Misschien vertrouwt u erop dat uw wifi veilig genoeg is, omdat u al veiligheidsbewust bent. U heeft het nieuws gelezen. U heeft een verplichte beveiligingstraining gevolgd. U heeft meerdere processen en tools geïmplementeerd om uw school te beveiligen, waaronder anti-malwaresoftware en uitgebreide anti-phishing-maatregelen. Dat is allemaal heel belangrijk.
De veiligheid van uw netwerk en de data erop, hangt echter af van hoe en door wie toegang wordt verkregen en het uitsluiten van degenen die er geen toegang toe zouden moeten hebben. Sommige algemeen aanvaarde manieren om dit te proberen zijn lang niet goed genoeg.
Wifi-toegangsbeveiliging kan het gapende gat in uw netwerkbeveiliging zijn.
PSK's vormen een bedreiging voor uw wifi-beveiliging
Als u gedeelde wifiwachtwoorden (ook wel pre-shared keys of PSK's genoemd) gebruikt of toestaat en deze wachtwoorden elk kwartaal of semester afwisselt, is uw wifi-toegangsbeveiliging zwak. Zelfs als uw gedeelde wachtwoord complex is, is het nog steeds openbaar. Het kan aan iedereen worden doorgegeven.
Een gedeeld wifiwachtwoord kan ook worden bewaard door mensen die geen toegang meer zouden moeten hebben tot uw netwerk, inclusief mensen die met wrok vertrekken. In 2022 ontdekte Beyond Identity dat de dreiging die uitging van voormalige werknemers met 83% was toegenomen. Daar is een goede reden voor: het is te gemakkelijk voor mensen die een organisatie verlaten om toegang te behouden tot gedeelde wifiwachtwoorden.
Gecompromitteerde, zwakke of gestolen wachtwoorden zijn volgens Beyond Identity de voornaamste manier waarop criminelen netwerken kunnen binnendringen: meer dan 80%. Gedeelde wifiwachtwoorden brengen uw netwerk in gevaar.
Authenticatie met MAC-adressen is net zo slecht, of erger.
Het gebruik van MAC-adressen voor authenticatie lijkt misschien beter dan het gebruik van gedeelde wachtwoorden, omdat op MAC gebaseerde adressen uniek zijn voor elk apparaat. Maar in sommige opzichten zijn MAC-adressen zelfs nog erger.
US Cybersecurity, een dienst die bedrijven helpt met alle aspecten van hun netwerkbeveiliging, zegt dat de grootste fout die organisaties maken met betrekking tot MAC-adressen is dat ze erop vertrouwen voor authenticatie. Met een op MAC-adressen gebaseerd verificatieschema voor uw netwerk wordt elk MAC-adres in platte tekst over het netwerk verzonden, waardoor uw netwerk gemakkelijk kan worden gehackt.
Met het MAC-adres in platte tekst is het voor een hacker eenvoudig om het te achterhalen. Zodra ze het MAC-adres van een apparaat hebben, kunnen ze een eenvoudig verkrijgbare tool zoals MAC Changer gebruiken om het MAC-adres op hun eigen apparaat te wijzigen, zodat het overeenkomt met dat van het apparaat dat door uw netwerk wordt vertrouwd. Vermomd als geautoriseerde gebruiker infiltreert de crimineel die zich bezighoudt met deze MAC-spoofing uw netwerk en kan toegang krijgen tot meer inloggegevens en tot de servers die de meest gevoelige gegevens van uw instelling bevatten.
Op MAC-adres gebaseerde authenticatie houdt uw wifi niet veilig.
Bij beide methoden loopt u risico.
Wifi-authenticatie met PSK's en authenticatie met MAC-adressen hebben beide grote tekortkomingen. Met geen van beide authenticatiemethoden kunt u elk apparaat aan een gebruiker koppelen of de beveiligingsstatus van een apparaat beoordelen.
Als uw organisatie PSK's of MAC-adressen gebruikt om het wifinetwerk te verifiëren, kunnen cybercriminelen het aanvallen. Cyberaanvallen treffen iedereen die verbonden is met een bedrijf of school. Een inbreuk op een schoolnetwerk heeft gevolgen voor alle betrokkenen: leerlingen, docenten, beheerders, personeel en ouders.
De kosten van een cyberaanval zijn enorm. Het kost uw organisatie waarschijnlijk miljoenen dollars en ondermijnt het vertrouwen van de hele gemeenschap die ermee communiceert.
Wat moet ik doen?
U moet stoppen met het gebruik van gedeelde wifiwachtwoorden of MAC-adressen als uw authenticatiemethode.
U heeft minimaal veilige, unieke wifigebruikersnamen en wachtwoorden nodig voor elke individuele gebruiker die uw netwerk gebruikt. Deze inloggegevens moeten veilig worden opgeslagen in uw identitymanagement-systeem, zoals Microsoft Azure AD (Entra ID). Dit elimineert gedeelde wifi-inloggegevens en inloggegevens in platte tekst.
Een nog veiligere manier om een netwerk te beveiligen is een authenticatiebenadering zonder wachtwoord: een zero trust-benadering. U maakt gebruik van PKI met het EAP-TLS-protocol om certificaten uit te geven voor elk afzonderlijk apparaat en elke gebruiker. Er wordt niets gedeeld en er zijn geen wachtwoorden nodig. Validatie is snel, eenvoudig en veilig.
RADIUS is de basis
Het RADIUS-protocol is een industriestandaard voor toegangscontrole. Het biedt gebruikers en apparaten veilige, geverifieerde toegang tot wifi en verbonden netwerken. IT-personeel kan verschillende toegangsrechten toewijzen aan verschillende rollen. Individuen hebben alleen toegang tot de informatie waartoe zij toegang zouden moeten hebben.
RADIUS wordt beschouwd als een AAA-protocol omdat het authenticatie, autorisatie en accounting voor wifi-toegang biedt. AAA betekent dat de inloggegevens worden geverifieerd en dat alleen geldige gebruikers geautoriseerd zijn om het netwerk te gebruiken. Dat houdt de netwerktoegang veilig. AAA betekent ook een nauwkeurige registratie van wanneer elke gebruiker en elk apparaat toegang krijgt tot het netwerk en het verlaat.
U heeft niet alleen een duidelijke verantwoording (accounting) nodig voor IT-personeel, maar ook voor de naleving van richtlijnen die zijn opgesteld door regelgevende instanties waaraan bedrijven en onderwijsinstellingen verantwoording moeten afleggen. Een AAA-protocol behandelt alle drie aspecten van het beveiligen en bijhouden van wifi-toegang.
Foxpass Cloud RADIUS: een oplossing die zowel eenvoudig als veilig is.
Splashtop, tijdens de SDC IT Awards 2023 uitgeroepen tot Security Vendor of the Year, heeft een bewezen, duidelijke, eenvoudige en kosteneffectieve manier om wifi-toegang te beveiligen: Foxpass Cloud RADIUS. Foxpass Cloud RADIUS van Splashtop is een RADIUS-oplossing die de toegang tot uw wifi kan beveiligen zonder een last te creëren voor IT, uw budget of uw gebruikers.
Foxpass Cloud RADIUS kan rechtstreeks worden aangesloten op uw management-infrastructuur voor mobiele apparaten, zoals Intune of Jamf, voor een efficiënte certificaatconfiguratie. Bovendien synchroniseert Foxpass Cloud RADIUS eenvoudig met Google, Okta en Microsoft Entra ID om gemakkelijke onboarding van gebruikers en automatische offboarding mogelijk te maken wanneer gebruikers uw organisatie verlaten.
Foxpass Cloud RADIUS is ook volledig compatibel als aanvullende oplossing voor Microsoft Cloud PKI, die expliciet is afgestemd op het beveiligen van toegang tot wifinetwerken en VPN's en beschikbaar is als onderdeel van de Microsoft Intune Suite.
Foxpass Cloud RADIUS is zowel schaalbaar als fault-tolerant, met servers die meerdere datacenters beslaan en geen enkel point of failure hebben. U ontvangt duidelijke en gedetailleerde logs van activiteiten die u de accounting geven die u nodig heeft om uw netwerktoegangscontrole te beheren en te voldoen aan wettelijke normen. En omdat Foxpass Cloud RADIUS meerdere SSID's ondersteunt, kunt u uw verschillende netwerken, zoals die voor studenten en schoolpersoneel, gescheiden en veilig houden.
Foxpass Cloud RADIUS beveiligt wifi op een manier die gemakkelijk is voor al uw gebruikers en IT, waardoor de last voor uw IT eerder wordt verlaagd dan vergroot. Met Foxpass Cloud RADIUS kunt u uw gegevens en uw mensen op een eenvoudige en duidelijke manier beschermen tegen chaos.
Splashtop is toonaangevend op het gebied van remote oplossingen die het werken en leren overal ter wereld vereenvoudigen. Splashtop heeft Foxpass in 2023 overgenomen om hun succesvolle en gebruiksvriendelijke RADIUS-oplossing, waar duizenden gebruikers al van afhankelijk zijn, toe te voegen aan de onderwijs- en zakelijke oplossingen die Splashtop biedt.
Lees meer over Foxpass Cloud RADIUS, of start nu een gratis proefperiode!