Вопросы для начинающих о том, как работает аутентификация RADIUS и WiFi

Я администратор сети в средней школе в Южной Африке, работаю в сети Microsoft. У нас есть около 150 компьютеров в кампусе, из которых как минимум 130 подключены к сети. Остальные являются штатными ноутбуками. Все IP-адреса назначаются с использованием DHCP-сервера.

В настоящее время наш доступ к Wi-Fi ограничен несколькими местами, где находятся эти сотрудники. Мы используем WPA с длинным ключом, который недоступен для студентов. Насколько мне известно, этот ключ безопасен.

Однако было бы более разумно использовать аутентификацию RADIUS, но у меня есть несколько вопросов о том, как это работает на практике.

1. Будут ли машины, добавленные в домен, автоматически аутентифицироваться в сети Wi-Fi? Или это основано на пользователях? Может ли быть и то и другое?
2. Будут ли такие устройства, как PSP / iPod touch / Blackberry / etc /, подключаться к сети WiFi, если она использует аутентификацию RADIUS? Я бы хотел, чтобы это случилось.

У меня есть WAP, которые поддерживают аутентификацию RADIUS. Мне просто нужно включить функциональность RADIUS с сервера MS 2003.

Учитывая требования к мобильным устройствам, будет ли лучше использовать портал авторизации? Из опыта работы в аэропортах я знаю, что это можно сделать (если на устройстве установлен браузер).

Что приводит меня к вопросам, касающимся порталов Captive:

1. Могу ли я ограничить встроенный портал только подключенными к Wi-Fi устройствами? Я не особенно хочу устанавливать исключения MAC-адресов для всех существующих сетевых компьютеров (в моем понимании, это просто увеличивает возможность подмены MAC-адресов).
2. Как это сделать? Есть ли у меня отдельный диапазон адресов для устройств доступа Wi-Fi, и затем будет ли портал для межсетевого экрана соединен между двумя сетями? Важно подчеркнуть, что WAP совместно используют физическую сеть с другими машинами, которые не должны быть размещены в портале.

Ваш опыт и понимание будут оценены!

Филипп

Редактировать: Чтобы получить немного больше ясности относительно того, возможен ли Портал Пленников, я даже задал этот вопрос .

Аутентификация пользователя по Wi-Fi использует протокол 802.1x .
Для подключения устройств необходим запрашивающий WPA, такой как SecureW2.
В зависимости от используемого вами запрашивающего устройства вы сможете или не сможете использовать единый вход с именем пользователя и паролем домена Windows.
iPhone и iPod touch имеют встроенный WPA соискатель. Я не знаю, для PSP / BB. SecureW2 имеет версию для Windows Mobile.

Я уверен, что вы могли бы включить встроенный портал для WiFi только без необходимости создания IP-сети. Вам просто нужно поместить беспроводной доступ в VLAN и проводной доступ в другой VLAN, а затем поместить портал между двумя VLAN. Это как прозрачный брандмауэр.

802.1x должен иметь соискателя на компьютерах. Если компьютеры, которым нужно использовать Wi-Fi, известны, вам просто нужно настроить соискатель на них, и это отличное решение. Если вы хотите сделать ваш беспроводной доступ доступным для посетителя или подобных вещей, это может стать кошмаром, потому что им нужен соискатель и т. Д.

Защищенный портал немного менее защищен и требует, чтобы пользователь проходил аутентификацию вручную при каждом подключении. Это может быть немного скучно.

Хорошее решение, с моей точки зрения, тоже есть оба. Доступ по стандарту 802.1x, который дает вам то же самое, как если бы вы были подключены к локальной сети, и плененный портал, который дает вам доступ к меньшим ресурсам (доступ к интернет-порту 80, ограниченный доступ к локальной сети, ...)

У меня есть небольшой опыт работы с WIFI - я провел много кампусов: город Лас-Вегас, Университет Мичигана, различные отели и жилые комплексы ....

Ваши клиенты не общаются напрямую с сервером RADIUS. AP (точка доступа), поддерживающая стандарт 802.1x, делает это от имени клиента. На самом деле вам не нужен RADIUS для поддержки реализации 802.1x.

1. Могу ли я ограничить встроенный портал только подключенными к Wi-Fi устройствами? Я не особенно хочу устанавливать исключения MAC-адресов для всех существующих сетевых компьютеров (в моем понимании, это просто увеличивает возможность подмены MAC-адресов).

Подделка MAC-адресов может быть выполнена только после того, как клиент подключен. Таким образом, ваше беспокойство здесь не должно быть, так как никто не может подделать в сети WIFI без ассоциации в первую очередь. Вы контролируете ассоциацию через WPA или WPA2 и другие ...

2. Как это сделать? Есть ли у меня отдельный диапазон адресов для устройств доступа Wi-Fi, и затем будет ли портал для межсетевого экрана соединен между двумя сетями? Важно подчеркнуть, что WAP совместно используют физическую сеть с другими машинами, которые не должны быть размещены в портале.

Вы можете сделать это, но я не уверен, что вы надеетесь достичь? Почему вы чувствуете, что вам нужно изолировать доступ к WIFI от своих проводных клиентов? ПРИМЕЧАНИЕ: VLANS не является мерой безопасности !!!

Ваше решение зависит от того, какой тип AP у вас есть, и поддерживают ли они WPA2. Предполагая, что они это делают, я бы сделал одну из двух вещей в вашей ситуации:

Разверните WPA-PSK и управляйте доступом к локальной сети через групповые политики и брандмауэры. Я также подсетил бы «зону» WIFI и использовал бы ACL маршрутизатора для любой внутренней фильтрации, в которой вы нуждаетесь. NTLM довольно безопасен в наши дни. Это был бы мой первый подход. Если есть причины, по которым вы не можете этого сделать, вы недостаточно расширили исходную статью, чтобы сказать, почему ...

Мой второй подход тогда будет смотреть на 802.1x - это может показаться излишним для ваших нужд, как описано, но облегчит администрирование, когда сотрудник уходит из компании и т. Д. Если они сдают свои ноутбуки, когда уходят, то вариант-1 (WPA-PSK) кажется достаточно хорошим. Если вы отдаете PSK, а не вкладываете в себя, тогда этот вариант предпочтительнее - я думаю.

Даже если конечные пользователи каким-то образом делятся PSK с посторонними, ваши конечные точки локальной сети все еще защищены с помощью NTLM, ACL и брандмауэров ...