ההיבט החשוב ביותר בכל התקנת אינטרנט בשנת 2019 הוא הרשת האלחוטית שלך. בעוד שחיבורים חוטים מהירים ולעתים קרובות מאובטחים יותר, כאשר מספר ההתקנים הנמצא סביב ביתך דורש אות אלחוטי. מטלוויזיות חכמות ורמקולים לסמארטפון ולטאבלט, חיבור אלחוטי הוא פשוט חובה בשנת 2019.
כמובן, כשמדובר באינטרנט אלחוטי, אתם מתמודדים עם הרבה תנאי אבטחה שונים שאולי אינכם מכירים, מה שמוביל לבלבול רב סביב שטח הרשת האלחוטית. ישנם ראשי תיבות בכל מקום והמון אפשרויות, כאשר רובן עוסקות ישירות בפרוטוקולי אבטחה. כל זה אומר שאבטחת הרשת שלך נמצאת בסיכון ישיר אלא אם כן אתה יודע בדיוק מה אתה עושה.
לכן, למאמר זה, נסקור את האבטחה של WPA2 Enterprise, כיצד היא עובדת והאם אתה זקוק לה. מההיסטוריה של WPA כפרוטוקול אבטחה ועד כיצד WPA2 Enterprise יכול באמת לשפר את האבטחה הביתית שלך, זה המדריך שלך להגדרת WPA2 Enterprise ברשת שלך.
מה זה WPA2?
בתגובה לאסון האבטחה שהיה WEP, ברית WiFi פיתחה WPA (WiFi Protected Access.) מכיוון ש- WPA הייתה תגובה ישירה ל- WEP, היא פתרו רבות מהבעיות הרבות של WEP. WPA הטמיעה את TKIP (פרוטוקול Temporal Key Integrity Protocol), אשר שיפר מאוד את ההצפנה האלחוטית על ידי יצירת מפתחות באופן דינמי לכל מנה המועברת. WPA כולל גם בדיקות כדי לוודא שלא נתקלו בנתונים שהועברו.
אמנם WPA הייתה טובה, אך יש לה גם פגמים. רובם מקורם בשימוש ב- TKIP. TKIP היה שיפור בהשוואה להצפנת WEP, אך הוא עדיין ניתן לניצול. אז, ה- Wi-Fi Alliance הציג WPA2 עם קידוד AES (Advanced Encryption Standard). AES הוא תקן הצפנה חזק יותר עם תמיכה בהצפנה של 256 ביט. נכון לעכשיו, WPA2 עם AES הוא האפשרות המאובטחת ביותר.
מה ההבדל בין ארגוני לאישי?
עכשיו, עדיין יש את השאלה הזו של WPA2 Enterprise. אחרי הכל, זו כנראה הסיבה שלחצת מלכתחילה על מאמר זה. אם בדקת את הגדרות התצורה של נתב אלחוטי שנעשה לאחר 2006, יתכן ששמת לב שיש שתי אפשרויות עבור WPA2. ברוב הנתבים תוכלו למצוא אחד שכותרתו "Enterprise", והשני מסומן "אישי". שתי האפשרויות הן WPA2 ומשתמשות באותו הצפנת AES. ההבדל ביניהם נובע מהאופן בו הם מתמודדים עם חיבור משתמשים לרשת.
WPA2 Personal עובר גם על WPA2-PSK או WPA2 Pre-Shared Key מכיוון שהוא מנהל חיבורים לרשת באמצעות סיסמה שכבר הייתה משותפת עם האדם שמחבר. זה עובד טוב עבור רשתות ביתיות קטנות מכיוון שבדרך כלל אתה יכול לסמוך על כולם ברשת, והם לא מהווים יעד רב עבור פולשים פוטנציאליים. רוב הסיכויים שאם התחברת ל- WiFi בבית של חבר, או הקמת רשת אלחוטית משלך, זה היה מוגדר באמצעות WPA2-PSK.
WPA2 Enterprise כמובן ממוקד יותר למשתמשים עסקיים. במקום להשתמש בסיסמה אחת בלבד לצורך אימות גישה, WPA2 Enterprise מסתמך על שרת RADIUS ובסיס נתונים של אישורי לקוח נפרדים לאימות. זה נהדר לעסקים מכיוון שיש להם את המשאבים להגדיר שרת לאימות. לעסקים צרכי אבטחה גדולים יותר. עסק יכול להתאושש במהירות גם במקרה בו מכשיר יאבד או נגנב על ידי הקצאת כל משתמש פרטי כניסה משלו. בנוסף, זה מאפשר לעסק להגן על עצמו מפני עובדים ממורמרים שאולי ירצו לפגוע ברשת שלהם.
מהם היתרונות של WPA2 Enterprise?
היתרונות של WPA2 Enterprise אינם בדיוק יתרונות עבור כולם. אם אתה רק מחפש להקים רשת ביתית פשוטה עם מעט טרחה או תחזוקה נדרשת, WPA2 Enterprise לא יהיה פיתרון טוב עבורך. זה פחות או יותר ההפך ממה שאתה רוצה. עם זאת, אם אתה מנהל עסק, או שאתה מחפש אבטחה מדויקת ברשת הביתית שלך, ל- WPA2 Enterprise מספר מאפיינים שהופכים אותו למועמד מצוין.
WPA2 Enterprise עושה שימוש בבסיס נתונים. אמנם יתכן שזה לא עניין גדול כשאתה מתמודד רק עם קומץ משתמשים, אבל הכוח והתועלת של בסיס נתונים יכול להיות קריטי כשאתה עובד עם מספר גדול של חיבורים. זה מאפשר למנהלי רשת לעקוב, לנהל ולתפעל נתונים בקלות בעזרת כלים שהם מכירים בצורה יעילה.
השימוש בבסיס נתונים מסייע גם בשיפור מאפיין מפתח נוסף של רשתות ארגוניות WPA2, היכולת להשבית את פרטי הכניסה של המשתמשים. מנהל רשת יכול להשבית בקלות את חשבון המשתמש במקרה בו מכשיר יאבד, נגנב או שהמשתמש יעזוב את החברה. אישורי כניסה פרטניים עוזרים גם להכיל איומים פוטנציאליים על ידי כך שמקל על הסרת כל מחשב שנפגע מהרשת.
WPA2 Enterprise מבטל את הצורך בשינוי פרטי התחברות כאשר מנהל מערכת מסיר משתמש מהרשת או נפגעת מכונה יחידה. זה יהיה כאב עצום עבור מחלקת ה- IT של תאגיד גדול שתצטרך לחבר מחדש כל מכשיר ברשת שלהם עם כניסה חדשה בכל פעם שמישהו יעזוב את החברה. זה פשוט לא הגיוני.
השימוש במפתחות אימות משתמש פרטניים גם ממדר את הרשת, ומגביל את נתוני הרשת שלכל משתמש גישה. ברשת WPA2-PSK, כל משתמש יכול לראות את נתוני הרשת של כל משתמש אחר. זה מקל מאוד על פורץ או תוקף מעוניין לקבל גישה למידע נוסף ברשת ולגרום נזק רב יותר. עבור רשתות ארגוניות זו אינה בעיה, בזכות המפתחות האישיים.
תכונה נהדרת נוספת של WPA2 Enterprise היא היכולת להשתמש בתעודות לצורך אימות. סיסמאות הן בעייתיות מכל כך הרבה סיבות, שהפחות מהן היא הפגיעות שלהן להתקפות מילון. כדי להחמיר את המצב, כמעט בלתי אפשרי לסמוך על המשתמשים שלך ליצור סיסמאות חזקות. זה כמעט כמו שאנשים באופן אינסטינקטיבי בוחרים באשפה בכל פעם. זהו למעשה הסיכון הגדול ביותר לרשתות WPA2-PSK. אישורים הם כמעט כמו פוליסת ביטוח כנגד סיסמאות גרועות. גם אם תוקף מסוגל לנחש את הסיסמה הנוראה של המשתמש, הוא עדיין לא יוכל להתחבר ללא אישור המשתמש. אישורים מספקים שכבת הגנה נוספת לרשתות ארגוניות.
איך אתה מיישם רשת ארגונית WPA2?
זה בלתי אפשרי לחלוטין לכסות כל תצורה ושילוב אפשרי אפשרי שיכולים להקים רשת WPA2 Enterprise WiFi. לאף אחד לא תהיה את אותה חומרת רשת ותוכנה, ואף אחד לא יקבל את אותם לקוחות. עם זאת, ישנם צעדים בסיסיים שמנהלי רשת יכולים להשתמש בהם בכל הגדרת רשת.
לפני שתתחבר לרשת עצמה, הגדר את בסיס הנתונים שלך. זה אולי נראה כמו שימוש יתר, אבל MySQL או שיבוט תואם כמו MariaDB הוא האפשרות הטובה ביותר. אתה יכול להגדיר את מסד הנתונים שלך על מחשב משלו, על שרת מסד נתונים קיים או על אותה מכונה שרת RADIUS. היכן שתבחר אמור להיות תלוי בכמות גדולה של מסד הנתונים וכיצד אתה מתכנן לנהל אותו. MySQL הוכיחה את עצמה מהירה ואמינה. זה גם קוד פתוח ותואם לפלטפורמת השרת שתבחר.
שרת RADIUS הוא לב לבה של WPA2 Enterprise. זהו הגורם העיקרי המבדיל רשתות ארגוניות מאלו האישיות. RADIUS אחראית על ניהול חיבורים ואימות. זה גם מתאם את כל מה שקורה בין הנתב, בסיס הנתונים והלקוחות. ישנן מספר אפשרויות להגדרת שרת RADIUS. במקרים מסוימים, בנתב RADIUS מובנה. יש גם מספר אפשרויות מסחריות לבחירה. FreeRADIUS הוא שרת RADIUS עם קוד פתוח מצוין שניתן לפרוס בשרתים מבוססי לינוקס, Windows ו- Mac. בכל מקרה, תצטרך להגדיר את תצורת שרת ה- RADIUS שלך להתחבר למסד הנתונים MySQL ולהשתמש בו.
אתה תצטרך כמה מפתחות. מפתחות הצפנה הם כמובן מרכיב חשוב בכל המשוואה הזו. שוב, ישנן מספר דרכים לגשת ליצירת המפתחות שלך ולהקמת רשות אישורים. כמעט בכל מערכת הפעלה, OpenSSL היא אפשרות נהדרת. OpenSSL היא גם תוכנית קוד פתוח התואמת כמעט לכל פלטפורמה.
כששני השרתים מוגדרים ומופעלים ומפתחות שלכם נוצרים, תוכלו סוף סוף להגדיר את הנתב. כל נתב שונה, כך שלא קל להיכנס כאן לפרטים. רק וודא שאתה מעביר את הגדרות האלחוטיות של הנתב שלך ל WPA2 Enterprise עם הצפנת AES. תצטרך גם לספק לנתב שלך מידע להתחברות לשרת RADIUS שלך.
לבסוף, תוכלו להתחיל לחבר לקוחות. צור אישורי לקוח ומפתחות החלפה. החיבור של כל לקוח הולך להיות שונה. כל מערכת הפעלה וכל מכשיר מטפלים בחיבור לרשתות ובניהול חיבורים בצורה שונה. באופן כללי, תזדקק לתעודות שלך ולפרטי הכניסה שכבר יצרת. הקפד להגדיר את התקני הלקוח להתחבר אוטומטית בכדי לחסוך טרדות עתידיות.
אז האם אני יכול להחליף?
תלוי מי אתה ומה אתה זקוק לרשת שלך לעשות, מעבר עשוי להיות רעיון טוב. אם הרשת שלך מוגדרת לשימוש כעת ב- WEP או WPA, עבור עכשיו ל- WPA2! אל תחכה. פשוט עשה זאת. אם אתה משתמש ב- WPA2 אישי, ואתה חושב לקפוץ לארגון, זה לא ברור.
אל תעבור ל- WPA2 Enterprise אם אתה משתמש ביתי ואינך יודע דבר אודות מסדי נתונים או הפעלת שרתים. אתה פשוט תסכל מתסכל עם רשת מקולקלת. היצמד ל WPA2 אישי ובחר סיסמה חזקה. אתה תהיה הרבה יותר שמח בזה.
אם אתה מנהל עסק ויש לך עובדים, מעבר ל- WiFi ארגוני עשוי להיות המהלך הנכון עבורך. רק וודא שאתה מוכן ויהיה לך את כל החלקים והחלקים בסדר לפני שאתה לוקח את הקפיצה. תצורה נכונה חשובה לאבטחה באותה מידה כמו בחירת ההצפנה הנכונה ותקן ה- WiFi.
