A WiFi mindenütt jelen van körülöttünk. A modern irodában és a magánéletünkben is nélkülözhetetlen informatikai erőforrássá vált. Mivel oly sok modern eszköz küld és fogad információt a WiFi-n keresztül bármelyik pillanatban, csoda, hogy az eszközeink hogyan tudják mindezt ilyen gyorsan értelmezni.

Míg azonban a WiFi forradalmasította az információhoz való hozzáférés módját világszerte, a WiFi hitelesítés új biztonsági kockázatokat is bevezetett. Az IT számára ma már kihívást jelent a vezeték nélküli hálózatok védelme, annak biztosítása, hogy csak a megfelelő személyek kapjanak jogosultságot a hozzáférésre. Elmagyarázzuk, hogyan lehetséges ez a RADIUS protokoll segítségével, de előbb lépjünk egyet hátra, és válaszoljunk a kérdésre: “Mi az a WiFi hitelesítés?”

A vezetékes hálózattól a WiFiig

A WiFi hosszú és izgalmas története egészen az 1970-es évekig nyúlik vissza, amely nagyrészt kísérleti jellegű volt, amíg 1999-ben kereskedelmi használatra meg nem született a WiFi kifejezés, és ezt követően világszerte elterjedt. Ezt megelőzően a rendszerek fizikailag csatlakoztatott hálózati kábelekkel kommunikáltak egymással.

A vezetékes hálózatokhoz való hozzáféréshez szükséges felhasználói identitás hitelesítésére többféle megközelítés létezett. A Microsoft Active Directory® (AD) 2000-es megjelenéséig azonban nem volt szabvány a hálózatokhoz való hozzáféréshez szükséges felhasználói hitelesítésre.

Az AD a helyi infrastruktúra kezelésére készült, beleértve a vezetékes hálózatokhoz való hozzáférés kezelését is. Az AD ezt egy tartományvezérlő bevezetésével érte el, amely lényegében a hálózathoz való hozzáférést ellenőrző kapuőr volt.

Ez a megközelítés nagyszerű volt a vezetékes hálózatok esetében. A WiFi azonban szintén 2000 körül kezdett elterjedni, és jelentős változásokat hozott az egész iparágban.

A WiFi kihívása

A WiFi problémája az volt, hogy új kihívások elé állította a felhasználói identitások hitelesítését. A felhasználóknak már nem kellett fizikailag, kábellel a hálózathoz kötődniük. Ehelyett a felhasználók bárhonnan, a vezeték nélküli hozzáférési pont (WAP) hatótávolságán belülről vezeték nélkül is hozzáférhettek a hálózathoz.

Az akkoriban újnak számító AD nehezen tudta ellenőrizni az AD-tartományon kívül működő erőforrásokhoz való hozzáférést. Így biztonsági kockázatot jelentett, mivel az IT-adminisztrátorok a hagyományos megközelítésekkel már nem tudták hitelesíteni a felhasználói személyazonosságokat.

A megoldásoknak ekkoriban többféle útja volt. Az egyik a WiFi hálózat elkülönítése és az internet elérésének lehetővé tétele volt. Ha a helyben lévő alkalmazásokhoz vagy erőforrásokhoz kellett hozzáférni, akkor VPN-en keresztül lehetett belépni a hálózatba, mintha távoli helyről érkezett volna a felhasználó. Ebben az esetben a WiFi hitelesítés megoldása az SSID és a jelszó bevezetése volt, amelyet az adott hálózat minden felhasználója megosztott. Ebben az esetben nem igazán volt kapcsolat a főhálózattal, annak ellenére, hogy a WiFi hálózat a belső hálózat mellett helyezkedett el. Különböző okokból inkább különálló hálózatként működött.

Egy másik út az, hogy egyszerűen kihasználunk egy SSID-t és egy jelszót, és bárkit beengedünk a hálózatba, aki ezzel rendelkezik. Ezt követően a felhasználó hitelesíthetné magát a címtárszolgálatnál, de még akkor is hozzáférhetne a WiFi hálózathoz, ha a hitelesítés sikertelen lenne.

A másik lehetőség az volt, hogy a RADIUS hitelesítési protokollt használjuk a WiFi hálózathoz való hozzáférés hitelesítésére, amely ezt követően az Active Directoryval hitelesítené a hozzáférést. A RADIUS-kiszolgáló volt a közvetítő a WiFi hozzáférési pont és a központi azonosító szolgáltató között. A RADIUS képes volt beszélni a WiFi hozzáférési pontokkal, majd lefordítani a címtár számára a felhasználói hozzáférés hitelesítéséhez. Természetesen ennek a megközelítésnek a hátránya a több szerver, a több integráció és a több konfiguráció volt a végfelhasználói eszközökön.

Secure WiFi Authentication with RADIUS

Az SSID és jelszó modell még ma is a legelterjedtebb megközelítés egy adott hálózathoz való hozzáférés ellenőrzésére. Bár hatékonyan tartja távol az illetéktelen felhasználók többségét, messze nem tökéletes rendszer, mivel nem korlátozza a hozzáférést egyéni alapon.

Ehelyett nem ritka, hogy az SSID-t és a jelszót több felhasználó között megosztják, vagy nyilvános helyen teszik közzé. Ez a kávézó stílusú hozzáférés nagyszerű, ha a kényelemről van szó, de nem, ha a biztonságról van szó.

A volt alkalmazottak például gyakran sokáig megtartják a hozzáférést a hálózathoz és a csatolt erőforrásokhoz, miután már nem kellene, és ha egyszer kiderül a titok, a jelszó megváltoztatásán túl nehéz korlátozni a hozzáférést. Bár a jelszó megváltoztatása elég egyszerűen hangzik, ez a megközelítés igazi kínszenvedéssé válhat, amikor a szervezetek elkezdenek skálázódni. Ennek eredményeképpen az IT-adminisztrátoroknak ismét szükségük van egy jobb módszerre a hálózatokhoz való hozzáférés kezelésére – ezúttal csak vezeték nélkül.

Érdekes módon a RADIUS a vezeték nélküli megvalósításokhoz való adaptálás után ismét a preferált megoldásként jelent meg. A RADIUS egy hálózati protokoll, amelyet eredetileg a betárcsázó felhasználók hitelesítésére terveztek a vezetékes hálózatok idején.

A RADIUS-t újrahasznosították a WiFi használatára, és számos szervezet számára előnyben részesített opcióvá vált. A koncepció nagyjából ugyanúgy működik, mint a vezetékes hálózatok esetében. Az elsődleges különbség az, hogy a LAN-kapcsoló portjainak kikapcsolása helyett a RADIUS-hitelesítés korlátozza a vezeték nélküli hálózatokhoz való hozzáférést.

WiFi hitelesítés a RADIUS-as-a-Service

A RADIUS-as-a-Service® a RADIUS-t a következő szintre emeli azáltal, hogy a hálózati hozzáférés-kezelést a felhőbe helyezi. A legfontosabb előnye, hogy az IT-adminisztrátorok mostantól távolról, bárhonnan, internetkapcsolattal rendelkező helyről kezelhetik a hálózati hozzáférést.

Továbbá, mivel a JumpCloud RADIUS-as-a-Service szolgáltatást nyújt, az IT-adminisztrátoroknak még a beállítással sem kell bajlódniuk. Egyszerűen csak ráirányítják a vezeték nélküli hozzáférési pontokat a JumpCloud által kezelt RADIUS-kiszolgálóra, és egyedi alapon biztosítják a hozzáférést. Ezután a felhasználók egyedi JumpCloud hitelesítő adataikat használhatják a hálózathoz való hozzáféréshez – ugyanazokat a hitelesítő adatokat, amelyeket a szervezet összes IT-erőforrásaival szembeni hitelesítéshez használnak.

Az IT számára az előny további WiFi kezelési lehetőségek, beleértve azt a képességet, hogy az egyes felhasználók egyéni hozzáférését egy pillanat alatt visszavonhatják. Ez jelentős lökést ad a szervezeti biztonságnak. A végfelhasználók is jól járnak, mivel eggyel kevesebb jelszót kell megjegyezniük, és nem kell aggódniuk amiatt, hogy mással is meg kell osztaniuk a bejelentkezési adatokat. A legjobb az egészben az, hogy a RADIUS-szal történő WiFI-hitelesítés csak egy kis része a nagyobb Directory-as-a-Service platformnak.

A Directory-as-a-Service sokkal tovább megy, és zökkenőmentes kezelési lehetőségeket biztosít a felhasználói identitások, rendszerek (pl. Windows, Mac, Linux), alkalmazások (pl. SAML, LDAP), könyvtárak (pl. Active Directory, Office 365, G Suite, LDAP), a Samba használatával történő hitelesítés fájlkiszolgálókkal szemben, GPO-szerű képességek parancsokkal, és még sok más. Mindez biztonságos, megbízható és bárhonnan elérhető, ahol van internetkapcsolat.

Ha többet szeretne megtudni arról, hogy mi is az a WiFi hitelesítés, és hogy a JumpCloud RADIUS-as-a-Service milyen előnyökkel járhat a szervezet számára, írjon nekünk egy üzenetet. Regisztrálhat egy ingyenes IDaaS-fiókra is, és biztosíthatja hálózatát még ma. Az első tíz felhasználója örökre ingyenes.