我是南非一所高中的网络管理员,使用 Microsoft 网络。校园内大约有 150 台 PC,其中至少有 130 台连接到网络。其余的是教职员工笔记本电脑。所有 IP 地址均使用 DHCP 服务器分配。
目前,我们的 Wi-Fi 接入仅限于这些员工所在的几个地点。我们使用的 WPA 具有长密钥,学生无法使用。据我所知,这个密钥是安全的。
然而,使用 RADIUS 身份验证更有意义,但我对它在实践中如何工作有一些疑问。
- 添加到域中的机器会自动向 Wi-Fi 网络进行身份验证吗?还是基于用户?可以两者兼而有之吗?
- 如果使用 RADIUS 身份验证,PSP / iPod touch / Blackberry / 等设备是否能够连接到 WiFi 网络?我希望这种情况能够发生。
我确实有支持 RADIUS 身份验证的 WAP。我只需从 MS 2003 服务器打开 RADIUS 功能即可。
考虑到移动设备的要求,使用强制门户会更好吗?根据我在机场的经验,我知道这是可以做到的(如果设备有浏览器)。
这让我想到了有关强制门户的问题:
- 我可以将强制门户限制为仅连接 Wi-Fi 的设备吗?我并不特别想为所有现有网络机器设置 MAC 地址例外(据我了解,这只会增加 MAC 地址欺骗的机会)。
- 这是怎么做到的?我是否有一个单独的 WiFi 接入设备地址范围,然后强制门户是否会在两个网络之间路由?需要强调的是,WAP 与其他不需要强制门户的机器共享一个物理网络。
您的经验和见解将受到赞赏!
菲利普
编辑:为了更清楚地了解强制门户是否可行,我询问了这个问题。
答案1
Wifi 使用的用户身份验证802.1x协议。
要连接设备,需要WPA 请求者例如安全W2
根据您使用的请求者,您是否可以使用 Windows 域登录名/密码进行 SSO。iPhone
和 iPod touch 内置了 WPA 请求者。我不知道 PSP/BB 是否如此。SecureW2 有一个 Windows Mobile 版本。
我确信您可以启用仅用于 WiFi 的强制门户,而无需创建 IP 网络。您只需将无线访问放在一个 VLAN 中,将有线访问放在另一个 VLAN 中,然后将门户放在两个 VLAN 之间。这就像一个透明的防火墙。
802.1x 需要在计算机上安装请求者。如果知道需要使用 Wifi 的计算机,则只需在它们上设置请求者,这是一个很好的解决方案。如果您想让访客或类似人员可以访问您的无线访问,这可能是一场噩梦,因为他们需要请求者等。
强制门户的安全性稍差,每次连接时都需要用户手动进行身份验证。这可能有点无聊。
从我的角度来看,一个好的解决方案是两者兼而有之。802.1x 访问可为您提供与在局域网上有线访问相同的功能,而强制门户可让您访问更少的东西(访问互联网端口 80、有限访问本地局域网,...)
答案2
我有一点 WIFI 经验 - 已经做过许多校园部署:拉斯维加斯市、密歇根大学、各种酒店和公寓大楼......
您的客户端不直接与 RADIUS 服务器通信。具有 802.1x 功能的 AP(接入点)代表客户端执行此操作。事实上,您不需要 RADIUS 来支持 802.1x 实施。
1. 我可以将强制门户限制为仅连接 Wi-Fi 的设备吗?我并不特别想为所有现有网络机器设置 MAC 地址例外(据我了解,这只会增加 MAC 地址欺骗的机会)。
只有在客户端关联后才能进行 MAC 欺骗。因此您无需担心,因为没有先关联就无法在 WIFI 网络上进行欺骗。您可以通过 WPA 或 WPA2 等控制关联...
2. 如何做到这一点?我是否有一个单独的 WiFi 接入设备地址范围,然后强制门户是否会在两个网络之间路由?需要强调的是,WAP 与其他不需要强制门户的机器共享一个物理网络。
你可以这样做,但我不确定你希望实现什么?为什么你觉得需要将 WIFI 访问与有线客户端隔离?注意:VLAN 不是安全措施!!!
您的解决方案取决于您拥有的 AP 类型以及它们是否支持 WPA2。假设它们支持,那么在您的情形下,我会采取以下两种做法之一:
部署 WPA-PSK 并通过组策略和防火墙控制 LAN 访问。我还将对 WIFI“区域”进行子网划分,并使用路由器 ACL 进行任何所需的内部过滤。NTLM 现在非常安全。这将是我的第一个方法。如果您有无法这样做的原因,那么您在原始帖子中没有充分说明原因...
我的第二种方法是考虑 802.1x - 这对于您所描述的需求来说似乎有点过度,但当员工离开公司等时,可以减轻管理工作量……如果他们在离开时交还笔记本电脑,那么选项 1 (WPA-PSK) 似乎足够好了。如果您提供 PSK 而不是自己输入,那么这个选项是首选——我想。
即使最终用户以某种方式与外部人员共享 PSK,您的 LAN 端点仍然通过 NTLM、ACL 和防火墙得到保护……