Skræmmende Wi-Fi: Så godt virker WPA2-Enterprise (hvis du gør det rigtigt)

I vores forrige blog talte vi om ulemperne ved at sikre et firmanetværk med WPA2-Personal. Vi lovede også, at vi nok skulle præsentere et alternativ, der er bedre egnet til virksomhedens Wi-Fi. Så i denne artikel taler vi om WPA2-Enterprise, erhvervsudgaven af WPA2-Personal.

Hvordan er disse to Wi-Fi-sikkerhedsteknologier forskellige, og hvilke værktøjer skal du tilføje for at gøre WPA2-Enterprise til din ultimative sikkerhedsløsning? Og lige så vigtigt: Hvordan får du det til at virke for dig selv og dine medarbejdere uden at skulle arbejde over? Det giver vi dig svarene på i denne blog.

Sammendrag om WPA2-Personal

Lad os først opsummere, hvorfor det er en dårlig ide at sikre din virksomheds Wi-Fi med WPA2-Personal.

WPA2-Personal er først og fremmest beregnet til at sikre et lille privat netværk, fx det Wi-Fi netværk, som folk bruger i hjemmet. Her består det lokale netværk kun af et par enheder, fx telefoner, bærbare og tablets. Wi-Fi er sikret med en i forvejen meddelt nøgle, der skal gives til alle, der skal have adgang.

Det er fint til familie og venner på besøg, men på ethvert kontor bruges Wi-Fi af mange flere mennesker, og det giver adgang til store mængder følsomme virksomhedsdata. Da WPA2-Personal desuden fungerer blot med en enkelt adgangskode brugt af flere, er der mange måder, hvorpå hackere kan finde svagheder på enheder sluttet til netværket og få fuld kontrol over netværket.

WPA2-Personal har ingen begrænsninger overhovedet: Når du har oprettet forbindelse via Wi-Fi, har du al mulig frihed.

Forskelle mellem WPA2-Personal og WPA2-Enterprise

Det er klart, at virksomhedens Wi-Fi kræver lidt mere end bare en forud meddelt nøgle. Her kommer WPA2-Enterprise ind i billedet. Denne storebror til WPA2-Personal fungerer med en godkendelsesproces, der er baseret på 802.1X-protokollen.

I dens mest simple form er det en kombination af et Wi-Fi-adgangspunkt, som beder brugeren om et brugernavn og en adgangskode gennem PEAP-protokollen, og en RADIUS-server bagved, der kontrollerer, om denne bruger må få adgang. Hvis det er nødvendigt, kan RADIUS-serveren sluttes til det interne brugerregister, så brugere kan logge på med deres eksisterende brugernavn og adgangskode.

Der bruges et servercertifikat til at godkende adgangspunktet, og der genereres midlertidige krypteringsnøgler for hver session, så al trafik mellem enheden og netværket nu er individuelt krypteret med nøgler, der kasseres, når sessionen lukkes. Det er derfor, at WPA2-Enterprise også kaldes ’sikker trådløs’. Derfor har WPA2-Enterprise tre meget store fordele:

  1. Sikkerhedsrisici forbundet med en forud meddelt nøgle elimineres.
  2. Godkendelse af brugere finder sted, før de får adgang til netværket.
  3. På grund af krypteringen af data for hver session formindskes risikoen for, at uautoriserede personer kan forstå trafikken eller blive en “mellemmand”. 

 

Yderligere kontroller

En yderligere fordel ved WPA2-Enterprise er, at IT-chefer nu er i stand til at implementere yderligere kontroller.

Forestil dig, at du vil undgå, at medarbejdere logger på systemer uden for arbejdstiden (du vil selvfølgelig undgå, at de brænder ud, og du vil ikke lade dem se Netflix i ubegrænset tid).

Med WPA2-Enterprise kan RADIUS-serveren ikke alene “fortælle” Wi-Fi-adgangspunktet, om en bruger må få adgang til netværket; den kan også fortælle Wi-Fi-adgangspunktet om de gældende betingelser. Nogle medarbejdere har fx lov til at få adgang til netværket gennem deres telefon og bærbare på alle tidspunkter (fx CEO’er), hvorimod andre medarbejdere kun har tilladelse til at få adgang til netværket via en virksomheds-bærbar i virksomhedens åbningstid.

Meget mere er muligt i denne forbindelse, men det ligger uden for denne artikels emne. Alle disse yderligere kontroller giver dig et bedre greb om dit netværk og forbedrer derfor den generelle IT-sikkerhed.

Er vi snart fremme?

Der er et sidste problem, der skal klares. På trods af de mange fordele ved WPA2-Enterprise kan uautoriserede personer stadig stjæle dine virksomhedsdata fx ved at bruge et uautoriseret access point eller ved at stjæle en brugers personlige indlogningsoplysninger.

Hvis du vil gøre din Wi-Fi-sikkerhed helt tæt, bør brugere, der ønsker adgang til netværket, godkendes på grundlag af noget, de ved (en adgangskode), og noget, de har. Det kan gøres ved hjælp af certifikater, der er installeret på enhederne eller på smartcard.

Dog kan PEAP-protokollen kun kontrollere brugeradgangskoder, hvilket betyder, at du skal udskifte den med en protokol, der kan kontrollere certifikater. EAP-TLS er en sådan protokol, fordi den gør det muligt at arbejde med en flerfaktorgodkendelsesprocedure. Det fungerer sådan: Du installerer klientcertifikater på alle de enheder, der skal have adgang til firmanetværket, og du implementerer derefter EAP-TLS-protokollen, så disse certifikater anvendes til godkendelse. Det fører til en gensidig godkendelse, fordi både serveren og enheden får bevis på modpartens troværdighed.

Det vil sige: Det bliver så godt som umuligt at foregive at være en godkendt enhed, når du rent faktisk ikke er det. Mellemmanden er dermed væk!

En sidste bemærkning: afsnitsopdeling

Man kan roligt sige, at kombinationen af WPA2-Enterprise, EAP-TLS-protokollen og klientcertifikaterne er en rigtig god måde at sikre din virksomheds Wi-Fi på. Men der er endnu en forholdsregel, du kan tage.

Hvis du opdeler dit firmanetværk i forskellige afsnit (ved at oprette forskellige VLAN’er), kan du få RADIUS-serveren til at dirigere brugere eksklusivt til de afsnit, som de skal have adgang til. For eksempel er det kun få brugere i din organisation, som har brug for adgang til økonomisystemerne, så hvorfor lade dem være frit tilgængelige?

Opdeling i afsnit hjælper dig med at begrænse risikoen for, at uautoriserede personer får adgang til følsomme data, da disse data simpelthen er låst sikkert væk fra og derfor er utilgængelige for de fleste. Dette kaldes dynamisk WLAN-understøttelse og følger gratis med implementeringen af WPA2-Enterprise. Føj denne forholdsregel til den flerfaktorgodkendelsesprocedure, vi talte om, og så har du fået en god løsning til kontrol af netværksadgang.

Lyder det besværligt? Tja, det er det også. Heldigvis er der en metode til at automatisere hele processen med at oprette, installere og forny certifikater på enheder. Den kaldes automatisk NAC. Du kan sammenligne den med en opvaskemaskine, der tager sig af dine tallerkener. Automatisk NAC virker meget bedre og sikrere, mens du kan bruge tid på noget andet. Derudover er der meget mindre risiko for fejl med automatisk kontrol af netværksadgang sammenlignet med manuel implementering. Der er kun fordele!

Want to see it live?

Let us show you how GlobalID actually works! Fill in your details and we’ll get back to you to find a date for an online demo that fits your calendar.