Perguntas para iniciantes sobre como funciona a autenticação RADIUS e WiFi

Sou administrador de rede de uma escola secundária na África do Sul, executando em uma rede da Microsoft. Temos aproximadamente 150 computadores no campus, dos quais pelo menos 130 estão conectados à rede. O restante são laptops da equipe. Todos os endereços IP são atribuídos usando um servidor DHCP.

Atualmente, nosso acesso wi-fi é limitado a alguns locais onde esses funcionários estão localizados. Estamos usando o WPA com uma chave longa que não é disponibilizada aos alunos. Que eu saiba, essa chave é segura.

No entanto, faria mais sentido usar a autenticação RADIUS, mas tenho algumas perguntas sobre como funciona na prática.

1. As máquinas adicionadas ao domínio serão autenticadas automaticamente na rede wi-fi? Ou é baseado no usuário? Podem ser os dois?
2. Dispositivos como um PSP / iPod touch / Blackberry / etc / poderão se conectar à rede Wi-Fi se usar autenticação RADIUS? Eu gostaria que isso acontecesse.

Eu tenho WAPs que suportam autenticação RADIUS. Eu só precisaria ativar a funcionalidade RADIUS em um servidor MS 2003.

Dado o requisito do dispositivo móvel, seria melhor usar um portal cativo? Sei por experiência nos aeroportos que isso pode ser feito (se o dispositivo tiver um navegador).

O que me leva a perguntas sobre portais em cativeiro:

1. Posso limitar o portal cativo apenas a dispositivos conectados por Wi-Fi? Eu particularmente não quero ter que configurar exceções de endereço MAC para todas as máquinas de rede existentes (no meu entender, isso apenas aumenta a oportunidade de falsificação de endereço MAC).
2. Como isso é feito? Tenho um intervalo de endereços separado para dispositivos de acesso WiFi e o portal cativo fará a rota entre as duas redes? É importante enfatizar que os WAPs compartilham uma rede física com outras máquinas que não devem ser chamadas de porta cativa.

Sua experiência e insight serão apreciados!

Philip

Edit: A fim de obter um pouco mais de clareza sobre se um Portal Cativo é viável, eu fiz essa pergunta .

A autenticação do usuário para Wifi usa o protocolo 802.1x .
Para conectar dispositivos, é necessário um suplicante WPA , como SecureW2.
Dependendo do suplicante usado, você poderá ou não usar um SSO com o login / senha do domínio do Windows.
O iPhone e o iPod touch foram incorporados no suplicante WPA. Eu não sei para PSP / BB. O SecureW2 possui uma versão do Windows Mobile.

Tenho certeza de que você pode ativar um portal cativo para WiFi apenas sem precisar criar a rede IP. Você só precisa colocar o acesso sem fio em uma vlan e o acesso com fio em outra vlan e depois colocar o portal entre as duas vlan. Isso é como um firewall transparente.

O 802.1x precisa ter um suplicante nos computadores. Se os computadores que precisam usar o Wifi são conhecidos, basta configurar o suplicante neles e é uma ótima solução. Se você deseja tornar seu acesso sem fio acessível ao visitante ou coisas assim, pode ser um pesadelo, porque eles precisam do suplicante etc.

Um portal cativo é um pouco menos seguro e precisa que o usuário se autentique manualmente sempre que se conectar. Pode ser um pouco emprestado.

Uma boa solução do meu ponto de vista é também ter os dois. Um acesso 802.1x que dá a você o mesmo que se estivesse conectado à LAN e um portal cativo que dá acesso a menos coisas (acesso à porta 80 da Internet, acesso limitado à LAN local, ...)

Tenho um pouco de experiência com WIFI - fiz várias implantações no campus: Cidade de Las Vegas, Universidade de Michigan, vários hotéis e complexos de apartamentos ....

Seus clientes não falam diretamente com um servidor RADIUS. O ponto de acesso (AP) compatível com 802.1x faz isso em nome do cliente. De fato, você não precisa do RADIUS para oferecer suporte a uma implementação 802.1x.

1. Posso limitar o portal cativo apenas a dispositivos conectados por Wi-Fi? Eu particularmente não quero ter que configurar exceções de endereço MAC para todas as máquinas de rede existentes (no meu entender, isso apenas aumenta a oportunidade de falsificação de endereço MAC).

A falsificação de MAC só pode ser feita depois que um cliente se associa. Portanto, sua preocupação aqui não precisa ser a de que não se pode falsificar em uma rede WIFI sem associação primeiro. Você controla a associação via WPA ou WPA2 e outros ...

2. Como isso é feito? Tenho um intervalo de endereços separado para dispositivos de acesso WiFi e o portal cativo fará a rota entre as duas redes? É importante enfatizar que os WAPs compartilham uma rede física com outras máquinas que não devem ser chamadas de porta cativa.

Você pode fazer isso, mas não tenho certeza do que você espera alcançar? Por que você sente que precisa isolar o acesso WIFI dos seus clientes com fio? NOTA: VLANS não são uma medida de segurança !!!

Sua solução depende do tipo de ponto de acesso que você possui e se eles oferecem suporte ao WPA2. Supondo que eles façam, o que eu faria é uma das duas coisas na sua situação:

Implante WPA-PSK e controle o acesso à LAN através de políticas de grupo e firewalls. Eu também colocaria em sub-rede a "zona" WIFI e usaria ACLs do roteador para qualquer filtragem interna necessária. NTLM é bastante seguro nos dias de hoje. Essa seria minha primeira abordagem. Se houver motivos para você não fazer isso, você não expandiu o suficiente na postagem original para dizer o porquê ...

Minha segunda abordagem seria analisar o 802.1x - isso pareceria um exagero para as suas necessidades, conforme descrito, mas facilitaria a administração quando um funcionário deixar a empresa, etc. (WPA-PSK) parece bom o suficiente. Se você distribuir o PSK em vez de colocá-lo em si mesmo, essa opção é preferida - eu acho.

Mesmo que os usuários finais de alguma forma compartilhem o PSK com pessoas de fora, seus pontos finais da LAN ainda estão protegidos por NTLM, ACLs e firewalls ...