Skrämmande wifi: styrkan hos WPA2-Enterprise (om du gör det på rätt sätt)

WPA2-Enterprise for sikkert WiFi.

This post is also available in: Danska

I vår tidigare blogg diskuterade vi nackdelarna med att säkra ett företags nätverk med WPA2-Personal. Vi lovade också att ge ett alternativ som passar mycket bättre för företags-wifi. Så låt oss prata om WPA2-Personal för företag, kallat WPA2-Enterprise i denna artikel.

På vilket sätt skiljer sig de båda wifi-säkerhetsteknikerna och vilka verktyg bör du lägga till för att göra WPA2-Enterprise till din optimala säkerhetslösning? Och lika viktigt: hur får du det att fungera för dig själv och dina medarbetare utan att arbeta övertid? Vi ger dig svaren i denna blogg.

Sammanfattning av WPA2-Personal

Låt oss först av allt sammanfatta varför säkring av ditt företags wifi med WPA2-Personal är en dålig idé.

För det första är WPA2-Personal avsett för att säkra ett litet privat nätverk som det wifi vi använder i hemmet. Här består ett lokalt nätverk bara av ett par enheter som telefoner, bärbara datorer och surfplattor. Wifi:t säkras med en gemensam statisk nyckel som måste delas med alla som behöver åtkomst.

Detta är bra för familjer och besökande vänner, men på ett kontor används wifi inte enbart av en massa människor, utan det ger även åtkomst till en stor mängd känsliga företagsdata. Eftersom WPA2-Personal fungerar med ett enda gemensamt lösenord, finns det dessutom många sätt för hackare att hitta svagheter i enheterna i nätverket för att ta full kontroll över nätverket.

För det fjärde har WPA2-Personal inga som helst restriktioner. När du väl är ansluten till wifi, har du all frihet i världen.

Skillnader mellan WPA2-Personal och WPA2-Enterprise

Uppenbarligen kräver företags-wifi lite mer än en gemensam statisk nyckel. Det löser WPA2-Enterprise. Denna äldre bror till WPA2-Personal har en verifieringsprocess som grundar sig på 802.1X protocol.

I sin enklaste form är det kombinationen av wifi-åtkomstpunkten som ber användaren om användarnamn och lösenord genom PEAP-protokoll och en RADIUS-server i bakgrunden som kontrollerar om användaren ska tillåtas åtkomst. Om så krävs, kan RADIUS-servern anslutas till den interna användarkatalogen så att användare kan logga in med befintliga användarnamn och lösenord.

Ett servercertifikat används för att verifiera åtkomstpunkten och tillfälliga krypteringsnycklar genereras per session så att all trafik mellan enheten och nätverket nu krypteras individuellt med nycklar som kasseras efter att sessionen har avslutats. Det är därför som WPA2-Enterprise även kallas säkert trådlöst. Tack vare detta har WPA2-Enterprise tre väsentliga fördelar:

  1. Säkerhetsrisker med en gemensam statisk nyckel försvinner.
  2. Verifiering av användare sker innan de får åtkomst till nätverket.
  3. Tack vare kryptering av data för varje session, minskas risken för inkräktare att förstå trafiken eller att bli en man-i-mitten.

Ytterligare kontroller

En annan bra sak med WPA2-Enterprise är att IT-chefen kan införa ytterligare kontroller.

Låt oss säga att du önskar undvika att medarbetare loggar in på systemet utanför arbetstid (givetvis vill du inte att de ska bli utbrända eller sova över och titta på obegränsad Netflix).

Med WPA2-Enterprise kan RADIUS-servern inte bara ”tala om för” wifi-åtkomstpunkten om en användare tillåts åtkomst till nätverket, utan den talar även om för wifi-åtkomstpunkten under vilka villkor det ska ske. Exempelvis kan vissa anställda alltid ha åtkomst till nätverket via sina telefoner eller bärbara datorer (vd:ar till exempel) medan andra anställda endast tillåts gå på nätverket med en företagsdator under arbetstid.

Mycket mer är möjligt här, men det ligger utanför omfattningen av denna artikel. Alla dessa ytterligare kontroller ger dig ett bättre grepp om ditt nätverk och därför förbättrar det den övergripande IT-säkerheten.

Är du redan där?

Det finns ett sista problem som du måste ta itu med. Trots alla fördelar med WPA2-Enterprise kan inkräktare ändå stjäla dina företagsdata, till exempel genom att använda en otillåten åtkomstpunkt eller genom att stjäla den personliga loggen i en användares inloggningsuppgifter.

Om du vill göra säkerheten för din wifi vattentät, bör användare som önskar ansluta till nätverket verifieras med något de känner till (ett lösenord) eller något de har. Detta kan göras med certifikat som är installerade på enheten eller i smartcard.

Dock kan PEAP-protokoll endast kontrollera användarlösenord, vilket innebär att du måste ersätta det med ett protokoll som kan kontrollera certifikat. EAP-TLS är ett sådant protokoll. Det möjliggör för dig att arbeta med en flerfaktorsverifieringsprocedur. Så här fungerar det: du installerar klientcertifikat på alla enheter som behöver åtkomst till ditt företags nätverk och implementerar EAP-TLS-protokoll så att certifikaten används under verifiering. Detta ger ömsesidig verifiering, då både server och enhet ger varandra bevis för varandras trovärdighet.

Alltså: det blir virtuellt omöjligt att låtsas vara en tillförlitlig enhet om den inte är det. Bort med mannen-i-mitten!

En sista kommentar: delområden

Vi kan säkert säga att kombinationen med WPA2-Enterprise, EAP-TLS-protokoll och klientcertifikat är ett bra sätt att säkra ditt företags wifi. Men det finns ytterligare en åtgärd du kan vidta.

Om du delar upp ditt företagsnätverk i olika delområden (genom att skapa olika VLAN:er), kan du använda RADIUS-servern för att dirigera användare till endast de delområden som de behöver ha åtkomst till. Till exempel behöver endast ett fåtal personer i din organisation åtkomst till det finansiella systemet, så varför låta det vara öppet?

Delområden hjälper dig att begränsa riskerna för inkräktare att få åtkomst till känsliga data, eftersom de är tryggt inlåsta för de flesta. Detta kallas dynamisk VLAN-support och det följer med implementeringen av WPA2-Enterprise utan kostnad. Lägg till denna åtgärd till flerfaktorsverifieringen vi pratade om så får du en bra lösning för nätverksåtkomstkontroll.

Låter det som ett stort arbete? Ja, det är det. Men som tur är finns det ett sätt att automatisera hela processen med att skapa, installera och förnya certifikat på enheter. Detta kallas automatiserad nätverksåtkomstkontroll (NAC) och du kan jämföra det med en diskmaskin som tar hand om din disk. Den fixar det bättre och snabbare, medan du kan göra annat. Dessutom är automatiserad nätverksåtkomstkontroll mycket mindre felbenägen jämfört med manuell implementering. Bara fördelar här!

Vill du veta mer om nätverksåtkomstkontroll och lära dig om möjligheterna för ditt företagsnätverk? Ladda ner vitboken nedan!

Du kan också delta i vårt tekniska seminarium om nätverkskontroll i Göteborg.

Anmäl dig gratis till vårt seminarium i Göteborg >


Nac guide.

Posts not found