WiFi está à nossa volta. Tornou-se um recurso de TI essencial no escritório moderno e em nossas vidas pessoais. Com tantos dispositivos modernos a enviar e receber informações via WiFi a qualquer momento, é uma maravilha como os nossos dispositivos fazem sentido de tudo tão rapidamente.

Yet, enquanto o WiFi revolucionou a forma como acedemos à informação em todo o mundo, a autenticação WiFi também introduziu novos riscos de segurança. O desafio para as TI hoje em dia é proteger suas redes sem fio, garantindo que somente as pessoas certas sejam autorizadas para o acesso. Vamos explicar como isso é possível usando o protocolo RADIUS, mas primeiro vamos dar um passo atrás e responder à pergunta “O que é autenticação WiFi?”

From Wired to WiFi

WiFi tem uma longa e fascinante história que remonta aos anos 70, que foi em grande parte experimental até o termo WiFi ter sido cunhado para uso comercial em 1999 e posteriormente distribuído em todo o mundo. Antes disso, os sistemas comunicavam por cabos de rede fisicamente ligados aos seus sistemas.

Existiram algumas abordagens para autenticar as identidades dos utilizadores para obter acesso a redes com fios. Entretanto, não havia um padrão para a autenticação de usuários para acesso a redes até o lançamento do Microsoft Active Directory® (AD), em 2000.

AD foi construído para gerenciar a infra-estrutura on-prem, incluindo o gerenciamento do acesso a redes com fio. O AD conseguiu isso implementando um controlador de domínio, que era essencialmente o gatekeeper controlando o acesso à rede.

Esta abordagem foi ótima para redes com fio. No entanto, o WiFi também começou a decolar por volta do ano 2000 e trouxe grandes mudanças em toda a indústria.

O desafio com WiFi

O problema com o WiFi era que ele apresentava novos desafios para autenticar as identidades dos usuários. Os utilizadores já não precisavam de estar fisicamente amarrados à rede por cabo. Em vez disso, os utilizadores podiam aceder sem fios à rede a partir de qualquer ponto de alcance do ponto de acesso sem fios (WAP).

AD, que era novo na época, lutava para controlar o acesso a esses recursos operando fora do domínio AD. Assim, apresentando um risco de segurança, os administradores de TI não podiam mais autenticar as identidades dos usuários com abordagens tradicionais.

Existiam alguns caminhos para soluções nesta época. Um deles era separar a rede WiFi e habilitá-la a acessar a Internet. Se você precisasse acessar aplicativos ou recursos on-prem, você VPN entraria na rede como se você fosse remoto. Neste caso, a solução para autenticação WiFi era a implementação do SSID e senha que era compartilhada por qualquer usuário daquela rede em particular. Neste caso, não havia realmente uma ligação à rede principal, embora a rede WiFi estivesse localizada ao lado da rede interna. Ela funcionava mais como uma rede separada por uma variedade de razões.

Um outro caminho é simplesmente alavancar um SSID e uma senha e deixar qualquer pessoa na rede que tenha isso. Posteriormente o utilizador poderia autenticar-se no serviço de directório, mas mesmo que falhassem a autenticação, continuariam a ter acesso à rede WiFi.

Yet, outro caminho era utilizar o protocolo de autenticação RADIUS para autenticar o acesso à rede WiFi, que posteriormente autenticaria o acesso com o Active Directory. O servidor RADIUS era o intermediário entre o ponto de acesso WiFi e o provedor de identidade central. O RADIUS era capaz de falar com os pontos de acesso WiFi e depois traduzir para o diretório para autenticar o acesso do usuário. Naturalmente, o lado negativo desta abordagem foi mais servidores, mais integração e mais configuração nos dispositivos do usuário final.

Secure WiFi Authentication with RADIUS

Hoje, o modelo de SSID e senha ainda é a abordagem mais difundida para controlar o acesso a uma determinada rede. Embora eficaz para manter a maioria dos usuários não autorizados fora, está longe de ser um sistema perfeito, pois não restringe o acesso em uma base individual.

Em vez disso, não é raro que o SSID e a senha sejam compartilhados entre vários usuários ou postados em uma área pública. Este acesso ao estilo café é ótimo quando se trata de conveniência, mas não quando se trata de segurança.

Por exemplo, ex-funcionários muitas vezes retêm o acesso à rede e aos recursos anexados muito tempo depois de não deverem, e uma vez que o segredo é revelado é difícil restringir o acesso além de alterar a senha. Embora mudar a senha pareça simples o suficiente, esta abordagem pode se tornar uma verdadeira dor à medida que as organizações começam a escalar. Como resultado, os administradores de TI novamente precisam de uma maneira melhor de gerenciar o acesso às redes – desta vez é apenas wireless.

Interessantemente, o RADIUS reapareceu como a opção preferida após ser adaptado para implementações sem fio. O RADIUS é um protocolo de rede que foi inicialmente projetado para autenticar usuários dial-in nos dias de redes com fio.

RADIUS foi reestruturado para uso com WiFi, e se tornou uma opção preferida por muitas organizações. O conceito funciona da mesma forma que funcionava para redes com fios. A principal diferença é que ao invés de desligar as portas no switch LAN, a autenticação RADIUS restringe o acesso às redes sem fio.

WiFi Autenticação com RADIUS-as-a-Service

>

Directory-as-a-Service® eleva o RADIUS ao próximo nível, movendo o gerenciamento de acesso à rede para a nuvem. A principal vantagem é que os administradores de TI podem agora gerenciar o acesso à rede remotamente de qualquer lugar com uma conexão à Internet.

Outros, uma vez que o JumpCloud oferece RADIUS como um serviço, os administradores de TI nem sequer têm de se dar ao trabalho de configurar tudo isto. Eles simplesmente apontam seus pontos de acesso wireless no servidor RADIUS gerenciado pelo JumpCloud e provisionam o acesso em uma base individual. Então, os usuários podem aproveitar suas credenciais exclusivas do JumpCloud para obter acesso à rede – as mesmas credenciais usadas para autenticar contra a totalidade dos recursos de TI de uma organização.

O benefício para as TI são as capacidades adicionais de gestão WiFi, incluindo a capacidade de revogar o acesso individual a um utilizador individual num determinado momento. Este é um grande impulso para a segurança organizacional. Os utilizadores finais também beneficiam porque têm menos uma palavra-passe para se lembrarem e não têm de se preocupar em partilhar as credenciais de início de sessão com mais ninguém. A melhor parte é que a autenticação WiFI com o RADIUS é apenas uma pequena parte da grande plataforma de Diretor como Serviço.

Directory-as-a-Service vai muito mais longe para fornecer recursos de gerenciamento de identidades de usuários, sistemas (por exemplo, Windows, Mac, Linux), aplicativos (por exemplo, SAML, LDAP), diretórios (por exemplo, Active Directory, Office 365, G Suite, LDAP), autenticação contra servidores de arquivos usando Samba, recursos do tipo GPO com comandos, e muito mais. Tudo isso é seguro, confiável e acessível de qualquer lugar com uma conexão de Internet.

Para saber mais sobre o que é autenticação WiFi e como o RADIUS as-a-Service do JumpCloud pode beneficiar sua organização, deixe-nos uma nota. Você também pode se inscrever para uma conta IDaaS gratuita e proteger sua rede hoje. Os seus primeiros dez utilizadores são gratuitos para sempre.