Khía cạnh quan trọng nhất của bất kỳ thiết lập internet nào trong năm 2019 là mạng không dây của bạn. Mặc dù các kết nối có dây nhanh hơn và thường an toàn hơn, nhưng với các thiết bị nằm xung quanh nhà bạn cần có tín hiệu không dây. Từ TV thông minh và loa cho đến điện thoại thông minh và máy tính bảng của bạn, kết nối không dây đơn giản là phải có trong năm 2019.
Tất nhiên, khi nói đến internet không dây, bạn sẽ phải đối mặt với rất nhiều điều khoản bảo mật khác nhau mà bạn có thể không quen thuộc, dẫn đến nhiều nhầm lẫn xung quanh không gian mạng không dây. Có các từ viết tắt ở khắp mọi nơi và vô số các tùy chọn, với hầu hết các giao dịch này liên quan trực tiếp đến các giao thức bảo mật. Tất cả điều này có nghĩa là bảo mật mạng của bạn có nguy cơ trực tiếp trừ khi bạn biết chính xác những gì bạn đang làm.
Vì vậy, đối với bài viết này, chúng tôi sẽ xem xét bảo mật WPA2 Enterprise, cách thức hoạt động và liệu bạn có cần nó không. Từ lịch sử của WPA như một giao thức bảo mật cho đến cách WPA2 Enterprise thực sự có thể nâng cao bảo mật nhà của bạn, đây là hướng dẫn của bạn để thiết lập WPA2 Enterprise trên mạng của bạn.
WPA2 là gì?
Để đối phó với thảm họa bảo mật là WEP, Liên minh WiFi đã phát triển WPA (Truy cập được bảo vệ WiFi.) Vì WPA là phản ứng trực tiếp với WEP, nó đã giải quyết được nhiều vấn đề của WEP. WPA triển khai TKIP (Giao thức toàn vẹn khóa tạm thời), giúp cải thiện đáng kể mã hóa không dây bằng cách tạo các khóa động cho mỗi gói được truyền. WPA cũng bao gồm các kiểm tra để đảm bảo rằng dữ liệu truyền không bị giả mạo.
Trong khi WPA là tốt, nó cũng có những sai sót. Hầu hết chúng có nguồn gốc từ việc sử dụng TKIP. TKIP là một cải tiến về mã hóa của WEP, nhưng nó vẫn có thể khai thác được. Vì vậy, Liên minh Wi-Fi đã giới thiệu WPA2 với mã hóa AES (Tiêu chuẩn mã hóa nâng cao) bắt buộc. AES là một tiêu chuẩn mã hóa mạnh hơn với sự hỗ trợ cho mã hóa 256 bit. Đến bây giờ, WPA2 với AES là tùy chọn an toàn nhất.
Sự khác biệt giữa doanh nghiệp và cá nhân là gì?
Bây giờ, vẫn còn câu hỏi đó về WPA2 Enterprise. Rốt cuộc, đó có lẽ là lý do tại sao bạn nhấp vào bài viết này ở nơi đầu tiên. Nếu bạn đã xem các cài đặt cấu hình của bộ định tuyến không dây được thực hiện sau năm 2006, bạn có thể nhận thấy rằng có hai tùy chọn cho WPA2. Trên hầu hết các bộ định tuyến, bạn có thể tìm thấy một nhãn có nhãn, Enterprise Enterprise, còn cái kia được đánh dấu, Cá nhân. Cả hai tùy chọn là WPA2 và sử dụng cùng một mã hóa AES. Sự khác biệt giữa chúng đến từ cách chúng xử lý kết nối người dùng với mạng.
WPA2 Personal cũng sử dụng Khóa chia sẻ trước WPA2-PSK hoặc WPA2 vì nó quản lý các kết nối với mạng bằng mật khẩu đã được chia sẻ với người kết nối. Điều này hoạt động tốt cho các mạng gia đình nhỏ vì bạn thường có thể tin tưởng tất cả mọi người trên mạng và chúng không phải là mục tiêu của những kẻ xâm nhập tiềm năng. Rất có thể, nếu bạn đã kết nối với WiFi tại nhà của một người bạn hoặc thiết lập mạng không dây của riêng bạn, thì nó đã được cấu hình bằng WPA2-PSK.
WPA2 Enterprise rõ ràng tập trung nhiều hơn vào người dùng doanh nghiệp. Thay vì chỉ sử dụng một mật khẩu duy nhất để xác thực quyền truy cập, WPA2 Enterprise dựa vào máy chủ RADIUS và cơ sở dữ liệu thông tin xác thực ứng dụng khách riêng biệt để xác thực. Điều này rất tốt cho các doanh nghiệp vì họ có tài nguyên để thiết lập một máy chủ để xác thực. Các doanh nghiệp cũng có nhu cầu bảo mật lớn hơn. Một doanh nghiệp cũng có thể nhanh chóng phục hồi trong trường hợp thiết bị bị mất hoặc bị đánh cắp bằng cách chỉ định cho mỗi người dùng thông tin đăng nhập của riêng họ. Ngoài ra, nó cho phép một doanh nghiệp tự bảo vệ mình trước những nhân viên bất mãn, những người có thể muốn làm hại mạng của họ.
Ưu điểm của WPA2 Enterprise là gì?
Ưu điểm của WPA2 Enterprise không phải là lợi thế chính xác cho mọi người. Nếu bạn chỉ muốn thiết lập một mạng gia đình đơn giản với ít rắc rối hoặc bảo trì cần thiết, WPA2 Enterprise sẽ không phải là một giải pháp tốt cho bạn. Nó hoàn toàn trái ngược với những gì bạn muốn. Tuy nhiên, nếu bạn đang điều hành một doanh nghiệp hoặc bạn đang tìm kiếm bảo mật chi tiết tốt trên mạng gia đình của mình, WPA2 Enterprise có một số đặc điểm khiến nó trở thành một ứng cử viên xuất sắc.
WPA2 Enterprise sử dụng cơ sở dữ liệu. Mặc dù nó có thể không phải là vấn đề lớn khi bạn chỉ giao dịch với một số ít người dùng, nhưng sức mạnh và tiện ích của cơ sở dữ liệu có thể rất quan trọng khi làm việc với số lượng lớn kết nối. Nó cho phép quản trị viên mạng theo dõi, quản lý và thao tác dữ liệu dễ dàng bằng các công cụ mà họ quen thuộc một cách hiệu quả.
Sử dụng cơ sở dữ liệu cũng giúp nâng cao một đặc điểm chính khác của mạng doanh nghiệp WPA2, khả năng vô hiệu hóa thông tin đăng nhập của người dùng. Quản trị viên mạng có thể dễ dàng vô hiệu hóa tài khoản người dùng trong trường hợp thiết bị bị mất, bị đánh cắp hoặc người dùng đó rời khỏi công ty. Thông tin đăng nhập cá nhân cũng giúp ngăn chặn các mối đe dọa tiềm ẩn bằng cách đơn giản để xóa bất kỳ máy bị xâm nhập nào khỏi mạng.
WPA2 Enterprise loại bỏ yêu cầu thay đổi thông tin đăng nhập khi quản trị viên xóa người dùng khỏi mạng hoặc một máy bị xâm phạm. Sẽ là một nỗi đau lớn cho bộ phận CNTT của một tập đoàn lớn khi phải kết nối lại từng thiết bị trên mạng của họ bằng thông tin đăng nhập mới mỗi khi có ai đó rời công ty. Điều đó không có ý nghĩa.
Việc sử dụng các khóa xác thực người dùng cá nhân cũng ngăn chặn mạng, hạn chế dữ liệu mạng mà mỗi người dùng có quyền truy cập. Trong mạng WPA2-PSK, mọi người dùng có thể xem dữ liệu mạng của mọi người dùng khác. Điều này giúp kẻ xâm nhập hoặc kẻ tấn công sẽ dễ dàng truy cập vào nhiều thông tin hơn trên mạng và gây ra nhiều thiệt hại hơn. Đối với các mạng doanh nghiệp, đây không phải là vấn đề, nhờ các khóa riêng lẻ.
Một tính năng tuyệt vời khác của WPA2 Enterprise là khả năng sử dụng chứng chỉ để xác thực. Mật khẩu có vấn đề vì rất nhiều lý do, không ít trong số đó là lỗ hổng của chúng đối với các cuộc tấn công từ điển. Để làm cho vấn đề tồi tệ hơn, gần như không thể dựa vào người dùng của bạn để tạo mật khẩu mạnh. Nó gần giống như mọi người theo bản năng chọn rác mỗi lần. Đây thực sự là rủi ro lớn nhất đối với các mạng WPA2-PSK. Chứng chỉ gần giống như một chính sách bảo hiểm chống lại mật khẩu xấu. Ngay cả khi kẻ tấn công có thể đoán được mật khẩu khủng khiếp của người dùng, họ vẫn không thể đăng nhập mà không có chứng chỉ của người dùng đó. Chứng chỉ cung cấp một lớp bảo vệ khác cho các mạng doanh nghiệp.
Làm thế nào để bạn thực hiện một mạng doanh nghiệp WPA2?
Hoàn toàn không thể bao gồm mọi cấu hình có thể và sự kết hợp của các tình huống có thể xảy ra khi thiết lập mạng WiFi WPA2 Enterprise. Không ai sẽ có cùng phần cứng và phần mềm mạng, và không ai sẽ có cùng các máy khách. Tuy nhiên, có các bước cơ bản mà quản trị viên mạng có thể sử dụng trên mọi thiết lập mạng.
Trước khi bạn tự đào sâu vào mạng, hãy thiết lập cơ sở dữ liệu người dùng của bạn. Nó có vẻ như quá mức cần thiết, nhưng MySQL hoặc một bản sao tương thích như MariaDB là lựa chọn tốt nhất. Bạn có thể thiết lập cơ sở dữ liệu của mình trên máy riêng, máy chủ cơ sở dữ liệu hiện có hoặc trên cùng máy với máy chủ RADIUS. Nơi bạn chọn phải phụ thuộc vào mức độ lớn của cơ sở dữ liệu và cách bạn lên kế hoạch quản lý nó. MySQL đã chứng minh bản thân nhanh và đáng tin cậy. Nó cũng là nguồn mở và tương thích với bất kỳ nền tảng máy chủ nào bạn chọn.
Máy chủ RADIUS là trung tâm của WPA2 Enterprise. Đây là yếu tố chính phân biệt mạng doanh nghiệp với mạng cá nhân. RADIUS chịu trách nhiệm quản lý các kết nối và xác thực. Nó cũng phối hợp mọi thứ diễn ra giữa bộ định tuyến, cơ sở dữ liệu và máy khách. Có một số tùy chọn để thiết lập máy chủ RADIUS. Trong một số trường hợp, bộ định tuyến có RADIUS tích hợp. Ngoài ra còn có một số tùy chọn thương mại để lựa chọn. FreeRADIUS là một máy chủ RADIUS mã nguồn mở tuyệt vời có thể được triển khai trên các máy chủ dựa trên Linux, Windows và Mac. Trong mọi trường hợp, bạn sẽ phải định cấu hình máy chủ RADIUS của mình để kết nối và sử dụng cơ sở dữ liệu MySQL của bạn.
Bạn sẽ cần một số chìa khóa. Khóa mã hóa rõ ràng là một thành phần quan trọng trong toàn bộ phương trình này. Một lần nữa, có một số cách để tiếp cận việc tạo khóa của bạn và thiết lập cơ quan cấp chứng chỉ. Trên hầu hết mọi hệ điều hành, OpenSSL là một lựa chọn tuyệt vời. OpenSSL cũng là một chương trình nguồn mở tương thích với mọi nền tảng.
Với cả hai máy chủ được cấu hình và đang chạy và các khóa của bạn được tạo, cuối cùng bạn cũng có thể thiết lập bộ định tuyến của mình. Mỗi bộ định tuyến là khác nhau, vì vậy không dễ để đi vào chi tiết cụ thể ở đây. Chỉ cần đảm bảo rằng bạn chuyển cài đặt không dây của bộ định tuyến sang WPA2 Enterprise bằng mã hóa AES. Bạn cũng sẽ phải cung cấp cho bộ định tuyến thông tin của mình để kết nối với máy chủ RADIUS.
Cuối cùng, bạn có thể bắt đầu kết nối khách hàng. Tạo thông tin khách hàng và khóa trao đổi. Kết nối mỗi khách hàng sẽ khác nhau. Mỗi hệ điều hành và thiết bị xử lý kết nối với mạng và quản lý các kết nối khác nhau. Nói chung, bạn sẽ cần chứng chỉ của mình và thông tin đăng nhập mà bạn đã tạo. Hãy chắc chắn định cấu hình các thiết bị khách để kết nối tự động để lưu các rắc rối trong tương lai.
Vì vậy, tôi có chuyển đổi không?
Tùy thuộc vào bạn là ai và bạn cần mạng của bạn để làm gì, chuyển đổi có thể là một ý tưởng tốt. Nếu mạng của bạn được cấu hình để sử dụng WEP hoặc WPA hiện tại, hãy chuyển sang WPA2 ngay bây giờ! Đừng chờ đợi. Cứ làm đi. Nếu bạn đang sử dụng WPA2 Personal và bạn đang nghĩ về việc chuyển sang doanh nghiệp, điều đó không rõ ràng.
Đừng chuyển sang WPA2 Enterprise nếu bạn là người dùng gia đình và bạn không biết gì về cơ sở dữ liệu hoặc máy chủ đang chạy. Bạn sẽ chỉ thất vọng với một mạng bị hỏng. Bám sát WPA2 Personal và chọn một mật khẩu mạnh. Bạn sẽ hạnh phúc hơn nhiều với nó.
Nếu bạn đang điều hành một doanh nghiệp và có nhân viên, chuyển sang WiFi doanh nghiệp có thể là bước đi phù hợp với bạn. Chỉ cần chắc chắn rằng bạn đã chuẩn bị và có tất cả các bộ phận và mảnh theo thứ tự trước khi thực hiện bước nhảy vọt. Cấu hình phù hợp cũng quan trọng đối với bảo mật như chọn mã hóa và chuẩn WiFi phù hợp.
