关于 RADIUS 如何提高 WiFi 无线网络安全这个问题,可能很多 IT 管理员都想了解。这就要先从WiFi 网络的密码传播开始谈起。
纵观很多企业在无线网络方面的日常做法,经常能发现 WiFi 密码写在会议室白板上;员工之间通过邮件共享密码;有访客来公司的时候,也会在便签纸上写下密码。
这么做的确很方便,但也因此产生了安全风险,导致企业的无线网络遭遇入侵,最终将整个企业的信息数据暴露在危险中。那么,企业应该如何保护无线网络呢?答案就是 RADIUS 协议——管控 WiFi 无线网络访问安全的行业标准。
01什么是RADIUS 协议?
RADIUS 是远程认证拨入用户服务(Remote Authentication Dial In User Service)的简称。其中,“拨入”一词也反映了 RADIUS 诞生的时代背景。这项协议从1991年就开始投入使用。经过三十多年的发展,今天的 RADIUS 主要用于对远程无线网络、VPN、网络基础设施设备等进行用户认证和授权,具体是通过无线接入点(WAP)上的 WPA2 协议实现,也就是上文提到的 SSID 和密码的共享过程。但除此之外,企业更希望能将 RADIUS 应用到本地的无线网络,从而提升企业内网安全。
企业有很多方案可供选择,包括 FreeRADIUS、微软网络策略服务器(NPS)、Cisco ISA、RADIUS 即服务等。
02RADIUS 如何增强 WiFi 安全性
将 RADIUS 集成到微软 Active Directory(AD)或 OpenLDAP 等目录服务就可以实现加强 WiFi 无线网络安全。那么,具体应该怎么实施呢?首先,为了访问受 RADIUS 保护的无线网络,用户必须提供唯一的核心身份凭证。
本质上来说,用户拥有的业务系统身份凭证就可以用来登录企业网络。这些凭证从用户的PC或移动设备上的客户端发送到 WAP,再到 RADIUS 认证服务器。服务器会将接收的凭证和存储在目录服务中的凭证进行匹配。需要注意的是,终端用户凭证一般存储在企业核心身份源(IdP)中,虽然也可以存储在本地 RADIUS 服务器,但不会只存储在服务器。
部署了 RADIUS 认证服务器后,企业再也不用担心不法分子从会议室白板或其他途径窃取内网的 SSID 和密码。即便有了密码,如果没有能用于目录服务认证的唯一用户凭证,依然无法访问网络,安全性自然大幅提升。
而要进一步增强网络安全,企业还可以使用 RADIUS 来给每个用户进行 VLAN 标记。具体来说就是将无线内网分割成所需的任意数量的虚拟网络,再将单个用户或组(部门)分配到一个或多个特定 VLAN。这样一来,即便个别用户或 VLAN 出现问题,也不会影响企业整体的网络架构。
03 RADIUS 实施难点
搭建 RADIUS 服务器的难点在于集成。RADIUS 服务器首先需要获得用户的访问权限信息,这就要通过和目录服务集成来实现,可能会遇到很多问题。然后,如果企业自行承担服务器的安装、配置、管理,那么 RADIUS 的整体实施会很耗时。