WiFi ist überall um uns herum. Es ist zu einer unverzichtbaren IT-Ressource im modernen Büro und in unserem Privatleben geworden. Bei so vielen modernen Geräten, die jederzeit Informationen über WiFi senden und empfangen, ist es ein Wunder, wie unsere Geräte das alles so schnell verarbeiten können.

Doch während WiFi die Art und Weise, wie wir weltweit auf Informationen zugreifen, revolutioniert hat, hat die WiFi-Authentifizierung auch neue Sicherheitsrisiken mit sich gebracht. Die Herausforderung für die IT-Abteilung besteht heute darin, ihre drahtlosen Netzwerke zu sichern und sicherzustellen, dass nur die richtigen Personen Zugang erhalten. Wir werden erklären, wie dies mit Hilfe des RADIUS-Protokolls möglich ist, aber zunächst gehen wir einen Schritt zurück und beantworten die Frage: „Was ist WiFi-Authentifizierung?“

Von Wired zu WiFi

WiFi hat eine lange und faszinierende Geschichte, die bis in die 1970er Jahre zurückreicht und weitgehend experimentell war, bis der Begriff WiFi 1999 für den kommerziellen Gebrauch geprägt und anschließend weltweit verbreitet wurde. Davor kommunizierten die Systeme über Netzwerkkabel, die physisch mit ihren Systemen verbunden waren.

Es gab einige Ansätze zur Authentifizierung von Benutzeridentitäten, um Zugang zu kabelgebundenen Netzen zu erhalten. Bis zur Einführung von Microsoft Active Directory® (AD) im Jahr 2000 gab es jedoch keinen Standard für die Authentifizierung von Benutzern für den Zugang zu Netzwerken.

AD wurde entwickelt, um die Infrastruktur vor Ort zu verwalten, einschließlich der Verwaltung des Zugriffs auf kabelgebundene Netzwerke. AD erreichte dies durch die Implementierung eines Domänencontrollers, der im Wesentlichen als Pförtner den Zugriff auf das Netzwerk kontrollierte.

Dieser Ansatz war für kabelgebundene Netzwerke hervorragend geeignet. Um das Jahr 2000 herum begann jedoch auch WiFi auf den Plan zu treten und brachte große Veränderungen in der gesamten Branche mit sich.

Die Herausforderung mit WiFi

Das Problem mit WiFi war, dass es neue Herausforderungen für die Authentifizierung der Benutzeridentitäten mit sich brachte. Die Benutzer mussten nicht mehr per Kabel mit dem Netz verbunden sein. Stattdessen konnten die Benutzer von jedem beliebigen Ort in Reichweite des drahtlosen Zugangspunkts (WAP) drahtlos auf das Netz zugreifen.

Das damals neue AD hatte Schwierigkeiten, den Zugriff auf diese Ressourcen außerhalb der AD-Domäne zu kontrollieren. Dies stellte ein Sicherheitsrisiko dar, da IT-Administratoren die Benutzeridentitäten nicht mehr mit herkömmlichen Methoden authentifizieren konnten.

Zu diesem Zeitpunkt gab es mehrere Lösungsansätze. Einer bestand darin, das WiFi-Netzwerk zu trennen und ihm den Zugriff auf das Internet zu ermöglichen. Wenn man auf Anwendungen oder Ressourcen vor Ort zugreifen wollte, musste man sich per VPN in das Netzwerk einwählen, als wäre man remote. In diesem Fall bestand die Lösung für die WiFi-Authentifizierung in der Implementierung der SSID und des Passworts, die von allen Nutzern des jeweiligen Netzwerks gemeinsam verwendet wurden. In diesem Fall bestand keine wirkliche Verbindung zum Hauptnetz, obwohl sich das WiFi-Netzwerk neben dem internen Netzwerk befand. Es funktionierte aus verschiedenen Gründen eher wie ein separates Netzwerk.

Eine andere Möglichkeit besteht darin, einfach eine SSID und eine Passphrase zu verwenden und jeden in das Netzwerk zu lassen, der diese hat. Anschließend könnte sich der Benutzer beim Verzeichnisdienst authentifizieren, aber selbst wenn die Authentifizierung fehlschlägt, hätte er immer noch Zugriff auf das WiFi-Netzwerk.

Eine weitere Möglichkeit bestand darin, das RADIUS-Authentifizierungsprotokoll zu nutzen, um den Zugriff auf das WiFi-Netzwerk zu autorisieren, das anschließend den Zugriff mit Active Directory authentifizieren würde. Der RADIUS-Server war der Vermittler zwischen dem WiFi-Zugangspunkt und dem zentralen Identitätsanbieter. RADIUS war in der Lage, mit den WiFi-Zugangspunkten zu sprechen und dann für das Verzeichnis zu übersetzen, um den Benutzerzugang zu authentifizieren. Der Nachteil dieses Ansatzes war natürlich, dass mehr Server, mehr Integration und mehr Konfiguration auf den Endbenutzergeräten erforderlich waren.

Sichere WiFi-Authentifizierung mit RADIUS

Heute ist das SSID- und Passwort-Modell immer noch der am weitesten verbreitete Ansatz zur Kontrolle des Zugangs zu einem bestimmten Netzwerk. Es hält zwar die meisten unbefugten Benutzer fern, ist aber alles andere als ein perfektes System, da es den Zugang nicht auf individueller Basis einschränkt.

Stattdessen ist es nicht unüblich, dass die SSID und die Passphrase von mehreren Benutzern gemeinsam genutzt oder in einem öffentlichen Bereich ausgehängt werden. Dieser Zugang im Café-Stil ist zwar bequem, aber nicht sicher.

Ehemalige Mitarbeiter haben oft noch lange Zeit Zugang zum Netz und den angeschlossenen Ressourcen, und wenn das Geheimnis erst einmal gelüftet ist, ist es schwierig, den Zugang über die Änderung des Passworts hinaus zu beschränken. Das Ändern des Kennworts klingt zwar einfach, kann aber zu einem echten Problem werden, wenn das Unternehmen zu wachsen beginnt. Daher sind IT-Administratoren wieder einmal auf der Suche nach einer besseren Möglichkeit, den Zugang zu Netzwerken zu verwalten – dieses Mal allerdings drahtlos.

Interessanterweise hat sich RADIUS wieder als bevorzugte Option herauskristallisiert, nachdem es für drahtlose Implementierungen angepasst wurde. RADIUS ist ein Netzwerkprotokoll, das ursprünglich für die Authentifizierung von Einwahlbenutzern in kabelgebundenen Netzwerken entwickelt wurde.

RADIUS wurde für die Verwendung mit WiFi umfunktioniert und ist für viele Unternehmen zur bevorzugten Option geworden. Das Konzept funktioniert in etwa so wie bei kabelgebundenen Netzen. Der Hauptunterschied besteht darin, dass die RADIUS-Authentifizierung den Zugang zu drahtlosen Netzwerken einschränkt, anstatt die Ports am LAN-Switch zu sperren.

WiFi-Authentifizierung mit RADIUS-as-a-Service

Directory-as-a-Service® hebt RADIUS auf die nächste Stufe, indem es die Netzwerkzugangsverwaltung in die Cloud verlagert. Der Hauptvorteil besteht darin, dass IT-Administratoren den Netzwerkzugang jetzt von jedem Ort mit Internetanschluss aus verwalten können.

Da JumpCloud RADIUS-as-a-Service anbietet, müssen sich IT-Administratoren nicht einmal die Mühe machen, das Ganze einzurichten. Sie richten ihre drahtlosen Zugangspunkte einfach auf den von JumpCloud verwalteten RADIUS-Server aus und stellen den Zugang auf individueller Basis bereit. Dann können die Benutzer ihre eindeutigen JumpCloud-Anmeldedaten nutzen, um Zugang zum Netzwerk zu erhalten – dieselben Anmeldedaten, die zur Authentifizierung gegenüber den gesamten IT-Ressourcen eines Unternehmens verwendet werden.

Der Vorteil für die IT-Abteilung besteht in zusätzlichen WiFi-Verwaltungsfunktionen, einschließlich der Möglichkeit, einem einzelnen Benutzer den Zugang jederzeit zu entziehen. Dies ist ein großer Gewinn für die organisatorische Sicherheit. Auch die Endbenutzer profitieren davon, da sie sich ein Passwort weniger merken müssen und sich keine Gedanken über die Weitergabe von Anmeldedaten an andere machen müssen. Das Beste daran ist, dass die WiFI-Authentifizierung mit RADIUS nur ein kleiner Teil der größeren Directory-as-a-Service-Plattform ist.

Directory-as-a-Service geht viel weiter und bietet nahtlose Verwaltungsfunktionen für Benutzeridentitäten, Systeme (z. B. Windows, Mac, Linux), Anwendungen (z. B. SAML, LDAP), Verzeichnisse (z. B. Active Directory, Office 365, G Suite, LDAP), Authentifizierung gegenüber Dateiservern mit Samba, GPO-ähnliche Funktionen mit Befehlen und vieles mehr. All dies ist sicher, zuverlässig und von jedem Ort mit einer Internetverbindung aus zugänglich.

Um mehr darüber zu erfahren, was WiFi-Authentifizierung ist und wie JumpClouds RADIUS-as-a-Service Ihrem Unternehmen nützen kann, schreiben Sie uns eine Nachricht. Sie können sich auch für ein kostenloses IDaaS-Konto anmelden und Ihr Netzwerk noch heute sichern. Ihre ersten zehn Benutzer sind für immer kostenlos.