web-dev-qa-db-ja.com

初心者はRADIUSとWiFi認証の仕組みについて質問します

私は南アフリカの高校のネットワーク管理者であり、Microsoftネットワークで実行しています。キャンパス周辺には約150台のPCがあり、そのうち少なくとも130台はネットワークに接続されています。残りはスタッフのラップトップです。すべてのIPアドレスは、DHCPサーバーを使用して割り当てられます。

現在、Wi-Fiアクセスは、それらのスタッフが配置されているいくつかの場所に制限されています。私たちはWPAを使用していますが、これは学生が使用できない長いキーです。私の知る限り、このキーは安全です。

ただし、RADIUS authenticationを使用する方が理にかなっていますが、実際にどのように機能するかについていくつか質問があります。

  1. ドメインに追加されたマシンは、Wi-Fiネットワークに対して自動的に認証されますか?それともユーザーベースですか?両方できますか?
  2. PSP/iPod touch/BlackberryなどのデバイスがRADIUS認証を使用している場合、WiFiネットワークに接続できますか?これを実現したいと思います。

RADIUS認証をサポートするWAPがあります。MS= 2003サーバーからRADIUS機能をオンにする必要があるだけです。

モバイルデバイスの要件を考えると、キャプティブポータルを使用する方が良いでしょうか?空港での経験から、それが可能であることを知っています(デバイスにブラウザーがある場合)。

キャプティブポータルに関する質問が表示されます。

  1. キャプティブポータルをWi-Fi接続されたデバイスのみに制限できますか?特に既存のすべてのネットワークマシンにMACアドレスの例外を設定する必要はありません(私の理解では、MACアドレスのなりすましの機会が増えるだけです)。
  2. これはどのように行われますか? WiFiアクセスデバイスに個別のアドレス範囲がありますか?キャプティブポータルは2つのネットワーク間をルーティングしますか? WAPは、キャプティブポータル化されない他のマシンと物理ネットワークを共有することを強調することが重要です。

あなたの経験と洞察は高く評価されます!

フィリップ

編集:キャプティブポータルが実現可能かどうかをもう少し明確にするために、私は尋ねました この質問

11
Philip

Wifiのユーザー認証 802.1x プロトコル。
デバイスを接続するには、 SecureW2 などの WPAサプリカント が必要です
使用するサプリカントに応じて、Windowsドメインのログイン/パスワードでSSOを実行できるかどうかが決まります。
iPhoneとiPod touchには組み込みのWPAサプリカントがあります。PSP/ BBについてはわかりません。SecureW2にはWindows Mobileバージョンがあります。

IPネットワークを作成しなくても、WiFiのみのキャプティブポータルを有効にできると思います。ワイヤレスアクセスを1つのVLANに、有線アクセスを別のVLANに配置し、両方のVLANの間にポータルを配置するだけです。これは透過ファイアウォールのようなものです。

802.1xでは、コンピューターにサプリカントが必要です。 Wifiを使用する必要があるコンピューターがわかっている場合は、それらにサプリカントをセットアップするだけでよく、それは素晴らしいソリューションです。訪問者などがワイヤレスアクセスにアクセスできるようにしたい場合、サプリカントなどが必要になるため、悪夢になる可能性があります。

キャプティブポータルは少し安全性が低く、接続するたびにユーザーが手動で認証する必要があります。少しつまらないかもしれません。

私の観点からの良い解決策は、両方を持っていることです。 LANに有線で接続されている場合と同じ802.1xアクセスと、より少ないものへのアクセスを可能にするキャプティブポータル(インターネットポート80へのアクセス、ローカルLANへのアクセス制限など)

6
radius

私は少しWIFIの経験を持っています-ラスベガス市、ミシガン大学、さまざまなホテルやアパートなど、多くのキャンパスへの配備を行ってきました。

クライアントはRADIUSサーバーと直接通信しません。 802.1x対応のAP(アクセスポイント)は、クライアントに代わってこれを行います。実際、802.1x実装をサポートするためにRADIUSは必要ありません。

1.キャプティブポータルをWi-Fi接続されたデバイスのみに制限できますか?特に既存のすべてのネットワークマシンにMACアドレスの例外を設定する必要はありません(私の理解では、MACアドレスのなりすましの機会が増えるだけです)。

MACスプーフィングは、クライアントがアソシエートした後でのみ実行できます。したがって、最初にアソシエーションなしでWIFIネットワークを偽装することはできないため、ここでの懸念は必要ではありません。 WPAまたはWPA2などを使用して関連付けを制御します...

2.これはどのように行われますか? WiFiアクセスデバイスに個別のアドレス範囲がありますか?キャプティブポータルは2つのネットワーク間をルーティングしますか? WAPは、キャプティブポータル化されない他のマシンと物理ネットワークを共有することを強調することが重要です。

あなたはそれを行うことができますが、あなたが何を達成したいのか分かりませんか?有線クライアントからWIFIアクセスを分離する必要があると思うのはなぜですか?注:VLANはセキュリティ対策ではありません!!!

ソリューションは、使用しているAPのタイプと、APがWPA2をサポートしているかどうかによって異なります。彼らがそうであると仮定すると、私がすることはあなたの状況で2つのことのうちの1つです:

WPA-PSKを展開し、グループポリシーとファイアウォールを介してLANアクセスを制御します。また、WIFI「ゾーン」をサブネット化し、必要な内部フィルタリングにルーターACLを使用します。最近、NTLMはかなり安全です。これが私の最初のアプローチになります。これを実行できない理由がある場合、元の投稿でその理由を説明するのに十分なほど拡張していない...

私の2番目のアプローチは、802.1xを検討します。これは、説明したようにニーズに過剰であるように見えますが、従業員が会社を辞めるときなどの管理を容易にします...退職するときにラップトップを提出する場合、オプション1 (WPA-PSK)十分に良いようです。自分でPSKを提供するのではなく提供する場合は、このオプションの方が好ましいと思います。

エンドユーザーが何らかの方法でPSKを部外者と共有している場合でも、LANエンドポイントはNTLM、ACL、およびファイアウォールを介して保護されています...

5
Kilo