L'aspetto più importante di qualsiasi configurazione di Internet nel 2019 è la tua rete wireless. Mentre le connessioni cablate sono più veloci e spesso più sicure, con la litania di dispositivi in giro per casa che richiedono un segnale wireless. Da smart TV e altoparlanti al tuo smartphone e tablet, una connessione wireless è semplicemente un must nel 2019.
Naturalmente, quando si tratta di Internet wireless, avrai a che fare con molti termini di sicurezza diversi che potresti non avere familiarità, portando a molta confusione nello spazio di rete wireless. Esistono sigle ovunque e moltissime opzioni, la maggior parte delle quali riguarda direttamente i protocolli di sicurezza. Tutto ciò significa che la sicurezza della tua rete è direttamente a rischio se non sai esattamente cosa stai facendo.
Quindi, per questo articolo, daremo uno sguardo alla sicurezza WPA2 Enterprise, come funziona e se ne hai bisogno. Dalla storia di WPA come protocollo di sicurezza a come WPA2 Enterprise può davvero migliorare la sicurezza domestica, questa è la tua guida per configurare WPA2 Enterprise sulla tua rete.
Che cos'è WPA2?
In risposta al disastro di sicurezza che è stato WEP, WiFi Alliance ha sviluppato WPA (WiFi Protected Access.) Poiché WPA era una risposta diretta a WEP, ha risolto molti dei molti problemi di WEP. WPA ha implementato TKIP (Temporal Key Integrity Protocol), che ha notevolmente migliorato la crittografia wireless generando dinamicamente le chiavi per ciascun pacchetto trasmesso. WPA include anche controlli per garantire che i dati trasmessi non siano stati manomessi.
Mentre WPA era buono, ha anche i suoi difetti. La maggior parte di essi è nata dall'uso di TKIP. TKIP è stato un miglioramento rispetto alla crittografia WEP, ma è ancora sfruttabile. Pertanto, Wi-Fi Alliance ha introdotto WPA2 con crittografia AES (Advanced Encryption Standard) obbligatoria. AES è uno standard di crittografia più forte con supporto per la crittografia a 256 bit. A partire da ora, WPA2 con AES è l'opzione più sicura.
Qual è la differenza tra impresa e personale?
Ora, c'è ancora quella domanda su WPA2 Enterprise. Dopotutto, questo è probabilmente il motivo per cui hai cliccato su questo articolo in primo luogo. Se hai esaminato le impostazioni di configurazione di un router wireless effettuate dopo il 2006, potresti aver notato che esistono due opzioni per WPA2. Sulla maggior parte dei router, è possibile trovare uno con l'etichetta "Enterprise" e l'altro è contrassegnato come "Personale". Entrambe le opzioni sono WPA2 e utilizzano la stessa crittografia AES. La differenza tra loro deriva dal modo in cui gestiscono la connessione degli utenti alla rete.
WPA2 Personal utilizza anche la chiave pre-condivisa WPA2-PSK o WPA2 perché gestisce le connessioni alla rete con una password che è già stata condivisa con la persona che si sta connettendo. Questo funziona bene per le piccole reti domestiche perché in genere puoi fidarti di tutti nella rete e non sono un bersaglio per potenziali intrusi. È probabile che, se ti sei connesso al WiFi a casa di un amico o hai configurato la tua rete wireless, è stato configurato con WPA2-PSK.
WPA2 Enterprise è ovviamente focalizzata maggiormente sugli utenti business. Invece di utilizzare una sola password per autenticare l'accesso, WPA2 Enterprise si affida a un server RADIUS e a un database di credenziali client separate per l'autenticazione. Questo è ottimo per le aziende perché hanno le risorse per configurare un server per l'autenticazione. Le aziende hanno anche maggiori esigenze di sicurezza. Un'azienda può anche recuperare rapidamente in caso di smarrimento o furto di un dispositivo assegnando a ciascun utente le proprie informazioni di accesso. Inoltre, consente a un'azienda di proteggersi da dipendenti scontenti che potrebbero voler danneggiare la propria rete.
Quali sono i vantaggi di WPA2 Enterprise?
I vantaggi di WPA2 Enterprise non sono esattamente vantaggi per tutti. Se stai solo cercando di configurare una semplice rete domestica con poca seccatura o manutenzione richiesta, WPA2 Enterprise non sarà una buona soluzione per te. È praticamente l'opposto di quello che vuoi. Tuttavia, se stai gestendo un'azienda o stai cercando una sicurezza approfondita sulla tua rete domestica, WPA2 Enterprise ha diverse caratteristiche che la rendono un candidato eccellente.
WPA2 Enterprise utilizza un database. Mentre potrebbe non essere un grosso problema quando si ha a che fare solo con una manciata di utenti, avere la potenza e l'utilità di un database può essere cruciale quando si lavora con un gran numero di connessioni. Consente agli amministratori di rete di tracciare, gestire e manipolare facilmente i dati con strumenti a loro familiari in modo efficiente.
L'uso di un database aiuta anche a migliorare un'altra caratteristica chiave delle reti aziendali WPA2, la possibilità di disabilitare le credenziali degli utenti. Un amministratore di rete può facilmente disabilitare l'account di un utente nel caso in cui un dispositivo venga smarrito, rubato o tale utente lasci l'azienda. Le credenziali di accesso individuali aiutano anche a contenere potenziali minacce semplificando la rimozione di qualsiasi macchina compromessa dalla rete.
WPA2 Enterprise elimina la necessità di modificare le informazioni di accesso quando un amministratore rimuove un utente dalla rete o viene compromessa una singola macchina. Sarebbe una grande sofferenza per il dipartimento IT di una grande azienda dover riconnettere ogni dispositivo sulla propria rete con un nuovo accesso ogni volta che qualcuno lascia l'azienda. Questo non ha senso.
L'uso delle chiavi di autenticazione dei singoli utenti suddivide anche in compartimenti la rete, limitando i dati di rete a cui ogni utente ha accesso. In una rete WPA2-PSK, ogni utente può vedere i dati di rete di ogni altro utente. Questo rende molto facile per un intruso o aspirante attaccante ottenere l'accesso a più informazioni sulla rete e causare più danni. Per le reti aziendali, questo non è un problema, grazie alle singole chiavi.
Un'altra grande caratteristica di WPA2 Enterprise è la possibilità di utilizzare i certificati per l'autenticazione. Le password sono problematiche per tanti motivi, non ultimo quello della loro vulnerabilità agli attacchi del dizionario. A peggiorare le cose, è quasi impossibile fare affidamento sui tuoi utenti per creare password complesse. È quasi come se le persone scegliessero istintivamente ogni volta i rifiuti. Questo è in realtà il rischio maggiore per le reti WPA2-PSK. I certificati sono quasi una polizza assicurativa contro le password errate. Anche se un utente malintenzionato è in grado di indovinare la password terribile di un utente, non sarà comunque in grado di accedere senza il certificato di quell'utente. I certificati forniscono ancora un altro livello di protezione alle reti aziendali.
Come si implementa una rete aziendale WPA2?
È assolutamente impossibile coprire tutte le possibili configurazioni e combinazioni di circostanze che possono andare nella configurazione di una rete WPA2 Enterprise WiFi. Nessuno avrà lo stesso hardware e software di rete e nessuno avrà gli stessi client. Esistono tuttavia passaggi di base che gli amministratori di rete possono utilizzare su ogni configurazione di rete.
Prima di scavare nella stessa rete, impostare il database utente. Potrebbe sembrare eccessivo, ma MySQL o un clone compatibile come MariaDB è l'opzione migliore. È possibile impostare il database sul proprio computer, su un server di database esistente o sullo stesso computer del server RADIUS. La scelta del sito dipende da quanto sarà grande il database e da come prevedi di gestirlo. MySQL si è dimostrato veloce e affidabile. È anche open source e compatibile con qualsiasi piattaforma server tu scelga.
Il server RADIUS è al centro di WPA2 Enterprise. È il principale fattore che differenzia le reti aziendali da quelle personali. RADIUS è responsabile della gestione delle connessioni e dell'autenticazione. Coordina anche tutto ciò che va tra il router, il database e i client. Esistono diverse opzioni per configurare un server RADIUS. In alcuni casi, un router ha RADIUS integrato. Ci sono anche diverse opzioni commerciali tra cui scegliere. FreeRADIUS è un eccellente server RADIUS open source che può essere distribuito su server basati su Linux, Windows e Mac. In ogni caso, dovrai configurare il tuo server RADIUS per connetterti e utilizzare il tuo database MySQL.
Avrai bisogno di alcune chiavi. Le chiavi di crittografia sono ovviamente un componente importante di questa intera equazione. Ancora una volta, ci sono diversi modi per avvicinarsi alla generazione delle chiavi e alla creazione di un'autorità di certificazione. Su quasi tutti i sistemi operativi, OpenSSL è un'ottima opzione. OpenSSL è anche un programma open source compatibile con qualsiasi piattaforma.
Con entrambi i server configurati e in esecuzione e le tue chiavi generate, puoi finalmente configurare il tuo router. Ogni router è diverso, quindi non è facile entrare nei dettagli qui. Assicurati solo di cambiare le impostazioni wireless del tuo router in WPA2 Enterprise con crittografia AES. Dovrai inoltre fornire al tuo router le informazioni per collegarti al tuo server RADIUS.
Infine, puoi iniziare a connettere i client. Crea credenziali client e scambia chiavi. La connessione di ciascun client sarà diversa. Ogni sistema operativo e dispositivo gestisce la connessione alle reti e la gestione delle connessioni in modo diverso. In generale, avrai bisogno dei tuoi certificati e delle informazioni di accesso che hai già creato. Assicurati di configurare i dispositivi client per la connessione automatica per salvare problemi futuri.
Quindi, cambio?
A seconda di chi sei e di cosa hai bisogno della tua rete, cambiare potrebbe essere una buona idea. Se la tua rete è configurata per utilizzare WEP o WPA attualmente, passa a WPA2 ora! Non aspettare. Fallo e basta. Se stai usando WPA2 Personal e stai pensando di passare all'impresa, non è così chiaro.
Non passare a WPA2 Enterprise se sei un utente domestico e non sai nulla dei database o dei server in esecuzione. Sarai solo frustrato da una rete interrotta. Attenersi a WPA2 Personal e selezionare una password complessa. Ne sarai molto più felice.
Se gestisci un'azienda e hai dipendenti, passare al WiFi aziendale potrebbe essere la mossa giusta per te. Basta essere sicuri di essere preparati e di avere tutte le parti e i pezzi in ordine prima di fare il salto. Una corretta configurazione è importante tanto per la sicurezza quanto la scelta della giusta crittografia e standard WiFi.
