Yeni başlayanlar RADIUS ve WiFi kimlik doğrulamasının nasıl çalıştığıyla ilgili sorular

Microsoft ağında çalışan Güney Afrika'daki bir lisede ağ yöneticisiyim. Kampüs çevresinde yaklaşık 150 PC var ve bunların en az 130'u ağa bağlı. Kalan personel dizüstü bilgisayarlar. Tüm IP adresleri bir DHCP sunucusu kullanılarak atanır.

Şu anda, wi-fi erişimimiz bu personelin bulunduğu birkaç konumla sınırlıdır. WPA'yı öğrencilere sunulmayan uzun bir anahtarla kullanıyoruz. Bildiğim kadarıyla bu anahtar güvenlidir.

Bununla birlikte, RADIUS kimlik doğrulamasını kullanmak daha anlamlı olacaktır, ancak uygulamada nasıl çalıştığı hakkında bazı sorularım var.

1. Etki alanına eklenen makineler otomatik olarak wi-fi ağında kimlik doğrulaması yapacak mı? Yoksa kullanıcı tabanlı mı? İkisi de olabilir mi?
2. PSP / iPod touch / Blackberry / etc / gibi cihazlar, RADIUS kimlik doğrulaması kullanıyorsa WiFi ağına bağlanabilecek mi? Bunun olmasını istiyorum.

RADIUS kimlik doğrulamasını destekleyen WAP'larım var. Sadece bir MS 2003 sunucusundan RADIUS işlevselliğini açmak gerekir.

Mobil cihaz gereksinimi göz önüne alındığında, esir portal kullanmak daha iyi olur mu? Havaalanlarındaki deneyimden (cihazın bir tarayıcısı varsa) yapılabileceğini biliyorum.

Beni esir portallarla ilgili sorulara getiriyor:

1. Sabit portalı yalnızca kablosuz ağa bağlı cihazlarla sınırlayabilir miyim? Özellikle mevcut tüm ağ makineleri için MAC adresi istisnaları ayarlamak istemiyorum (bence, MAC adresi sahtekarlığı fırsatını arttırıyor).
2. Bu nasıl yapılır? Kablosuz erişim aygıtları için ayrı bir adres aralığım var mı ve bu durumda sabit portal iki ağ arasında gidecek mi? WAP'lerin fiziksel olarak ağları esir alınmayacak diğer makinelerle paylaştıklarını vurgulamak önemlidir.

Deneyiminiz ve görüşleriniz takdir edilecektir!

Philip

Düzenleme: Bir Kısıtlama Portalı'nın bile mümkün olup olmadığı konusunda biraz daha net olmak için bu soruyu sordum .

Wifi için kullanıcı kimlik doğrulaması 802.1x protokolünü kullanır .
Cihazları bağlamak için SecureW2 gibi bir WPA desteği gerekir. Kullandığınız istemciye
bağlı olarak, Windows etki alanı giriş / şifresi ile bir TOA kullanabilirsiniz.
iPhone ve iPod touch yerleşik WPA özelliğine sahiptir. PSP / BB'yi bilmiyorum. SecureW2 bir Windows Mobile sürümüne sahiptir.

IP Ağı oluşturmak zorunda kalmadan yalnızca WiFi için sabit bir portal etkinleştirebileceğinizden eminim. Kablosuz erişimi bir vlana ve kablolu erişimi başka bir vlana koymanız ve ardından portalı her iki vlan arasına koymanız yeterlidir. Bu şeffaf bir güvenlik duvarı gibidir.

802.1x'in bilgisayarlarda bir destekleyici olması gerekir. Wifi kullanması gereken bilgisayarlar biliniyorsa, sadece onlara dilekçeyi kurmanız gerekir ve bu harika bir çözümdür. Kablosuz erişiminizi ziyaretçi veya bunun gibi şeyler tarafından erişilebilir hale getirmek istiyorsanız, bu yüzden bir kabus olabilir, çünkü onlar yalvarmaya ihtiyaç duyarlar.

Kısıtlanan bir portal biraz daha az güvenlidir ve kullanıcının her bağlandığında manuel olarak kimlik doğrulaması yapması gerekir. Biraz sıkıcı olabilir.

Benim açımdan iyi bir çözüm de her ikisine de sahip. Kabloda sanki size bağlananla aynı 802.1x erişimi ve daha az şeye erişmenizi sağlayan bir sabit portal (80 numaralı internet bağlantı noktasına erişim, yerel lana sınırlı erişim, ...)

WIFI deneyimi biraz var - birçok kampüs dağıtımları yaptık: City of Las Vegas, Michigan Üniversitesi, çeşitli oteller ve apartman kompleksleri ....

İstemcileriniz doğrudan bir RADIUS sunucusuyla konuşmaz. 802.1x özellikli AP (Erişim Noktası) bunu istemcinin adına yapar. Aslında, 802.1x uygulamasını desteklemek için RADIUS'a ihtiyacınız yoktur.

1. Sabit portalı yalnızca kablosuz ağa bağlı cihazlarla sınırlayabilir miyim? Özellikle mevcut tüm ağ makineleri için MAC adresi istisnaları ayarlamak istemiyorum (bence, MAC adresi sahtekarlığı fırsatını arttırıyor).

MAC sahteciliği yalnızca bir istemci ilişkilendirildikten sonra yapılabilir. Bu nedenle, endişeniz bir ilki olmadan bir WIFI ağında parodi yapamayacağınız için gerekli değildir. İlişkilendirmeyi WPA veya WPA2 ve diğerleri aracılığıyla kontrol ediyorsunuz ...

2. Bu nasıl yapılır? Kablosuz erişim aygıtları için ayrı bir adres aralığım var mı ve bu durumda sabit portal iki ağ arasında gidecek mi? WAP'lerin fiziksel olarak ağları esir alınmayacak diğer makinelerle paylaştıklarını vurgulamak önemlidir.

Bunu yapabilirsin ama neyi başarmayı umduğunu bilmiyorum? Neden WIFI erişimini kablolu müşterilerinizden izole etmeniz gerektiğini düşünüyorsunuz? NOT: VLANS bir güvenlik önlemi değildir !!!

Çözümünüz, ne tür AP'lere sahip olduğunuza ve WPA2'yi destekleyip desteklemediklerine bağlıdır. Yaptıklarını varsayarsak, yapacağım şey sizin durumunuzdaki iki şeyden biri:

WPA-PSK'yı dağıtın ve grup ilkeleri ve güvenlik duvarları aracılığıyla LAN erişimini denetleyin. Ayrıca WIFI "bölge" alt ağ ve ihtiyacınız olan herhangi bir dahili filtreleme için yönlendirici ACLs kullanın. NTLM bugünlerde oldukça güvende. Bu benim ilk yaklaşımım olurdu. Bunu yapamayacağınız nedenler varsa, orijinal yayınınızda neden olduğunu söylemek için yeterince genişlemediniz ...

2. yaklaşımım daha sonra 802.1x'e bakacaktı - bu, açıklandığı gibi ihtiyaçlarınız için aşırıya kaçmış gibi görünecek, ancak bir çalışan şirketten ayrıldığında vb. (WPA-PSK) yeterince iyi görünüyor. PSK'yı kendinize koymak yerine verirseniz, bu seçenek tercih edilir - sanırım.

Son kullanıcılar PSK'yı bir şekilde yabancılarla paylaşsa bile, LAN uç noktalarınız hala NTLM, ACL'ler ve güvenlik duvarları ile korunur ...