Raio sobre WAN

1

Tenho alguns roteadores para pequenas empresas (Cisco RV120W) que uso em alguns dos nossos escritórios menores, configurados com uma VPN de site para site, para permitir a conectividade de dispositivos & entre o meu escritório principal e os endpoints remotos. O RV120W faz um bom trabalho com isso ... e eu realmente não posso reclamar muito. Os usuários agora estão perguntando sobre como configurar o WIFI ... e tendo jogado bastante com o RV120W ... Eu sei que ele suporta "autenticação empresarial" com o wpa2. Depois de configurá-lo e tentar fazê-lo funcionar ... Eu rapidamente descobri que o roteador não está enviando os pacotes RADIUS através do túnel VPN ... (os pacotes saem da interface WAN por algum motivo idiota).

Meus três últimos grandes problemas que eu criei com a Cisco ... acabaram com um "Won't Fix" ... (mesmo que eles admitissem que era um bug) ... então eu realmente não me sinto lutando com esse problema com eles. Então, agora estou reconsiderando como abordar esse problema para que ele funcione apesar das limitações do dispositivo. Como último esforço ... posso acabar colocando um AP dedicado no site atrás do roteador ... mas eu prefiro não ter ainda - outro dispositivo para manter em cada site.

TL; DR:

Qual é a segurança de lançar pacotes RADIUS pela Internet pública? Potencialmente, os dados poderiam ser interceptados e descriptografados? Existe um potencial para um tipo de ataque de repetição? Há outras preocupações que eu deveria estar ciente?

    
por TheCompWiz 11.01.2012 / 18:10

2 respostas

1

Aqui está a maneira que eu vejo então. Você chamou o apoio deles e eles afirmam que não há nada que possam fazer. IMO esta é uma questão de roteamento de algum tipo. Eu não sei o quanto você pode configurar no seu dispositivo (eu presumo que ele não tenha o Cisco IOS rodando nele). De qualquer forma, vamos deixar isso de lado e assumir que você não pode. A opção que vejo é a seguinte.

  1. Atualize seus roteadores para um Cisco 881w. Isso suporta RADIUS através de uma VPN com certeza (é o que fazemos).
  2. Viva com o AP extra. Na verdade, não é um plano ruim, agora seu wireless não está ligado ao seu roteador. Ou seja, se um novo padrão de Wi-Fi é lançado, você pode atualizar independentemente do roteador.
  3. Você pode fazer o RAIDUS pela internet, mas desde o seu PAP, eu recomendo vivamente que NÃO faça isso.
por 12.01.2012 / 02:00
0

Você está usando o PAP? o uso do CHAP diminuiria alguns riscos. Também que tipo de WAN estamos falando?

Se a WAN é para o seu ISP ou uma rede compartilhada? Em uma rede fechada, ou seja, um transporte que segrega o tráfego via VLAN ou sub-rede, ou diretamente à Internet pública com VLAN ou sub-rede, não é tão arriscado. Atravessar uma rede mais aberta usando o PAP é mais arriscado. Também usando PPTP vs XAUTH seria um nível adicional de risco.

Servidores Radius devem poder gerenciar pacotes Radius Authe / Autho falsificados em qualquer rede a partir de um nas malicioso.

Configuração de algo como chave compartilhada nas, login duplicado, id cliente (nas), tipo nas, formatação de pacote. Isso combinado com a criptografia tornará muito difícil, mas não impossível, o uso malicioso.

    
por 13.01.2012 / 01:40