คำถามเริ่มต้นเกี่ยวกับวิธีการตรวจสอบสิทธิ์ของ RADIUS และ WiFi

11

ฉันเป็นผู้ดูแลระบบเครือข่ายที่โรงเรียนมัธยมในแอฟริกาใต้ที่ทำงานบนเครือข่าย Microsoft เรามีคอมพิวเตอร์ประมาณ 150 เครื่องรอบ ๆ มหาวิทยาลัยซึ่งมีสายเชื่อมต่อเครือข่ายอย่างน้อย 130 เครื่อง ส่วนที่เหลือเป็นพนักงานแลปท็อป ที่อยู่ IP ทั้งหมดถูกกำหนดโดยใช้เซิร์ฟเวอร์ DHCP

ขณะนี้การเข้าถึง Wi-Fi ของเรา จำกัด เพียงไม่กี่แห่งที่พนักงานเหล่านั้นตั้งอยู่ เรากำลังใช้ WPA กับกุญแจยาวที่ไม่ได้ให้บริการแก่นักเรียน สำหรับความรู้ของฉันกุญแจนี้มีความปลอดภัย

อย่างไรก็ตามมันจะสมเหตุสมผลกว่านี้ในการใช้การรับรองความถูกต้อง RADIUS แต่ฉันมีคำถามบางอย่างเกี่ยวกับการใช้งานจริง

  1. เครื่องที่เพิ่มไปยังโดเมนจะรับรองความถูกต้องโดยอัตโนมัติในเครือข่าย Wi-Fi หรือไม่ หรือมันเป็นแบบผู้ใช้? มันสามารถเป็นได้ทั้งสองอย่าง?
  2. อุปกรณ์เช่น PSP / iPod touch / Blackberry / etc / สามารถเชื่อมต่อกับเครือข่าย WiFi ได้หรือไม่หากใช้การรับรองความถูกต้อง RADIUS ฉันต้องการให้สิ่งนี้เกิดขึ้น

ฉันมี WAP ที่รองรับการตรวจสอบ RADIUS ฉันแค่ต้องเปิดใช้งานฟังก์ชั่น RADIUS จากเซิร์ฟเวอร์ MS 2003

ด้วยความต้องการของอุปกรณ์พกพาการใช้ Captive-Portal จะดีกว่าไหม ฉันรู้จากประสบการณ์ในสนามบินว่าสามารถทำได้ (หากอุปกรณ์มีเบราว์เซอร์)

ซึ่งทำให้ฉันมีคำถามเกี่ยวกับ Captive portals:

  1. ฉันสามารถ จำกัด พอร์ทัลแบบ Captive ให้กับอุปกรณ์ที่เชื่อมต่อ Wi-Fi เท่านั้น ฉันไม่ต้องการตั้งค่าข้อยกเว้นที่อยู่ MAC ของเครื่องเครือข่ายที่มีอยู่ทั้งหมดโดยเฉพาะ (ในความเข้าใจของฉันมันก็เป็นการเพิ่มโอกาสสำหรับการปลอมแปลงที่อยู่ MAC)
  2. สิ่งนี้ทำได้อย่างไร ฉันมีช่วงที่อยู่แยกต่างหากสำหรับอุปกรณ์การเข้าถึง WiFi และเส้นทางเชลยพอร์ทัลระหว่างสองเครือข่ายหรือไม่ สิ่งสำคัญคือต้องเน้นว่า WAP ใช้เครือข่ายทางกายภาพร่วมกับเครื่องอื่น ๆ ที่ไม่ต้องถูกจับภาพ

ประสบการณ์และความเข้าใจของคุณจะได้รับการชื่นชม!

ฟิลิป

แก้ไข:เพื่อให้ได้ความชัดเจนมากขึ้นเล็กน้อยว่า Captive Portal เป็นไปได้หรือไม่ฉันได้ถามคำถามนี้

wifi  radius  captive-portal 
ฟิลิป
แหล่งที่มา

คำตอบ:

6

การตรวจสอบผู้ใช้สำหรับ Wifi ใช้โปรโตคอล802.1x
ในการเชื่อมต่ออุปกรณ์จำเป็นต้องมีWPA supplicantเช่นSecureW2
ขึ้นอยู่กับการร้องขอที่คุณใช้คุณจะใช้หรือไม่จะใช้ SSO กับการเข้าสู่ระบบโดเมน / รหัสผ่าน windows
iPhone และ iPod touch สร้างขึ้นใน WPA supplicant ฉันไม่รู้ PSP / BB SecureW2 มีรุ่น Windows Mobile

ฉันแน่ใจว่าคุณสามารถเปิดใช้งานพอร์ทัลเชลยสำหรับ WiFi เท่านั้นโดยไม่ต้องสร้างเครือข่าย IP คุณเพียงแค่ต้องใส่การเข้าถึงแบบไร้สายใน vlan และการเข้าถึงแบบมีสายใน vlan อื่นแล้วใส่พอร์ทัลระหว่างทั้งสอง vlan นี่เป็นเหมือนไฟร์วอลล์ที่โปร่งใส

802.1x จำเป็นต้องมีผู้ร้องขอบนคอมพิวเตอร์ หากคอมพิวเตอร์ที่จำเป็นต้องใช้ Wifi นั้นเป็นที่รู้จักกันคุณจะต้องตั้งค่าผู้ร้องขอบนเครื่องและเป็นวิธีแก้ปัญหาที่ยอดเยี่ยม หากคุณต้องการให้ผู้ใช้สามารถเข้าถึงการเข้าถึงแบบไร้สายหรือสิ่งต่าง ๆ เช่นนั้นอาจเป็นฝันร้ายเพราะพวกเขาต้องการผู้ขอร้อง ฯลฯ

พอร์ทัลแบบ Captive มีความปลอดภัยน้อยกว่าเล็กน้อยและต้องการให้ผู้ใช้รับรองความถูกต้องด้วยตนเองทุกครั้งที่เชื่อมต่อ มันอาจจะน่าเบื่อนิดหน่อย

ทางออกที่ดีจากมุมมองของฉันก็มีทั้ง การเข้าถึง 802.1x ที่ให้คุณเหมือนกับว่าคุณถูกเชื่อมต่อผ่านสาย LAN และพอร์ทัลแบบ Captive ที่ให้คุณเข้าถึงสิ่งต่าง ๆ น้อยลง (การเข้าถึงพอร์ตอินเทอร์เน็ต 80, การ จำกัด การเข้าถึง LAN ท้องถิ่น, ... )

รัศมี
แหล่งที่มา
5

ฉันมีประสบการณ์ WIFI นิดหน่อย - ได้ทำการติดตั้งในวิทยาเขตหลายแห่ง: เมืองลาสเวกัสมหาวิทยาลัยมิชิแกนโรงแรมและอพาร์ตเมนต์คอมเพล็กซ์ต่าง ๆ ....

ลูกค้าของคุณไม่ได้คุยกับเซิร์ฟเวอร์ RADIUS โดยตรง AP (Access Point) ที่มีความสามารถ 802.1x สามารถทำได้ในนามของลูกค้า ในความเป็นจริงคุณไม่ต้องการ RADIUS เพื่อรองรับการใช้งาน 802.1x

1. ฉันสามารถ จำกัด พอร์ทัลแบบ จำกัด เฉพาะอุปกรณ์ที่เชื่อมต่อ Wi-Fi เท่านั้น ฉันไม่ต้องการตั้งค่าข้อยกเว้นที่อยู่ MAC ของเครื่องเครือข่ายที่มีอยู่ทั้งหมดโดยเฉพาะ (ในความเข้าใจของฉันมันก็เป็นการเพิ่มโอกาสสำหรับการปลอมแปลงที่อยู่ MAC)

การปลอมแปลง MAC สามารถทำได้หลังจากที่ลูกค้าสัมพันธ์ ดังนั้นความกังวลของคุณที่นี่ไม่จำเป็นต้องเป็นอย่างใดอย่างหนึ่งไม่สามารถหลอกลวงบนเครือข่ายไร้สายโดยไม่มีการเชื่อมโยงก่อน คุณสามารถควบคุมการเชื่อมโยงผ่าน WPA หรือ WPA2 และอื่น ๆ ...

2. สิ่งนี้ทำได้อย่างไร? ฉันมีช่วงที่อยู่แยกต่างหากสำหรับอุปกรณ์การเข้าถึง WiFi และเส้นทางเชลยพอร์ทัลระหว่างสองเครือข่ายหรือไม่ สิ่งสำคัญคือต้องเน้นว่า WAP ใช้เครือข่ายทางกายภาพร่วมกับเครื่องอื่น ๆ ที่ไม่ต้องถูกจับภาพ

คุณสามารถทำสิ่งนี้ได้ แต่ฉันไม่แน่ใจว่าคุณหวังจะทำอะไร? ทำไมคุณถึงรู้สึกว่าคุณต้องแยกการเข้าถึง WIFI จากไคลเอนต์แบบมีสายของคุณ? หมายเหตุ: VLANS ไม่ใช่มาตรการรักษาความปลอดภัย !!!

โซลูชันของคุณขึ้นอยู่กับประเภทของ AP ที่คุณใช้และหากรองรับ WPA2 สมมติว่าพวกเขาทำสิ่งที่ฉันจะทำคือหนึ่งในสองสิ่งในสถานการณ์ของคุณคือ:

ปรับใช้ WPA-PSK และควบคุมการเข้าถึง LAN ผ่านนโยบายกลุ่มและไฟร์วอลล์ ฉันจะซับเน็ต "โซน" WIFI และใช้เราเตอร์ ACL สำหรับการกรองภายในที่คุณต้องการ NTLM ค่อนข้างปลอดภัยในทุกวันนี้ นี่จะเป็นวิธีแรกของฉัน หากมีเหตุผลที่คุณไม่สามารถทำได้คุณยังไม่ได้ขยายโพสต์ต้นฉบับของคุณให้มากพอที่จะบอกว่าทำไม ...

วิธีที่ 2 ของฉันจะดูที่ 802.1x - สิ่งนี้ดูเหมือนจะเกินความต้องการของคุณตามที่อธิบายไว้ แต่จะช่วยให้ผู้ดูแลระบบง่ายขึ้นเมื่อพนักงานออกจาก บริษัท ฯลฯ ... หากพวกเขาเปิดแล็ปท็อปเมื่อพวกเขาออกไปตัวเลือก -1 (WPA-PSK) ดูดีพอ ถ้าคุณให้ PSK ออกมาแทนที่จะใส่มันลงไปในตัวคุณเองแล้วตัวเลือกนี้เป็นที่ต้องการ - ฉันเดา

แม้ว่าผู้ใช้จะแชร์ PSK กับบุคคลภายนอก แต่อย่างใดจุดปลาย LAN ของคุณยังคงปลอดภัยผ่านทาง NTLM, ACL และไฟร์วอลล์ ...

กิโล
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.