Я сетевой администратор в средней школе в Южной Африке, работаю в сети Microsoft. У нас около 150 компьютеров в кампусе, из которых не менее 130 подключены к сети. Остальные - штатные ноутбуки. Все IP-адреса назначаются с помощью DHCP-сервера.
В настоящее время наш доступ к Wi-Fi ограничен несколькими местами, где находится этот персонал. Мы используем WPA с длинным ключом, который недоступен для студентов. Насколько мне известно, этот ключ безопасен.
Однако было бы разумнее использовать аутентификацию RADIUS, но у меня есть несколько вопросов о том, как это работает на практике.
У меня есть WAP, поддерживающие аутентификацию RADIUS. Мне просто нужно было бы включить функцию RADIUS с сервера MS 2003.
С учетом требований к мобильным устройствам, будет ли лучше использовать портал авторизации? По опыту работы в аэропортах знаю, что это можно сделать (если на устройстве есть браузер).
Это подводит меня к вопросам, касающимся Captive-порталов:
Будем признательны за ваш опыт и понимание!
Филип
Редактировать: Чтобы прояснить, возможен ли Captive Portal, я спросил этот вопрос.
Аутентификация пользователя для использования Wi-Fi 802.1x протокол.
Для подключения устройств понадобится Соискатель WPA Такие как SecureW2
В зависимости от того, кого вы используете, вы сможете или не сможете использовать SSO с логином и паролем домена Windows.
iPhone и iPod touch имеют встроенный соискатель WPA. Не знаю для PSP / BB. SecureW2 имеет версию для Windows Mobile.
Я уверен, что вы можете включить захватывающий портал только для WiFi без необходимости создавать IP-сеть. Вам просто нужно поместить беспроводной доступ в vlan и проводной доступ в другой vlan, а затем поместить портал между обоими vlan. Это похоже на прозрачный брандмауэр.
802.1x должен иметь соискателя на компьютерах. Если известны компьютеры, которым необходимо использовать Wi-Fi, вам просто нужно настроить на них соискателя, и это отличное решение. Если вы хотите сделать свой беспроводной доступ доступным для посетителей или подобных вещей, это может стать кошмаром, потому что им нужен соискатель и т. Д.
Адаптивный портал немного менее безопасен и требует от пользователя аутентификации вручную при каждом подключении. Это может быть немного скучно.
С моей точки зрения, хорошее решение - иметь и то, и другое. Доступ 802.1x, который дает вам то же самое, как если бы вы были подключены к локальной сети, и специальный портал, который дает вам доступ к меньшему количеству вещей (доступ к интернет-порту 80, ограниченный доступ к локальной сети, ...)
У меня есть небольшой опыт работы с WIFI - я провел много кампусов: город Лас-Вегас, Мичиганский университет, различные отели и жилые комплексы ....
Ваши клиенты не общаются напрямую с RADIUS-сервером. AP (точка доступа), поддерживающая 802.1x, делает это от имени клиента. Фактически, вам не нужен RADIUS для поддержки реализации 802.1x.
1. Могу ли я ограничить доступ к адаптивному порталу только устройствами, подключенными к Wi-Fi? Я не особо хочу настраивать исключения MAC-адресов для всех существующих сетевых машин (в моем понимании это просто увеличивает возможность подделки MAC-адресов).
Подмена MAC-адреса может быть выполнена только после того, как клиент подключится. Таким образом, здесь нет необходимости беспокоиться, так как невозможно спуфить в сети WIFI без предварительной ассоциации. Вы управляете ассоциацией через WPA или WPA2 и другие ...
2. Как это делается? Есть ли у меня отдельный диапазон адресов для устройств доступа Wi-Fi, и тогда захватный портал будет маршрутизировать между двумя сетями? Важно подчеркнуть, что точки доступа WAP совместно используют физическую сеть с другими машинами, которые не должны быть привязаны к портам.
Вы можете это сделать, но я не уверен, чего вы надеетесь достичь? Почему вы считаете, что вам нужно изолировать доступ к WIFI от проводных клиентов? ВНИМАНИЕ: VLAN не являются мерой безопасности !!!
Ваше решение зависит от того, какие у вас точки доступа и поддерживают ли они WPA2. Предполагая, что они это сделают, я бы сделал одно из двух в вашей ситуации:
Разверните WPA-PSK и управляйте доступом к локальной сети с помощью групповых политик и брандмауэров. Я бы также подсоединил "зону" WIFI к подсети и использовал ACL маршрутизатора для любой необходимой внутренней фильтрации. В наши дни NTLM довольно безопасен. Это был бы мой первый подход. Если есть причины, по которым вы не можете этого сделать, значит, в исходном посте вы недостаточно подробно рассказали, почему ...
Мой второй подход будет тогда рассматривать 802.1x - это может показаться излишним для ваших нужд, как описано, но облегчило бы администрирование, когда сотрудник покидает компанию и т. Д. (WPA-PSK) кажется достаточно хорошим. Если вы раздаете PSK, а не вставляете его в себя, то этот вариант предпочтительнее - я думаю.
Даже если конечные пользователи каким-то образом передают PSK посторонним, конечные точки вашей локальной сети по-прежнему защищены с помощью NTLM, ACL и брандмауэров ...