Il WiFi è tutto intorno a noi. È diventato una risorsa IT essenziale nell’ufficio moderno e nelle nostre vite personali. Con così tanti dispositivi moderni che inviano e ricevono informazioni via WiFi in qualsiasi momento, è una meraviglia come i nostri dispositivi riescano a dare un senso a tutto questo così velocemente.

Tuttavia, mentre il WiFi ha rivoluzionato il modo in cui accediamo alle informazioni in tutto il mondo, l’autenticazione WiFi ha anche introdotto nuovi rischi per la sicurezza. La sfida per l’IT oggi è proteggere le loro reti wireless, garantendo che solo le persone giuste siano autorizzate ad accedere. Spiegheremo come questo sia possibile utilizzando il protocollo RADIUS, ma prima faremo un passo indietro e risponderemo alla domanda: “Cos’è l’autenticazione WiFi?”

Da Wired a WiFi

WiFi ha una lunga e affascinante storia che risale agli anni ’70, in gran parte sperimentale fino a quando il termine WiFi è stato coniato per uso commerciale nel 1999 e successivamente diffuso in tutto il mondo. Prima di allora, i sistemi comunicavano tramite cavi di rete fisicamente attaccati ai loro sistemi.

C’erano alcuni approcci per autenticare le identità degli utenti per accedere alle reti cablate. Tuttavia, non c’era uno standard per l’autenticazione degli utenti per l’accesso alle reti fino al rilascio di Microsoft Active Directory® (AD) nel 2000.

AD è stato costruito per gestire l’infrastruttura on-prem, compresa la gestione dell’accesso alle reti cablate. AD realizzava questo implementando un controller di dominio, che era essenzialmente il gatekeeper che controllava l’accesso alla rete.

Questo approccio era ottimo per le reti cablate. Tuttavia, anche il WiFi ha cominciato a decollare intorno all’anno 2000 e ha portato grandi cambiamenti in tutto il settore.

La sfida del WiFi

Il problema del WiFi era che presentava nuove sfide per l’autenticazione delle identità degli utenti. Gli utenti non avevano più bisogno di essere fisicamente legati alla rete via cavo. Invece, gli utenti potevano accedere alla rete in modalità wireless da qualsiasi punto nel raggio d’azione del punto di accesso wireless (WAP).

AD, che era nuovo all’epoca, ha lottato per controllare l’accesso a queste risorse che operano al di fuori del dominio AD. Quindi, presentava un rischio per la sicurezza, poiché gli amministratori IT non potevano più autenticare le identità degli utenti con approcci tradizionali.

C’erano alcuni percorsi di soluzione in questo momento. Una era quella di separare la rete WiFi e permetterle di accedere a Internet. Se si aveva bisogno di accedere ad applicazioni o risorse on-prem, si entrava con una VPN nella rete proprio come se si fosse in remoto. In questo caso la soluzione per l’autenticazione WiFi era l’implementazione dell’SSID e della password che era condivisa tra tutti gli utenti di quella particolare rete. In questo caso, non c’era realmente una connessione alla rete principale anche se la rete WiFi era situata accanto alla rete interna. Funzionava più come una rete separata per una serie di ragioni.

Un altro percorso è quello di sfruttare semplicemente un SSID e una passphrase e permettere a chiunque sulla rete di averli. Successivamente l’utente potrebbe autenticarsi al servizio di directory, ma anche se fallisse l’autenticazione, avrebbe comunque accesso alla rete WiFi.

Ancora, un altro percorso era quello di sfruttare il protocollo di autenticazione RADIUS per autenticare l’accesso alla rete WiFi che avrebbe successivamente autenticato l’accesso con Active Directory. Il server RADIUS era l’intermediario tra il punto di accesso WiFi e il fornitore di identità principale. RADIUS era in grado di parlare con i punti di accesso WiFi e poi tradurre per la directory per autenticare l’accesso degli utenti. Naturalmente, l’aspetto negativo di questo approccio era più server, più integrazione e più configurazione sui dispositivi degli utenti finali.

Autenticazione WiFi sicura con RADIUS

Oggi, il modello SSID e password è ancora l’approccio più diffuso per controllare l’accesso a una particolare rete. Sebbene sia efficace nel tenere fuori la maggior parte degli utenti non autorizzati, è lontano da un sistema perfetto in quanto non limita l’accesso su base individuale.

Invece, non è raro che l’SSID e la passphrase siano condivisi tra più utenti o pubblicati in un’area pubblica. Questo accesso stile caffè è ottimo quando si tratta di convenienza, ma non quando si tratta di sicurezza.

Per esempio, gli ex dipendenti spesso mantengono l’accesso alla rete e alle risorse collegate molto tempo dopo che non dovrebbero, e una volta che il segreto è scoperto è difficile limitare l’accesso oltre a cambiare la password. Anche se cambiare la password sembra abbastanza semplice, questo approccio può diventare una vera sofferenza quando le organizzazioni iniziano a scalare. Di conseguenza, gli amministratori IT si sono trovati di nuovo nella necessità di un modo migliore per gestire l’accesso alle reti – questa volta è solo wireless.

Interessante, RADIUS è riemerso come l’opzione preferita dopo essere stato adattato per le implementazioni wireless. RADIUS è un protocollo di rete che è stato inizialmente progettato per l’autenticazione degli utenti in entrata ai tempi delle reti cablate.

RADIUS è stato riproposto per l’uso con il WiFi, ed è diventato un’opzione preferita per molte organizzazioni. Il concetto funziona in modo molto simile a quello delle reti cablate. La differenza principale è che invece di disattivare le porte sullo switch LAN, l’autenticazione RADIUS limita l’accesso alle reti wireless.

Autenticazione WiFi con RADIUS-as-a-Service

Directory-as-a-Service® eleva RADIUS al livello successivo spostando la gestione degli accessi alla rete nel cloud. Il vantaggio chiave è che gli amministratori IT possono ora gestire l’accesso alla rete in remoto da qualsiasi luogo con una connessione internet.

Inoltre, poiché JumpCloud fornisce RADIUS-as-a-Service, gli amministratori IT non devono nemmeno passare attraverso il problema di impostare il tutto. Semplicemente puntano i loro punti di accesso wireless al server RADIUS gestito da JumpCloud e forniscono l’accesso su base individuale. Poi, gli utenti possono sfruttare le loro credenziali uniche di JumpCloud per ottenere l’accesso alla rete – le stesse credenziali utilizzate per autenticare l’insieme delle risorse IT di un’organizzazione.

Il vantaggio per l’IT è un’ulteriore capacità di gestione WiFi, compresa la possibilità di revocare l’accesso individuale a un singolo utente con un preavviso. Questo è un grande impulso alla sicurezza organizzativa. Anche gli utenti finali ne beneficiano perché hanno una password in meno da ricordare e non devono preoccuparsi di condividere le credenziali di accesso con qualcun altro. La parte migliore è che l’autenticazione WiFI con RADIUS è solo una piccola parte della grande piattaforma Directory-as-a-Service.

Directory-as-a-Service va molto oltre per fornire capacità di gestione senza soluzione di continuità per le identità degli utenti, i sistemi (ad esempio Windows, Mac, Linux), le applicazioni (ad esempio SAML, LDAP), le directory (ad esempio Active Directory, Office 365, G Suite, LDAP), l’autenticazione contro i file server utilizzando Samba, capacità simili a GPO con comandi e molto altro. Tutto ciò è sicuro, affidabile e accessibile da qualsiasi luogo con una connessione internet.

Per saperne di più su cosa sia l’autenticazione WiFi e su come RADIUS-as-a-Service di JumpCloud possa beneficiare la tua organizzazione, inviaci una nota. Puoi anche iscriverti per un account IDaaS gratuito e rendere sicura la tua rete oggi stesso. I tuoi primi dieci utenti sono gratuiti per sempre.