2019年任何互联网设置中最重要的方面是您的无线网络。 虽然有线连接速度更快且通常更安全,但是房屋周围的大量设备都需要无线信号。 从智能电视和扬声器到智能手机和平板电脑,无线连接在2019年简直是必不可少的。
当然,当涉及到无线互联网时,您将要处理许多您可能不熟悉的安全术语,从而导致无线网络领域出现许多混乱。 到处都有缩写词和大量的选项,其中大多数直接涉及安全协议。 所有这些都意味着您的网络安全将受到直接威胁,除非您确切地知道自己在做什么。
因此,在本文中,我们将研究WPA2 Enterprise安全性,其工作方式以及是否需要它。 从WPA作为安全协议的历史到WPA2 Enterprise如何真正增强家庭安全性,这是在网络上设置WPA2 Enterprise的指南。
什么是WPA2?
为了应对WEP带来的安全灾难,WiFi联盟开发了WPA(WiFi保护访问)。由于WPA是对WEP的直接响应,因此它解决了WEP的许多问题。 WPA实施了TKIP(临时密钥完整性协议),该协议通过为传输的每个数据包动态生成密钥来极大地改善了无线加密。 WPA还包括检查以确保传输的数据未被篡改。
虽然WPA很好,但也有缺陷。 其中大多数源于TKIP的使用。 TKIP是对WEP加密的改进,但仍可被利用。 因此,Wi-Fi联盟推出了带有强制AES(高级加密标准)加密的WPA2。 AES是更强大的加密标准,支持256位加密。 到目前为止,带有AES的WPA2是最安全的选择。
企业和个人之间有什么区别?
现在,仍然存在WPA2 Enterprise的问题。 毕竟,这可能就是您首先单击本文的原因。 如果您查看了2006年之后进行的无线路由器的配置设置,则可能已经注意到WPA2有两个选项。 在大多数路由器上,可以找到一个标记为“企业”的标记,另一个标记为“个人”的标记。两个选项均为WPA2,并且使用相同的AES加密。 它们之间的区别在于它们如何处理将用户连接到网络的方式。
WPA2 Personal也使用WPA2-PSK或WPA2预共享密钥,因为它使用已与连接人员共享的密码来管理与网络的连接。 这对于小型家庭网络非常有效,因为您通常可以信任网络上的每个人,而他们并不是潜在入侵者的目标。 如果您已经在朋友家中连接到WiFi,或者建立了自己的无线网络,则可能是使用WPA2-PSK配置的。
WPA2 Enterprise显然更专注于业务用户。 WPA2 Enterprise不仅使用RADIUS身份验证访问密码,还依靠RADIUS服务器和具有独立客户端凭据的数据库进行身份验证。 这对企业非常有用,因为它们有资源来设置用于身份验证的服务器。 企业还具有更高的安全需求。 通过为每个用户分配自己的登录信息,企业还可以在设备丢失或被盗时迅速恢复。 另外,它使企业可以保护自己免受可能想要损害其网络的不满员工的侵害。
WPA2企业的优势是什么?
WPA2 Enterprise的优势并非所有人都具有优势。 如果您只是想建立一个简单的家庭网络而几乎不需要麻烦或维护,那么WPA2 Enterprise将不是您的理想解决方案。 这几乎与您想要的相反。 但是,如果您正在开展业务,或者正在寻找家庭网络上的细粒度安全性,则WPA2 Enterprise具有多种特性,使其成为极佳的选择。
WPA2 Enterprise使用数据库。 当您只与少量用户打交道时,这可能没什么大不了的,但是在处理大量连接时,拥有数据库的功能和实用性至关重要。 它使网络管理员可以使用他们熟悉的工具轻松,高效地跟踪,管理和操作数据。
使用数据库还有助于增强WPA2企业网络的另一个关键特性,即禁用用户凭据的能力。 如果设备丢失,被盗或该用户离开公司,网络管理员可以轻松禁用该用户的帐户。 单个登录凭据还可以通过简化从网络中删除任何受感染计算机的方式来帮助控制潜在威胁。
当管理员从网络中删除用户或单台计算机受到威胁时,WPA2 Enterprise无需更改登录信息。 大型公司的IT部门每次有人离开公司时都必须使用新的登录名重新连接其网络上的每个设备,这将是一个巨大的痛苦。 那只是没有道理。
单个用户身份验证密钥的使用也使网络隔离,限制了每个用户可以访问的网络数据。 在WPA2-PSK网络中,每个用户都可以看到每个其他用户的网络数据。 这使得入侵者或潜在的攻击者很容易获得网络上更多信息的访问权并造成更大的破坏。 对于企业网络,这不是问题,这要归功于各个密钥。
WPA2 Enterprise的另一个重要功能是可以使用证书进行身份验证。 密码之所以成问题,有很多原因,其中最重要的就是它们容易受到字典攻击。 更糟的是,几乎不可能依靠您的用户来创建强密码。 这就像人们每次本能地选择垃圾桶一样。 这实际上是WPA2-PSK网络的最大风险。 证书几乎就像是防止错误密码的保险单。 即使攻击者能够猜出用户的糟糕密码,但如果没有该用户的证书,他们仍然无法登录。 证书为企业网络提供了另一层保护。
您如何实施WPA2企业网络?
涵盖建立WPA2 Enterprise WiFi网络可能涉及的所有可能的配置和情况组合,这是绝对不可能的。 没有人会拥有相同的网络硬件和软件,也没有人会拥有相同的客户端。 但是,网络管理员可以在每个网络设置中使用一些基本步骤。
在深入研究网络本身之前,请建立您的用户数据库。 可能看起来有些矫kill过正,但是MySQL或兼容的克隆(例如MariaDB)是最佳选择。 您可以在自己的计算机,现有的数据库服务器或与RADIUS服务器相同的计算机上设置数据库。 您选择的位置应取决于数据库的大小以及管理数据库的计划。 MySQL已证明自己快速可靠。 它也是开源的,并且与您选择的任何服务器平台兼容。
RADIUS服务器是WPA2 Enterprise的核心。 这是区分企业网络与个人网络的主要因素。 RADIUS负责管理连接和身份验证。 它还协调路由器,数据库和客户端之间进行的所有操作。 设置RADIUS服务器有很多选项。 在某些情况下,路由器内置有RADIUS。还有许多商业选项可供选择。 FreeRADIUS是出色的开源RADIUS服务器,可以部署在基于Linux,Windows和Mac的服务器上。 无论如何,您都将必须配置RADIUS服务器以连接并使用MySQL数据库。
您将需要一些键。 加密密钥显然是整个方程式的重要组成部分。 同样,有多种方法可用于生成密钥和建立证书颁发机构。 在几乎所有操作系统上,OpenSSL都是不错的选择。 OpenSSL还是一个开源程序,几乎可以与任何平台兼容。
配置并运行服务器,并生成密钥后,您最终可以设置路由器。 每个路由器都不相同,因此在此处进行说明并不容易。 只需确保将路由器的无线设置切换为具有AES加密的WPA2 Enterprise。 您还必须向路由器提供信息以连接到RADIUS服务器。
最后,您可以开始连接客户端。 创建客户端凭据并交换密钥。 连接每个客户端将有所不同。 每个操作系统和设备都处理与网络的连接并以不同方式管理连接。 一般来说,您将需要您的证书和已经创建的登录信息。 确保将客户端设备配置为自动连接以节省将来的麻烦。
所以,我要切换吗?
根据您是谁以及您需要网络做什么,切换可能是一个好主意。 如果您的网络当前配置为使用WEP或WPA,请立即切换到WPA2! 不要等 去做就对了。 如果您正在使用WPA2 Personal,并且正在考虑过渡到企业,则不清楚。
如果您是家庭用户并且对数据库或运行的服务器一无所知,请不要切换到WPA2 Enterprise。 您最终会因网络断开而感到沮丧。 坚持使用WPA2 Personal,然后选择一个强密码。 您会更开心的。
如果您正在开展业务并且有员工,那么切换到企业WiFi可能是您的正确选择。 只需确保您已做好准备,并准备好所有零配件,然后再进行跳跃。 正确配置对于安全性与选择正确的加密和WiFi标准一样重要。