Domande per principianti su come funziona l'autenticazione RADIUS e WiFi


11

Sono un amministratore di rete in una scuola superiore in Sudafrica, in esecuzione su una rete Microsoft. Abbiamo circa 150 PC nel campus, di cui almeno 130 sono collegati alla rete. I restanti sono laptop per il personale. Tutti gli indirizzi IP vengono assegnati tramite un server DHCP.

Attualmente, il nostro accesso wi-fi è limitato ad alcune posizioni in cui si trova quel personale. Stiamo utilizzando WPA con una chiave lunga che non è disponibile per gli studenti. Per quanto ne so, questa chiave è sicura.

Avrebbe più senso, tuttavia, utilizzare l'autenticazione RADIUS ma ho alcune domande su come funziona in pratica.

  1. Le macchine aggiunte al dominio verranno autenticate automaticamente sulla rete Wi-Fi? O è basato sull'utente? Possono essere entrambi?
  2. Dispositivi come PSP / iPod touch / Blackberry / etc / saranno in grado di connettersi alla rete WiFi se utilizza l'autenticazione RADIUS? Vorrei che questo accadesse.

Ho dei WAP che supportano l'autenticazione RADIUS. Avrei solo bisogno di attivare la funzionalità RADIUS da un server MS 2003.

Dato il requisito del dispositivo mobile, sarebbe meglio usare un captive portal? So per esperienza negli aeroporti che può essere fatto (se il dispositivo ha un browser).

Il che mi porta a domande sui portali Captive:

  1. Posso limitare il portale captive solo ai dispositivi connessi Wi-Fi? In particolare, non voglio impostare eccezioni per gli indirizzi MAC per tutte le macchine di rete esistenti (a mio avviso, aumenta solo l'opportunità per lo spoofing degli indirizzi MAC).
  2. Come si fa? Ho un intervallo di indirizzi separato per i dispositivi di accesso WiFi e quindi il portale captive verrà instradato tra le due reti? È importante sottolineare che i WAP condividono una rete fisica con altre macchine che non devono essere portate in cattività.

La tua esperienza e comprensione saranno apprezzate!

Philip

Modifica: al fine di ottenere un po 'più di chiarezza sulla fattibilità di un Port Captive, ho posto questa domanda .

Risposte:


6

L'autenticazione utente per Wifi utilizza il protocollo 802.1x .
Per connettere i dispositivi è necessario un supplicant WPA come SecureW2
A seconda del supplicant che si utilizza, sarà possibile utilizzare un SSO con il login / password del dominio Windows.
iPhone e iPod touch hanno un supplicant WPA integrato. Non lo so per PSP / BB. SecureW2 ha una versione di Windows Mobile.

Sono sicuro che potresti abilitare un portale captive per WiFi solo senza dover creare su rete IP. Devi solo inserire l'accesso wireless in un vlan e un accesso cablato in un altro vlan, quindi inserire il portale tra entrambi i vlan. Questo è come un firewall trasparente.

802.1x deve avere un supplicant sui computer. Se i computer che devono utilizzare Wifi sono noti, è sufficiente impostare il supplicant su di essi ed è un'ottima soluzione. Se vuoi rendere il tuo accesso wireless accessibile al visitatore o cose del genere potrebbe essere un incubo perché hanno bisogno del supplicante ecc.

Un portale captive è un po 'meno sicuro e richiede all'utente di autenticarsi manualmente ogni volta che si connettono. Può essere un po 'noioso.

Una buona soluzione dal mio punto di vista è anche avere entrambi. Un accesso 802.1x che ti dà lo stesso come se fossi cablato sulla lan e un portale captive che ti dà accesso a meno cose (accesso alla porta internet 80, accesso limitato alla lan locale, ...)


5

Ho un po 'di esperienza WIFI - ho fatto molte implementazioni nel campus: Città di Las Vegas, Università del Michigan, vari hotel e complessi di appartamenti ....

I tuoi clienti non parlano direttamente con un server RADIUS. L'AP (Access Point) che supporta 802.1x lo fa per conto del cliente. In effetti, non è necessario RADIUS per supportare un'implementazione 802.1x.

1. Posso limitare il portale captive solo ai dispositivi connessi Wi-Fi? In particolare, non voglio impostare eccezioni per gli indirizzi MAC per tutte le macchine di rete esistenti (a mio avviso, aumenta solo l'opportunità per lo spoofing degli indirizzi MAC).

Lo spoofing MAC può essere effettuato solo dopo che un cliente è associato. Quindi la tua preoccupazione qui non deve essere perché non si può fare lo spoofing su una rete WIFI senza prima associarsi. Controlli l'associazione tramite WPA o WPA2 e altri ...

2. Come viene fatto? Ho un intervallo di indirizzi separato per i dispositivi di accesso WiFi e quindi il portale captive verrà instradato tra le due reti? È importante sottolineare che i WAP condividono una rete fisica con altre macchine che non devono essere portate in cattività.

Puoi farlo ma non sono sicuro di cosa speri di ottenere? Perché ritieni di dover isolare l'accesso WIFI dai tuoi client cablati? NOTA: i VLAN non sono una misura di sicurezza !!!

La tua soluzione dipende dal tipo di AP che hai e se supportano WPA2. Supponendo che lo facciano, quello che vorrei fare è una delle due cose nella tua situazione è:

Distribuire WPA-PSK e controllare l'accesso LAN tramite criteri di gruppo e firewall. Vorrei anche subnetare la "zona" WIFI e utilizzare gli ACL del router per qualsiasi filtro interno necessario. NTLM è abbastanza sicuro in questi giorni. Questo sarebbe il mio primo approccio. Se ci sono motivi per cui non puoi farlo, non hai ampliato abbastanza nel tuo post originale per dire perché ...

Il mio secondo approccio dovrebbe quindi guardare a 802.1x - questo sembrerebbe eccessivo per le tue esigenze come descritto, ma faciliterebbe l'amministrazione per quando un dipendente lascia l'azienda ecc ... Se consegnano i loro laptop quando escono, quindi l'opzione-1 (WPA-PSK) sembra abbastanza buono. Se distribuisci il PSK piuttosto che metterlo in te stesso, allora questa opzione è preferita - suppongo.

Anche se gli utenti finali condividono in qualche modo il PSK con gli estranei, i tuoi endpoint LAN sono comunque protetti tramite NTLM, ACL e firewall ...

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.