WiFi is overal om ons heen. Het is uitgegroeid tot een essentiële IT-bron in het moderne kantoor en in ons persoonlijke leven. Met zoveel moderne apparaten die op elk moment informatie verzenden en ontvangen via WiFi, is het een wonder hoe onze apparaten dit allemaal zo snel kunnen begrijpen.

Terwijl WiFi een revolutie heeft teweeggebracht in de manier waarop we wereldwijd toegang hebben tot informatie, heeft WiFi-authenticatie ook nieuwe veiligheidsrisico’s met zich meegebracht. De uitdaging voor de IT-afdeling van vandaag is het beveiligen van hun draadloze netwerken en ervoor te zorgen dat alleen de juiste mensen toegang krijgen. We zullen uitleggen hoe dit mogelijk is door gebruik te maken van het RADIUS-protocol, maar eerst nemen we een stap terug en beantwoorden we de vraag: “Wat is WiFi-authenticatie?”

Van bedraad naar WiFi

WiFi heeft een lange en fascinerende geschiedenis die teruggaat tot de jaren zeventig van de vorige eeuw, die grotendeels experimenteel was totdat de term WiFi in 1999 werd bedacht voor commercieel gebruik en vervolgens wereldwijd werd verspreid. Daarvóór communiceerden systemen via netwerkkabels die fysiek aan hun systemen waren bevestigd.

Er waren een paar benaderingen voor de authenticatie van gebruikersidentiteiten om toegang te krijgen tot bekabelde netwerken. Er was echter geen standaard voor de authenticatie van gebruikers voor toegang tot netwerken totdat Microsoft Active Directory® (AD) werd uitgebracht in 2000.

AD werd gebouwd om de infrastructuur op locatie te beheren, inclusief het beheer van de toegang tot bekabelde netwerken. AD deed dit door een domeincontroller te implementeren, die in wezen de poortwachter was die de toegang tot het netwerk controleerde.

Deze aanpak was geweldig voor bekabelde netwerken. Maar WiFi begon ook rond het jaar 2000 op te komen en bracht grote veranderingen in de hele industrie teweeg.

De uitdaging met WiFi

Het probleem met WiFi was dat het nieuwe uitdagingen met zich meebracht voor de authenticatie van gebruikersidentiteiten. Gebruikers hoefden niet langer met een kabel aan het netwerk te zijn gekoppeld. In plaats daarvan konden gebruikers draadloos toegang krijgen tot het netwerk van overal binnen het bereik van het draadloze toegangspunt (WAP).

AD, dat toen nieuw was, had moeite om de toegang tot deze bronnen die buiten het AD-domein opereerden, te controleren. Dus, presenteren een veiligheidsrisico als IT-beheerders niet langer kunnen authenticeren gebruikersidentiteiten met traditionele benaderingen.

Er waren in die tijd een paar wegen naar oplossingen. Een daarvan was om het WiFi-netwerk te scheiden en het in staat te stellen toegang te krijgen tot het Internet. Als je nodig hebt om on-prem toepassingen of middelen te openen, zou je VPN in het netwerk net alsof je op afstand. In dit geval bestond de oplossing voor WiFi-authenticatie uit de implementatie van het SSID en het wachtwoord dat werd gedeeld door alle gebruikers van dat specifieke netwerk. In dit geval was er niet echt een verbinding met het hoofdnetwerk, ook al bevond het WiFi-netwerk zich naast het interne netwerk. Het opereerde meer als een apart netwerk om verschillende redenen.

Een andere manier is om simpelweg een SSID en wachtwoord te gebruiken en iedereen op het netwerk toe te laten die dat heeft. Vervolgens zou de gebruiker zich kunnen authenticeren bij de directory service, maar zelfs als de authenticatie mislukt, zou hij nog steeds toegang hebben tot het WiFi-netwerk.

Een andere mogelijkheid was om gebruik te maken van het RADIUS authenticatie protocol om de toegang tot het WiFi netwerk te authenticeren, die vervolgens de toegang zou authenticeren met Active Directory. De RADIUS server was de tussenpersoon tussen het WiFi toegangspunt en de centrale identiteit provider. RADIUS was in staat om met de WiFi toegangspunten te spreken en vervolgens te vertalen naar de directory om de toegang van gebruikers te authenticeren. De keerzijde van deze aanpak was natuurlijk dat er meer servers nodig waren, meer integratie en meer configuratie op eindgebruikersapparaten.

Veiligde WiFi-authenticatie met RADIUS

Heden ten dage is het SSID- en wachtwoordmodel nog steeds de meest wijdverbreide benadering voor het controleren van de toegang tot een bepaald netwerk. Hoewel het doeltreffend is om de meerderheid van de onbevoegde gebruikers buiten te houden, is het verre van een perfect systeem omdat het de toegang niet op individuele basis beperkt.

In plaats daarvan is het niet ongebruikelijk dat het SSID en de wachtwoordzin door meerdere gebruikers worden gedeeld of in een openbare ruimte worden opgehangen. Deze café-stijl toegang is geweldig als het gaat om gemak, maar niet als het gaat om de veiligheid.

Zo behouden voormalige werknemers vaak toegang tot het netwerk en de daaraan gekoppelde bronnen lang nadat ze dat niet meer zouden mogen, en als het geheim eenmaal bekend is, is het moeilijk om de toegang te beperken, behalve door het wachtwoord te wijzigen. Hoewel het veranderen van het wachtwoord eenvoudig genoeg klinkt, kan deze aanpak een echte pijn worden als organisaties beginnen te schalen. Als gevolg hiervan hebben IT-beheerders opnieuw behoefte aan een betere manier om de toegang tot netwerken te beheren – deze keer is het gewoon draadloos.

Interessant is dat RADIUS opnieuw is opgedoken als de voorkeursoptie nadat het was aangepast voor draadloze implementaties. RADIUS is een netwerkprotocol dat oorspronkelijk werd ontworpen voor de authenticatie van dial-in gebruikers in de dagen van de bekabelde netwerken.

RADIUS werd geschikt gemaakt voor gebruik met WiFi, en is voor veel organisaties een voorkeursoptie geworden. Het concept werkt op vrijwel dezelfde wijze als bij bekabelde netwerken. Het belangrijkste verschil is dat in plaats van het uitschakelen van poorten op de LAN-switch, RADIUS authenticatie beperkt de toegang tot draadloze netwerken.

WiFi-authenticatie met RADIUS-as-a-Service

Directory-as-a-Service® tilt RADIUS naar een hoger niveau door het beheer van netwerktoegang naar de cloud te verplaatsen. Het belangrijkste voordeel is dat IT-beheerders de netwerktoegang nu op afstand kunnen beheren, vanaf elke locatie met een internetverbinding.

Aangezien JumpCloud RADIUS-as-a-Service levert, hoeven IT-beheerders niet eens de moeite te nemen om alles in te stellen. Ze hoeven alleen hun draadloze toegangspunten te richten op de door JumpCloud beheerde RADIUS-server en toegang te verlenen op individuele basis. Vervolgens kunnen gebruikers hun unieke JumpCloud-gegevens gebruiken om toegang te krijgen tot het netwerk – dezelfde gegevens die worden gebruikt om zich te authenticeren bij alle IT-middelen van een organisatie.

Het voordeel voor IT is extra WiFi-beheermogelijkheden, waaronder de mogelijkheid om op elk gewenst moment individuele toegang aan een individuele gebruiker te ontzeggen. Dit is een belangrijke impuls voor de organisatorische veiligheid. Eindgebruikers profiteren ook omdat ze een wachtwoord minder hoeven te onthouden en zich geen zorgen hoeven te maken over het delen van aanmeldingsgegevens met anderen. Het mooiste is dat WiFI-authenticatie met RADIUS slechts een klein onderdeel is van het grotere Directory-as-a-Service-platform.

Directory-as-a-Service gaat veel verder en biedt naadloze beheermogelijkheden voor gebruikersidentiteiten, systemen (bijv. Windows, Mac, Linux), applicaties (bijv. SAML, LDAP), directory’s (bijv. Active Directory, Office 365, G Suite, LDAP), authenticatie tegen bestandsservers met behulp van Samba, GPO-achtige mogelijkheden met commando’s, en nog veel meer. Dit alles is veilig, betrouwbaar en toegankelijk vanaf elke locatie met een internetverbinding.

Om meer te weten te komen over wat WiFi-authenticatie is en hoe de RADIUS-as-a-Service van JumpCloud uw organisatie van dienst kan zijn, stuurt u ons een bericht. U kunt zich ook aanmelden voor een gratis IDaaS-account en uw netwerk vandaag nog beveiligen. Uw eerste tien gebruikers zijn voor altijd gratis.