RADIUS 및 WiFi 인증 작동 방법에 대한 초보자 질문

저는 남아프리카의 한 고등학교에서 네트워크 관리자로서 Microsoft 네트워크에서 운영하고 있습니다. 캠퍼스 주변에는 약 150 대의 PC가 있으며 그 중 130 대 이상이 네트워크에 연결되어 있습니다. 나머지는 직원 랩톱입니다. 모든 IP 주소는 DHCP 서버를 사용하여 할당됩니다.

현재 Wi-Fi 액세스는 직원이있는 몇 곳으로 제한되어 있습니다. 우리는 학생들에게 제공되지 않는 긴 키로 WPA를 사용하고 있습니다. 내가 아는 한이 키는 안전합니다.

그러나 RADIUS 인증을 사용하는 것이 더 합리적이지만 실제로 어떻게 작동하는지에 대한 질문이 있습니다.

1. 도메인에 추가 된 시스템이 Wi-Fi 네트워크에 자동으로 인증됩니까? 아니면 사용자 기반입니까? 둘 다 될 수 있습니까?
2. RADIUS 인증을 사용하는 경우 PSP / iPod touch / Blackberry / 등과 같은 장치가 WiFi 네트워크에 연결할 수 있습니까? 나는 이것이 일어나기를 원합니다.

RADIUS 인증을 지원하는 WAP가 있습니다. MS 2003 서버에서 RADIUS 기능을 켜면됩니다.

모바일 장치 요구 사항을 감안할 때 캡 티브 포털을 사용하는 것이 더 좋습니까? 나는 공항에서 경험을 통해 (장치에 브라우저가있는 경우) 수행 할 수 있음을 알고 있습니다.

포로 포털에 관한 질문이 있습니다.

1. 캡 티브 포털을 Wi-Fi 연결 장치로만 제한 할 수 있습니까? 특히 기존의 모든 네트워크 컴퓨터에 대해 MAC 주소 예외를 설정하고 싶지는 않습니다 (내 이해로는 MAC 주소 스푸핑 기회가 증가합니다).
2. 이것은 어떻게 이루어 집니까? WiFi 액세스 장치에 대해 별도의 주소 범위가 있고 두 네트워크 사이에 포탈 포털이 라우팅됩니까? WAP는 포괄 포탈이 아닌 다른 컴퓨터와 실제 네트워크를 공유한다는 점을 강조하는 것이 중요합니다.

당신의 경험과 통찰력에 감사드립니다!

필립

편집 : 포로 포털이 실현 가능한지 여부를 좀 더 명확하게하기 위해이 질문을했습니다 .

Wi-Fi에 대한 사용자 인증은 802.1x 프로토콜을 사용 합니다.
장치를 연결하려면 SecureW2 와 같은 WPA 요청자가 필요 합니다. 사용하는 요청자에 따라 Windows 도메인 로그인 / 암호를 사용하여 SSO를 사용할 수 있습니다. iPhone 및 iPod touch에는 WPA 요청자가 내장되어 있습니다. 나는 PSP / BB를 모른다. SecureW2에는 Windows Mobile 버전이 있습니다.

IP 네트워크를 만들지 않고도 WiFi 전용 캡 티브 포털을 활성화 할 수 있다고 확신합니다. VLAN에 무선 액세스를 제공하고 다른 VLAN에 유선 액세스를 배치 한 다음 포털을 두 VLAN 사이에 배치하면됩니다. 이것은 투명한 방화벽과 같습니다.

802.1x에는 컴퓨터에 요청자가 있어야합니다. Wi-Fi를 사용해야하는 컴퓨터를 알고 있다면 신청자를 설정하기 만하면됩니다. 방문자 또는 그와 같은 것들로 무선 액세스에 액세스하려면 신청자 등이 필요하기 때문에 악몽이 될 수 있습니다.

캡 티브 포털은 보안 수준이 다소 낮으므로 연결할 때마다 수동으로 인증해야합니다. 조금 지루할 수 있습니다.

내 관점에서 좋은 해결책은 둘 다 있습니다. LAN에 연결된 것처럼 동일한 802.1x 액세스 및보다 적은 수의 액세스 (인터넷 포트 80에 대한 액세스, 로컬 LAN에 대한 제한된 액세스 등)를 제공하는 캡 티브 포털

나는 약간의 WIFI 경험을 가지고 있습니다-라스 베이거스시, 미시간 대학교, 다양한 호텔 및 아파트 단지 : 많은 캠퍼스 배치를 수행했습니다 ....

클라이언트는 RADIUS 서버와 직접 대화하지 않습니다. 802.1x가 가능한 AP (Access Point)는 클라이언트를 대신하여이를 수행합니다. 실제로 802.1x 구현을 지원하기 위해 RADIUS가 필요하지 않습니다.

1. 캡 티브 포털을 Wi-Fi 연결 장치로만 제한 할 수 있습니까? 특히 기존의 모든 네트워크 컴퓨터에 대해 MAC 주소 예외를 설정하고 싶지는 않습니다 (내 이해로는 MAC 주소 스푸핑 기회가 증가합니다).

MAC 스푸핑은 클라이언트가 연결된 후에 만 ​​수행 할 수 있습니다. 따라서 먼저 연결하지 않고 WIFI 네트워크에서 스푸핑을 할 수 없으므로 걱정할 필요가 없습니다. WPA 또는 WPA2 등을 통해 연결을 제어합니다.

2. 이것은 어떻게 이루어 집니까? WiFi 액세스 장치에 대해 별도의 주소 범위가 있고 두 네트워크 사이에 포탈 포털이 라우팅됩니까? WAP는 포괄 포탈이 아닌 다른 컴퓨터와 실제 네트워크를 공유한다는 점을 강조하는 것이 중요합니다.

당신은 그렇게 할 수 있지만 당신이 무엇을 성취하기를 희망하는지 모르겠습니다. 유선 클라이언트로부터 WIFI 액세스를 분리해야한다고 생각하는 이유는 무엇입니까? 참고 : VLAN은 보안 조치가 아닙니다 !!!

솔루션은 사용중인 AP 유형과 WPA2를 지원하는지 여부에 따라 다릅니다. 그들이 할 것이라고 가정하면, 내가 할 일은 두 가지 상황 중 하나입니다.

그룹 정책 및 방화벽을 통해 WPA-PSK를 배포하고 LAN 액세스를 제어합니다. 또한 WIFI "영역"을 서브넷으로 만들고 필요한 내부 필터링에 라우터 ACL을 사용합니다. NTLM은 요즘 꽤 안전합니다. 이것이 나의 첫 번째 접근법입니다. 이 작업을 수행 할 수없는 이유가있는 경우 원래 게시물에서 그 이유를 설명 할만큼 충분히 확장하지 않았습니다

내 두 번째 접근 방식은 802.1x를 살펴볼 것입니다-설명 된 것처럼 귀하의 요구에 과도하게 보일 것 같지만 직원이 회사 등을 떠날 때 관리자를 용이하게 할 것입니다 ... 그들이 노트북을 떠날 때 옵션 1 (WPA-PSK)는 충분 해 보입니다. PSK를 직접 넣지 않고 제공하면이 옵션이 선호됩니다.

최종 사용자가 어떻게 든 외부 사용자와 PSK를 공유하더라도 LAN 엔드 포인트는 여전히 NTLM, ACL 및 방화벽을 통해 보호됩니다 ...