Питання для початківців про те, як працює RADIUS та WiFi аутентифікація

Я адміністратор мережі в середній школі в Південній Африці, працюю в мережі Microsoft. У нас на території кампусу є приблизно 150 ПК, з яких як мінімум 130 підключено до мережі. Решта - це персональні ноутбуки. Усі IP-адреси призначаються за допомогою сервера DHCP.

Наразі наш доступ до Wi-Fi обмежений кількома місцями, де знаходиться цей персонал. Ми використовуємо WPA з довгим ключем, який не доступний для студентів. Наскільки мені відомо, цей ключ безпечний.

Однак було б більше сенсу використовувати автентифікацію RADIUS, але у мене є питання щодо того, як це працює на практиці.

1. Чи автоматично машини, додані до домену, автоматично засвідчують мережу wi-fi? Або це на основі користувачів? Чи може бути і те й інше?
2. Чи зможуть пристрої на зразок PSP / iPod touch / Blackberry / тощо / підключитися до мережі WiFi, якщо вона використовує автентифікацію RADIUS? Я хотів би, щоб це сталося.

У мене є WAP, які підтримують автентифікацію RADIUS. Мені просто потрібно було б увімкнути функцію RADIUS з сервера MS 2003.

Враховуючи вимогу мобільних пристроїв, чи краще використовувати портативний портал? Я знаю з досвіду роботи аеропортів, що це можна зробити (якщо на пристрої є браузер).

Що приводить мене до питань щодо портативних полонів:

1. Чи можу я обмежити портал, що перебуває у полоні, лише на пристроях, підключених до Wi-Fi? Мені особливо не хочеться встановлювати винятки MAC-адреси для всіх існуючих мережевих машин (на моє розуміння, це просто збільшує можливість підробки MAC-адрес).
2. Як це робиться? Чи є в мене окремий діапазон адрес для пристроїв доступу до Wi-Fi, а потім буде прокладений портал, що перебуває в полоні, між двома мережами? Важливо підкреслити, що WAP підтримують фізичну мережу з іншими машинами, які не підлягають ув'язненню.

Ваш досвід та розуміння будуть оцінені!

Філіп

Редагувати: Щоб отримати трохи більше ясності щодо того, чи можливий портал полонених, я поставив це питання .

Аутентифікація користувача для Wifi використовує протокол 802.1x .
Для підключення пристроїв потрібен суплікант WPA, такий як SecureW2.
Залежно від заявника, який ви використовуєте, ви зможете використовувати або зробити SSO із входом / паролем домену Windows.
iPhone та iPod touch вбудовані в прохання WPA. Я не знаю для PSP / BB. SecureW2 має версію для Windows Mobile.

Я впевнений, що ви можете ввімкнути портал із захопленим доступом до Wi-Fi лише без створення IP-мережі. Вам просто потрібно поставити бездротовий доступ у влан, а провідний доступ в інший влан, а потім розмістити портал між обома vlan. Це як прозорий брандмауер.

802.1x потрібно мати заявник на комп’ютерах. Якщо комп'ютери, яким потрібно користуватися Wi-Fi, відомі, вам просто потрібно налаштувати заявку на них, і це чудове рішення. Якщо ви хочете зробити доступ до свого бездротового доступу відвідувачем, або подібні речі, це може бути кошмаром, оскільки їм потрібен молитель тощо.

Портал, що перебуває у полоні, є трохи менш захищеним та потребує користувачеві аутентифікацію вручну під час кожного підключення. Це може бути трохи нудно.

Гарне рішення з моєї точки зору - це теж обидва. Доступ 802.1x, який дає вам те саме, як якщо б ви були підключені до локальної мережі та захопленого порталу, які надають вам доступ до меншої кількості речей (доступ до Інтернет-порту 80, обмежений доступ до локальної мережі, ...)

Я маю трохи досвіду WIFI - здійснив багато розгортань на території кампусу: місто Лас-Вегас, Мічиганський університет, різні готелі та апартаменти ...

Ваші клієнти не спілкуються безпосередньо з сервером RADIUS. AP (точка доступу), здатна 802.1x, робить це від імені клієнта. Насправді вам не потрібен RADIUS для підтримки реалізації 802.1x.

1. Чи можу я обмежити портал, що перебуває у полоні, лише на пристроях, підключених до Wi-Fi? Мені особливо не хочеться встановлювати винятки MAC-адреси для всіх існуючих мережевих машин (на моє розуміння, це просто збільшує можливість підробки MAC-адрес).

Підробку MAC можна виконати лише після того, як клієнт приєднається. Тож вашої турботи тут не повинно бути, оскільки ніхто не може підробити мережу WIFI без спочатку асоціації. Ви керуєте асоціацією через WPA або WPA2 та інші ...

2. Як це робиться? Чи є в мене окремий діапазон адрес для пристроїв доступу до Wi-Fi, а потім буде прокладений портал, що перебуває в полоні, між двома мережами? Важливо підкреслити, що WAP підтримують фізичну мережу з іншими машинами, які не підлягають ув'язненню.

Ви можете це зробити, але я не впевнений, чого ви сподіваєтесь досягти? Чому ви вважаєте, що вам потрібно ізолювати доступ до WIFI від своїх провідних клієнтів? ПРИМІТКА: VLANS - це не міра безпеки !!!

Ваше рішення залежить від типу AP-файлів і якщо вони підтримують WPA2. Якщо припустити, що вони роблять, те, що я зробив би, є однією з двох речей у вашій ситуації:

Розгорніть WPA-PSK і керуйте доступом до локальної мережі за допомогою групових політик та брандмауерів. Я також би підмережу "зони" WIFI і використовувати маршрутизатор ACL для будь-якої необхідної внутрішньої фільтрації. У ці дні NTLM досить безпечний. Це був би мій перший підхід. Якщо є причини, що ви не можете цього зробити, ви не розширилися досить далеко в своєму початковому дописі, щоб сказати, чому ...

Тоді мій другий підхід розглядає 802.1x - це може здатися непосильним для ваших потреб, як описано, але полегшить адміністратора, коли працівник покине компанію тощо. Якщо вони повернуться у своїх ноутбуках, коли вони виїжджають, тоді варіант-1 (WPA-PSK) здається досить хорошим. Якщо ви видаєте PSK, а не вкладаєте його в себе, тоді цей варіант є кращим - я думаю.

Навіть якщо кінцеві користувачі якось діляться PSK з сторонніми особами, кінцеві точки локальної мережі все одно захищені за допомогою NTLM, ACL та брандмауерів ...