具有 Radius 和用户密码身份验证的 WPA2 Enterprise(通过 Active Directory) - 机密性

网络工程 IEEE-802.11 半径
2022-02-09 09:09:54

我们计划在我们的办公室设置 WPA2 Enterprise。我们有 Ubiquity AP、Unifi 控制器并希望使用 Windows 凭据进行身份验证。我们想使用 Linux Radius 服务器 (freeradius3) 作为身份验证器。

在我们实施任何东西之前,我正在阅读RFC 3579以准备一些理论知识。总而言之,它非常清楚。但是,我想知道客户端(或对等/请求者)凭据(从客户端通过 AP 发送到半径服务器)是如何加密的。通过阅读 RFC,我无法真正弄清楚这部分是如何工作的。RFC 规定:

为了解决 RADIUS/EAP 的安全漏洞,本规范的实现应该支持 IPsec [RFC2401] 以及 IKE [RFC2409] 用于密钥管理。

这是否意味着我们必须设置 IPsec 才能使设置以安全的方式工作?

1个回答

这是否意味着我们必须设置 IPsec 才能使设置以安全的方式工作?

简短的回答:

不,对于用于无线身份验证的所有最常见的 EAP 方法。

RFC 3579 没有指定 EAP 方法,因此它采用通用策略来保护数据。

在实践中,无线常用的 EAP 方法、PEAP、EAP-TLS 和 EAP-TTLS 都对客户端(请求者)和 RADIUS 服务器(验证者)之间的数据进行加密。因此不需要 IPsec 来保护数据。

其它你可能感兴趣的问题
上一篇通过 ASA 访问 TACACS+ 服务器 下一篇UDP 流量能否通过 OpenVpn 上的 TCP 端口传输以避免 TCP 崩溃