Zabezpečte si Wi-Fi v režimu enterprise

Pro malé a střední podniky může být snadnější nasadit zabezpečení sítí Wi-Fi v režimu personal. Může to ale být drahé zjednodušení.

Zabezpečte si Wi-Fi v režimu enterprise


I když je lákavé používat pro zabezpečení sítí Wi-Fi režim personal, který je jednodušší nakonfigurovat a užívat, podniky a organizace by skutečně měly využít režim WPA2 enterprise.

Přestože vyžaduje pro autentizaci klientů server RADIUS a jeho administrace je složitější, poskytuje oproti obvyklému profilu personal vynikající ochranu sítí WLAN a v dlouhodobém horizontu podnikům může ušetřit čas i peníze.

Tady je několik důvodů, proč by podniky a organizace měly využívat zabezpečení Wi-Fi právě v režimu enterprise.

 

1. Eliminuje bezpečnostní rizika vyplývající ze sdílených hesel

Při zapnutí režimu personal zabezpečení WPA nebo WPA2, který nese technické označení zkratkou PSK (Pre-shared Key – předsdílený klíč), vytvoříte jedno jedinečné globální heslo.

Před připojením do bezdrátové sítě každý může zadat toto stejné heslo, které se poté uloží do zařízení. Problém je, že když dojde ke ztrátě nebo krádeži notebooku či smartphonu, tak kdokoli, komu takový přístroj padne do rukou, příslušné heslo získá a může se v dotyčné lokalitě připojit k síti.

Navíc když zaměstnanci nebo jiný personál opustí organizaci, stále mají k dispozici ono heslo pro Wi-Fi, a tedy i možnost přístupu z libovolného svého zařízení, které dříve používali k připojování.

Kvůli řádné ochraně sítě WLAN by potom bylo nutné měnit globální heslo Wi-Fi pokaždé, když někdo ztratí zařízení nebo opustí organizaci. To znamená informovat každého o změně hesla a zadat nové heslo do všech bezdrátových řešení, které zmíněnou síť využívají.

Navíc u některých verzí systému Windows a dalších mobilních zařízení se bude muset smazat nebo změnit existující uložené heslo, protože se tyto stroje budou snažit připojit se starým heslem a nedovolí jednoduše zadat při připojování to nové. To může mást koncové uživatele a přidělat více práce IT personálu, který jim bude pomáhat tento nedostatek odstranit.

Režim enterprise u zabezpečení WPA a WPA2 však umožňuje přiřadit jednotlivým uživatelům pro přihlašování k síti Wi-Fi unikátní uživatelská jména a hesla – pokud implementujete populární metodu PEAP.

Když pak někdo ztratí své zařízení nebo přestane být firemním zaměstnancem, jednoduše změníte jeho individuální heslo nebo smažete jeho uživatelské jméno.

Mějte ale na paměti, že v operačním systému Windows Vista a v novějších verzích můžete snadno najít uložená hesla Wi-Fi v profilu bezdrátové sítě. Ve Windows XP k tomu lze použít nástroj k odhalení hesel.

Přestože Windows také ukládá přihlašovací údaje 802.1x, heslo se už ukládá v zašifrované podobě. Navíc pokud takové heslo někdo odhalí, můžete jej vždy snadno změnit – týká se jen jednoho uživatele.

Ačkoli někteří dodavatelé bezdrátových produktů implementovali řešení dynamického PSK, aby ošetřili problém se statickým klíčem, jde o proprietární funkci jejich bezdrátového řadiče.

 

2. Chrání před slíděním

V režimu personal u zabezpečení Wi-Fi může kdokoli se sdíleným heslem zachycovat a zkoumat obsah přenosů v bezdrátové síti. Kromě sledování procházení internetu každého zařízení připojeného do sítě je možné zachycovat a unášet přihlášení k nešifrovaným webům a službám, jako jsou některé sociální sítě nebo poskytovatelé e-mailu.

V režimu enterprise způsob přiřazování šifrovacích klíčů a jejich výměny na pozadí zajišťuje ochranu uživatelů před dešifrováním a sledováním jejich bezdrátových přenosů. Nemá to vliv na sdílení v síti, takže uživatelé stále mohou přistupovat ke všem sdíleným složkám a tiskárnám, ale nemohou odposlouchávat přenosy ostatních uživatelů.

 

3. Umožňuje metody zesíleného zabezpečení

Kromě schopnosti pracovat s unikátními hesly pomocí metody PEAP standardu 802.1x poskytuje režim enterprise i možnost vyžadovat v klientovi při použití metody EAP-TLS přítomnost bezpečnostního certifikátu SSL (X.509).

 

Kompletní článek zahrnující spoustu dalších poznatků, trendů a zajímavostí si můžete přečíst v Computerworldu 17/2014.

 

Úvodní foto: © rukanoga - Fotolia.com



Vyšlo v Computerworldu 17/2014








Komentáře