Utbildning i WIFI-säkerhet

 

Hur skall man tänka för att bygga ett säkert och skyddat WIFI-nät?

I vår korta utbildningsvideo går vi igenom hur man kan tänka och bygga säkra WIFI-nät beroende på kundens behov. Vi går igen fler olika alternativ i olika säkerhetsnivåer.

Enklaste säkerhetsnivån

Första varianten av säkerhet bygger på att vi delar upp kundens WIFI-nät i två delar. Den första delen är det fysiska nätverket som innehåller kabelanslutna datorer, skrivare och servrar. I vårt testexempel 192.168.1.x

Den andra delen är ett virtuellt nätverk (s.k. VLAN) som bara får prata med brandväggen. Det virtuella nätverket får en egen IP-serie. I vårt testexempel 192.168.2.x

I vårt första testexempel väljer vi att bara skydda vårt lokala nätverk med ett enkelt WIFI-lösenord (s.k. PSK). Gästnätet skyddar vi också med ett WIFI-lösenord. Lösenorden kan enkelt bytas på alla accesspunkter på 10 sekunder via Cloud-controllern (om du kör LigoWave accespunkter)

LigoWave Alignment information

För att bygga upp ett virtuellt nät måste vi ha managerbara switchar som kan hantera VLAN.

Konfigurera Switchen

Vi skall börja med att lägga till ett VLAN-ID i switchen (exempelvis 10). Min Switch ser förmodligen helt annorlunda ut jämfört med den du använder. Men så här ser det ut på min gamla test-switch.

konfigurera VLAN ID i din switch

Vi skall konfigurera endast de portarna på switchen som leder till brandväggen och accesspunkter att acceptera vårt gäst-VLAN (VLAN ID 10).
Sätt "Trunk" eller "Tag" på de portar så går till brandvägg och accesspunkter.

Då kan ingen på gäst-nätet kan nå servrar, skrivare eller andra enheter på nätverket.

Så här ser det ut i min switch. I min modell väljer jag VLAN ID 10 och markerar "T" på port 1 (brandvägg) och "T" på port 23 och 24 som går till två accesspunkter. På din Switch kan det stå "Trunk" eller "Tagg".

konfigurera VLAN på portarna i din switch

Konfigurera brandväggen

Brandväggen måste då konfigureras med gäst-VLAN (VLAN ID 10) kopplat till fysiska LAN-porten.

Vi måste då konfigurera ett lokalt subnät (i exemplet 192.168.2.x) och en DHCP server för vårt VLAN. Detta virtuella nät skall naturligtvis konfigureras som vilket LAN som helst med NAT.

Konfigurera Accesspunkterna

Vi behöver då sätta våra WLAN nät som följer

  1. SSID: Company
    VLAN: OFF
    Security: WPA2 PSK/Personal
  2. SSID: Guest
    VLAN:10
    Security: WPA2 PSK/Personal

konfigurera VLAN på portarna i din switch

Mer avancerad säkerhet inom WLAN

Om du nu har lite mer krav på säkerheten och vill att endast certifierade användare skall kunna nå det fysiska nätverket skall vi bygga en lösning på "WPA2 Enterprise"-säkerhet. 

WPA2 Enterprise

För att komma upp en högre säkerhetsnivå så aktiverar vi "WPA2 Enterprise"-säkerhet i accesspunkterna.

Detta gör att användarna loggar in med sina egna domänlogin/lösenord. Och att bara certifierade datorer som är medlemmar i domänen kan logga in. Fördelen är att om vi plockar bort en användare eller dator ur domänen är de automatiskt utlåsta också från WIFI-nätet.

För att kunna köra med "WPA2 Enterprise" måste vi aktivera några funktioner i vår Windows server. Längst ner finns en film som beskriver hur man aktiverar Radius, Certifikathantering och de andra funktioner som behövs i Windows servern för WPA2 Enterprise.

Men först låt oss ta en titt på ett exempel...

Konfigurerar ett säkert WLAN

Captive Portal på gästnätet

Vi kommer också att lägga till en Captive Portal på gästnätet.

Då kan vi låta gäster logga in med tillfälliga login/lösen eller med tillfälliga koder som vi delar ut. Nästan alla större brandväggar har inbyggd Captive Portal-funktion. I min testmiljö har vi en PFSense.

Med Captive Portal får vi ofta andra effektiva funktioner såsom bandbreddsbegränsning, tidsbegränsning m.m. på våra gästers surfande.

Vi lämnar då gästnätet öppet men kräver att gästen knappar in något i vår portal för att komma ut. Det 

"Bring Your Own Device" s.k. BOYD-nät för smartphones och privata datorer

På de flesta företag har man smartphones, tablets eller andra privata enheter som man vill ge internetaccess.
Men enheter behöver oerhört sällan access till företagets interna nätverk.

Om vi sätter upp en separat virtuellt nät för dessa enheter som bara skall ha internetaccess så kan vi slippa komplicerade WPA2 Enterprise login på de enheterna och bara ha ett lösenord för WIFI. Och det blir lätt för användarna som kan lagra WIFI lösenordet i sin mobil och inte behöva logga in varje dag.

I vårt exempel ovan så har vi lagt till BOYD-nätet på VLAN ID 20 och IP spannet 192.168.3.x

Vi kommer också aktivera "Client Isolation" på BOYD-nätet så att ingen telefon kan prata med någon annan enhet på samma virtuella WIFI.

Konfigurera Accesspunkterna

Vi behöver då sätta våra WLAN nät som följer

  1. SSID: Company
    VLAN: OFF
    Security: WPA2 Enterprise (IP adress till Radius servern, Radius port samt Radius lösen) *
  2. SSID: Guest
    VLAN:10
    Security: Open
  3. SSID: BOYD
    VLAN:20
    Security: WPA2 PSK/Personal

* Se filmen längst ner om hur man sätter upp Radius autentisering i din server.

konfigurera VLAN på portarna i din switch

konfigurera VLAN på portarna i din switch

Ta ytterligare ett steg för att öka säkerheten

I princip handlar det om att bygga ett WIFI-nät som inte alls har direkt access till det lokala nätverket.

Själva accesspunkten kommer ha access till servern för att kunna sköta handskakning/Radius. Men vi kommer lägga alla certifierade användare på ett virtuellt nät. Nätverksadministratören har nu möjlighet att bygga brandväggsregler mellan WIFI-nätet och servrarna. Därmed kan vi hårt begränsa både vilka servrar användarna får kontakta och vilka tjänster användarna kan använda på servrarna.

Konfigurerar ett säkert WLAN

Ovanstående konfiguration kan naturligtvis kombinerade med ytterligare ett virtuellt nät för BYOD-enheter.

Ta sig vidare till Extrem WIFI-säkerhet

Tittar man på vissa utsatta organisationer så räknar de WIFI-nätet som osäkert. Och i vissa fall även det lokala fysiska nätverket.

Därmed separerar man servrar fysiskt från övriga nätverk och trafiken till servrarna kommer då skötas via VPN-tunnlar.

Konfigurerar ett säkert WLAN

 

Hur man konfigurerar sin server för WPA2 Enterpriser

Nedan är en snabb (nåja...) genomgång hur man aktiverar alla de funktioner i en 2016-server som behövs för att kunna autentisera användare via WPA2 Enterprise i WIFI-nätet.