Le Wi-Fi est partout autour de nous. Il est devenu une ressource informatique essentielle dans le bureau moderne et dans nos vies personnelles. Avec tant d’appareils modernes qui envoient et reçoivent des informations via le Wifi à tout moment, c’est une merveille comment nos appareils donnent un sens à tout cela si rapidement.

Pourtant, si le WiFi a révolutionné la façon dont nous accédons aux informations dans le monde entier, l’authentification WiFi a également introduit de nouveaux risques de sécurité. Le défi pour les TI aujourd’hui est de sécuriser leurs réseaux sans fil, en s’assurant que seules les bonnes personnes sont autorisées à y accéder. Nous expliquerons comment cela est possible en utilisant le protocole RADIUS, mais d’abord nous prendrons un peu de recul et répondrons à la question  » Qu’est-ce que l’authentification WiFi ? « 

Du filaire au WiFi

Le WiFi a une longue et fascinante histoire qui remonte aux années 1970, qui était largement expérimentale jusqu’à ce que le terme WiFi soit inventé pour un usage commercial en 1999 et ensuite distribué dans le monde entier. Avant cela, les systèmes communiquaient par des câbles de réseau physiquement attachés à leurs systèmes.

Il y avait quelques approches pour authentifier les identités des utilisateurs pour accéder aux réseaux câblés. Cependant, il n’y avait pas de norme pour l’authentification des utilisateurs pour l’accès aux réseaux jusqu’à la sortie de Microsoft Active Directory® (AD) en 2000.

AD a été construit pour gérer l’infrastructure sur site, y compris la gestion de l’accès aux réseaux câblés. AD a accompli cela en mettant en œuvre un contrôleur de domaine, qui était essentiellement le gatekeeper contrôlant l’accès au réseau.

Cette approche était excellente pour les réseaux câblés. Cependant, le WiFi a également commencé à décoller autour de l’année 2000 et a entraîné des changements majeurs dans toute l’industrie.

Le défi avec le WiFi

Le problème avec le WiFi était qu’il présentait de nouveaux défis pour l’authentification des identités des utilisateurs. Les utilisateurs n’avaient plus besoin d’être physiquement attachés au réseau par un câble. Au lieu de cela, les utilisateurs pouvaient accéder sans fil au réseau depuis n’importe quel endroit à portée du point d’accès sans fil (WAP).

AD, qui était nouveau à l’époque, a eu du mal à contrôler l’accès à ces ressources fonctionnant en dehors du domaine AD. Ainsi, présentant un risque de sécurité, les administrateurs informatiques ne pouvaient plus authentifier les identités des utilisateurs avec les approches traditionnelles.

Il y avait quelques pistes de solutions à ce moment-là. L’une consistait à séparer le réseau WiFi et à lui permettre d’accéder à Internet. Si vous aviez besoin d’accéder à des applications ou à des ressources sur site, vous vous connecteriez au réseau par VPN comme si vous étiez à distance. Dans ce cas, la solution pour l’authentification WiFi était la mise en œuvre du SSID et du mot de passe qui était partagé par tous les utilisateurs de ce réseau particulier. Dans ce cas, il n’y avait pas vraiment de connexion au réseau principal, même si le réseau WiFi était situé à côté du réseau interne. Il fonctionnait davantage comme un réseau distinct pour diverses raisons.

Une autre voie consiste à simplement exploiter un SSID et une phrase de passe et à laisser toute personne sur le réseau qui en dispose. Par la suite, l’utilisateur pourrait s’authentifier auprès du service d’annuaire, mais même s’il échouait à l’authentification, il aurait toujours accès au réseau WiFi.

Pour autant, une autre voie était de tirer parti du protocole d’authentification RADIUS pour authentifier l’accès au réseau WiFi qui, par la suite, authentifierait l’accès avec Active Directory. Le serveur RADIUS était l’intermédiaire entre le point d’accès WiFi et le fournisseur d’identité central. RADIUS était capable de parler aux points d’accès WiFi et de traduire ensuite pour l’annuaire afin d’authentifier l’accès des utilisateurs. Bien sûr, l’inconvénient de cette approche était plus de serveurs, plus d’intégration et plus de configuration sur les appareils des utilisateurs finaux.

Authentification WiFi sécurisée avec RADIUS

Aujourd’hui, le modèle SSID et mot de passe est encore l’approche la plus répandue pour contrôler l’accès à un réseau particulier. Bien qu’il soit efficace pour empêcher la majorité des utilisateurs non autorisés d’entrer, il est loin d’être un système parfait car il ne restreint pas l’accès sur une base individuelle.

Au contraire, il n’est pas rare que le SSID et la phrase de passe soient partagés entre plusieurs utilisateurs ou affichés dans une zone publique. Cet accès de style café est excellent lorsqu’il s’agit de commodité, mais pas lorsqu’il s’agit de sécurité.

Par exemple, les anciens employés conservent souvent l’accès au réseau et aux ressources attachées longtemps après qu’ils ne le devraient plus, et une fois que le secret est éventé, il est difficile de restreindre l’accès au-delà du changement de mot de passe. Si le changement de mot de passe semble simple, cette approche peut devenir un véritable casse-tête lorsque les organisations commencent à se développer. Par conséquent, les administrateurs informatiques se sont à nouveau retrouvés à la recherche d’un meilleur moyen de gérer l’accès aux réseaux – cette fois, c’est simplement sans fil.

Intéressant, RADIUS est réapparu comme l’option préférée après avoir été adapté aux implémentations sans fil. RADIUS est un protocole de mise en réseau qui a été initialement conçu pour authentifier les utilisateurs connectés à l’époque des réseaux câblés.

RADIUS a été repurposé pour être utilisé avec le WiFi, et est devenu une option préférée pour beaucoup d’organisations. Le concept fonctionne à peu près de la même manière que pour les réseaux câblés. La principale différence étant qu’au lieu de désactiver des ports sur le commutateur LAN, l’authentification RADIUS restreint l’accès aux réseaux sans fil.

L’authentification WiFi avec RADIUS-as-a-Service

Directory-as-a-Service® élève RADIUS au niveau supérieur en déplaçant la gestion des accès réseau vers le cloud. L’avantage clé est que les administrateurs informatiques peuvent désormais gérer l’accès au réseau à distance, de n’importe où avec une connexion Internet.

De plus, puisque JumpCloud fournit RADIUS-as-a-Service, les administrateurs informatiques n’ont même pas à se donner la peine de tout configurer. Il leur suffit de diriger leurs points d’accès sans fil vers le serveur RADIUS géré par JumpCloud et de fournir un accès sur une base individuelle. Ensuite, les utilisateurs peuvent s’appuyer sur leurs informations d’identification uniques JumpCloud pour accéder au réseau – les mêmes informations d’identification utilisées pour s’authentifier contre l’ensemble des ressources informatiques d’une organisation.

L’avantage pour l’IT est des capacités supplémentaires de gestion du WiFi, y compris la possibilité de révoquer l’accès individuel à un utilisateur individuel à un moment donné. C’est un coup de pouce majeur à la sécurité organisationnelle. Les utilisateurs finaux en bénéficient également car ils ont un mot de passe de moins à retenir et n’ont pas à s’inquiéter de partager leurs identifiants de connexion avec quelqu’un d’autre. La meilleure partie est que l’authentification WiFI avec RADIUS n’est qu’une petite partie de la grande plateforme Directory-as-a-Service.

Directory-as-a-Service va beaucoup plus loin pour fournir des capacités de gestion transparentes pour les identités des utilisateurs, les systèmes (par exemple Windows, Mac, Linux), les applications (par exemple SAML, LDAP), les annuaires (par exemple Active Directory, Office 365, G Suite, LDAP), l’authentification contre les serveurs de fichiers à l’aide de Samba, des capacités de type GPO avec des commandes, et bien plus encore. Tout cela est sécurisé, fiable et accessible de n’importe où avec une connexion Internet.

Pour en savoir plus sur ce qu’est l’authentification WiFi et comment le RADIUS-as-a-Service de JumpCloud peut bénéficier à votre organisation, envoyez-nous un mot. Vous pouvez également vous inscrire pour un compte IDaaS gratuit et sécuriser votre réseau dès aujourd’hui. Vos dix premiers utilisateurs sont gratuits pour toujours.