Anfängerfragen zur Funktionsweise der RADIUS- und WiFi-Authentifizierung

11

Ich bin ein Netzwerkadministrator an einer High School in Südafrika und arbeite in einem Microsoft-Netzwerk. Wir haben ungefähr 150 PCs rund um den Campus, von denen mindestens 130 mit dem Netzwerk verbunden sind. Die restlichen sind Personal-Laptops. Alle IP-Adressen werden über einen DHCP-Server vergeben.

Derzeit ist unser WLAN-Zugang auf einige Standorte beschränkt, an denen sich diese Mitarbeiter befinden. Wir verwenden WPA mit einem langen Schlüssel, der den Schülern nicht zur Verfügung gestellt wird. Meines Wissens ist dieser Schlüssel sicher.

Es wäre jedoch sinnvoller, die RADIUS-Authentifizierung zu verwenden, aber ich habe einige Fragen zur Funktionsweise in der Praxis.

  1. Werden Computer, die der Domäne hinzugefügt werden, automatisch beim Wi-Fi-Netzwerk authentifiziert? Oder ist es benutzerbasiert? Kann es beides sein?
  2. Können Geräte wie PSP / iPod touch / Blackberry / etc / eine Verbindung zum WiFi-Netzwerk herstellen, wenn sie die RADIUS-Authentifizierung verwenden? Ich würde das wollen.

Ich habe WAPs, die die RADIUS-Authentifizierung unterstützen. Ich müsste nur die RADIUS-Funktionalität von einem MS 2003 Server aus aktivieren.

Wäre es angesichts der Anforderungen an mobile Geräte besser, ein Captive-Portal zu verwenden? Ich weiß aus Erfahrung auf Flughäfen, dass dies möglich ist (wenn das Gerät über einen Browser verfügt).

Was mich zu Fragen zu Captive-Portalen bringt:

  1. Kann ich das Captive-Portal nur auf Geräte mit Wi-Fi-Verbindung beschränken? Ich möchte nicht besonders MAC-Adressausnahmen für alle vorhandenen Netzwerkcomputer einrichten müssen (nach meinem Verständnis erhöht dies nur die Möglichkeit für MAC-Adressspoofing).
  2. Wie wird das gemacht? Verfüge ich über einen separaten Adressbereich für WiFi-Zugangsgeräte und wird dann das Captive-Portal zwischen den beiden Netzwerken weitergeleitet? Es ist wichtig zu betonen, dass die WAPs ein physisches Netzwerk mit anderen Computern teilen, die nicht Captive-portiert werden sollen.

Ihre Erfahrung und Ihr Einblick werden geschätzt!

Philip

Bearbeiten: Um ein wenig mehr Klarheit darüber zu bekommen, ob ein Captive Portal überhaupt machbar ist, habe ich diese Frage gestellt .

Philip
quelle

Antworten:

6

Die Benutzerauthentifizierung für WLAN verwendet das 802.1x- Protokoll.
Zum Verbinden von Geräten benötigen Sie einen WPA-Supplicant wie SecureW2.
Je nachdem, welchen Supplicant Sie verwenden, können Sie ein SSO mit dem Windows-Domänen-Login / -Kennwort durchführen oder nicht.
iPhone und iPod touch haben einen eingebauten WPA-Supplicant. Ich weiß nicht für PSP / BB. SecureW2 verfügt über eine Windows Mobile-Version.

Ich bin sicher, dass Sie ein Captive-Portal nur für WiFi aktivieren können, ohne ein IP-Netzwerk erstellen zu müssen. Sie müssen nur den drahtlosen Zugriff in ein VLAN und den kabelgebundenen Zugriff in ein anderes VLAN einfügen und dann das Portal zwischen beiden VLANs platzieren. Dies ist wie eine transparente Firewall.

802.1x muss einen Supplicant auf Computern haben. Wenn Computer bekannt sind, die Wifi verwenden müssen, müssen Sie nur den Supplicant auf ihnen einrichten, und es ist eine großartige Lösung. Wenn Sie Ihren drahtlosen Zugang für Besucher oder ähnliches zugänglich machen möchten, könnte dies ein Albtraum sein, da sie den Bittsteller usw. benötigen.

Ein Captive-Portal ist etwas weniger sicher und der Benutzer muss sich bei jeder Verbindung manuell authentifizieren. Es kann ein bisschen langweilig sein.

Eine gute Lösung aus meiner Sicht ist auch beides. Ein 802.1x-Zugriff, mit dem Sie das Gleiche erhalten, als wären Sie mit dem LAN verbunden, und ein Captive-Portal, mit dem Sie auf weniger Dinge zugreifen können (Zugriff auf Internetport 80, eingeschränkter Zugriff auf das lokale LAN, ...)

Radius
quelle
5

Ich habe ein bisschen WIFI-Erfahrung - habe viele Campus-Einsätze gemacht: Stadt Las Vegas, Universität von Michigan, verschiedene Hotels und Apartmentkomplexe ....

Ihre Clients sprechen nicht direkt mit einem RADIUS-Server. Der 802.1x-fähige AP (Access Point) erledigt dies im Auftrag des Clients. Tatsächlich benötigen Sie RADIUS nicht, um eine 802.1x-Implementierung zu unterstützen.

1. Kann ich das Captive-Portal nur auf Geräte mit Wi-Fi-Verbindung beschränken? Ich möchte nicht besonders MAC-Adressausnahmen für alle vorhandenen Netzwerkcomputer einrichten müssen (nach meinem Verständnis erhöht dies nur die Möglichkeit für MAC-Adressspoofing).

MAC-Spoofing kann nur durchgeführt werden, nachdem ein Client zugeordnet wurde. Ihr Anliegen hier muss also nicht sein, da man in einem WIFI-Netzwerk nicht ohne Zuordnung fälschen kann. Sie steuern die Zuordnung über WPA oder WPA2 und andere ...

2. Wie wird das gemacht? Verfüge ich über einen separaten Adressbereich für WiFi-Zugangsgeräte und wird dann das Captive-Portal zwischen den beiden Netzwerken weitergeleitet? Es ist wichtig zu betonen, dass die WAPs ein physisches Netzwerk mit anderen Computern teilen, die nicht Captive-portiert werden sollen.

Sie können das tun, aber ich bin mir nicht sicher, was Sie erreichen möchten? Warum müssen Sie den WIFI-Zugang von Ihren kabelgebundenen Clients isolieren? HINWEIS: VLANS sind keine Sicherheitsmaßnahme !!!

Ihre Lösung hängt davon ab, welche Art von APs Sie haben und ob sie WPA2 unterstützen. Unter der Annahme, dass sie es tun, würde ich eines von zwei Dingen in Ihrer Situation tun:

Stellen Sie WPA-PSK bereit und steuern Sie den LAN-Zugriff über Gruppenrichtlinien und Firewalls. Ich würde auch die WIFI "Zone" subnetzieren und Router-ACLs für jede interne Filterung verwenden, die Sie benötigen. NTLM ist heutzutage ziemlich sicher. Dies wäre mein erster Ansatz. Wenn es Gründe gibt, warum Sie dies nicht tun können, haben Sie in Ihrem ursprünglichen Beitrag nicht weit genug erweitert, um zu sagen, warum ...

Mein zweiter Ansatz würde sich dann mit 802.1x befassen - dies scheint für Ihre Anforderungen wie beschrieben übertrieben zu sein, würde aber den Administrator erleichtern, wenn ein Mitarbeiter das Unternehmen verlässt usw. Wenn er seine Laptops beim Verlassen abgibt, dann Option 1 (WPA-PSK) scheint gut genug zu sein. Wenn Sie die PSK ausgeben, anstatt sie in sich selbst zu stecken, wird diese Option bevorzugt - denke ich.

Selbst wenn Endbenutzer das PSK irgendwie mit Außenstehenden teilen, sind Ihre LAN-Endpunkte dennoch über NTLM, ACLs und Firewalls gesichert ...

Kilo
quelle