I vår korta utbildningsvideo går vi igenom hur man kan tänka och bygga säkra WIFI-nät beroende på kundens behov. Vi går igen fler olika alternativ i olika säkerhetsnivåer.
Första varianten av säkerhet bygger på att vi delar upp kundens WIFI-nät i två delar. Den första delen är det fysiska nätverket som innehåller kabelanslutna datorer, skrivare och servrar. I vårt testexempel 192.168.1.x
Den andra delen är ett virtuellt nätverk (s.k. VLAN) som bara får prata med brandväggen. Det virtuella nätverket får en egen IP-serie. I vårt testexempel 192.168.2.x
I vårt första testexempel väljer vi att bara skydda vårt lokala nätverk med ett enkelt WIFI-lösenord (s.k. PSK). Gästnätet skyddar vi också med ett WIFI-lösenord. Lösenorden kan enkelt bytas på alla accesspunkter på 10 sekunder via Cloud-controllern (om du kör LigoWave accespunkter)
För att bygga upp ett virtuellt nät måste vi ha managerbara switchar som kan hantera VLAN.
Vi skall börja med att lägga till ett VLAN-ID i switchen (exempelvis 10). Min Switch ser förmodligen helt annorlunda ut jämfört med den du använder. Men så här ser det ut på min gamla test-switch.
Vi skall konfigurera endast de portarna på switchen som leder
till brandväggen
och accesspunkter att acceptera vårt gäst-VLAN (VLAN ID 10).
Sätt "Trunk" eller "Tag" på de portar så går till
brandvägg och accesspunkter.
Då kan ingen på gäst-nätet kan nå servrar, skrivare eller andra enheter på nätverket.
Så här ser det ut i min switch. I min modell väljer jag VLAN ID 10 och markerar "T" på port 1 (brandvägg) och "T" på port 23 och 24 som går till två accesspunkter. På din Switch kan det stå "Trunk" eller "Tagg".
Brandväggen måste då konfigureras med gäst-VLAN (VLAN ID 10) kopplat till fysiska LAN-porten.
Vi måste då konfigurera ett lokalt subnät (i exemplet 192.168.2.x) och en DHCP server för vårt VLAN. Detta virtuella nät skall naturligtvis konfigureras som vilket LAN som helst med NAT.
Vi behöver då sätta våra WLAN nät som följer
Om du nu har lite mer krav på säkerheten och vill att endast certifierade användare skall kunna nå det fysiska nätverket skall vi bygga en lösning på "WPA2 Enterprise"-säkerhet.
För att komma upp en högre säkerhetsnivå så aktiverar vi "WPA2 Enterprise"-säkerhet i accesspunkterna.
Detta gör att användarna loggar in med sina egna domänlogin/lösenord. Och att bara certifierade datorer som är medlemmar i domänen kan logga in. Fördelen är att om vi plockar bort en användare eller dator ur domänen är de automatiskt utlåsta också från WIFI-nätet.
För att kunna köra med "WPA2 Enterprise" måste vi aktivera några funktioner i vår Windows server. Längst ner finns en film som beskriver hur man aktiverar Radius, Certifikathantering och de andra funktioner som behövs i Windows servern för WPA2 Enterprise.
Men först låt oss ta en titt på ett exempel...
Vi kommer också att lägga till en Captive Portal på gästnätet.
Då kan vi låta gäster logga in med tillfälliga login/lösen eller med tillfälliga koder som vi delar ut. Nästan alla större brandväggar har inbyggd Captive Portal-funktion. I min testmiljö har vi en PFSense.
Med Captive Portal får vi ofta andra effektiva funktioner såsom bandbreddsbegränsning, tidsbegränsning m.m. på våra gästers surfande.
Vi lämnar då gästnätet öppet men kräver att gästen knappar in något i vår portal för att komma ut. Det
På de flesta företag har man smartphones, tablets eller andra
privata enheter som man vill ge internetaccess.
Men enheter behöver oerhört sällan access till företagets interna nätverk.
Om vi sätter upp en separat virtuellt nät för dessa enheter som bara skall ha internetaccess så kan vi slippa komplicerade WPA2 Enterprise login på de enheterna och bara ha ett lösenord för WIFI. Och det blir lätt för användarna som kan lagra WIFI lösenordet i sin mobil och inte behöva logga in varje dag.
I vårt exempel ovan så har vi lagt till BOYD-nätet på VLAN ID 20 och IP spannet 192.168.3.x
Vi kommer också aktivera "Client Isolation" på BOYD-nätet så att ingen telefon kan prata med någon annan enhet på samma virtuella WIFI.
Vi behöver då sätta våra WLAN nät som följer
* Se filmen längst ner om hur man sätter upp Radius autentisering i din server.
I princip handlar det om att bygga ett WIFI-nät som inte alls har direkt access till det lokala nätverket.
Själva accesspunkten kommer ha access till servern för att kunna sköta handskakning/Radius. Men vi kommer lägga alla certifierade användare på ett virtuellt nät. Nätverksadministratören har nu möjlighet att bygga brandväggsregler mellan WIFI-nätet och servrarna. Därmed kan vi hårt begränsa både vilka servrar användarna får kontakta och vilka tjänster användarna kan använda på servrarna.
Ovanstående konfiguration kan naturligtvis kombinerade med ytterligare ett virtuellt nät för BYOD-enheter.
Tittar man på vissa utsatta organisationer så räknar de WIFI-nätet som osäkert. Och i vissa fall även det lokala fysiska nätverket.
Därmed separerar man servrar fysiskt från övriga nätverk och trafiken till servrarna kommer då skötas via VPN-tunnlar.
Nedan är en snabb (nåja...) genomgång hur man aktiverar alla de funktioner i en 2016-server som behövs för att kunna autentisera användare via WPA2 Enterprise i WIFI-nätet.