L’aspecte més important de qualsevol configuració d’internet el 2019 és la vostra xarxa sense fils. Mentre que les connexions per cable són més ràpides i sovint més segures, la lletania dels dispositius que es troben al voltant de casa necessita un senyal sense fil. Des de televisors i altaveus intel·ligents fins a telèfons intel·ligents i tauletes, la connexió sense fils és el més imprescindible el 2019.
Per descomptat, quan es tracta d’internet sense fils, tractaran diversos termes de seguretat que potser no coneixeu, provocant confusió al voltant de l’espai de xarxa sense fils. Hi ha sigles a tot arreu i un munt d’opcions, la majoria d’aquestes tractant directament protocols de seguretat. Tot això significa que la seguretat de la vostra xarxa està directament en risc a menys que sàpigues exactament el que estàs fent.
Així doncs, per a aquest article, revisarem la seguretat de WPA2 Enterprise, com funciona i si ho necessiteu. Des de l'historial de WPA com a protocol de seguretat fins a la forma en què WPA2 Enterprise pot afegir seguretat a la vostra llar, aquesta és la vostra guia per configurar WPA2 Enterprise a la xarxa.
Què és WPA2?
En resposta al desastre de seguretat que va ser WEP, WiFi Alliance va desenvolupar WPA (WiFi Protected Access.) Com que la WPA era una resposta directa a WEP, va solucionar molts dels problemes del WEP. El WPA va implementar TKIP (Temporal Key Integrity Protocol), que va millorar molt el xifratge sense fils generant dinàmicament claus per a cada paquet transmès. WPA també inclou controls per assegurar-se que les dades transmeses no han estat manipulades.
Si bé WPA va ser bo, també té els seus defectes. La majoria d’ells es van originar a partir de l’ús de TKIP. TKIP va ser una millora del xifrat de WEP, però encara és explotable. Així, Wi-Fi Alliance va introduir WPA2 amb el xifratge obligatori AES (Advanced Encryption Standard). AES és un estàndard de xifrat més fort amb suport per al xifrat de 256 bits. Fins ara, l’opció WPA2 amb AES és l’opció més segura.
Quina diferència hi ha entre l'empresa i el personal?
Ara, encara hi ha aquesta qüestió de WPA2 Enterprise. Al cap i a la fi, probablement és per això que primer heu fet clic en aquest article. Si heu mirat els paràmetres de configuració d'un encaminador sense fil realitzat després del 2006, és possible que hagueu observat que hi ha dues opcions per a WPA2. A la majoria de routers, podeu trobar-ne un amb l'etiqueta "Enterprise" i l'altre amb un nom "Personal". Les dues opcions són WPA2 i utilitzen el mateix xifratge AES. La diferència entre ells prové de com gestionen la connexió dels usuaris a la xarxa.
WPA2 Personal també passa per la clau pre-compartida WPA2-PSK o WPA2 perquè gestiona les connexions a la xarxa amb una contrasenya que ja s'ha compartit amb la persona que es connecta. Això funciona bé per a les petites xarxes domèstiques, ja que generalment es pot confiar en tots els que són a la xarxa i no són objectiu per a intrusos potencials. El més probable és que, si us heu connectat a WiFi a casa d’un amic o si configureu la vostra pròpia xarxa sense fils, s’ha configurat amb WPA2-PSK.
WPA2 Enterprise, òbviament, es centra més en els usuaris de l'empresa. En lloc només d'utilitzar una contrasenya única per autenticar l'accés, WPA2 Enterprise es basa en un servidor RADIUS i una base de dades de credencials de client per a l'autenticació. Això és excel·lent per a les empreses perquè disposen dels recursos per configurar un servidor d’autenticació. Les empreses també tenen majors necessitats de seguretat. Una empresa també pot recuperar-se ràpidament en cas que un dispositiu es perdi o es robi assignant a cada usuari la seva pròpia informació d’inici de sessió. A més, permet a una empresa protegir-se dels empleats descontents que puguin voler danyar la seva xarxa.
Quins són els avantatges de WPA2 Enterprise?
Els avantatges de WPA2 Enterprise no són exactament avantatges per a tothom. Si només voleu configurar una simple xarxa domèstica amb poca molèstia o manteniment necessari, WPA2 Enterprise no serà una bona solució per a vosaltres. És tot el contrari del que vols. Tanmateix, si esteu executant un negoci o si voleu tenir una seguretat acurada a la xarxa domèstica, WPA2 Enterprise té diverses característiques que la converteixen en un excel·lent candidat.
WPA2 Enterprise utilitza una base de dades. Tot i que potser no és un gran problema quan només es tracta d’un nombre d’usuaris, tenir un poder i la utilitat d’una base de dades pot ser crucial quan es treballa amb un gran nombre de connexions. Permet als administradors de xarxa rastrejar, gestionar i manipular dades fàcilment amb eines que coneixen de manera eficient.
L’ús d’una base de dades també ajuda a millorar una altra característica clau de les xarxes d’empresa WPA2, la capacitat de desactivar les credencials dels usuaris. Un administrador de xarxa pot desactivar fàcilment el compte d’un usuari en cas que es perdi, es robi un dispositiu o que l’usuari abandoni l’empresa. Les credencials d'inici de sessió individuals també ajuden a contenir amenaces possibles, fent que sigui senzill treure qualsevol màquina compromesa de la xarxa.
WPA2 Enterprise elimina la necessitat de canviar la informació d’inici de sessió quan un administrador elimina un usuari de la xarxa o una sola màquina està compromesa. Seria molt greu per al departament d’informàtica d’una gran corporació haver de tornar a connectar cada dispositiu de la seva xarxa amb un nou inici de sessió cada vegada que algú sortís de l’empresa. Això només no té sentit.
L’ús de claus d’autenticació d’usuaris individuals també compartimenta la xarxa, restringint a quines dades de xarxa té accés cada usuari. En una xarxa WPA2-PSK, tots els usuaris poden veure les dades de xarxa de tots els altres usuaris. Això fa que sigui molt fàcil que un intrús o un atacant pugui accedir a més informació a la xarxa i causar més danys. Per a les xarxes empresarials, aquest no és un problema, gràcies a les claus individuals.
Una altra gran característica de WPA2 Enterprise és la possibilitat d'utilitzar certificats per a l'autenticació. Les contrasenyes són problemàtiques per tantes raons, entre les quals la menor és la seva vulnerabilitat als atacs de diccionari. Per empitjorar, és gairebé impossible confiar en els vostres usuaris per crear contrasenyes fortes. És gairebé com que les persones instintivament trien les escombraries cada vegada. En realitat aquest és el major risc per a les xarxes WPA2-PSK. Els certificats són gairebé com una pòlissa d’assegurança contra contrasenyes incorrectes. Tot i que un atacant és capaç d’endevinar la contrasenya horrible d’un usuari, encara no es podrà iniciar la sessió sense el certificat d’aquest usuari. Els certificats proporcionen una altra capa de protecció a les xarxes empresarials.
Com implementeu una xarxa empresarial WPA2?
És absolutament impossible cobrir qualsevol configuració possible i combinació de circumstàncies que puguin comportar la configuració d'una xarxa WPA2 Enterprise WiFi. Ningú no tindrà el mateix maquinari i programari de xarxa i ningú no tindrà els mateixos clients. No obstant això, hi ha passos bàsics que els administradors de xarxa poden fer en totes les configuracions de xarxa.
Abans d’excavar a la xarxa mateixa, configureu la base de dades d’usuaris. Podria semblar un excés, però MySQL o un clon compatible com MariaDB és la millor opció. Podeu configurar la base de dades a la seva pròpia màquina, un servidor de bases de dades existent o a la mateixa màquina que el servidor RADIUS. El lloc on trieu hauria de dependre de la mida de la base de dades i de la manera de pensar en gestionar-la. MySQL s’ha demostrat ràpid i fiable. També és de codi obert i és compatible amb la plataforma de servidors que trieu.
El servidor RADIUS es troba al cor de WPA2 Enterprise. És el principal factor que diferencia les xarxes empresarials de les personals. RADIUS s’encarrega de gestionar les connexions i l’autenticació. També coordina tot allò que es troba entre l’encaminador, la base de dades i els clients. Hi ha diverses opcions per configurar un servidor RADIUS. En alguns casos, un encaminador té RADIUS integrat. També hi ha diverses opcions comercials per triar. FreeRADIUS és un excel·lent servidor RADIUS de codi obert que es pot desplegar en servidors basats en Linux, Windows i Mac. En qualsevol cas, haureu de configurar el servidor RADIUS per connectar-vos i fer servir la vostra base de dades MySQL.
Necessiteu algunes claus. Les claus de xifratge són, òbviament, un component important en tota l’equació. Un cop més, hi ha diverses maneres d’acostar-vos a generar les vostres claus i establir una autoritat de certificat. En gairebé qualsevol sistema operatiu, OpenSSL és una opció excel·lent. OpenSSL és també un programa de codi obert que és compatible amb gairebé qualsevol plataforma.
Amb tots dos servidors configurats i en execució i les teves claus generades, finalment podeu configurar el vostre enrutador. Cada router és diferent, per la qual cosa no és fàcil entrar en especificacions aquí. Només heu d'assegurar-vos que canvieu la configuració sense fils del vostre enrutador a WPA2 Enterprise amb xifratge AES. També haureu de proporcionar la informació del vostre enrutador per connectar-vos al vostre servidor RADIUS.
Finalment, podeu començar a connectar clients. Creeu credencials de client i claus d'intercanvi. La connexió de cada client serà diferent. Tot sistema operatiu i dispositiu gestiona la connexió a les xarxes i la gestió de connexions de manera diferent. En general, necessitareu els certificats i la informació d’inici de sessió que ja heu creat. Assegureu-vos de configurar els dispositius client perquè es connectin automàticament per desar les molèsties futures.
Llavors, canvio?
En funció de qui sigui i del que necessiteu per fer la vostra xarxa, canviar pot ser una bona idea. Si la vostra xarxa està configurada per utilitzar WEP o WPA actualment, canvieu a WPA2 ara! No esperis. Només fes-ho. Si feu servir WPA2 Personal i esteu pensant a saltar a l'empresa, no és tan clar.
No canvieu a WPA2 Enterprise si sou un usuari domèstic i no sabeu res sobre bases de dades o servidors en execució. Acabaràs frustrat amb una xarxa trencada. S'adhereix a WPA2 Personal i selecciona una contrasenya segura. Seràs molt més feliç amb ell.
Si teniu empresa i teniu empleats, podeu canviar la vostra xarxa WiFi a l'empresa. Només heu d'assegurar-vos que esteu preparats i que tingueu totes les peces en ordre abans de fer el salt. La configuració adequada és tan important per a la seguretat com triar el xifrat i el estàndard WiFi adequats.
