Назад | Перейти на главную страницу

Радиус по WAN

У меня есть пара маршрутизаторов для малого бизнеса (Cisco RV120W), которые я использую в некоторых из наших небольших офисов, настроенных с использованием VPN типа «сеть-сеть», чтобы обеспечить возможность подключения устройств и т. Д. Между моим главным офисом и удаленными конечными точками. RV120W отлично справляется с этим ... и я действительно не могу особо жаловаться. Пользователи теперь спрашивают о настройке WIFI ... и немного поиграв с RV120W ... Я знаю, что он поддерживает "корпоративную аутентификацию" с wpa2. После настройки и попытки заставить его работать ... Я быстро обнаружил, что маршрутизатор не отправляет пакеты RADIUS через VPN-туннель ... (пакеты выходят из интерфейса WAN по какой-то глупой причине).

Мои последние 3 основные проблемы, которые я поднял с Cisco ... закончились тем, что "не исправлю" ... (хотя они и признали, что это ошибка) ... так что я действительно не хочу бороться с этой проблемой с ними. Итак, теперь я пересматриваю, как подойти к этой проблеме, чтобы она работала, несмотря на ограничения устройства. В качестве последней попытки ... я могу в конечном итоге установить выделенную точку доступа за маршрутизатором ... но я бы предпочел не иметь еще один устройство для обслуживания на каждом сайте.

TL; DR:

Насколько безопасно перебрасывать пакеты RADIUS через общедоступный Интернет? Могут ли данные быть перехвачены и расшифрованы? Есть ли возможность для атаки повторного воспроизведения? Есть ли другие проблемы, о которых мне следует знать?

Вот как я это вижу тогда. Вы позвонили в их поддержку, и они заявили, что ничего не могут сделать. ИМО, это своего рода проблема маршрутизации. Я не знаю, сколько вы можете настроить на своем устройстве (я предполагаю, что на нем не работает cisco IOS). В любом случае, оставим это в стороне и предположим, что вы не можете. Вариант, который я вижу, заключается в следующем.

  1. Обновите свои маршрутизаторы до Cisco 881w. Это точно поддерживает RADIUS через VPN (это то, что мы делаем).
  2. Живите с дополнительными AP. На самом деле неплохой план, теперь ваша беспроводная связь не привязана к вашему маршрутизатору. Это означает, что если выйдет новый стандарт Wi-Fi, вы можете обновить его независимо от маршрутизатора.
  3. Вы можете выполнять RAIDUS через Интернет, но, поскольку это PAP, я настоятельно рекомендую вам НЕ сделай это.

Вы используете PAP? использование CHAP снизит некоторый риск. Также о каком типе WAN мы говорим?

Если WAN к вашему провайдеру или к общей сети? В закрытой сети, означающей транспорт, который разделяет трафик через VLAN или подсеть, или напрямую в общедоступный Интернет с помощью VLAN или подсети, это не так рискованно. Переход в более открытую сеть с использованием PAP более рискован. Также использование PPTP против XAUTH было бы дополнительным уровнем риска.

Серверы Radius должны иметь возможность управлять поддельными пакетами Radius Authe / Autho через любую сеть от вредоносного nas.

Настроить что-то вроде общего ключа nas, дублированного входа в систему, идентификатора клиента (nas), типа nas, форматирования пакетов. В сочетании с шифрованием это очень затруднит, но не исключает возможности злонамеренного использования.