Ochrona sieci LAN / WLAN z wykorzystaniem Radiusa – co warto wiedzieć?

  • 15 grudnia 2022
  • 647 Views

Kiedy po raz pierwszy wdrażaliśmy RADIUSa u naszego klienta w 2008 roku, czasy były zupełnie inne. Ludzie ufnie dzielili się hasłami, nikt nie zabezpieczał sieci, wszyscy żyli w jednej wielkiej kochającej się społeczności korzystającej z wspólnych zasobów wi-fi i nikt nie narzekał. Nasi dziadkowie zwali to komunizmem… A nie, wróć, nie tak było. Nie do końca. Sieci faktycznie były zabezpieczane słabo, wystarczało jedno hasło dla wszystkich użytkowników, a wielu właścicieli routerów nie kłopotało się nawet tym – i wystawiali swoje sieci zupełnie szeroko otwarte, niech kto chce, ten korzysta. Kolejne przypadki nadużyć, włamań i problemów, często kryminalnych, zmusiły ludzi do uważniejszego przyjrzenia się temu problemowi. Ale jak zrobić to tak, żeby nie wylać przysłowiowego dziecka z przysłowiową kąpielą i nie uprzykrzyć codziennego życia własnym ludziom (zwanym użytkownikami)? Tu z pomocą przychodzi RADIUS.

RADIUS to skrót od Remote Authentication Dial In User Service, czyli usługa uwierzytelniania użytkowników wdzwaniających się. Tak! WDZWANIAJĄCYCH! Sięgamy do bardzo zamierzchłych czasów – rok 1991, ludzie czesali się krótko z przodu, długo z tyłu (i wąsy na przedzie), a piszący te słowa składał pierwsze programy w Turbo Basicu na Atari 65XE i nawet nie marzył o czymś takim jak internet. Bardzo nieliczni poważni ludzie (z wąsami) uzyskiwali dostęp do serwerów (mainframe’ów działających w dużych firmach albo na uniwersytetach) za pomocą modemów telefonicznych, którymi właśnie wdzwaniano się na odpowiedni numer udostępniany przez właściciela serwera – i tam, za pomocą RADIUSa uzyskiwano potwierdzenie tożsamości, uprawnień i logowanie działań. Po angielsku: authentication, authorization, accounting, czyli AAA.

Z czasem ludzie zmienili uczesanie oraz dorobili się bardziej zaawansowanych metod komunikacji. Już nie wdzwaniali się przez modem, ale np. podłączali kabelkami swoje komputery (przenośne, a jak! nadchodziło przecież nowe milenium), a nawet – przez pierwsze routery i karty wi-fi łączyli się z sieciami bezprzewodowymi udostępnianymi w firmach. I, wyobraźcie sobie, jednak nie wszystkie organizacje chciały pozwalać każdemu na korzystanie z ich zasobów! Stąd ewolucja RADIUSa – zaczęto go stosować również do połączeń kablowych i bezprzewodowych.

RADIUS integruje się z mechanizmami logowania użytkownika do usług serwerowych, co w praktyce oznacza, że użytkownik nawet nie wie, iż z niego korzysta. Możliwe jest również skonfigurowanie go tak, że uwierzytelnienie odbywa się tylko raz – i aż do wygaszenia klucza nie trzeba ponownie podawać hasła. RADIUS działa w tle – sprawdza, do jakich usług ma dostęp dany użytkownik i takie usługi mu udostępnia (np. wi-fi albo telnet, jeśli ktoś pracuje w muzeum techniki). Bez takiej autoryzacji nikt z niczego już nie skorzysta – nie ma problemu nasłuchujących szpiegów stojących na pobliskim przystanku tramwajowym, czających się na sygnał sieci z budynku i po cichutku wchodzących do zasobów sieciowych firmy.

Oczywiście RADIUS nie rozwiązuje wszystkich problemów (niestety). Trzeba pilnować jakości urządzeń, aktualizować oprogramowanie, skanować przed wirusami i pilnować wejścia do sieci przed intruzami wykorzystującymi podatności. Źli ludzie szukają różnych dróg niepowołanego dostępu; ale RADIUS jest bardzo silnie sugerowaną podstawą bezpieczeństwa Twojej sieci.

Jeśli chcesz skonfigurować bezpiecznie swoją sieć – skontaktuj się z nami. Chętnie pomożemy (nie mamy wąsów).