WiFi finns överallt omkring oss. Det har blivit en viktig IT-resurs på det moderna kontoret och i våra personliga liv. Med så många moderna enheter som skickar och tar emot information via WiFi när som helst är det ett under hur våra enheter kan förstå allt så snabbt.

Men samtidigt som WiFi har revolutionerat det sätt på vilket vi får tillgång till information över hela världen har WiFi-autentisering också medfört nya säkerhetsrisker. Utmaningen för IT-avdelningen idag är att säkra sina trådlösa nätverk och se till att endast rätt personer får tillgång till dem. Vi kommer att förklara hur detta är möjligt med hjälp av RADIUS-protokollet, men först tar vi ett steg tillbaka och svarar på frågan: ”Vad är WiFi-autentisering?”

Från Wired till WiFi

WiFi har en lång och fascinerande historia som sträcker sig tillbaka till 1970-talet, som till stor del var experimentellt tills termen WiFi myntades för kommersiellt bruk 1999 och därefter spreds över hela världen. Innan dess kommunicerade systemen med hjälp av nätverkskablar som var fysiskt anslutna till deras system.

Det fanns några metoder för att autentisera användarens identitet för att få tillgång till trådbundna nätverk. Det fanns dock ingen standard för autentisering av användare för åtkomst till nätverk förrän Microsoft Active Directory® (AD) lanserades år 2000.

AD byggdes för att hantera infrastruktur på plats, inklusive hantering av åtkomst till trådbundna nätverk. AD åstadkom detta genom att implementera en domänkontrollant, som i princip var den portvakt som kontrollerade åtkomsten till nätverket.

Detta tillvägagångssätt var utmärkt för trådbundna nätverk. WiFi började dock också ta fart runt år 2000 och medförde stora förändringar i hela branschen.

Utmaningen med WiFi

Problemet med WiFi var att det innebar nya utmaningar för autentisering av användaridentiteter. Användarna behövde inte längre vara fysiskt bundna till nätverket med en kabel. Istället kunde användarna få trådlös tillgång till nätverket från var som helst inom räckhåll för den trådlösa åtkomstpunkten (WAP).

AD, som var nytt på den tiden, kämpade med att kontrollera åtkomsten till dessa resurser som opererade utanför AD-domänen. Detta innebar en säkerhetsrisk eftersom IT-administratörer inte längre kunde autentisera användaridentiteter med traditionella metoder.

Det fanns ett fåtal vägar till lösningar vid denna tid. En var att separera WiFi-nätverket och göra det möjligt för det att få tillgång till Internet. Om du behövde få tillgång till program eller resurser på plats skulle du VPN-anslutas till nätverket precis som om du var på distans. I det här fallet var lösningen för WiFi-autentisering genomförandet av SSID och lösenord som delades mellan alla användare av det specifika nätverket. I det här fallet fanns det egentligen ingen anslutning till huvudnätverket, även om WiFi-nätverket låg bredvid det interna nätverket. Det fungerade mer som ett separat nätverk av olika anledningar.

En annan väg är att helt enkelt använda en SSID och en lösenfras och låta vem som helst få tillträde till nätverket som har det. Därefter kan användaren autentisera sig mot katalogtjänsten, men även om han eller hon misslyckas med autentiseringen har han eller hon fortfarande tillgång till WiFi-nätverket.

En annan möjlighet är att använda RADIUS-autentiseringsprotokollet för att autentisera åtkomsten till WiFi-nätverket, vilket sedan skulle autentisera åtkomsten med Active Directory. RADIUS-servern var mellanhanden mellan WiFi-åtkomstpunkten och den centrala identitetsleverantören. RADIUS kunde tala med WiFi-åtkomstpunkterna och sedan översätta till Directory för att autentisera användaråtkomst. Nackdelen med detta tillvägagångssätt var naturligtvis fler servrar, mer integration och mer konfiguration på slutanvändarens enheter.

Säker WiFi-autentisering med RADIUS

I dag är SSID- och lösenordsmodellen fortfarande det mest utbredda tillvägagångssättet för att kontrollera åtkomst till ett visst nätverk. Även om den är effektiv när det gäller att hålla majoriteten av obehöriga användare borta är den långt ifrån ett perfekt system eftersom den inte begränsar åtkomsten på individuell basis.

Istället är det inte ovanligt att SSID och lösenfras delas av flera användare eller läggs ut på ett offentligt område. Denna tillgång i caféstil är bra när det gäller bekvämlighet, men inte när det gäller säkerhet.

Förre anställda behåller till exempel ofta tillgång till nätverket och tillhörande resurser långt efter att de inte borde ha haft det, och när hemligheten väl är avslöjad är det svårt att begränsa tillgången mer än att ändra lösenordet. Även om det låter enkelt nog att ändra lösenordet kan detta tillvägagångssätt bli en riktig plåga när organisationer börjar skalas upp. Som ett resultat av detta har IT-administratörer återigen funnit sig i behov av ett bättre sätt att hantera åtkomst till nätverk – den här gången är det bara trådlöst.

Interessant nog har RADIUS återigen dykt upp som det föredragna alternativet efter att ha anpassats för trådlösa implementeringar. RADIUS är ett nätverksprotokoll som ursprungligen utformades för att autentisera uppringda användare på tiden för trådbundna nätverk.

RADIUS anpassades på nytt för användning med WiFi och har blivit ett föredraget alternativ för många organisationer. Konceptet fungerar på ungefär samma sätt som för trådbundna nätverk. Den främsta skillnaden är att RADIUS-autentisering i stället för att stänga av portar på LAN-switchen begränsar åtkomsten till trådlösa nätverk.

WiFi-autentisering med RADIUS-as-a-Service

Directory-as-a-Service® lyfter RADIUS till nästa nivå genom att flytta nätverksåtkomsthantering till molnet. Den stora fördelen är att IT-administratörer nu kan hantera nätverksåtkomst på distans från var som helst med en internetanslutning.

Då JumpCloud levererar RADIUS-as-a-Service behöver IT-administratörer inte ens göra sig besväret att konfigurera allt. De pekar helt enkelt ut sina trådlösa åtkomstpunkter på den JumpCloud-hanterade RADIUS-servern och tillhandahåller åtkomst på individuell basis. Sedan kan användarna använda sina unika JumpCloud-uppgifter för att få tillgång till nätverket – samma uppgifter som används för att autentisera sig mot hela organisationens IT-resurser.

Fördelen för IT är ytterligare WiFi-hanteringsmöjligheter, inklusive möjligheten att återkalla individuell åtkomst till en enskild användare med ett ögonblicks varsel. Detta är ett stort lyft för den organisatoriska säkerheten. Slutanvändarna gynnas också eftersom de har ett lösenord mindre att komma ihåg och inte behöver oroa sig för att dela inloggningsuppgifter med någon annan. Det bästa är att WiFI-autentisering med RADIUS bara är en liten del av den större Directory-as-a-Service-plattformen.

Directory-as-a-Service går mycket längre och erbjuder sömlösa hanteringsmöjligheter för användaridentiteter, system (t.ex. Windows, Mac, Linux), program (t.ex. SAML, LDAP), kataloger (t.ex. Active Directory, Office 365, G Suite, LDAP), autentisering mot filservrar med hjälp av Samba, GPO-liknande funktioner med kommandon och mycket mer. Allt detta är säkert, tillförlitligt och tillgängligt från var som helst med en internetanslutning.

Om du vill veta mer om vad WiFi-autentisering är och hur JumpClouds RADIUS-as-a-Service kan vara till nytta för din organisation, skicka ett meddelande till oss. Du kan också registrera dig för ett gratis IDaaS-konto och säkra ditt nätverk redan idag. Dina första tio användare är gratis för alltid.