我有几个小型企业路由器(Cisco RV120W),我在一些较小的办公室使用它们,并配置了站点到站点 VPN,以允许我总部和远程端点之间的设备等连接。RV120W 在这方面做得很好……我真的没什么可抱怨的。现在用户一直在询问如何设置 WIFI……而且我已经使用过 RV120W 很多次了……我知道它支持使用 wpa2 的“企业身份验证”。设置并尝试使其工作后……我很快发现路由器没有通过 VPN 隧道发送 RADIUS 数据包……(由于某些愚蠢的原因,数据包从 WAN 接口发出。)
我向思科提出的最后 3 个主要问题……最终都得到了“无法修复”的答复……(尽管他们承认这是一个错误)……所以我真的不想和他们争论这个问题。所以,现在我正在重新考虑如何解决这个问题,让它在设备有限制的情况下工作。作为最后的努力……我可能会在路由器后面安装一个专用 AP……但我宁愿不这样做完后还有在每个站点维护一个设备。
总结:
在公共互联网上发送 RADIUS 数据包有多安全?数据有可能被拦截和解密吗?是否有可能遭受某种重放攻击?还有其他我应该注意的问题吗?
答案1
这是我的看法。您已致电他们的支持人员,他们说他们无能为力。在我看来,这是某种路由问题。我不知道您可以在设备上配置多少(我假设它没有运行思科 IOS)。无论如何,让我们先不考虑这一点,假设您不能。我看到的选项如下。
- 将路由器升级为 Cisco 881w。这肯定支持通过 VPN 进行 RADIUS(我们就是这么做的)。
- 接受额外的 AP。这其实不是一个坏计划,现在你的无线网络不再与路由器绑定。这意味着如果出现新的 wifi 标准,你可以独立于路由器进行升级。
- 您可以通过互联网进行 RAIDUS,但由于它是 PAP,我强烈建议您不是去做。
答案2
您使用 PAP 吗?使用 CHAP 会降低一些风险。另外,我们谈论的是哪种类型的 WAN?
如果 WAN 是到您的 ISP 还是共享网络?在封闭网络上(即通过 VLAN 或子网隔离流量的传输,或直接通过 VLAN 或子网到公共互联网),风险并不大。使用 PAP 跨越更开放的网络则风险更大。此外,使用 PPTP 而不是 XAUTH 会增加风险。
Radius 服务器应该能够通过任何网络管理来自恶意 Nas 的欺骗 Radius Authe/Autho 数据包。
配置诸如 nas 共享密钥、重复登录、客户端 (nas) id、nas 类型、数据包格式等。这些与加密相结合将使其很难被恶意利用,但并非不可能。