Pytania dla początkujących dotyczące działania uwierzytelniania RADIUS i WiFi

11

Jestem administratorem sieci w liceum w Południowej Afryce, działającym w sieci Microsoft. W całym kampusie mamy około 150 komputerów, z czego co najmniej 130 jest podłączonych do sieci. Pozostałe to laptopy dla personelu. Wszystkie adresy IP są przypisywane za pomocą serwera DHCP.

Obecnie nasz dostęp do Wi-Fi jest ograniczony do kilku lokalizacji, w których znajdują się ci pracownicy. Używamy WPA z długim kluczem, który nie jest udostępniany studentom. Według mojej wiedzy ten klucz jest bezpieczny.

Bardziej sensowne byłoby jednak korzystanie z uwierzytelniania RADIUS, ale mam pytania dotyczące tego, jak to działa w praktyce.

  1. Czy komputery dodane do domeny automatycznie uwierzytelnią się w sieci Wi-Fi? Czy jest to oparte na użytkownikach? Czy to może być jedno i drugie?
  2. Czy urządzenia takie jak PSP / iPod touch / Blackberry / etc / będą mogły łączyć się z siecią Wi-Fi, jeśli używa uwierzytelniania RADIUS? Chciałbym, żeby tak się stało.

Mam WAP, które obsługują uwierzytelnianie RADIUS. Chciałbym tylko włączyć funkcję RADIUS z serwera MS 2003.

Biorąc pod uwagę wymagania dotyczące urządzeń mobilnych, czy korzystanie z portalu dla niewolników byłoby lepsze? Wiem z doświadczenia na lotniskach, że można to zrobić (jeśli urządzenie ma przeglądarkę).

Co prowadzi mnie do pytań dotyczących portali typu Captive:

  1. Czy mogę ograniczyć portal przechwytujący tylko do urządzeń podłączonych do Wi-Fi? Nie chcę specjalnie konfigurować wyjątków adresów MAC dla wszystkich istniejących maszyn sieciowych (w moim rozumieniu, po prostu zwiększa to możliwość fałszowania adresów MAC).
  2. Jak to się robi? Czy mam osobny zakres adresów dla urządzeń dostępowych Wi-Fi, a następnie portal przechwytujący trasy będzie kierował między dwiema sieciami? Należy podkreślić, że punkty WAP współużytkują sieć fizyczną z innymi komputerami, które nie mają być przenoszone w niewoli.

Twoje doświadczenie i wgląd będą mile widziane!

Philip

Edycja: Aby uzyskać nieco większą jasność, czy portal dla niewoli jest w ogóle wykonalny, zadałem to pytanie .

Philip
źródło

Odpowiedzi:

6

Uwierzytelnianie użytkownika dla Wi-Fi korzysta z protokołu 802.1x .
Aby połączyć urządzenia, potrzebujesz suplikanta WPA, takiego jak SecureW2.
W zależności od suplikanta, którego używasz, będziesz mógł lub nie będziesz mógł użyć logowania jednokrotnego z loginem / hasłem do domeny Windows.
iPhone i iPod touch mają wbudowany suplikant WPA. Nie wiem na PSP / BB. SecureW2 ma wersję Windows Mobile.

Jestem pewien, że możesz włączyć portal dla Wi-Fi tylko bez konieczności tworzenia sieci IP. Wystarczy umieścić dostęp bezprzewodowy w sieci Vlan, a dostęp przewodowy do innej sieci Vlan, a następnie umieścić portal między oboma sieciami Vlan. To jest jak przezroczysta zapora ogniowa.

802.1x musi mieć suplikanta na komputerach. Jeśli znane są komputery, które muszą korzystać z Wi-Fi, wystarczy zainstalować na nich suplikanta i jest to świetne rozwiązanie. Jeśli chcesz, aby odwiedzający miał dostęp bezprzewodowy, może to być koszmar, ponieważ potrzebują suplikanta itp.

Portal w niewoli jest nieco mniej bezpieczny i wymaga ręcznego uwierzytelnienia przy każdym połączeniu. To może być trochę nudne.

Z mojego punktu widzenia dobrym rozwiązaniem jest też posiadanie obu. Dostęp 802.1x, który daje to samo, jakbyś był podłączony do sieci LAN, oraz portal dla niewoli, który daje dostęp do mniejszej liczby rzeczy (dostęp do portu internetowego 80, ograniczony dostęp do lokalnej sieci LAN, ...)

promień
źródło
5

Mam trochę doświadczenia z WIFI - przeprowadziłem wiele wdrożeń kampusu: City of Las Vegas, University of Michigan, różne hotele i kompleksy apartamentów ....

Twoi klienci nie rozmawiają bezpośrednio z serwerem RADIUS. AP (punkt dostępu) obsługujący standard 802.1x robi to w imieniu klienta. W rzeczywistości nie potrzebujesz RADIUS do obsługi implementacji 802.1x.

1. Czy mogę ograniczyć portal przechwytujący tylko do urządzeń połączonych Wi-Fi? Nie chcę specjalnie konfigurować wyjątków adresów MAC dla wszystkich istniejących maszyn sieciowych (w moim rozumieniu, po prostu zwiększa to możliwość fałszowania adresów MAC).

Fałszowanie adresów MAC można wykonać tylko po powiązaniu klienta. Dlatego nie musisz się martwić, ponieważ nie można sfałszować sieci WIFI bez uprzedniego skojarzenia. Kontrolujesz powiązanie za pośrednictwem WPA lub WPA2 i innych ...

2. Jak to się robi? Czy mam osobny zakres adresów dla urządzeń dostępowych Wi-Fi, a następnie portal przechwytujący trasy będzie kierował między dwiema sieciami? Należy podkreślić, że punkty WAP współużytkują sieć fizyczną z innymi komputerami, które nie mają być przenoszone w niewoli.

Możesz to zrobić, ale nie jestem pewien, co masz nadzieję osiągnąć? Dlaczego uważasz, że potrzebujesz odizolować dostęp do sieci WIFI od swoich klientów przewodowych? UWAGA: VLANS nie są środkiem bezpieczeństwa !!!

Twoje rozwiązanie zależy od tego, jaki rodzaj AP posiadasz i czy obsługuje on WPA2. Zakładając, że tak, to jedną z dwóch rzeczy w twojej sytuacji jest:

Wdróż WPA-PSK i kontroluj dostęp do sieci LAN poprzez zasady grupy i zapory ogniowe. Podsiedziałbym również „strefę” WIFI i korzystałem z list ACL routera do wszelkich potrzebnych wewnętrznych filtrów. NTLM jest obecnie całkiem bezpieczny. To byłoby moje pierwsze podejście. Jeśli istnieją powody, dla których nie możesz tego zrobić, nie rozwinąłeś wystarczająco dużo w swoim oryginalnym poście, aby powiedzieć, dlaczego ...

Moje drugie podejście dotyczyłoby wtedy 802.1x - wydaje się to przesadą w stosunku do twoich potrzeb, jak opisano, ale ułatwiłoby administratorowi, kiedy pracownik odchodzi z firmy itp. ... Jeśli oddadzą swoje laptopy, gdy odchodzą, to opcja-1 (WPA-PSK) wydaje się wystarczająco dobry. Jeśli rozdasz PSK, a nie umieścisz go w sobie, ta opcja jest preferowana - tak myślę.

Nawet jeśli użytkownicy końcowi w jakiś sposób udostępniają PSK osobom postronnym, punkty końcowe sieci LAN są nadal zabezpieczone przez NTLM, ACL i zapory ogniowe ...

Kilogram
źródło