 802.1X. Лучше всего, если ИТ-специалист или технический персонал сначала настроит и устранит неполадки в конфигурации клиента или воспользуется для помощи утилитой развертывания.

Если используется Windows Server, вы можете распространять сертификаты и настраивать параметры удаленно и централизованно с помощью групповой политики, по крайней мере, для компьютеров Windows, присоединенных к домену.

Для сетей без домена можно использовать бесплатную утилиту SU1X 802.1X или коммерческие варианты: XpressConnect и Quick1X. Утилиты такого типа позволяют указать или зафиксировать параметры безопасности и аутентификации и создать программу установки клиента. Затем конечные пользователи (или даже ИТ-персонал) могут запускать программу, автоматизируя настройку своего компьютера. Они также могут помочь распространить сертификат ЦС сервера RADIUS (и, возможно, сертификаты конечного пользователя при использовании EAP-TLS). Некоторые также могут выполнять другие проверки и изменять настройки беспроводной сети, чтобы облегчить развертывание, например, удалять профили для существующих SSID и устанавливать приоритеты профилей.

Поймите общие шаги

Чтобы помочь вам лучше понять процесс настройки WPA/WPA2-Enterprise и 802.1X, вот основные общие шаги:

1. Выберите, установите и настройте сервер RADIUS или используйте размещенную службу.
   
2. Создайте центр сертификации (ЦС), чтобы вы могли выпустить и установить цифровой сертификат на сервер RADIUS, что может быть выполнено как часть установки и настройки сервера RADIUS. В качестве альтернативы вы можете приобрести цифровой сертификат в общедоступном центре сертификации, таком как GoDaddy или Verisign, чтобы вам не нужно было устанавливать сертификат сервера на всех клиентах. При использовании EAP-TLS вы также должны создавать цифровые сертификаты для каждого конечного пользователя.
   
3. На сервере заполните клиентскую базу данных RADIUS IP-адресом и общим секретом для каждой точки доступа.
   
4. На сервере заполните пользовательские данные именами пользователей и паролями для каждого конечного пользователя.
   
5. На каждой точке доступа настройте безопасность для WPA/WPA2-Enterprise и введите IP-адрес сервера RADIUS и общий секрет, который вы создали для этой конкретной точки доступа.
   
6. На каждом компьютере и устройстве Wi-Fi настройте безопасность для WPA/WPA2-Enterprise и установите параметры проверки подлинности 802.1X.

Резюме

Мы обсудили основные проблемы, с которыми должен столкнуться малый бизнес при настройке корпоративной безопасности Wi-Fi. Теперь у вас должно быть общее представление о преимуществах, параметрах сервера и упрощенной конфигурации клиента. Вы также должны иметь хорошее представление о том, что происходит и с чего начать.

Настроив и запустив базовую аутентификацию, вы можете поэкспериментировать с функциями авторизации и учета. Функции авторизации обычно включают в себя возможность ограничить определенных пользователей использованием определенных компьютеров и точек доступа, а также ограничить дни и время подключения. Учет может помочь вам создавать отчеты и журналы использования для устранения неполадок, аудита или выставления счетов.