Người mới bắt đầu câu hỏi về cách xác thực RADIUS và WiFi

Tôi là quản trị viên mạng tại một trường trung học ở Nam Phi, đang chạy trên mạng Microsoft. Chúng tôi có khoảng 150 PC xung quanh khuôn viên, trong đó ít nhất 130 được nối với mạng. Còn lại là nhân viên laptop. Tất cả các địa chỉ IP được gán bằng máy chủ DHCP.

Hiện tại, quyền truy cập wi-fi của chúng tôi bị giới hạn ở một vài địa điểm nơi những nhân viên đó được đặt. Chúng tôi đang sử dụng WPA với một khóa dài không dành cho sinh viên. Theo hiểu biết của tôi, chìa khóa này là an toàn.

Tuy nhiên, sẽ hợp lý hơn khi sử dụng xác thực RADIUS nhưng tôi có một số câu hỏi về cách thức hoạt động trong thực tế.

1. Các máy được thêm vào miền sẽ tự động xác thực với mạng wi-fi? Hay là dựa trên người dùng? Nó có thể là cả hai?
2. Các thiết bị như PSP / iPod touch / Blackberry / etc / có thể kết nối với mạng WiFi nếu sử dụng xác thực RADIUS không? Tôi muốn điều này xảy ra.

Tôi có các WAP hỗ trợ xác thực RADIUS. Tôi chỉ cần bật chức năng RADIUS từ Máy chủ MS 2003.

Với yêu cầu thiết bị di động, sử dụng cổng bị khóa sẽ tốt hơn? Tôi biết từ kinh nghiệm trong các sân bay rằng nó có thể được thực hiện (nếu thiết bị có trình duyệt).

Điều này mang lại cho tôi các câu hỏi liên quan đến cổng Captive:

1. Tôi có thể giới hạn cổng bị khóa chỉ với các thiết bị được kết nối Wi-Fi không? Tôi đặc biệt không muốn phải thiết lập ngoại lệ địa chỉ MAC cho tất cả các máy mạng hiện có (theo cách hiểu của tôi, nó chỉ làm tăng cơ hội giả mạo địa chỉ MAC).
2. Làm thế nào được thực hiện? Tôi có phạm vi địa chỉ riêng cho các thiết bị truy cập WiFi không và sau đó tuyến cổng bị khóa giữa hai mạng sẽ không? Điều quan trọng là phải nhấn mạnh rằng các WAP chia sẻ một mạng vật lý với các máy khác không được lưu giữ.

Kinh nghiệm và cái nhìn sâu sắc của bạn sẽ được đánh giá cao!

Philip

Chỉnh sửa: Để hiểu rõ hơn một chút về việc Cổng thông tin Captive có khả thi hay không, tôi đã hỏi câu hỏi này .

Xác thực người dùng cho Wifi sử dụng giao thức 802.1x .
Để kết nối các thiết bị cần có chất thay thế WPA, chẳng hạn như SecureW2
Tùy thuộc vào chất thay thế bạn sử dụng, bạn sẽ có thể sử dụng SSO với mật khẩu / tên miền windows.
iPhone và iPod touch đã được tích hợp sẵn WPA. Tôi không biết cho PSP / BB. SecureW2 có phiên bản Windows Mobile.

Tôi chắc chắn rằng bạn chỉ có thể kích hoạt một cổng bị khóa cho WiFi mà không cần phải tạo vào Mạng IP. Bạn chỉ cần đặt truy cập không dây trong một vlan và truy cập có dây trong một vlan khác sau đó đặt cổng giữa cả hai vlan. Điều này giống như một tường lửa trong suốt.

802.1x cần phải có một sự thay thế trên máy tính. Nếu máy tính cần sử dụng Wifi được biết đến, bạn chỉ cần thiết lập thiết bị thay thế cho chúng và đó là một giải pháp tuyệt vời. Nếu bạn muốn truy cập không dây của mình bởi khách truy cập hoặc những thứ tương tự thì đó có thể là một cơn ác mộng bởi vì họ cần người thay thế, v.v.

Cổng bị khóa kém an toàn hơn một chút và cần người dùng xác thực thủ công mỗi lần họ kết nối. Nó có thể là một chút vay mượn.

Một giải pháp tốt từ quan điểm của tôi là quá có cả hai. Quyền truy cập 802.1x cung cấp cho bạn giống như khi bạn kết nối trên mạng và cổng bị khóa cho phép bạn truy cập vào những thứ ít hơn (truy cập vào cổng internet 80, quyền truy cập hạn chế vào lan cục bộ, ...)

Tôi có một chút kinh nghiệm về WIFI - đã thực hiện nhiều triển khai trong khuôn viên: Thành phố Las Vegas, Đại học Michigan, nhiều khách sạn và khu chung cư khác nhau ....

Khách hàng của bạn không nói chuyện trực tiếp với máy chủ RADIUS. AP (Điểm truy cập) có khả năng 802.1x thực hiện việc này thay cho máy khách. Trên thực tế, bạn không cần RADIUS để hỗ trợ triển khai 802.1x.

1. Tôi có thể giới hạn cổng bị khóa chỉ với các thiết bị được kết nối Wi-Fi không? Tôi đặc biệt không muốn phải thiết lập ngoại lệ địa chỉ MAC cho tất cả các máy mạng hiện có (theo cách hiểu của tôi, nó chỉ làm tăng cơ hội giả mạo địa chỉ MAC).

Việc giả mạo MAC chỉ có thể được thực hiện sau khi khách hàng liên kết. Vì vậy, mối quan tâm của bạn ở đây không cần phải là vì người ta không thể giả mạo trên mạng WIFI mà không cần liên kết trước. Bạn kiểm soát liên kết thông qua WPA hoặc WPA2 và những người khác ...

2. Làm thế nào được thực hiện? Tôi có phạm vi địa chỉ riêng cho các thiết bị truy cập WiFi không và sau đó tuyến cổng bị khóa giữa hai mạng sẽ không? Điều quan trọng là phải nhấn mạnh rằng các WAP chia sẻ một mạng vật lý với các máy khác không được lưu giữ.

Bạn có thể làm điều đó nhưng tôi không chắc bạn hy vọng đạt được điều gì? Tại sao bạn cảm thấy cần phải cách ly truy cập WIFI khỏi các máy khách có dây? LƯU Ý: VLans không phải là biện pháp bảo mật !!!

Giải pháp của bạn phụ thuộc vào loại AP bạn có và nếu chúng hỗ trợ WPA2. Giả sử họ làm, điều tôi sẽ làm là một trong hai điều trong tình huống của bạn là:

Triển khai WPA-PSK và kiểm soát truy cập mạng LAN thông qua các chính sách nhóm và tường lửa. Tôi cũng sẽ subnet "vùng" WIFI và sử dụng ACL bộ định tuyến cho bất kỳ bộ lọc nội bộ nào bạn cần. NTLM là khá an toàn những ngày này. Đây sẽ là cách tiếp cận đầu tiên của tôi. Nếu có những lý do bạn không thể làm điều này, bạn đã không mở rộng đủ xa trong bài viết gốc của mình để nói tại sao ...

Cách tiếp cận thứ 2 của tôi sau đó sẽ nhìn vào 802.1x - điều này có vẻ quá mức cho nhu cầu của bạn như được mô tả nhưng sẽ giúp quản trị viên dễ dàng hơn khi một nhân viên rời khỏi công ty, v.v ... Nếu họ bật máy tính xách tay khi họ rời đi, thì tùy chọn-1 (WPA-PSK) có vẻ đủ tốt. Nếu bạn đưa ra PSK chứ không phải đặt nó vào chính mình, thì tùy chọn này được ưu tiên - tôi đoán vậy.

Ngay cả khi người dùng cuối bằng cách nào đó chia sẻ PSK với người ngoài, điểm cuối LAN của bạn vẫn được bảo mật thông qua NTLM, ACL và tường lửa ...