05.05.2023
4 хв
4578
Дізнайтесь, чи варто використовувати WPA2-Enterprise для вашої домашньої Wi-Fi мережі. Стаття розглядає питання безпеки домашніх бездротових мереж у контексті використання стандарту WPA2-Enterprise, який традиційно використовується в бізнес-середовищах для забезпечення вищого рівня захисту.
Захист домашніх бездротових мереж ніколи не був таким важливим. Зростання віддаленої роботи вимагає від людей, які оброблятимуть конфіденційні бізнес-дані вдома. Крім того, наше життя в цілому стає все більш цифровим, що здійснюється за допомогою таких послуг, як онлайн-банкінг і покупки.
Ми очікуємо, що професійні організації, яким ми довіряємо, захищатимуть наші дані, але не менш важливо захистити їх у власній мережі Wi-Fi. Це означає зануритися в налаштування мережі, включаючи стандарти безпеки, які використовує ваш маршрутизатор.
Wi-Fi Protected Access (WPA) — це стандарт безпеки бездротової мережі з кількома варіаціями. WPA2-Personal зазвичай використовується вдома, але WPA2-Enterprise, який широко використовується в бізнесі, є ще безпечнішим. У цій статті ми обговоримо, що потрібно для впровадження WPA2-Enterprise у вашій домашній мережі та які переваги цього.
Протокол WPA має кілька варіацій, які широко використовуються сьогодні. Деякі з цих режимів WPA включають наступне:
WPA
WPA2-Personal
WPA2-Enterprise
Захищений доступ Wi-Fi спочатку був представлений у 2003 році як більш безпечна альтернатива своєму попереднику Wired Equivalent Privacy (WEP). Незважаючи на те, що вони були схожі, найбільшим удосконаленням WPA було використання протоколу цілісності тимчасового ключа (TKIP), який гарантує, що один і той самий ключ шифрування не використовується щоразу всіма пристроями в мережі.
WPA2 було створено незабаром після цього. Його перший варіант, WPA2-Personal , поширений у будинках і кафе. Він захищений спільним ключем (PSK), який усі пристрої використовують для доступу до мережі. Якщо вам коли-небудь доводилося запитувати в когось пароль Wi-Fi або використовувати один пароль для підключення кількох пристроїв до Wi-Fi, тоді ви використовували WPA2-Personal.
Загальною альтернативою WPA2-Personal є WPA2-Enterprise . У мережі WPA2-Enterprise всі пристрої мають власний унікальний набір облікових даних для доступу до мережі замість спільного використання одного пароля. Оскільки маршрутизатори не можуть зберігати всі ці набори інформації для входу, потрібен сервер автентифікації під назвою RADIUS-сервер. Сервер RADIUS перевіряє дійсність облікових даних кожного користувача, посилаючись на окремий каталог із інформацією про користувача та пристрій.
Без належних стандартів безпеки домашнього Wi-Fi існує низка атак , які можуть бути спрямовані на ваші дії в Інтернеті. Якщо взяти до уваги все, що звичайна людина робить в Інтернеті, як-от віддалена робота, онлайн-банкінг або планування важливих медичних прийомів, легко зрозуміти, чому це важливо.
Якщо для захисту вашої домашньої бездротової мережі є єдиний пароль, ваші дані можуть бути легко зламані. Наприклад, атаки типу «людина посередині» (MITM) можуть перехоплювати дані, які ви передаєте різними способами. Часто ці атаки починаються через інші вектори, як-от атаки спуфінгу, які імітують інші пристрої чи маршрутизатори у вашій мережі.
Основною відмінністю між WPA2-Enterprise та звичайним WPA2-Personal, який ви бачите вдома, є кількість облікових даних, які використовуються. Завдяки WPA2-Personal усі пристрої отримують доступ до вашої мережі за допомогою єдиного пароля. З іншого боку, WPA2-Enterprise призначає індивідуальні паролі кожному окремому пристрою в мережі.
Це означає, що потрібне додаткове обладнання. Маршрутизатори зазвичай не мають можливості зберігати та автентифікувати численні різні набори облікових даних. Ось чому використовується сервер RADIUS (Remote Authentication Dial-In User Service). Замість того, щоб маршрутизатор підтверджував дійсність кожного облікового запису, сервер RADIUS виконує автентифікацію.
Одним із основних призначень сервера RADIUS є цей процес автентифікації. Однак він не зберігає каталог облікових даних користувача локально. Замість цього він посилається на зовнішній каталог, такий як постачальник ідентифікаційної інформації (IDP), щоб перевірити облікові дані.
Безпека WPA2-Enterprise часто поєднується зі стандартом протоколу автентифікації 802.1X . З 802.1X задіяно більше, ніж просто сервер RADIUS – цифрові сертифікати X.509 видаються користувачам і пристроям через інфраструктуру відкритих ключів (PKI), щоб забезпечити більше контексту навколо кожного з’єднання.
Однією з причин, чому WPA2-Enterprise настільки поширений у мережевій безпеці корпоративного рівня, є те, що він дозволяє використовувати різні протоколи автентифікації . Кожен із них пропонує різні рівні шифрування, використовує різні вектори автентифікації та може потребувати власної інфраструктури.
Сьогодні використовуються три поширені протоколи автентифікації: EAP-TLS, PEAP-MSCHAPv2 і EAP-TTLS/PAP . PEAP-MSCHAPv2 і EAP-TTLS/PAP покладаються на паролі для автентифікації, що робить їх уразливими для компрометації.
Однак EAP-TLS може використовувати цифрові сертифікати для автентифікації на відміну від паролів. Це значно знижує ризик викрадення облікових даних і збільшує швидкість процесу автентифікації. Однак для того, щоб видавати сертифікати, вам потрібна інфраструктура відкритих ключів (PKI), яку може бути складно створити та підтримувати, якщо ви ще не маєте досвіду роботи з нею. Постачальники керованих PKI, як-от SecureW2, можуть надати вам готову PKI , яка вставляється у вашу існуючу інфраструктуру без необхідності створювати та підтримувати її самостійно.
Коротка відповідь: так . Довша та точніша відповідь – так, але вона вимагатиме більше досвіду, програмного забезпечення, апаратного забезпечення та обслуговування, ніж те, що вам знадобиться для впровадження простої мережі WPA2-Personal.
Перш ніж йти далі, варто врахувати кілька моментів:
Ваш рівень використання мережі
Чутливість даних, що передаються через вашу мережу
Ваші технічні знання та готовність виконувати технічне обслуговування
Якщо ви використовуєте мережу виключно для відпочинку, оновлення безпеки до WPA2-Enterprise може не викликати нагальної проблеми. Однак, якщо ви ведете бізнес з дому, регулярно отримуєте доступ до конфіденційної інформації (наприклад, банківської, медичної чи юридичної) або будь-якої іншої конфіденційної інформації, підвищена безпека мережі може бути критичною.
Ви також повинні знати про технічні навички, які знадобляться для належного налаштування та підтримки WPA2-Enterprise. Вам потрібно буде налаштувати RADIUS-сервер, що вимагатиме створення політик контролю доступу до мережі та застосування регулярних оновлень.
Головною перевагою домашньої мережі WPA2-Enterprise є підвищена безпека, яку ви отримуєте. Якщо ви використовуєте лише один пароль для доступу до Wi-Fi, і інші люди знають цей пароль, ви ніколи не можете бути впевнені, що ваш пароль не поширили незнайомі особи.
Крім того, ви покладаєтеся на єдину точку відмови в мережі PSK. Якщо цей пароль буде зламано, будь-хто зможе отримати доступ до вашої мережі Wi-Fi і поширити свій вплив на інші пристрої.
Завдяки окремим обліковим даним для всіх підключених користувачів ви можете обмежити поширення злому. Якщо пароль особи скомпрометовано, це набагато легше впоратися, ніж цілу мережу.
Оскільки доступ користувача прив’язаний до індивідуальних облікових даних, ви маєте більше контролю над конкретним доступом, який має кожен набір облікових даних. Наприклад, ви можете мати гостьові мережі з унікальними налаштуваннями для різних користувачів. Ви можете створити гостьові мережі для відвідувачів у вашому домі або сегментувати різні пристрої в різні мережі залежно від ваших потреб і знань. У той момент, коли ви більше не хочете, щоб певний користувач або пристрій мали доступ до мережі, ви можете оновити це у своєму каталозі чи базі даних.
Додавання RADIUS-сервера дозволяє реалізувати низку політик контролю доступу до мережі.
У більшості домів використовується мережа WPA2-Personal, оскільки вона доступна для звичайної людини. Зрештою, маршрутизатор і пароль можна налаштувати всього за кілька хвилин, і ресурсів про те, як це зробити, достатньо.
WPA2-Enterprise вимагає більше часу та знань. Правильне налаштування сервера RADIUS вимагає технічних знань, які перевищують ті, які є у більшості споживачів, і, безсумнівно, є однією з найбільших перешкод на шляху до цього типу мережевої безпеки.
Для мережі WPA2-Personal вам дійсно знадобиться лише кілька речей: інтернет-сервіс, модем і маршрутизатор. Ці речі відносно легко отримати, і після налаштування підключитися до Wi-Fi так само просто, як вводити пароль кожного разу, коли ви додаєте новий пристрій.
Мережа WPA2-Enterprise вимагає від вас сервера RADIUS і маршрутизатора, сумісного з ним. Багато маршрутизаторів споживчого класу несумісні з автентифікацією на основі RADIUS, тому вам, швидше за все, доведеться шукати точку доступу корпоративного рівня.
Сервер RADIUS потребує спеціального програмного забезпечення, налаштованого для виконання його функцій. Звичайно, вам також знадобиться місце на комп’ютері, щоб налаштувати сервер автентифікації, або окрема машина для нього.
WPA2-Enterprise та 802.1X разом вважаються золотим стандартом безпеки мережі. Це стандарти, які використовуються великими організаціями в усьому світі для захисту надзвичайно конфіденційних даних.
Звичайна людина може не вимагати таких самих суворих стандартів. Будь-кому, хто тривалий час не перебуває вдома, або тим, хто економно користується власним Wi-Fi, можливо, не доведеться турбуватися про такий надійний захист. Для тих, хто має технічні здібності та тих, хто обробляє конфіденційні чи бізнес-дані вдома, це набагато важливіше.
Вам знадобляться додаткові ресурси, крім того, що необхідно для мережі WPA2-Personal. Ось додаткові речі, які вам знадобляться:
Каталог користувача / сервер ідентифікації
Сервер RADIUS
Точка доступу корпоративного рівня
Каталог користувача та RADIUS-сервер є повністю окремими серверами. Спершу потрібно налаштувати ваш каталог користувачів для розміщення облікових даних, які користувачі та пристрої використовуватимуть для доступу до вашої мережі. Історично організації використовували локальні сервери ідентифікації, такі як Microsoft Active Directory. Менші підприємства або будинки можуть шукати безкоштовні варіанти, такі як MySQL.
Якщо у вас є вільний простір на комп’ютері або навіть додатковий комп’ютер цілком, ви можете використовувати його для встановлення сервера RADIUS із відповідним програмним забезпеченням, наприклад Windows Server . Крім того, ви можете переглянути безкоштовні варіанти, такі як FreeRADIUS .
Нарешті, вам знадобиться точка доступу, яка може взаємодіяти з вашим сервером RADIUS. Зазвичай це означає корпоративну точку доступу. Існує багато варіантів, але типовим прикладом є точки доступу Ubiquiti . Деякі точки доступу можуть навіть мати вбудований RADIUS.
Впровадження безпеки WPA2-Enterprise на підприємстві є складним завданням, навіть якщо у вас є ціла команда ІТ-фахівців, які можуть допомогти. Ще складніше вдома, коли ти покладаєшся на себе. Якщо ви вважаєте, що WPA2-Enterprise непотрібний для вашого використання Wi-Fi або що ви просто не готові внести цю зміну, є деякі менші заходи безпеки, які ви можете застосувати, щоб зробити свою мережу безпечнішою.
Для початку розглянемо керування паролями . Встановіть надійний пароль для домашньої бездротової мережі, який містить великі та малі літери, спеціальні символи та цифри. Періодично змінюйте цей пароль, навіть якщо вам незручно повторно підключати пристрої.
Ви також можете контролювати пристрої, підключені до вашої мережі . Швидше за все, на вашому маршрутизаторі є програма або веб-портал, у який можна ввійти. За допомогою цього порталу ви можете переглянути список підключених пристроїв і підтвердити, що вони справді ваші. Якщо ви бачите щось підозріле, негайно змініть пароль Wi-Fi.
Подібно до комп’ютерів або смартфонів, інші пристрої, під’єднані до вашої Wi-Fi, часто мають патчі та оновлення програмного забезпечення, зокрема ваш маршрутизатор. Обов’язково регулярно входьте на портал свого маршрутизатора, щоб перевіряти наявність оновлень і за необхідності встановлювати їх . Ці оновлення можуть захистити його від нових загроз і наявних раніше вразливостей.
Нарешті переконайтеся, що пароль до облікового запису адміністратора вашого маршрутизатора відрізняється від паролів, які ви використовуєте в іншому місці. Однак загалом це хороша політика — уникати повторного використання паролів.
Зрештою, WPA2-Enterprise, безсумнівно, більш безпечний, ніж його альтернатива WPA2-PSK, особливо якщо ви додаєте автентифікацію на основі сертифікатів. Проблема з цією системою безпеки полягає в тому, що вона вимагає багато додаткової інфраструктури, яку звичайна людина може не мати можливості створити та підтримувати.
Однак із SecureW2 вам не обов’язково створювати це самостійно. SecureW2 надає компаніям усе необхідне для оновлення до WPA2-Enterprise Wi-Fi за допомогою нашої керованої служби Cloud RADIUS, керованої PKI для безпеки на основі сертифікатів і нашої технології адаптації як для керованих, так і для некерованих пристроїв.
Оскільки всі наші служби є хмарними, вони можуть працювати з будь-якого місця. Немає тривалого процесу налаштування, дорогих витрат на керування чи необхідності надавати фізичний простір і безпеку для серверів. Ми можемо не надавати RADIUS та PKI для домашнього використання, але ми працювали з організаціями будь-якого розміру та маємо значний досвід.
