我是南非一所高中的网络管理员,在 Microsoft 网络上运行。我们在校园内大约有 150 台 PC,其中至少有 130 台连接到网络。其余的是员工笔记本电脑。所有 IP 地址均使用 DHCP 服务器分配。
目前,我们的 Wi-Fi 访问仅限于这些员工所在的几个地点。我们正在使用带有长密钥的 WPA,学生无法使用该密钥。据我所知,这把钥匙是安全的。
然而,使用 RADIUS 身份验证会更有意义,但我对它在实践中的工作方式有一些疑问。
- 添加到域的机器是否会自动通过 Wi-Fi 网络进行身份验证?还是基于用户?可以两者兼得吗?
- 如果使用 RADIUS 身份验证,PSP / iPod touch / Blackberry / 等设备是否能够连接到 WiFi 网络?我希望这发生。
我确实有支持 RADIUS 身份验证的 WAP。我只需要从 MS 2003 服务器打开 RADIUS 功能。
考虑到移动设备的要求,使用强制门户会更好吗?我从机场的经验中知道这是可以做到的(如果设备有浏览器)。
这让我想到了关于强制门户的问题:
- 我可以将强制门户限制为仅连接 Wi-Fi 的设备吗?我并不特别想为所有现有的网络机器设置 MAC 地址例外(在我的理解中,它只会增加 MAC 地址欺骗的机会)。
- 这是怎么做到的?我是否有单独的 WiFi 访问设备地址范围,然后强制门户会在两个网络之间路由?重要的是要强调 WAP 与其他不被强制门户的机器共享一个物理网络。
您的经验和见解将不胜感激!
菲利普
编辑:为了更清楚地了解强制门户是否可行,我问了这个问题。
Wifi 的用户身份验证使用802.1x协议。
要连接设备,需要WPA 请求者,例如SecureW2
根据您使用的请求者,您是否能够使用 Windows 域登录名/密码进行 SSO。
iPhone 和 iPod touch 内置了 WPA 请求者。我不知道PSP / BB。SecureW2 有一个 Windows Mobile 版本。
我确信您可以仅为 WiFi 启用强制门户,而无需创建 IP 网络。您只需要将无线访问放在一个 vlan 中,将有线访问放在另一个 vlan 中,然后将门户放在两个 vlan 之间。这就像一个透明的防火墙。
802.1x 需要在计算机上有一个请求者。如果知道需要使用 Wifi 的计算机,您只需在它们上设置请求者,这是一个很好的解决方案。如果您想让访客或类似的东西可以访问您的无线访问,那可能是一场噩梦,因为他们需要请求者等。
强制门户的安全性稍差一些,并且每次连接时都需要用户手动进行身份验证。这可能有点无聊。
从我的角度来看,一个好的解决方案也是两者兼而有之。一个 802.1x 访问,就像你在局域网上有线一样,一个强制门户,让你访问更少的东西(访问互联网端口 80,对本地局域网的有限访问,...)
有一点WIFI经验——做过很多校园部署:拉斯维加斯市、密歇根大学、各种酒店和公寓楼......
您的客户端不直接与 RADIUS 服务器对话。支持 802.1x 的 AP(接入点)代表客户端执行此操作。事实上,您不需要 RADIUS 来支持 802.1x 实施。
MAC 欺骗只能在客户端关联后进行。因此,您不必担心在没有关联的情况下无法在 WIFI 网络上进行欺骗。您通过 WPA 或 WPA2 和其他方式控制关联...
你可以这样做,但我不确定你希望达到什么目标?为什么您觉得需要将 WIFI 访问与有线客户端隔离?注意:VLAN 不是安全措施!!!
您的解决方案取决于您拥有的 AP 类型以及它们是否支持 WPA2。假设他们这样做,在您的情况下,我会做的两件事之一是:
部署 WPA-PSK 并通过组策略和防火墙控制 LAN 访问。我还将对 WIFI“区域”进行子网划分,并使用路由器 ACL 进行您需要的任何内部过滤。如今,NTLM 相当安全。这将是我的第一种方法。如果有原因你不能这样做,那么你在原始帖子中的扩展还不够远,无法说明原因......
然后,我的第二种方法将查看 802.1x - 这对于您所描述的需求来说似乎有点过头了,但是当员工离开公司等时会减轻管理员的负担......如果他们在离开时上交笔记本电脑,那么选项 1 (WPA-PSK)似乎足够好。如果您给出 PSK 而不是自己放入,那么这个选项是首选 - 我猜。
即使最终用户以某种方式与外部人员共享 PSK,您的 LAN 端点仍然通过 NTLM、ACL 和防火墙得到保护……