WiFi je všude kolem nás. Stala se základním IT zdrojem v moderní kanceláři i v našem osobním životě. S tolika moderními zařízeními, která v každém okamžiku odesílají a přijímají informace prostřednictvím WiFi, je až s podivem, jak se naše zařízení ve všem rychle orientují.

Přestože WiFi způsobilo revoluci ve způsobu, jakým přistupujeme k informacím po celém světě, ověřování WiFi přineslo také nová bezpečnostní rizika. Výzvou pro IT oddělení je dnes zabezpečit své bezdrátové sítě a zajistit, aby k nim měli přístup pouze ti správní lidé. Vysvětlíme si, jak je to možné pomocí protokolu RADIUS, ale nejprve se vrátíme o krok zpět a odpovíme si na otázku: „Co je to ověřování WiFi?“

Od drátů k WiFi

WiFi má dlouhou a fascinující historii sahající až do 70. let minulého století, která byla převážně experimentální, dokud se v roce 1999 nevžil termín WiFi pro komerční použití a následně se nerozšířil po celém světě. Předtím spolu systémy komunikovaly pomocí síťových kabelů fyzicky připojených k jejich systémům.

Existovalo několik přístupů k ověřování identity uživatelů pro získání přístupu do drátových sítí. Neexistoval však žádný standard pro ověřování uživatelů pro přístup k sítím, dokud nebyla v roce 2000 uvolněna služba Microsoft Active Directory® (AD).

AD byl vytvořen pro správu infrastruktury on-prem včetně správy přístupu ke kabelovým sítím. AD toho dosáhl implementací řadiče domény, který byl v podstatě strážcem brány řídícím přístup do sítě.

Tento přístup byl skvělý pro kabelové sítě. Kolem roku 2000 se však začalo prosazovat také WiFi a přineslo zásadní změny v celém odvětví.

Problém s WiFi

Problém s WiFi spočíval v tom, že představoval nové výzvy pro ověřování identity uživatelů. Uživatelé již nemuseli být fyzicky připoutáni k síti kabelem. Místo toho mohli uživatelé přistupovat k síti bezdrátově odkudkoli v dosahu bezdrátového přístupového bodu (WAP).

AD, která byla v té době nová, měla problémy s řízením přístupu k těmto prostředkům fungujícím mimo doménu AD. Představoval tak bezpečnostní riziko, protože správci IT již nemohli ověřovat identity uživatelů pomocí tradičních přístupů.

V té době existovalo několik cest k řešení. Jednou z nich bylo oddělit síť WiFi a umožnit jí přístup k internetu. Pokud jste potřebovali přistupovat k lokálním aplikacím nebo zdrojům, připojili jste se do sítě VPN stejně, jako kdybyste byli vzdáleni. V tomto případě bylo řešením pro ověřování WiFi implementace SSID a hesla, které bylo sdílené pro všechny uživatele dané sítě. V tomto případě ve skutečnosti neexistovalo připojení k hlavní síti, i když se síť WiFi nacházela vedle vnitřní sítě. Z různých důvodů fungovala spíše jako samostatná síť.

Jinou cestou je jednoduše využít SSID a přístupovou frázi a pustit do sítě kohokoli, kdo ji má. Následně by se uživatel mohl ověřit v adresářové službě, ale i kdyby při ověřování neuspěl, stále by měl přístup do sítě WiFi.

Jiná cesta spočívala ve využití autentizačního protokolu RADIUS k ověření přístupu do sítě WiFi, který by následně ověřil přístup pomocí služby Active Directory. Server RADIUS byl prostředníkem mezi přístupovým bodem WiFi a hlavním poskytovatelem identit. Protokol RADIUS byl schopen komunikovat s přístupovými body WiFi a následně překládat pro adresář k ověření přístupu uživatelů. Nevýhodou tohoto přístupu bylo samozřejmě více serverů, více integrace a více konfigurace na koncových uživatelských zařízeních.

Zabezpečené ověřování WiFi pomocí RADIUS

Dnes je model SSID a hesla stále nejrozšířenějším přístupem k řízení přístupu do určité sítě. Přestože účinně brání většině neoprávněných uživatelů v přístupu, zdaleka se nejedná o dokonalý systém, protože neomezuje přístup na individuální bázi.

Naopak není neobvyklé, že identifikátor SSID a přístupová fráze jsou sdíleny více uživateli nebo zveřejněny ve veřejném prostoru. Tento přístup ve stylu kavárny je skvělý, pokud jde o pohodlí, ale ne, pokud jde o bezpečnost.

Například bývalí zaměstnanci si často ponechávají přístup k síti a připojeným prostředkům ještě dlouho poté, co by neměli, a jakmile je tajemství odhaleno, je obtížné omezit přístup jinak než změnou hesla. Ačkoli změna hesla zní poměrně jednoduše, tento přístup se může stát skutečnou bolestí, jakmile se organizace začnou rozšiřovat. V důsledku toho se správci IT opět ocitli v situaci, kdy potřebují lepší způsob správy přístupu k sítím – tentokrát jen bezdrátový.

Zajímavé je, že po úpravě pro bezdrátové implementace se jako preferovaná možnost znovu objevil protokol RADIUS. RADIUS je síťový protokol, který byl původně navržen pro ověřování vytáčených uživatelů ještě v dobách drátových sítí.

RADIUS byl znovu upraven pro použití s WiFi a stal se preferovanou možností pro mnoho organizací. Koncepce funguje podobně jako v případě kabelových sítí. Hlavní rozdíl spočívá v tom, že namísto vypínání portů na přepínači LAN omezuje ověřování RADIUS přístup k bezdrátovým sítím.

Ověřování Wi-Fi pomocí RADIUS-as-a-Service

Directory-as-a-Service® povyšuje RADIUS na další úroveň tím, že přesouvá správu přístupu k síti do cloudu. Hlavní výhodou je, že správci IT nyní mohou spravovat přístup k síti vzdáleně odkudkoli s připojením k internetu.

Vzhledem k tomu, že JumpCloud poskytuje RADIUS-as-a-Service, nemusí se správci IT ani zabývat nastavováním. Jednoduše nasměrují své bezdrátové přístupové body na server RADIUS spravovaný službou JumpCloud a zajistí přístup na individuální bázi. Uživatelé pak mohou využívat svá jedinečná pověření JumpCloud k získání přístupu do sítě – stejná pověření, která se používají k ověřování vůči celým IT zdrojům organizace.

Přínosem pro IT oddělení jsou další možnosti správy WiFi, včetně možnosti kdykoli zrušit individuální přístup jednotlivým uživatelům. To představuje významné posílení bezpečnosti organizace. Výhodu mají i koncoví uživatelé, protože mají o jedno heslo méně, které si musí pamatovat, a nemusí se obávat, že by přihlašovací údaje museli sdílet s někým dalším. Nejlepší na tom je, že ověřování WiFI pomocí RADIUS je jen jednou malou součástí větší platformy Directory-as-a-Service.

Directory-as-a-Service jde mnohem dále a poskytuje možnosti bezproblémové správy identit uživatelů, systémů (např. Windows, Mac, Linux), aplikací (např. SAML, LDAP), adresářů (např. Active Directory, Office 365, G Suite, LDAP), ověřování proti souborovým serverům pomocí Samby, možnosti podobné GPO s příkazy a mnoho dalšího. To vše je bezpečné, spolehlivé a přístupné odkudkoli s připojením k internetu.

Chcete-li se dozvědět více o tom, co je to ověřování WiFi a jak může RADIUS-as-a-Service od JumpCloudu prospět vaší organizaci, napište nám. Můžete se také zaregistrovat k bezplatnému účtu IDaaS a zabezpečit svou síť ještě dnes. Prvních deset uživatelů máte navždy zdarma.