Questions des débutants sur le fonctionnement de l'authentification RADIUS et WiFi

11

Je suis administrateur réseau dans un lycée en Afrique du Sud, fonctionnant sur un réseau Microsoft. Nous avons environ 150 PC autour du campus, dont au moins 130 sont câblés au réseau. Les autres sont des ordinateurs portables pour le personnel. Toutes les adresses IP sont attribuées à l'aide d'un serveur DHCP.

Actuellement, notre accès wi-fi est limité à quelques endroits où se trouve ce personnel. Nous utilisons WPA avec une clé longue qui n'est pas mise à la disposition des étudiants. À ma connaissance, cette clé est sûre.

Il serait cependant plus logique d'utiliser l'authentification RADIUS, mais j'ai quelques questions sur la façon dont cela fonctionne dans la pratique.

  1. Les machines ajoutées au domaine s'authentifieront-elles automatiquement sur le réseau Wi-Fi? Ou est-ce basé sur l'utilisateur? Cela peut-il être les deux?
  2. Des appareils comme une PSP / iPod touch / Blackberry / etc / pourront-ils se connecter au réseau WiFi s'il utilise l'authentification RADIUS? Je voudrais que cela se produise.

J'ai des WAP qui prennent en charge l'authentification RADIUS. J'aurais juste besoin d'activer la fonctionnalité RADIUS à partir d'un serveur MS 2003.

Compte tenu des exigences relatives aux appareils mobiles, l'utilisation d'un portail captif serait-elle préférable? Je sais par expérience dans les aéroports que cela peut être fait (si l'appareil dispose d'un navigateur).

Ce qui m'amène aux questions concernant les portails captifs:

  1. Puis-je limiter le portail captif aux appareils connectés Wi-Fi uniquement? Je ne veux pas particulièrement avoir à configurer des exceptions d'adresse MAC pour toutes les machines réseau existantes (à ma connaissance, cela augmente simplement la possibilité d'usurpation d'adresse MAC).
  2. Comment cela se fait-il? Ai-je une plage d'adresses distincte pour les appareils d'accès WiFi, puis le portail captif sera-t-il acheminé entre les deux réseaux? Il est important de souligner que les WAP partagent un réseau physique avec d'autres machines qui ne doivent pas être portales captives.

Votre expérience et vos connaissances seront appréciées!

Philippe

Edit: Afin d'obtenir un peu plus de clarté sur la faisabilité d'un portail captif, j'ai posé cette question .

Philippe
la source

Réponses:

6

L'authentification des utilisateurs pour le Wifi utilise le protocole 802.1x .
Pour connecter des appareils, vous avez besoin d'un demandeur WPA tel que SecureW2
Selon le demandeur que vous utilisez, vous pourrez ou non utiliser un SSO avec le login / mot de passe du domaine Windows.
iPhone et iPod touch ont intégré le suppliant WPA. Je ne sais pas pour PSP / BB. SecureW2 a une version Windows Mobile.

Je suis sûr que vous pouvez activer un portail captif pour le WiFi uniquement sans avoir à créer sur un réseau IP. Il vous suffit de mettre l'accès sans fil dans un vlan et l'accès filaire dans un autre vlan, puis de placer le portail entre les deux vlan. C'est comme un pare-feu transparent.

Le 802.1x doit avoir un demandeur sur les ordinateurs. Si les ordinateurs qui ont besoin d'utiliser le Wifi sont connus, il vous suffit de configurer le demandeur sur eux et c'est une excellente solution. Si vous voulez rendre votre accès sans fil accessible aux visiteurs ou à des choses comme ça, cela pourrait être un cauchemar car ils ont besoin du suppliant, etc.

Un portail captif est un peu moins sécurisé et nécessite que l'utilisateur s'authentifie manuellement à chaque connexion. Cela peut être un peu emprunt.

Une bonne solution de mon point de vue est aussi d'avoir les deux. Un accès 802.1x qui vous donne la même chose que si vous étiez câblé sur le lan et un portail captif qui vous donne accès à moins de choses (accès au port internet 80, accès limité au lan local, ...)

rayon
la source
5

J'ai un peu d'expérience WIFI - j'ai fait de nombreux déploiements sur le campus: City of Las Vegas, University of Michigan, divers hôtels et complexes d'appartements ....

Vos clients ne parlent pas directement à un serveur RADIUS. Le point d'accès (point d'accès) compatible 802.1x le fait au nom du client. En fait, vous n'avez pas besoin de RADIUS pour prendre en charge une implémentation 802.1x.

1. Puis-je limiter le portail captif aux appareils connectés Wi-Fi uniquement? Je ne veux pas particulièrement avoir à configurer des exceptions d'adresse MAC pour toutes les machines réseau existantes (à ma connaissance, cela augmente simplement la possibilité d'usurpation d'adresse MAC).

L'usurpation d'adresse MAC ne peut être effectuée qu'après qu'un client s'est associé. Donc, votre préoccupation ici n'a pas besoin d'être car on ne peut pas usurper un réseau WIFI sans association préalable. Vous contrôlez l'association via WPA ou WPA2 et autres ...

2. Comment cela se fait-il? Ai-je une plage d'adresses distincte pour les appareils d'accès WiFi, puis le portail captif sera-t-il acheminé entre les deux réseaux? Il est important de souligner que les WAP partagent un réseau physique avec d'autres machines qui ne doivent pas être portales captives.

Vous pouvez le faire mais je ne sais pas ce que vous espérez accomplir? Pourquoi pensez-vous que vous devez isoler l'accès WIFI de vos clients câblés? REMARQUE: les VLAN ne sont pas une mesure de sécurité !!!

Votre solution dépend du type de points d'accès dont vous disposez et de la prise en charge de WPA2. En supposant qu'ils le fassent, ce que je ferais est l'une des deux choses dans votre situation:

Déployez WPA-PSK et contrôlez l'accès LAN via des stratégies de groupe et des pare-feu. Je voudrais également mettre en sous-réseau la "zone" WIFI et utiliser les listes de contrôle d'accès du routeur pour tout filtrage interne dont vous avez besoin. NTLM est assez sécurisé de nos jours. Ce serait ma première approche. S'il y a des raisons pour lesquelles vous ne pouvez pas le faire, vous n'avez pas développé suffisamment loin dans votre message d'origine pour dire pourquoi ...

Ma deuxième approche se pencherait alors sur 802.1x - cela semblerait exagéré pour vos besoins, comme décrit, mais faciliterait l'administration lorsqu'un employé quitte l'entreprise, etc. ... S'ils remettent leurs ordinateurs portables lorsqu'ils partent, alors l'option-1 (WPA-PSK) semble assez bon. Si vous donnez le PSK plutôt que de le mettre en vous-même, cette option est préférée - je suppose.

Même si les utilisateurs finaux partagent en quelque sorte le PSK avec des étrangers, vos points de terminaison LAN sont toujours sécurisés via NTLM, ACL et pare-feu ...

Kilo
la source