Для какого режима безопасности Wi-Fi требуется сервер радиуса

Обновлено: 30.06.2024

Эта страница позволяет настроить параметры беспроводной связи для функции беспроводной локальной сети маршрутизатора.

Щелкните элементы ниже, чтобы получить дополнительную информацию:

Эта страница позволяет включать и отключать функцию беспроводной локальной сети, вводить SSID и устанавливать канал для беспроводной связи.

Включить/отключить: включает и отключает беспроводную локальную сеть через маршрутизатор.

SSID: введите SSID в текстовое поле. SSID любого беспроводного устройства должен совпадать с введенным здесь SSID, чтобы беспроводное устройство могло получить доступ к локальной и глобальной сети через маршрутизатор.

Канал: выберите канал передачи для беспроводной связи. Канал любого беспроводного устройства должен соответствовать выбранному здесь каналу, чтобы беспроводное устройство могло получить доступ к локальной и глобальной сети через маршрутизатор.

Режим 802.11: если все беспроводные устройства, которые вы хотите подключить к этому маршрутизатору, могут подключаться в одном и том же режиме передачи, вы можете немного повысить производительность, выбрав соответствующий режим «Только». Если у вас есть устройства, использующие другой режим передачи, выберите соответствующий «Смешанный» режим.

Ширина канала. Обычно лучше всего подходит вариант "Авто 20/40 МГц". Другие варианты доступны для особых обстоятельств.

Передача SSID: выберите «Отключено», если вы не хотите, чтобы TEW-651BR транслировал SSID вашей беспроводной сети. Если этот параметр отключен, SSID TEW-651BR не будет виден утилитам Site Survey, поэтому ваши беспроводные клиенты должны будут знать SSID вашего TEW-651BR, чтобы подключиться к нему.

WMM: включите Wi-Fi Multi-Media, чтобы обеспечить стабильную работу сетей Wi-Fi, что улучшит работу пользователей с аудио-, видео- и голосовыми приложениями за счет приоритизации трафика данных.

Этот экран позволяет настроить WEP| ВПА | WPA2 | Параметры WPA-Auto для безопасной беспроводной связи.

Для защиты вашей конфиденциальности вы можете настроить функции безопасности беспроводной сети. Это устройство поддерживает два режима безопасности беспроводной сети, включая: WPA-Personal (PSK) и WPA-Enterprise (RADIUS). WPA обеспечивает более высокий уровень безопасности. WPA-Personal не требует сервера аутентификации. Для варианта WPA-Enterprise требуется внешний сервер RADIUS.

Тип аутентификации: выберите тип аутентификации. Открытая система обеспечивает публичный доступ к маршрутизатору через беспроводную связь.

WEP: WEP — это стандарт шифрования беспроводной сети. Чтобы использовать его, вы должны ввести один и тот же ключ(и) в маршрутизатор и беспроводные станции. Для 64-битных ключей вы должны ввести 10 шестнадцатеричных цифр в каждое поле ключа. Для 128-битных ключей вы должны ввести 26 шестнадцатеричных цифр в каждое поле ключа. Шестнадцатеричная цифра — это число от 0 до 9 или буква от A до F. Для наиболее безопасного использования WEP установите тип аутентификации «Общий ключ», когда WEP включен.

Вы также можете ввести любую текстовую строку в поле ключа WEP, и в этом случае она будет преобразована в шестнадцатеричный ключ с использованием значений символов ASCII. Можно ввести не более 5 текстовых символов для 64-битных ключей и не более 13 символов для 128-битных ключей.

Если вы выберете параметр безопасности WEP, это устройство будет работать ТОЛЬКО в традиционном беспроводном режиме (802.11B/G) . Это означает, что вы НЕ получите производительность 11N из-за того, что WEP не поддерживается спецификацией 11N.

Ключ 1 ~ Ключ 4: позволяет создать схему шифрования для передачи по беспроводной локальной сети. Вручную введите набор значений для каждого ключа. Выберите, какую клавишу вы хотите использовать, щелкнув переключатель рядом с клавишей. Нажмите «Очистить», чтобы стереть ключевые значения.

Автоматическая безопасность WPA/WPA2/WPA:

Если выбрано WPA, WPA2 или WPA-Auto EAP, отображается показанный выше экран. Укажите длину ключа шифрования и параметры сервера RADIUS.

WPA требует, чтобы станции использовали высококачественное шифрование и аутентификацию. Для устаревшей совместимости используйте режим WPA или WPA2. Этот режим использует WPA для устаревших клиентов, сохраняя при этом более высокий уровень безопасности на станциях, поддерживающих WPA2. Будет использоваться самый надежный шифр, поддерживаемый клиентом. Для лучшей безопасности используйте режим «Только WPA2». В этом режиме устаревшим станциям не разрешен доступ с защитой WPA. Шифр AES будет использоваться в беспроводной сети для обеспечения максимальной безопасности.

RADIUS-сервер:

1.Введите IP-адрес, используемый порт и общий секрет для основного сервера Radius.

2.Введите IP-адрес, используемый порт и общий секрет для вторичного сервера Radius. (необязательно)

Безопасность WPA-PSK/WPA2-PSK:

Если выбрано WPA, WPA2 или WPA-Auto PSK, каждый пользователь должен ввести фразу-пароль для доступа к сети.

Тип шифрования: выберите тип шифрования для шифрования TKIP или AES. Выберите «Авто» для автоматического определения типа шифрования.

Парольная фраза: длина должна быть от 8 до 63 символов ASCII или 64 шестнадцатеричных символа.

На этом экране можно настроить расширенные функции беспроводной связи.

Интервал маяка: введите интервал маяка в текстовом поле.Вы можете указать значение от 25 до 1000. Интервал маяка по умолчанию равен 100.

Порог RTS: введите порог RTS (запрос на отправку) в текстовом поле. Это значение стабилизирует поток данных. Если поток данных нерегулярный, выбирайте значения от 256 до 2346, пока поток данных не нормализуется.

Порог фрагментации: введите порог фрагментации в текстовом поле. Если частота ошибок при передаче пакетов высока, выбирайте значения от 1500 до 2346, пока скорость передачи пакетов не станет минимальной.

Примечание. Установка порогового значения фрагментации может снизить производительность системы.

Интервал DTIM: введите интервал DTIM (сообщение об индикации трафика доставки) в текстовом поле. Вы можете указать значение от 1 до 255. Значение по умолчанию — 1.

IEEE 802.1X — это стандарт для аутентификации пользователей в сетях. МАРШРУТИЗАТОР поддерживает EAP (расширяемый протокол аутентификации), как указано в стандарте 802.1X. EAP обеспечивает беспроводную локальную сеть надежной взаимной аутентификацией между клиентом и сервером аутентификации. МАРШРУТИЗАТОР может служить в качестве аутентификатора 802.1X между беспроводными клиентами 802.1X и сервером аутентификации, который обычно устанавливается на сервере RADIUS. Имейте в виду, что для включения 802.1X требуется сервер RADIUS для аутентификации пользователя в сети.

Ключ шифрования. Длина ключа шифрования может составлять 64 или 128 бит при использовании с продуктами AirPlus. Ключ шифрования имеет срок жизни, который можно указать от 5 минут до 1 дня.

Сервер RADIUS: сервер RADIUS (служба удаленного доступа для пользователей с телефонным подключением) с ключом шифрования используется для аутентификации пользователя. Вам нужно будет ввести IP-адрес сервера RADIUS и номер порта для аутентификации. Для большинства серверов RADIUS для этой цели используется порт 1812. В качестве дополнительной защиты безопасности для связи между RADIUS-сервером и МАРШРУТИЗАТОРОМ можно ввести общий секрет. Второй сервер RADIUS может быть введен как опция. Для получения более подробной информации обратитесь к поставщикам услуг RADIUS или к руководству по эксплуатации вашего сервера RADIUS.

На этом экране можно настроить параметры Wi-Fi Protected Setup (WPS) для простой установки беспроводной связи.

WPS: включение/отключение функции защищенной настройки Wi-Fi.

Статус: отображение информации о состоянии (состояние не настроено / состояние настроено) WPS.

Собственный PIN-код: отображение PIN-кода точки доступа по умолчанию.

ПИН-код клиента: введите ПИН-код клиента, который клиент использует для согласования с точкой доступа по протоколу WPS. Он используется только тогда, когда пользователи хотят, чтобы их станция присоединилась к сети точки доступа.

Конфигурация кнопки: нажатие этой кнопки вызовет метод настройки кнопки (PBC) WPS. Он используется только тогда, когда точка доступа выступает в качестве регистратора.

Написан ли ваш пароль от WiFi на доске в конференц-зале? Или вы используете общую парольную фразу, отправленную по электронной почте? Возможно, к вам приходят и уходят люди из вашей организации, что вынуждает вас постоянно раздавать пароль WiFi на стикерах или бумаге.

Конечно, это удобно, но совсем небезопасно. Проблема с вышеупомянутыми методами заключается в том, что злоумышленнику слишком легко проникнуть в вашу сеть Wi-Fi и подвергнуть риску вашу организацию. Итак, как вы можете защитить свою сеть? Давайте посмотрим на RADIUS и на то, почему он является отраслевым стандартом, когда речь идет о блокировке доступа к Wi-Fi.

Что такое РАДИУС?

По сути, RADIUS — это аббревиатура от службы удаленной аутентификации пользователей с телефонным подключением. Часть имени «Dial In» показывает возраст RADIUS: он существует с 1991 года. Однако сегодня RADIUS широко используется для аутентификации и авторизации пользователей в удаленных сетях Wi-Fi (и VPN, оборудовании сетевой инфраструктуры и т. д.). Этот процесс обычно завершается корпоративным протоколом WPA2 в точках беспроводного доступа (WAP), т. е. общим SSID и паролем, описанным выше. Но ИТ-организации хотят использовать RADIUS не только для удаленного доступа к сети. Когда RADIUS применяется к локальным сетям, безопасность этой сети также повышается.

Для организаций, желающих использовать RADIUS, доступно множество вариантов, в том числе: FreeRADIUS, Microsoft® NPS, Cisco ISA, RADIUS-as-a-Service и многие другие.

RADIUS повышает безопасность WiFi

RADIUS сочетается с решениями службы каталогов, такими как Microsoft Active Directory® (AD) или OpenLDAP™, для повышения безопасности беспроводных сетей. Но как? Чтобы получить доступ к беспроводной сети, защищенной с помощью RADIUS, пользователь должен предоставить свой собственный уникальный базовый набор учетных данных.

По сути, учетные данные, которые пользователь имеет для своей рабочей системы, — это те же учетные данные, которые он будет использовать для входа в сеть. Эти учетные данные перемещаются от запрашивающей стороны на настольном компьютере, ноутбуке или мобильном устройстве пользователя к точке доступа Wi-Fi, а затем на сервер RADIUS для сопоставления с учетными данными, хранящимися в службе каталогов.(Примечание. Серверы RADIUS также могут хранить ваши учетные данные конечного пользователя изначально, но обычно основная идентификация пользователя хранится в поставщике идентификационной информации организации, а не на одном протокольном сервере, таком как сервер RADIUS).

Результат: благодаря RADIUS вам больше не нужно беспокоиться о том, что злоумышленники украдут ваш сетевой идентификатор SSID и парольную фразу с доски в конференц-зале. Это только часть учетных данных, необходимых для доступа к сети — без уникальных учетных данных пользователя, аутентифицированных службой каталогов, пользователь не может попасть в сеть. Конечным результатом является значительное повышение безопасности сети.

Для дополнительной безопасности вы также можете использовать RADIUS для реализации тегов VLAN для каждого пользователя. Что это делает, так это сегментирует вашу сеть Wi-Fi на столько виртуальных сетей, сколько вам может понадобиться. Затем отдельные пользователи или группы (например, отделы в вашей организации) назначаются определенной VLAN или VLAN. Таким образом, даже если один из ваших пользователей или VLAN будут скомпрометированы, вся ваша сетевая инфраструктура не будет подвергаться риску.

Проблемы внедрения RADIUS

Проблема с запуском сервера RADIUS связана с тем, что вам необходимо интегрировать его с рядом компонентов. Во-первых, чтобы сервер RADIUS знал, какие пользователи могут и не могут получить доступ к сети, вам необходимо интегрировать его с вашей службой каталогов. Это может стать довольно сложной задачей. Затем внедрение RADIUS в сети займет много времени, если вам нужно установить, настроить и управлять всеми частями самостоятельно.

RADIUS-as-a-Service упрощает безопасность

Аспект JumpCloud ® Directory-as-a-Service ® ​​, RADIUS-as-a-Service, делает внедрение RADIUS в вашей организации безболезненным по сравнению с альтернативами. Как и традиционные серверы RADIUS, JumpCloud обеспечивает повышенную безопасность сети: каждый пользователь использует свой собственный уникальный набор учетных данных для доступа к сети.

Компания JumpCloud, предоставляемая как услуга, прошла процесс настройки независимых серверов RADIUS по всему миру. В результате вы можете включить RADIUS из любого места и не беспокоиться об обслуживании, безопасности, простоях, отказоустойчивости или избыточности. Мы берем на себя всю тяжелую работу, чтобы вы могли просто пользоваться преимуществами защищенной сети.

Попробуйте RADIUS как услугу бесплатно сегодня

Чтобы начать работу с RADIUS сегодня, создайте бесплатную учетную запись JumpCloud. Это полнофункциональное решение включает весь набор функций «Справочник как услуга», включая наши премиальные услуги Directory Insights™ и System Insights™. Кроме того, ваши первые 10 пользователей и 10 систем бесплатны навсегда. Чтобы задать дополнительные вопросы, напишите нам или посетите нашу учебную платформу JumpCloud University. Или нажмите на премиум-чат в приложении, работающий круглосуточно и без выходных, в течение первых 10 дней, чтобы получить помощь от наших специалистов по работе с клиентами.

Использование защищенного доступа WiFi для защиты предприятия

При проверке безопасности Wi-Fi первым уровнем защиты является метод, используемый для аутентификации в сети. Наиболее широко используемыми методами аутентификации являются открытая аутентификация, WPA2-PSK (предварительный общий ключ) и WPA2-Enterprise (подробнее о протоколах WPA читайте ниже). Ниже мы рассмотрим эти различные варианты защищенного доступа Wi-Fi.

типы аутентификации

Другие методы проверки подлинности, такие как WEP (Wired Equivalent Privacy) и WPA-PSK (без 2, также называется WPA-Personal), также используются, но их относительно легко взломать, и поэтому они не стоят того. упомянув, кроме того, чтобы сделать здесь общее примечание – полностью избегать их.

Защищенный доступ WiFi: открытая аутентификация

Как следует из названия, открытая сеть аутентификации обеспечивает доступ ко всем, и пользователям не требуется проходить аутентификацию на уровне ассоциации. Важно знать, что открытые сети не зашифрованы, поэтому все, что передается, может увидеть любой человек, находящийся поблизости.

Наилучшей практикой безопасности является полный отказ от подключения к открытым сетям. Если есть срочная необходимость в подключении, лучше не разрешать устройствам подключаться автоматически, а выбрать сеть вручную в настройках устройства. Открытые сети легко подделать, и хакерские инструменты, такие как Pineapple, используют тот факт, что мобильные устройства постоянно ищут возможность автоматического подключения к открытой сети. Эти инструменты выполняют атаки «человек посередине» для кражи данных, таких как пароли, данные кредитных карт и т. д.

wifi network

Защищенный доступ WiFi: WPA/WPA2/WPA3

WPA означает защищенный доступ WiFi. Этот метод аутентификации использует различные алгоритмы шифрования для шифрования транспорта. Следовательно, этот тип сети не может быть легко подделан, в отличие от открытых сетей, и пользователи получают конфиденциальность. Сегодня WPA2, вероятно, является наиболее часто используемым методом защиты сетей Wi-Fi.

К сожалению, протоколы WPA и WPA2 были взломаны и считаются менее безопасными. Выполнение взлома WPA2 требует много времени и является несколько теоретическим. Постепенно мы замечаем переход к методу WPA3, но для этого необходима другая инфраструктура для поддержки этого протокола.

Защищенный доступ WiFi: WPA2-PSK

WPA2-PSK (и WPA3-PSK) — это защищенный доступ Wi-Fi (WPA) с предварительным общим ключом. Проще говоря, это общий пароль для доступа к сети WiFi. Этот метод обычно используется для домашних сетей Wi-Fi и небольших офисов. Даже в условиях небольшого офиса использование этого метода проблематично, поскольку каждый раз, когда сотрудник покидает компанию, пароль необходимо менять; в противном случае бывший сотрудник все равно сможет подключиться к корпоративному Wi-Fi.

Кроме того, сотрудники, как правило, делятся паролем с гостями, посетителями и подрядчиками в здании, и вы не должны подключать все здание к Интернету за свой счет, рискуя при этом безопасностью своих данных и активов.

Защищенный доступ WiFi: WPA2-Enterprise

Этот метод, также называемый режимом WPA-802.1X, выполняет аутентификацию в сети Wi-Fi с использованием разных идентификаторов вместо одного пароля. Идентификационными данными могут быть учетные данные (пользователь + пароль) или цифровой сертификат.

Этот метод аутентификации лучше подходит для корпоративных сетей и обеспечивает более высокий уровень безопасности для беспроводных сетей. Обычно для этого требуется сервер аутентификации RADIUS, а также процесс настройки различных репозиториев, что позволяет организации аутентифицировать различные типы конечных точек.

Базовые протоколы для защиты аутентификации различаются в разных расширяемых протоколах аутентификации, таких как EAP-TTLS / EAP-TLS, EAP-PEAP, каждый из которых представляет свой тип метода аутентификации и уровень безопасности.

В WPA2-Enterprise можно использовать расширенные функции, такие как назначение каждой конечной точки после аутентификации определенной VLAN или назначение ACL (списков контроля доступа) для определенных разделов. Кроме того, предприятия могут проверять подключение с дополнительными сведениями. Эти функции важны, поскольку они позволяют предприятиям должным образом защищать свои беспроводные сети и обеспечивать их соответствие передовым методам обеспечения безопасности.

WPA2 — это новейший протокол безопасности, разработанный Wi-Fi Alliance. Это означает Wi-Fi Protected Access 2. Wi-Fi Protected Access 2 — это технология сетевой безопасности, обычно используемая в сетях Wi-Fi. WPA2 — это усовершенствование сетевого протокола WPA. Основное различие между WPA2 и WPA заключается в том, что первый дополнительно повышает безопасность сети, поскольку требует использования еще более мощного метода шифрования, называемого AES.

WPA2 Enterprise использует стандарт IEEE 802.1x, обеспечивающий аутентификацию корпоративного уровня. WPA2-Enterprise существует с 2004 года и по-прежнему является золотым стандартом безопасности беспроводной сети, обеспечивая беспроводное шифрование и безопасность на высшем уровне. WPA2 использует алгоритмы CCMP (режим встречного шифрования с протоколом кода аутентификации сообщений с цепочкой блоков) и AES (расширенный стандарт шифрования) для обеспечения большей безопасности предприятий.

WPA2-Personal использует предварительные общие ключи (PSK)

WPA2-Personal или WPA2 Pre-Shared Key (WPA2-PSK) — это широко распространенный метод защиты беспроводных сетей. Предварительно общий ключ или фраза-пароль используются для аутентификации в личном режиме. В WPA2-PSK, который является wpa2-personal, доступ предоставляется с помощью общего предварительного общего ключа, что означает общий пароль на уровне маршрутизатора и не требует дополнительного сервера аутентификации. Сегодня этот метод используется в большинстве корпоративных и домашних сегментов. Любой, кто знает пароль, может подключиться к сети, используя его.

WPA2-PSK (Pre-Shared Key) требует один пароль для доступа к беспроводной сети. Обычно считается, что один пароль для доступа к Wi-Fi безопасен, но это зависит только от того, насколько человек доверяет тому, кто его использует. По сути, WPA2-PSK — это метод защиты сети с использованием WPA2 с использованием дополнительной аутентификации Pre-Shared Key (PSK). Он в основном предназначен для домашних пользователей без корпоративного сервера аутентификации.

Для шифрования сети с помощью WPA2-PSK маршрутизатору предоставляется не ключ шифрования, а кодовая фраза на простом английском языке, состоящая из определенного количества символов. Парольная фраза вместе с сетевым SSID с использованием технологии TKIP (от Temporal Key Integrity Protocol) используется для создания уникальных ключей шифрования для каждого беспроводного клиента.Ключи шифрования постоянно меняются.

WPA2 Enterprise специально разработан для организаций

Используя WPA2-Enterprise, можно заполнить все пробелы в безопасности, т. е. 1-кратную аутентификацию для пользовательского устройства. При этом каждый пользователь имеет уникальные учетные данные (имя пользователя и пароль или цифровой сертификат или и то, и другое) для подключения к беспроводной сети; мы также можем использовать цифровые сертификаты x.509 для аутентификации пользовательских устройств. Этот метод использует сервер RADIUS для аутентификации. Мы можем настроить эту аутентификацию в SMB и корпоративной организации для повышения безопасности сети. Цифровой сертификат может быть выдан самоподписанным или может управляться инфраструктурой открытого ключа PKI, т. е. Digicert (открытый ЦС).

Организациям, которым требуется безопасность беспроводной сети государственного уровня, следует использовать Wi-Fi Protected Access 2 Enterprise (WPA2-Enterprise). Чтобы повысить гибкость критически важных сетей, WPA2-Enterprise недавно был дополнен защищенными кадрами управления, которые еще больше защищают WPA2 от подделки пакетов и перехвата. Все устройства с сертификацией Wi-Fi поддерживают WPA2 для дополнительной защиты.

Развертывание WPA2-Enterprise

Для развертывания WPA2-Enterprise требуется сервер RADIUS, который выполняет задачу аутентификации доступа пользователя к сети. Фактический процесс аутентификации основан на политике 802.1X и используется в нескольких различных системах, помеченных как EAP. Поскольку каждое устройство проходит проверку подлинности перед подключением, между устройством и сетью фактически создается персональный зашифрованный туннель.

Расширения EAP (Extensible Authentication Protocol) для WPA и WPA2 Enterprise

Выбор EAP зависит от необходимого вам уровня безопасности и характеристик вашего сервера/клиента. Существует более десяти типов EAP, но эти три являются самыми популярными.

Читайте также: