cloudessa.

com

Cloudessa RADIUS nas implantações de WiFi corporativo

7-10 minutes

Impulsionada por dispositivos móveis e BYOD, a escala, a complexidade e a importância das redes

WiFi corporativas estão aumentando drasticamente. Uma infraestrutura de segurança de acesso

multifacetada e bem arquitetada é um elemento essencial de toda implantação de WiFi corporativa.

Essa infraestrutura geralmente deve suportar as seguintes funções:

Autenticação, para garantir que apenas usuários autorizados obtenham acesso à rede

Autorização de usuário e dispositivo, para configurar o nível apropriado de acesso e segurança

para clientes da rede

Segurança, para evitar ataques às credenciais e dados do usuário

Além disso, esses novos requisitos de WiFi devem integrar-se idealmente aos sistemas e à arquitetura

existentes de gerenciamento de acesso da rede, para garantir a simplicidade administrativa.

Requisitos de autenticação

As implantações de WiFi em escala corporativa exigem uma infraestrutura de autenticação capaz de

lidar com solicitações de um grande número de usuários, acessar a rede a partir de locais

geograficamente distribuídos, com diferentes credenciais, direitos de acesso e requisitos de segurança,

e através de gateways de acesso de vários fornecedores.

Requisitos de autorização de usuário e dispositivo

Além de uma infraestrutura de autenticação robusta, as redes WiFi corporativas geralmente precisam

oferecer suporte a diferentes níveis de acesso, de acordo com quem (ou o que) está se conectando.

Funcionários, convidados e até dispositivos habilitados para IP devem ter acesso à rede, mas cada um

necessariamente possui requisitos de segurança e direitos de acesso diferentes.

Requisitos de segurança

As práticas recomendadas para acesso Wi-Fi a aplicativos LAN corporativos exigem o uso de WPA2

Enterprise e segurança baseada em 802.1X; além disso, o WPA2 e o 802.1X são considerados

essenciais para garantir o acesso WiFi nos serviços de saúde (HIPAA), serviços financeiros (SOX) e

outros ambientes regulamentados. O Portal Cativo com Splash de Conexão é frequentemente usado

para permitir o acesso de convidados e clientes às redes.

Cloudessa RADIUS

Com sua capacidade de gerenciar centralmente a autenticação, autorização e contabilidade de usuário,

um servidor RADIUS é um componente integrante de uma rede WiFi corporativa. O Cloudessa RADIUS

é capaz de lidar exclusivamente com os requisitos de segurança e capacidade de gerenciamento

nessas redes, pelos seguintes motivos:

Ele suporta segurança WiFi padrão do setor, além de acesso de convidado com menor

segurança - o Cloudessa RADIUS fornece suporte total aos protocolos de segurança 802.1X

que garantem a autenticação e a segurança da sessão, além de soluções de portal cativas que

permitem que clientes ou convidados acessem um acesso restrito área da rede com requisitos

de segurança menos fortes.

É simples de administrar - o Cloudessa RADIUS é uma solução RADIUS de vários

fornecedores que suporta seus gateways de acesso à rede existentes. Além disso, autentica os

usuários de WiFi nos repositórios de dados já existentes na sua rede, incluindo repositórios de

usuários do Active Directory, LDAP, SQL ou Google - sem a necessidade de reinserção manual

dos dados.

Está disponível como um serviço de nuvem pública ou para instalação em uma máquina

virtual. Use ou implemente o Cloudessa RADIUS da maneira que faz sentido na sua rede:

Use o serviço Cloudessa RADIUS hospedado na nuvem pública, onde você pode tirar

proveito de uma infraestrutura compartilhada de vários locatários. Você desfruta da

economia de custos e da simplicidade de gerenciamento do RADIUS como serviço,

enquanto os dados críticos do usuário permanecem sob seu controle.

Implante o Cloudessa RADIUS como um dispositivo virtual em execução distribuída em

uma nuvem privada, data center corporativo ou locais individuais ou regionais. Para

empresas que desejam manter o RADIUS completamente no local e controlar a

disponibilidade do serviço, isso fornece uma alternativa econômica e apropriada para

WiFi aos servidores RADIUS herdados.

Ele foi desenvolvido com base no código FreeRADIUS comprovado no mercado - o

Cloudessa RADIUS é uma solução RADIUS testada pelo tempo, com base no código já

implantado em milhares de servidores em todo o mundo.

Não é apenas para WiFi - o Cloudessa RADIUS é capaz de autenticar solicitações de acesso

não apenas a pontos de acesso e gateways WiFi, mas também VPNs, firewalls e outros

gateways de acesso. Use-o para gerenciar e proteger todo o acesso à sua rede.

Os diagramas a seguir ilustram como o Cloudessa RADIUS se integra a uma infraestrutura de rede Wi-

Fi típica.

Arquitetura de referência: WiFi corporativo com segurança WPA2 / 802.1x

Este diagrama ilustra como uma empresa com vários locais pode aproveitar o serviço Cloudessa

RADIUS na nuvem pública para autenticar e autorizar usuários e dispositivos WiFi via WPA2-Enterprise

e 802.1X.

Os usuários de WiFi se conectam à sua rede WiFi local através de um cliente 802.1X; a

segurança da credencial durante a troca é protegida pelo uso de EAP-TTLS ou EAP-PEAP.

O ponto de acesso WiFi (ou outro gateway de rede) se comunica com o Cloudessa RADIUS na

nuvem pública para determinar se o usuário está autorizado a se conectar e, em caso afirmativo,

como configurar a conexão.

O Cloudessa RADIUS autentica o usuário do WiFi com o banco de dados de nome de usuário e

senha existente da empresa - por exemplo, Active Directory, LDAP ou SQL - localizado no data

center da empresa; a autenticação no repositório de usuários baseado na nuvem do Google

Apps [e um banco de dados nativo] também é suportada.

Se o Cloudessa RADIUS determinar que o usuário está autorizado a se conectar, ele configurará

o nível de acesso apropriado para o usuário.

Uma vez autenticado na rede com o nível de acesso apropriado, a segurança dos dados do

usuário WiFi é protegida pelo WPA2-Enterprise.

Arquitetura de referência: WiFi corporativo de várias residências, protegido pelo
serviço Cloudessa RADIUS

This diagram illustrates how an Enterprise can use Cloudessa RADIUS to enforce the configured

security protocol according to which SSID a user or device associates with. Each WiFi access point is

configured with multiple SSIDs, with each SSID having its own set of authorized users and devices, and

mandated level of access security. This allows enterprises to segregate employee, operational, and

customer / guest access.

Users (typically employees) who connect using the strong security of 802.1X plus EAP-TTLS or

EAP-PEAP, are authenticated against the enterprise user data store, and are able to access the

full range of network services and applications. (See above diagram for specifics.)

Customers or guests would typically connect via a captive portal solution.

A solução de portal cativo se comunica com o Cloudessa RADIUS para determinar se o

usuário está autorizado a se conectar.

Depois de autenticado, o servidor da Web do portal cativo concede acesso a um número

limitado de serviços e aplicativos disponíveis para os usuários da rede convidados.

Os dispositivos habilitados para IP normalmente se conectam via PAP e são autenticados em

um banco de dados LDAP ou SQL.