WPA3-Enterprise и 802.1X: корпоративный вход в Wi-Fi вместо общего пароля

WPA3-Enterprise — это режим защиты Wi-Fi, при котором каждый пользователь заходит в сеть по персональной корпоративной учётной записи или сертификату, а не по одному общему паролю на всех. Механизм проверки личности при подключении называется 802.1X. Вместе они дают офисной сети то, чего не может дать общий пароль: индивидуальный доступ, индивидуальное шифрование и управление подключениями из единого центра.

Проблема общего пароля

Большинство небольших сетей работает в режиме WPA2/WPA3-Personal — это общий пароль (PSK, Pre-Shared Key — заранее общий ключ), один на всех. Пока в офисе пять человек, это нормально. Но как только сеть растёт, общий пароль превращается в дыру:

• Уволился сотрудник — он знает пароль от рабочего Wi-Fi. Чтобы закрыть доступ, нужно сменить пароль всем и переписать его на всех устройствах офиса.
• Пароль утёк — кто-то скинул его в мессенджере подрядчику или знакомому. Отследить, кто именно подключился, невозможно: все «на одном пароле».
• Нет персональной ответственности — в логах видно только «устройство такое-то», но не «сотрудник Иванов». При разборе инцидента это критично.
• Одно шифрование на всех — зная общий ключ, технически проще перехватывать чужой трафик в той же сети.

WPA3-Enterprise убирает сам источник проблемы — общий секрет.

Как работает 802.1X

802.1X — это стандарт контроля доступа к сети. В Wi-Fi он работает по схеме из трёх участников:

• Клиент (supplicant) — устройство сотрудника, которое хочет подключиться.
• Точка доступа (authenticator) — пропускает или блокирует подключение, но сама решение не принимает.
• Сервер аутентификации (RADIUS) — проверяет логин/пароль или сертификат сотрудника по корпоративному каталогу (например, по доменной учётной записи) и говорит точке: «пускать» или «не пускать».

Когда сотрудник подключается, точка доступа не проверяет пароль сама, а передаёт запрос на RADIUS-сервер (сервер проверки прав доступа). Тот сверяет учётные данные с каталогом пользователей и возвращает вердикт. Если всё в порядке — между устройством и сетью устанавливается персональный шифрованный ключ, уникальный для этой сессии.

Проверка может идти двумя способами: по логину и паролю корпоративной учётной записи или по цифровому сертификату, заранее установленному на устройство. Сертификаты надёжнее — их нельзя «подсмотреть» или передать словами, и они снимают проблему фишинга паролей.

Что добавляет WPA3 поверх 802.1X

802.1X отвечает за «кого пускать», а WPA3 — за то, как шифруется и защищается сам канал. WPA3 — актуальное поколение защиты Wi-Fi, пришедшее на смену WPA2. По сравнению с предшественником оно даёт более стойкое шифрование, защиту от перебора паролей и индивидуальное шифрование каждой сессии. В корпоративном режиме (Enterprise) WPA3 предлагает усиленный уровень криптографии для сетей, где требования к безопасности повышенные.

Связка простая: WPA3-Enterprise = современное шифрование канала (WPA3) + персональная проверка личности (802.1X через RADIUS). Это и есть стандарт защиты Wi-Fi для офиса, где в сети ходят реальные данные.

Что это даёт бизнесу

• Управление доступом из одной точки. Уволили сотрудника — отключили его учётную запись в каталоге, и Wi-Fi для него закрыт мгновенно. Остальным ничего менять не надо.
• Персональная подотчётность. В логах видно, кто и когда подключался — это нужно и для разбора инцидентов, и для требований по защите данных.
• Индивидуальное шифрование. Каждая сессия защищена своим ключом, перехват чужого трафика внутри сети резко усложняется.
• Нет «пароля на стикере». Сотрудник входит под рабочей учётной записью, отдельный Wi-Fi-пароль не нужен и не гуляет по офису.
• Привязка к политикам. По результату аутентификации пользователя можно автоматически помещать в нужный сегмент сети (свой VLAN) — например, гостей и сотрудников в разные.

Когда внедрять

WPA3-Enterprise оправдан, когда в сети больше десятка пользователей и есть данные, которые нельзя терять: бухгалтерия, CRM, документы, клиентская база. Для гостевого Wi-Fi обычно оставляют отдельную сеть с порталом авторизации — гостям корпоративные учётки не выдают. Полноценное управление доступом по личности и поведению устройства строится на базе NAC (контроля сетевого доступа), частью которого 802.1X и является.

Внедрение требует RADIUS-сервера и каталога пользователей — это типовая задача при построении корпоративного Wi-Fi для офиса на 100+ человек, где безопасный доступ закладывается на этапе проекта вместе с контроллером и сегментацией.

Связанные термины

• Wi-Fi Enterprise — корпоративная беспроводная сеть — общая архитектура корпоративного Wi-Fi
• Контроллер точек доступа Wi-Fi — раздаёт настройки 802.1X на все точки сети
• NAC — контроль сетевого доступа — более широкий механизм управления доступом, частью которого является 802.1X