Perguntas para iniciantes sobre como funciona a autenticação RADIUS e WiFi

11

Sou administrador de rede em uma escola secundária na África do Sul, em uma rede da Microsoft. Temos aproximadamente 150 PCs em todo o campus, dos quais pelo menos 130 estão conectados à rede. Os restantes são computadores portáteis. Todos os endereços IP são atribuídos usando um servidor DHCP.

Atualmente, nosso acesso wi-fi é limitado a alguns locais onde a equipe está localizada. Estamos usando o WPA com uma chave longa que não é disponibilizada aos alunos. Que eu saiba, esta chave é segura.

No entanto, faria mais sentido usar a autenticação RADIUS, mas tenho algumas dúvidas sobre como isso funciona na prática.

  1. As máquinas adicionadas ao domínio serão autenticadas automaticamente na rede wi-fi? Ou é baseado no usuário? Podem ser ambos?
  2. Será que dispositivos como um PSP / iPod touch / Blackberry / etc / poderão se conectar à rede WiFi se usarem autenticação RADIUS? Eu gostaria que isso acontecesse.

Eu tenho WAPs que suportam a autenticação RADIUS. Eu precisaria apenas ativar a funcionalidade RADIUS de um servidor MS 2003.

Dado o requisito de dispositivo móvel, usar um portal cativo seria melhor? Eu sei de experiência em aeroportos que isso pode ser feito (se o dispositivo tiver um navegador).

O que me leva a perguntas sobre portais cativos:

  1. Posso limitar o portal cativo apenas a dispositivos conectados via Wi-Fi? Eu particularmente não quero ter que configurar exceções de endereço MAC para todas as máquinas de rede existentes (no meu entendimento, isso apenas aumenta a oportunidade de spoofing de endereços MAC).
  2. Como isso é feito? Tenho um intervalo de endereços separado para dispositivos de acesso Wi-Fi e, em seguida, o portal cativo é roteado entre as duas redes? É importante enfatizar que os WAPs compartilham uma rede física com outras máquinas que não devem ser mantidas em cativeiro.

Sua experiência e percepção serão apreciadas!

Philip

Editar: Para esclarecer um pouco se um Portal Cativo é viável, pedimos esta questão .

    
por Philip 22.08.2009 / 14:10

2 respostas

6

A autenticação do usuário para Wifi usa o protocolo 802.1x .
Para conectar dispositivos, é necessário ter um suplicante WPA , como SecureW2
Dependendo do suplicante que você usa, você poderá ou não usar um SSO com o login / senha do domínio do Windows.
O iPhone e o iPod touch incorporaram o suplicante WPA. Eu não sei para o PSP / BB. SecureW2 tem uma versão do Windows Mobile.

Tenho certeza de que você pode ativar um portal cativo somente para WiFi sem ter que criar uma rede IP. Você só precisa colocar o acesso sem fio em um acesso vlan e com fio em outro vlan, em seguida, colocar o portal entre ambos vlan. Isso é como um firewall transparente.

O 802.1x precisa ter um suplicante nos computadores. Se os computadores que precisam usar o Wi-Fi são conhecidos, basta configurar o suplicante e é uma ótima solução. Se você quiser tornar seu acesso sem fio acessível pelo visitante ou por coisas assim, pode ser um pesadelo, porque eles precisam do suplicante, etc.

Um portal cativo é um pouco menos seguro e precisa que o usuário autentique manualmente sempre que se conectar. Pode ser um pouco de empréstimo.

Uma boa solução do meu ponto de vista também tem os dois. Um acesso 802.1x que lhe dá o mesmo que se você estivesse conectado na lan e um portal cativo que dá acesso a menos coisas (acesso à porta 80 da internet, acesso limitado à lan local, ...)

    
por 22.08.2009 / 16:42
5

Eu tenho um pouco de experiência WIFI - tenho feito muitas implantações no campus: Cidade de Las Vegas, Universidade de Michigan, vários hotéis e complexos de apartamentos ...

Seus clientes não falam diretamente com um servidor RADIUS. O AP (ponto de acesso) que é 802.1x capaz faz isso em nome do cliente. Na verdade, você não precisa do RADIUS para suportar uma implementação 802.1x.

1. Can I limit the captive portal to Wi-Fi connected devices only? I don't particularly want to have to set up MAC address exceptions for all existing network machines (in my understanding, it just increases the opportunity for MAC address spoofing).

O spoofing de MAC só pode ser feito depois que um cliente se associa. Portanto, sua preocupação aqui não precisa ser como não se pode falsificar em uma rede WIFI sem associação primeiro. Você controla a associação via WPA ou WPA2 e outros ...

2. How is this done? Do I have a separate address range for WiFi access devices and then will the captive portal route between the two networks? It is important to emphasise that the WAPs share a physical network with other machines that are not to be captive-portalled.

Você pode fazer isso, mas não tenho certeza do que espera alcançar? Por que você acha que precisa isolar o acesso WIFI de seus clientes com fio? NOTA: VLANs não são uma medida de segurança !!!

Sua solução depende do tipo de APs que você possui e se eles suportam o WPA2. Supondo que eles façam, o que eu faria é uma das duas coisas na sua situação é:

Implemente o WPA-PSK e controle o acesso à LAN através de políticas de grupo e firewalls. Eu também sub-rede a "zona" WIFI e uso roteador ACLs para qualquer filtragem interna que você precisa. O NTLM é bastante seguro nos dias de hoje. Esta seria minha primeira abordagem. Se há motivos para não fazer isso, você não expandiu o suficiente em sua postagem original para dizer por que ...

A minha segunda abordagem olharia para 802.1x - isto pareceria ser um exagero para as suas necessidades, como descrito, mas facilitaria a administração quando um funcionário deixa a empresa, etc ... Se eles entregarem os seus computadores portáteis quando saírem, então A opção 1 (WPA-PSK) parece boa o suficiente. Se você distribuir o PSK em vez de colocá-lo em você mesmo, então essa opção é a preferida - eu acho.

Mesmo que os usuários finais compartilhem o PSK com pessoas de fora, seus pontos de extremidade da LAN ainda são protegidos por meio de NTLM, ACLs e firewalls ...

    
por 17.09.2009 / 14:18