El WiFi está a nuestro alrededor. Se ha convertido en un recurso informático esencial en la oficina moderna y en nuestra vida personal. Con tantos dispositivos modernos enviando y recibiendo información a través de WiFi en cualquier momento, es una maravilla cómo nuestros dispositivos dan sentido a todo ello tan rápidamente.

Sin embargo, aunque el WiFi ha revolucionado la forma en que accedemos a la información en todo el mundo, la autenticación del WiFi también ha introducido nuevos riesgos de seguridad. El reto para los informáticos hoy en día es asegurar sus redes inalámbricas, garantizando que sólo se autoriza el acceso a las personas adecuadas. Explicaremos cómo esto es posible mediante el uso del protocolo RADIUS, pero primero daremos un paso atrás y responderemos a la pregunta: «¿Qué es la autenticación WiFi?»

De Wired to WiFi

WiFi tiene una larga y fascinante historia que se remonta a la década de 1970, que fue en gran medida experimental hasta que el término WiFi se acuñó para uso comercial en 1999 y posteriormente se distribuyó por todo el mundo. Antes de eso, los sistemas se comunicaban mediante cables de red conectados físicamente a sus sistemas.

Existían algunos enfoques para autenticar las identidades de los usuarios para acceder a las redes cableadas. Sin embargo, no hubo un estándar para la autenticación de los usuarios para el acceso a las redes hasta que se lanzó Microsoft Active Directory® (AD) en el año 2000.

AD se construyó para gestionar la infraestructura on-prem, incluyendo la gestión del acceso a las redes cableadas. AD logró esto mediante la implementación de un controlador de dominio, que era esencialmente el guardián que controlaba el acceso a la red.

Este enfoque era genial para las redes cableadas. Sin embargo, el WiFi también comenzó a despegar alrededor del año 2000 y provocó grandes cambios en toda la industria.

El reto del WiFi

El problema del WiFi era que presentaba nuevos retos para la autenticación de las identidades de los usuarios. Los usuarios ya no necesitaban estar físicamente atados a la red por cable. En su lugar, los usuarios podían acceder a la red de forma inalámbrica desde cualquier lugar en el rango del punto de acceso inalámbrico (WAP).

AD, que era nuevo en ese momento, luchaba por controlar el acceso a estos recursos que operaban fuera del dominio de AD. Por lo tanto, presentaba un riesgo de seguridad, ya que los administradores de TI ya no podían autenticar las identidades de los usuarios con los enfoques tradicionales.

Hubo varias soluciones en ese momento. Una era separar la red WiFi y habilitarla para acceder a Internet. Si se necesitaba acceder a las aplicaciones o recursos on-prem, se hacía una VPN a la red como si fuera remota. En este caso, la solución para la autenticación del WiFi era la implementación del SSID y la contraseña que se compartía entre todos los usuarios de esa red en particular. En este caso, no había realmente una conexión a la red principal aunque la red WiFi estuviera situada junto a la red interna. Funcionaba más bien como una red separada por diversas razones.

Otro camino es simplemente aprovechar un SSID y una frase de contraseña y permitir a cualquiera en la red que tenga eso. Posteriormente, el usuario podría autenticarse en el servicio de directorio, pero aunque fallara la autenticación, seguiría teniendo acceso a la red WiFi.

Sin embargo, otro camino era aprovechar el protocolo de autenticación RADIUS para autenticar el acceso a la red WiFi que posteriormente autenticaría el acceso con Active Directory. El servidor RADIUS era el intermediario entre el punto de acceso WiFi y el proveedor de identidad principal. RADIUS era capaz de hablar con los puntos de acceso WiFi y luego traducir para el directorio para autenticar el acceso de los usuarios. Por supuesto, la desventaja de este enfoque era que había más servidores, más integración y más configuración en los dispositivos de los usuarios finales.

Autenticación WiFi segura con RADIUS

Hoy en día, el modelo de SSID y contraseña sigue siendo el enfoque más extendido para controlar el acceso a una red concreta. Aunque es eficaz para mantener fuera a la mayoría de los usuarios no autorizados, está lejos de ser un sistema perfecto, ya que no restringe el acceso de forma individual.

En cambio, no es raro que el SSID y la frase de contraseña se compartan entre varios usuarios o se coloquen en una zona pública. Este acceso al estilo de una cafetería es estupendo cuando se trata de la comodidad, pero no cuando se trata de la seguridad.

Por ejemplo, los antiguos empleados a menudo conservan el acceso a la red y a los recursos adjuntos mucho tiempo después de que no deban hacerlo, y una vez que el secreto está fuera es difícil restringir el acceso más allá de cambiar la contraseña. Aunque cambiar la contraseña parece bastante simple, este enfoque puede convertirse en un verdadero dolor cuando las organizaciones comienzan a escalar. Como resultado, los administradores de TI se han visto de nuevo en la necesidad de una mejor manera de gestionar el acceso a las redes – esta vez es inalámbrica.

Interesantemente, RADIUS ha resurgido como la opción preferida después de haber sido adaptado para implementaciones inalámbricas. RADIUS es un protocolo de red que se diseñó inicialmente para autenticar a los usuarios de acceso telefónico en los días de las redes cableadas.

RADIUS fue reutilizado para su uso con WiFi, y se ha convertido en la opción preferida para muchas organizaciones. El concepto funciona de forma muy parecida a como lo hacía en las redes cableadas. La principal diferencia es que, en lugar de desactivar los puertos del conmutador LAN, la autenticación RADIUS restringe el acceso a las redes inalámbricas.

Autenticación WiFi con RADIUS-as-a-Service

Directory-as-a-Service® eleva RADIUS al siguiente nivel al trasladar la gestión de acceso a la red a la nube. La principal ventaja es que los administradores de TI ahora pueden gestionar el acceso a la red de forma remota desde cualquier lugar con una conexión a Internet.

Además, como JumpCloud ofrece RADIUS como servicio, los administradores de TI ni siquiera tienen que pasar por la molestia de configurarlo todo. Simplemente apuntan sus puntos de acceso inalámbricos al servidor RADIUS gestionado por JumpCloud y proporcionan acceso de forma individual. Luego, los usuarios pueden aprovechar sus credenciales únicas de JumpCloud para obtener acceso a la red, las mismas credenciales que se utilizan para autenticar contra la totalidad de los recursos de TI de una organización.

El beneficio para el departamento de TI es la capacidad adicional de gestión de WiFi, incluyendo la capacidad de revocar el acceso individual a un usuario individual en un momento dado. Esto supone un gran impulso para la seguridad de la organización. Los usuarios finales también se benefician porque tienen una contraseña menos que recordar y no tienen que preocuparse por compartir las credenciales de acceso con nadie más. Lo mejor es que la autenticación WiFI con RADIUS no es más que una pequeña parte de la gran plataforma Directory-as-a-Service.

Directory-as-a-Service va mucho más allá para proporcionar capacidades de gestión sin fisuras para las identidades de los usuarios, los sistemas (por ejemplo, Windows, Mac, Linux), las aplicaciones (por ejemplo, SAML, LDAP), los directorios (por ejemplo, Active Directory, Office 365, G Suite, LDAP), la autenticación contra los servidores de archivos utilizando Samba, las capacidades similares a GPO con comandos, y mucho más. Todo ello de forma segura, fiable y accesible desde cualquier lugar con conexión a Internet.

Para saber más sobre qué es la autenticación WiFi y cómo el RADIUS como servicio de JumpCloud puede beneficiar a tu organización, envíanos una nota. También puedes registrarte para obtener una cuenta gratuita de IDaaS y asegurar tu red hoy. Tus primeros diez usuarios son gratis para siempre.