Pertanyaan pemula tentang cara kerja otentikasi RADIUS dan WiFi

11

Saya adalah admin jaringan di sebuah sekolah menengah di Afrika Selatan, berjalan di jaringan Microsoft. Kami memiliki sekitar 150 PC di sekitar kampus, di mana setidaknya 130 terhubung ke jaringan. Sisanya adalah laptop staf. Semua alamat IP ditetapkan menggunakan server DHCP.

Saat ini, akses wi-fi kami terbatas pada beberapa lokasi di mana staf tersebut berada. Kami menggunakan WPA dengan kunci panjang yang tidak tersedia untuk siswa. Setahu saya, kunci ini aman.

Akan lebih masuk akal untuk menggunakan otentikasi RADIUS tetapi saya memiliki beberapa pertanyaan tentang cara kerjanya dalam praktik.

  1. Akankah mesin yang ditambahkan ke domain mengotentikasi secara otomatis ke jaringan wi-fi? Atau apakah itu berbasis pengguna? Bisakah keduanya?
  2. Apakah perangkat seperti PSP / iPod touch / Blackberry / etc / dapat terhubung ke jaringan WiFi jika menggunakan otentikasi RADIUS? Saya ingin ini terjadi.

Saya memiliki WAP yang mendukung otentikasi RADIUS. Saya hanya perlu mengaktifkan fungsionalitas RADIUS dari MS 2003 Server.

Mengingat persyaratan perangkat seluler, apakah menggunakan captive-portal akan lebih baik? Saya tahu dari pengalaman di bandara bahwa itu bisa dilakukan (jika perangkat memiliki browser).

Yang membawa saya ke pertanyaan tentang portal Captive:

  1. Bisakah saya membatasi captive portal hanya untuk perangkat yang terhubung Wi-Fi? Saya khususnya tidak ingin harus mengatur pengecualian alamat MAC untuk semua mesin jaringan yang ada (dalam pemahaman saya, itu hanya meningkatkan peluang untuk spoofing alamat MAC).
  2. Bagaimana ini dilakukan? Apakah saya memiliki rentang alamat terpisah untuk perangkat akses WiFi dan kemudian akankah rute portal captive antara dua jaringan? Penting untuk ditekankan bahwa WAP berbagi jaringan fisik dengan mesin lain yang tidak boleh dipenjara.

Pengalaman dan wawasan Anda akan dihargai!

Philip

Sunting: Untuk mendapatkan kejelasan lebih lanjut tentang apakah Captive Portal bahkan layak, saya telah mengajukan pertanyaan ini .

Philip
sumber

Jawaban:

6

Otentikasi pengguna untuk Wifi menggunakan protokol 802.1x .
Untuk menghubungkan perangkat memerlukan pemohon WPA seperti SecureW2
Tergantung dari pemohon yang Anda gunakan, Anda akan atau tidak dapat menggunakan SSO dengan login / kata sandi domain windows.
iPhone dan iPod touch telah terintegrasi dengan peminat WPA. Saya tidak tahu untuk PSP / BB. SecureW2 memiliki versi Windows Mobile.

Saya yakin Anda dapat mengaktifkan portal captive untuk WiFi hanya tanpa harus membuat ke IP Network. Anda hanya perlu meletakkan akses nirkabel di vlan dan akses kabel di vlan lain kemudian meletakkan portal antara kedua vlan. Ini seperti firewall transparan.

802.1x perlu memiliki pemohon pada komputer. Jika komputer yang perlu menggunakan Wifi diketahui, Anda hanya perlu mengatur pemohon pada mereka dan itu solusi yang bagus. Jika Anda ingin membuat akses nirkabel Anda dapat diakses oleh pengunjung atau hal-hal seperti itu bisa menjadi mimpi buruk karena mereka membutuhkan pemohon dll.

Portal captive agak kurang aman dan membutuhkan pengguna untuk mengautentikasi secara manual setiap kali mereka terhubung. Ini bisa sedikit membosankan.

Solusi yang baik dari sudut pandang saya juga memiliki keduanya. Akses 802.1x yang memberi Anda hal yang sama seperti jika Anda terhubung pada lan dan portal tawanan yang memberi Anda akses ke lebih sedikit barang (akses ke port internet 80, akses terbatas ke lan lokal, ...)

radius
sumber
5

Saya memiliki sedikit pengalaman WIFI - telah melakukan banyak penyebaran kampus: City of Las Vegas, Universitas Michigan, berbagai hotel dan kompleks apartemen ....

Klien Anda tidak berbicara langsung ke server RADIUS. Titik Akses (Access Point) yang 802.1x mampu melakukan ini atas nama klien. Bahkan, Anda tidak perlu RADIUS untuk mendukung implementasi 802.1x.

1. Dapatkah saya membatasi captive portal hanya untuk perangkat yang terhubung Wi-Fi? Saya khususnya tidak ingin harus mengatur pengecualian alamat MAC untuk semua mesin jaringan yang ada (dalam pemahaman saya, itu hanya meningkatkan peluang untuk spoofing alamat MAC).

Spoofing MAC hanya dapat dilakukan setelah rekanan klien. Jadi kekhawatiran Anda di sini tidak perlu karena seseorang tidak dapat menipu pada jaringan WIFI tanpa asosiasi terlebih dahulu. Anda mengontrol asosiasi melalui WPA atau WPA2 dan lainnya ...

2. Bagaimana ini dilakukan? Apakah saya memiliki rentang alamat terpisah untuk perangkat akses WiFi dan kemudian akankah rute portal captive antara dua jaringan? Penting untuk ditekankan bahwa WAP berbagi jaringan fisik dengan mesin lain yang tidak boleh dipenjara.

Anda bisa melakukan itu, tetapi saya tidak yakin apa yang ingin Anda capai? Mengapa Anda merasa perlu mengisolasi akses WIFI dari klien kabel Anda? CATATAN: VLANS bukan langkah pengamanan !!!

Solusi Anda tergantung pada jenis AP yang Anda miliki dan apakah mereka mendukung WPA2. Dengan asumsi mereka melakukannya, apa yang akan saya lakukan adalah salah satu dari dua hal dalam situasi Anda adalah:

Menyebarkan WPA-PSK dan mengontrol akses LAN melalui kebijakan grup dan firewall. Saya juga akan subnet "zona" WIFI dan menggunakan ACL router untuk setiap penyaringan internal yang Anda butuhkan. NTLM cukup aman akhir-akhir ini. Ini akan menjadi pendekatan pertama saya. Jika ada alasan Anda tidak dapat melakukan ini, Anda belum cukup berkembang dalam posting asli Anda untuk mengatakan mengapa ...

Pendekatan kedua saya kemudian akan melihat 802.1x - ini akan tampak berlebihan untuk kebutuhan Anda seperti yang dijelaskan tetapi akan memudahkan admin ketika seorang karyawan meninggalkan perusahaan dll ... Jika mereka menghidupkan laptop mereka ketika mereka pergi, maka opsi-1 (WPA-PSK) tampaknya cukup baik. Jika Anda memberikan PSK daripada memasukkannya ke dalam diri Anda, maka opsi ini lebih disukai - saya kira.

Bahkan jika pengguna akhir berbagi PSK dengan pihak luar, titik akhir LAN Anda masih diamankan melalui NTLM, ACL, dan firewall ...

Kilo
sumber