WiFi jest wszędzie wokół nas. Stało się ono podstawowym zasobem IT w nowoczesnym biurze i w naszym życiu osobistym. Z tak wieloma nowoczesnymi urządzeniami wysyłającymi i odbierającymi informacje przez WiFi w każdej chwili, to cud, jak nasze urządzenia tak szybko radzą sobie z tym wszystkim.

Jednakże, podczas gdy WiFi zrewolucjonizowało sposób, w jaki uzyskujemy dostęp do informacji na całym świecie, uwierzytelnianie WiFi wprowadziło również nowe zagrożenia bezpieczeństwa. Wyzwaniem dla IT jest dziś zabezpieczenie sieci bezprzewodowych, zapewnienie, że tylko właściwe osoby są upoważnione do dostępu. Wyjaśnimy, jak jest to możliwe przy użyciu protokołu RADIUS, ale najpierw zrobimy krok wstecz i odpowiemy na pytanie: „Czym jest uwierzytelnianie WiFi?”

Od przewodowego do WiFi

WiFi ma długą i fascynującą historię sięgającą lat 70-tych, która była w dużej mierze eksperymentalna, dopóki termin WiFi nie został ukuty do użytku komercyjnego w 1999 r., a następnie rozpowszechniony na całym świecie. Wcześniej systemy komunikowały się za pomocą kabli sieciowych fizycznie dołączonych do ich systemów.

Istniało kilka podejść do uwierzytelniania tożsamości użytkowników w celu uzyskania dostępu do sieci przewodowych. Jednak nie było standardu dla użytkowników uwierzytelniających się w celu uzyskania dostępu do sieci, dopóki Microsoft Active Directory® (AD) nie został wydany w 2000 roku.

To podejście było świetne dla sieci przewodowych. Jednak WiFi również zaczął startować około roku 2000 i przyniósł duże zmiany w całej branży.

Wyzwanie z WiFi

Problem z WiFi było to, że przedstawił nowe wyzwania dla uwierzytelniania tożsamości użytkowników. Użytkownicy nie musieli już być fizycznie przywiązani do sieci za pomocą kabla. Zamiast tego użytkownicy mogli uzyskać bezprzewodowy dostęp do sieci z dowolnego miejsca w zasięgu punktu dostępu bezprzewodowego (WAP).

AD, który był nowy w tym czasie, zmagał się z kontrolą dostępu do tych zasobów działających poza domeną AD. Tak więc, stanowiąc zagrożenie dla bezpieczeństwa, ponieważ administratorzy IT nie mogli już uwierzytelniać tożsamości użytkowników za pomocą tradycyjnych podejść.

Było kilka ścieżek do rozwiązań w tym czasie. Jednym z nich było oddzielenie sieci WiFi i umożliwienie jej dostępu do Internetu. Jeśli potrzebujesz dostępu do aplikacji on-prem lub zasobów, byłby VPN do sieci tak, jak gdybyś był zdalny. W tym przypadku rozwiązanie dla uwierzytelniania WiFi było wdrożenie SSID i hasło, które było wspólne dla wszystkich użytkowników tej konkretnej sieci. W tym przypadku nie było tak naprawdę połączenia z siecią główną, nawet jeśli sieć WiFi znajdowała się obok sieci wewnętrznej. To działało bardziej jako oddzielnej sieci dla różnych powodów.

Inna ścieżka jest po prostu dźwigni SSID i hasło i niech każdy w sieci, która ma, że. Następnie użytkownik może uwierzytelnić się do usługi katalogowej, ale nawet jeśli nie udało się uwierzytelnienie, nadal mają dostęp do sieci WiFi.

Jeszcze inną ścieżką było wykorzystanie protokołu uwierzytelniania RADIUS do auth dostępu do sieci WiFi, która następnie uwierzytelnić dostęp z Active Directory. Serwer RADIUS był pośrednikiem między punktem dostępowym WiFi a głównym dostawcą tożsamości. RADIUS był w stanie rozmawiać z punktami dostępowymi WiFi, a następnie tłumaczyć dla katalogu, aby uwierzytelnić dostęp użytkownika. Oczywiście wadą tego podejścia było więcej serwerów, więcej integracji i więcej konfiguracji na urządzeniach użytkowników końcowych.

Secure WiFi Authentication with RADIUS

Dzisiaj model SSID i hasła jest nadal najbardziej rozpowszechnionym podejściem do kontrolowania dostępu do danej sieci. Choć skuteczny w utrzymaniu większości nieautoryzowanych użytkowników na zewnątrz, jest daleki od doskonałego systemu, ponieważ nie ogranicza dostępu na zasadzie indywidualnej.

Zamiast tego, to nie jest rzadkością dla SSID i hasło do być udostępniane przez wielu użytkowników lub zamieszczone w obszarze publicznym. Ten dostęp w stylu kawiarni jest wielki, jeśli chodzi o wygodę, ale nie, jeśli chodzi o bezpieczeństwo.

Na przykład, byli pracownicy często zachowują dostęp do sieci i dołączonych zasobów długo po tym, jak nie powinni, a gdy tajemnica jest na zewnątrz, trudno jest ograniczyć dostęp poza zmianę hasła. Chociaż zmiana hasła brzmi dość prosto, takie podejście może stać się prawdziwym bólem, gdy organizacje zaczynają się skalować. W rezultacie, administratorzy IT ponownie znaleźli się w potrzebie lepszego sposobu zarządzania dostępem do sieci – tym razem jest to po prostu sieć bezprzewodowa.

Interesująco, RADIUS ponownie pojawił się jako preferowana opcja po przystosowaniu do wdrożeń bezprzewodowych. RADIUS jest protokołem sieciowym, który został pierwotnie zaprojektowany do uwierzytelniania użytkowników dial-in z powrotem w czasach sieci przewodowych.

RADIUS został ponownie wykorzystany do użytku z WiFi, i stał się preferowaną opcją dla wielu organizacji. Koncepcja działa w bardzo podobny sposób, jak to miało miejsce w przypadku sieci przewodowych. Podstawowa różnica polega na tym, że zamiast wyłączać porty na przełączniku LAN, uwierzytelnianie RADIUS ogranicza dostęp do sieci bezprzewodowych.

WiFi Authentication with RADIUS-as-a-Service

Directory-as-a-Service® podnosi RADIUS na wyższy poziom, przenosząc zarządzanie dostępem do sieci do chmury. Kluczową zaletą jest to, że administratorzy IT mogą teraz zarządzać dostępem do sieci zdalnie z dowolnego miejsca z połączeniem internetowym.

Korzyść dla IT to dodatkowe możliwości zarządzania WiFi, w tym zdolność do cofnięcia indywidualnego dostępu do pojedynczego użytkownika w mgnieniu oka. Jest to znaczący wzrost bezpieczeństwa organizacyjnego. Użytkownicy końcowi również korzystają, ponieważ mają jedno hasło mniej do zapamiętania i nie muszą się martwić o dzielenie się poświadczeniami logowania z kimkolwiek innym. Najlepsze jest to, że uwierzytelnianie WiFI za pomocą RADIUS jest tylko jedną małą częścią większej platformy Directory-as-a-Service.

Directory-as-a-Service idzie o wiele dalej, zapewniając bezproblemowe możliwości zarządzania tożsamościami użytkowników, systemami (np. Windows, Mac, Linux), aplikacjami (np. SAML, LDAP), katalogami (np. Active Directory, Office 365, G Suite, LDAP), uwierzytelnianiem wobec serwerów plików za pomocą Samby, możliwościami podobnymi do GPO za pomocą poleceń i wieloma innymi. Wszystko to jest bezpieczne, niezawodne i dostępne z dowolnego miejsca z połączeniem internetowym.

Aby dowiedzieć się więcej o tym, czym jest uwierzytelnianie WiFi i jak JumpCloud’s RADIUS-as-a-Service może przynieść korzyści Twojej organizacji, napisz do nas. Możesz również zarejestrować się na darmowe konto IDaaS i zabezpieczyć swoją sieć już dziś. Pierwszych dziesięciu użytkowników jest darmowych na zawsze.