Wi-Fi保护Access 3(WPA3)为Wi-Fi网络带来了显着的安全改进,特别是WPA-3Enterprise,包括调整,以便更安全地验证网络。其中一个与之有关802.1x身份验证用于确定Wi-Fi客户端是否将被授予对企业网络的访问权限。
WPA的企业模式始终允许您为每个用户提供唯一的用户名/密码来登录Wi-Fi,或者为每个用户使用唯一的数字证书,以便在设备上安装以实现更多安全性。现在使用WPA3-Enterprise,随着现在需要客户端的安全性,安全性会增加,以确保它在发送登录凭据之前与Real Authentication Server通信。该验证是可选的,其中两个版本的WPA。
使用WPA3-Enterprise还有改进加密强度。但是,在大多数情况下,增强功能在一次升级所有硬件时,增强功能并不是一个足够的差异来支持WPA3。因此,这些日子仍然仍然是一个很好的安全选择。
以下是如何在WPA3-Enterprise中推出802.1x。
提供半径
Enterprise WPA 802.1x需要RADIUS服务器来验证尝试获得网络访问的Wi-Fi客户端,并且有几个选项提供一个,如下所示:
- 内置于无线控制器或接入点(AP):一些控制器平台,包括基于云的平台,APS具有集成的RADIUS服务器和用户目录,因此它们可以执行身份验证。但是,功能是有限的,您可能无法利用第三方用户目录,例如Active Directory用于登录凭据。但它可能提供一种简单廉价的方法来实现认证。
- 路由器,防火墙,统一威胁管理设备或网络访问服务器:某些网络设备提供集成的RADIUS服务器。类似于无线控制器或AP提供的那些,它们可能无法提供完整的半径功能,但有些则支持第三方用户目录。因此,请查看现有的主要网络装备,看看它是否提供了半径的特征和哪些。
- 现有服务器:请参阅现有服务器是否包括RADIUS服务器作为功能。例如,在Windows服务器上,您可以通过网络策略服务器角色获取RADIUS服务器角色,该角色利用Active Directory进行Wi-Fi登录凭据。
- 云托管的RADIUS服务:此选项提供了一种简单的方法,无需部署自己的硬件即可使用RADIUS。如果您有多个您想要使用它的位置,这也是有用的,因为您只需要在云中管理它而不是在每个位置。此外,一些云服务允许您连接第三方用户目录。
- 设置单独的RADIUS服务器:最终选项是在专用硬件或虚拟平台上部署单独的完整RADIUS服务器。RADIUS服务器软件有商业选项,但Freeradius.是开源,非常受欢迎。
设置半径
设置RADIUS服务器的难度基于您选择的解决方案而变化,如果使用无线控制器或AP,则通常简化。如果使用外部服务器,通常必须输入无线控制器的IP地址或每个AP,并指定稍后在控制器设置或每个AP中输入的共享秘密。对于传统的RADIUS服务器,这些通常在网络访问服务器(NAS)列表中输入。
在RADIUS服务器上,您还必须在本地数据库或外部数据库/目录中使用用户名和密码配置用户凭据,或者通过在稍后在设备上安装数字证书。
某些RADIUS服务器支持可选属性,您可以应用于成为应用于各个客户端的策略的一部分的个人用户或用户组。RADIUS服务器支持的常见属性包括:登录时,允许您定义他们可以登录的确切日期和时间;调用站-id以指定他们可以通过的aps;并调用 - 站-ID指定他们可以从其连接的客户端设备。
某些RADIUS服务器也支持可选的动态VLAN分配。代替将SSID分配给单个VLAN,您可以基于用户在RADIUS服务器中定义的VLAN分配,并且在802.1X身份验证期间连接到Wi-Fi时将应用其特定的VLAN ID。
为企业安全配置AP
配置无线AP时,如果使用外部RADIUS服务器,您将输入RADIUS服务器IP地址和端口以及您之前指定的共享密钥。如果APS支持多个企业身份验证协议(EAP),您还必须选择您使用的是哪一个,例如用于用户名/密码或数字证书的EAP-TL的受保护的EAP(PEAP)。EAP使客户端和RADIUS服务器之间的对话能够通过AP代理。
如果您的APS支持WPA3,您还有可能选择三种WPA选项之一:WPA2-Enterprise,仅限WPA3-Enterprise或WPA2 / WPA3-Enterprise。第三种选项是最有可能的选择,直到所有客户端设备升级到支持WPA3。
大多数无线控制器和AP也支持RADIUS计费,在那里他们将使用详细信息发送回RADIUS服务器,以便保持连接日志。对于外部RADIUS服务器,您必须输入RADIUS服务器IP地址和会计端口以及您之前指定的共享秘密。
连接企业安全性
如果您选择利用用户名和密码,与PEAP一样,用户只需在其设备上选择SSID,它将提示他们登录。或者您可以将预定义的设置推出给设备,并使用单点登录功能,用户可能不必自己提供任何凭据。
如果您使用数字证书(如与EAP-TLS),则需要在每个最终使用设备上安装每个用户的证书。除了手动执行此操作外,还有许多解决方案来部署这些解决方案以帮助自动执行过程。使用Radius服务器或云服务检查以查看它们提供的内容。
埃里克盖尔是一个自由职业者的技术作家€“跟上他的着作Facebook.要么推特。他也是创始人自然安全提供基于云的Wi-Fi安全服务和Wi-Fi测量员提供射频网站测量。