Dnes Vám ukáži jednu fintu, jak si lépe zabezpečit WiFi. A protože mám rád TP – Link routery, tak to bude demonstraováno na routerech od firmy TP Link.
RADIUS je protokol vyvinutý kdysi dávno společností Livingston Enterprises. Tento protokol slouží k autentizaci na síti. Více toho najdete na Wikipedii. RADIUS server je služba běžíci na nějakém stroji v síti. V mém případě na NAS od firmy Synology. Na tento stroj se přihlašují klienti a autentizují se vůči serveru. Pokud jsou povoleni, dostanou přístupy do sítě. Pokud ne, mají smolíka.
Mezi výhody RADIUS serveru z praktického hlediska ve firmách patří:
- Vysoká míra bezpečnosti
- Možnost roamingu (jeden zaměstnanec ve stejné firmě má stejný login/heslo na WiFi ve všech pobočkách)
- Možnost mapování uživatelů v síti. V případě krádeže nebo úniku dat lze zjistit, kdo tuto aktivitu způsobil
- Není potřeba měnit heslo vždy, když je nějaký zaměstnanec odejit v dobrém/zlém.
Zní to zajímavě? Tak pojďme si to ukázat konkrétněji.
Na Synology NAS stačí nainstalovat balíček RADIUS server.
Po instalaci balíček otevřeme a půjdeme nastavovat. Port můžete nechat defaultní. Do klientských zařízení dejme IP adresu stroje a vymysleme tajný klíč.
Tím bychom to měli na straně serveru. Na straně klienta je nastavení v sekci wireless – security a najdeme si WPA/WPA2 enterprise.
Vyplníme adresu radius server, jeho port, heslo a případně group exchange period. Tím je to skoro hotovo.
V nastavení jsem neuvedl pár „drobných“ detailů, které mi zabrali dvě hodinky průběžného testování a hraní si, než se vše rozběhlo jak mělo. (Třeba zprovoznění tohoto způsobu připojení na OS Linux) Pokud si s tím nebudete vědět rady, mohu poskytnout placené poradenství 😉
A ještě další drobnost. Když už se rozhodnete pro RADIUS server k autentizaci zaměstnanců do sítě, kupte si rovnou router, který umí utvořit dvě WiFi. Jednu pro RADIUS, druhou pro hosty.
