Упрощение корпоративной безопасности Wi-Fi и 802.1X в небольших сетях
Введение
Развернуть корпоративную безопасность Wi-Fi с аутентификацией 802.1X несложно, но в небольших сетях ее часто упускают из виду из-за необходимости установки и обслуживания сервера. Небольшим предприятиям и организациям часто не хватает ИТ-персонала, и они должны либо решить эту проблему самостоятельно, либо нанять третью сторону. В любом случае, есть способы упростить процесс и сделать развертывание и обслуживание более разумными, независимо от того, `re из этого малого бизнеса или внешнего поставщика ИТ, помогающего им.
Если вы поищите в Интернете информацию об аутентификации 802.1X, вы, скорее всего, обнаружите, что в основном речь идет о запрашивающих сторонах, аутентификаторах и других технических деталях. Однако здесь я преодолею технический жаргон и перейду сразу к делу, а также дам советы о том, как начать работу.
Преимущества корпоративной безопасности Wi-Fi
Любому предприятию или организации, имеющей более пары устройств Wi-Fi, следует рассмотреть возможность использования корпоративной безопасности Wi-Fi. Основное преимущество по сравнению с персональным (PSK) режимом безопасности Wi-Fi заключается в том, что корпоративный режим позволяет вам предоставить каждому пользователю или устройству Wi-Fi уникальный пароль (или другие учетные данные для входа), которыми можно управлять через центральное расположение.
Если кто-то потеряет устройство Wi-Fi или кто-то покинет организацию, вы можете просто изменить или отозвать его индивидуальный вход в сеть Wi-Fi при использовании корпоративного режима WPA/WPA2. При использовании персонального режима вам придется менять пароль для всех, чтобы обезопасить сеть после потери устройства или ухода сотрудника. Как правило, большинство людей на самом деле не меняют пароль, позволяя вору или бывшему сотруднику вернуться в сеть (даже на стоянке) и подключиться, возможно, получить доступ к конфиденциальным файлам и сообщениям.
Еще одним большим преимуществом корпоративного режима безопасности Wi-Fi является то, что пользователи не могут шпионить друг за другом. У каждого пользователя в основном есть свой собственный ключ шифрования, и никто другой не может разблокировать их трафик, тогда как в личном режиме у всех есть один и тот же ключ, и с его помощью они могут разблокировать общение всех.
Существует также много других преимуществ корпоративной безопасности, таких как возможность динамического назначения пользователей в VLAN и поддержка дополнительных элементов управления, таких как время входа в систему или ограничения устройств.
Поймите общий процесс
Вот основные шаги по внедрению корпоративной безопасности Wi-Fi:
Настройте сервер RADIUS или зарегистрируйтесь в облачной службе: во время настройки вы также должны создать пароль (технически называемый общим секретом), который вы будете вводить в беспроводной маршрутизатор или точки доступа, в дополнение к указанию имен пользователей и паролей (или других). учетные данные) пользователи будут использовать для входа в беспроводную сеть.
Включите корпоративную безопасность на своем беспроводном маршрутизаторе или точках доступа: вы должны включить корпоративный режим безопасности WPA/WPA2, указать IP-адрес и порт сервера RADIUS и ввести пароль (общий секрет), который вы создали на сервере.
Вход с устройств: вы должны выбрать беспроводную сеть с компьютера или устройства, как и любую другую сеть, и вам будет предложено ввести имя пользователя и пароль.
Альтернативные параметры RADIUS-сервера Explorer
Если в сети уже есть сервер с поддержкой RADIUS, такой как Windows Server или другой каталог, вы, безусловно, можете рассмотреть возможность его использования. Некоторые решения для сетевых хранилищ (NAS) даже имеют встроенные серверы RADIUS, которые вы могли бы рассмотреть.
Если у вас еще нет возможности сервера RADIUS, существуют варианты с открытым исходным кодом (например, FreeRADIUS) и коммерческие предложения. Однако для небольших сетей вы можете рассмотреть альтернативный тип сервера. В наши дни многие беспроводные точки доступа бизнес-класса включают встроенный сервер RADIUS, что устраняет необходимость в отдельном сервере. Обычно они предназначены для небольших сетей с ограничениями нагрузки на количество пользователей или устройств, с которыми он может работать.
Если вы вообще не хотите настраивать сервер RADIUS, рассмотрите возможность использования облачной или размещенной службы, которая обычно может обслуживать большее количество пользователей и устройств. В дополнение к тому, что вам не нужно поддерживать собственный сервер, эти размещенные службы обычно позволяют использовать их в разных местах. Принимая во внимание, что с традиционными серверами у вас должен быть отдельный сервер в каждом месте, если вы не создаете VPN-соединения между местоположениями.
Рассмотрим более простую аутентификацию по паролю: PEAP
При настройке сервера или службы RADIUS вам, вероятно, придется решить, какой тип EAP использовать для аутентификации 802.1X. Чтобы упростить процесс настройки и подключения, рассмотрите вариант защищенного EAP (PEAP). Это позволяет пользователям входить в сеть Wi-Fi с более знакомым процессом имени пользователя и пароля.
Другой популярный тип EAP, TLS, как правило, более безопасен, но требует создания цифровых сертификатов для устройств Wi-Fi и/или пользователей, а затем их установки на устройства. Существуют сторонние решения для развертывания, которые могут упростить этот тип конфигурации, но все же сложнее, чем PEAP.
Для небольших сетей без ИТ-персонала я предлагаю использовать более простой вариант PEAP, который по-прежнему намного безопаснее, чем использование персонального (PSK) режима безопасности Wi-Fi.
Вы также можете подключать некорпоративные устройства
Хотя большинство Wi-Fi-устройств в наши дни поддерживают корпоративную безопасность Wi-Fi и аутентификацию 802.1X, вы можете столкнуться с теми, которые этого не делают, например игровыми консолями, беспроводными мультимедийными устройствами и видеокамерами Wi-Fi. Если на устройстве есть порт Ethernet, вы можете использовать беспроводной мост, который поддерживает корпоративную безопасность, чтобы подключиться к Wi-Fi, а затем проложить кабель Ethernet от него к устройству, которое не поддерживает. Беспроводной мост в основном действует как внешний беспроводной адаптер. Вы также можете использовать для этой цели более дешевые потребительские товары, если они поддерживают корпоративную безопасность, например возможности WDS в беспроводных маршрутизаторах.
Если устройство, на котором отсутствует поддержка корпоративной безопасности, также не имеет порта Ethernet и вы не можете заменить устройство, вы можете рассмотреть возможность включения персонального режима безопасности WPA/WPA2 на вторичном виртуальном SSID сети. Хотя вы будете использовать персональный режим, вы все равно не откажетесь от использования корпоративного режима для основной сети. Вы можете периодически менять пароль на вторичном SSID, если к нему подключается меньше устройств. Вы даже можете использовать виртуальные локальные сети и правила брандмауэра, чтобы заблокировать пользователям этого менее защищенного вторичного SSID доступ к основному корпоративному SSID и разрешить другим пользователям доступ в Интернет.
Резюме
Помните, что независимо от того, насколько мала сеть, использование корпоративной безопасности Wi-Fi следует учитывать, если имеется более пары устройств Wi-Fi и/или пользователей. Это может помочь лучше защитить сеть, предоставив каждому устройству или пользователю уникальные учетные данные для входа. Процесс установки не должен быть дорогостоящим или занимать много времени. Существуют альтернативные варианты настройки сервера RADIUS, такие как облачная или размещенная служба, которая не требует какого-либо локального сервера или обслуживания.