接入具备企业模式支持能力的设备
一旦大家已经完成了RADIUS服务器或者服务的设置工作,对接入点进行配置以利用RADIUS进行验证,同时将必要证书分发到了每一台对应设备当中,这就意味着各位已经做好了将这些用户设备接入到企业安全Wi-Fi体系当中的准备。
当利用Windows、Mac OS X或者iOS设备进行接入时,整个连接过程非常简单直观:从网络列表当中选定要接入的目标网络,而后我们就可以输入用户名与密码了(在使用PEAP的情况下)。不过Android设备的连接过程存在些许不同,感兴趣的朋友可以点击此处查看《如何在Android设备上实现企业Wi-Fi安全体系接入》一文(英文原文)。
接入不具备企业模式支持能力的设备
就目前而言,几乎所有采用主流操作系统的计算机、平板设备以及智能手机都可以支持WPA2的企业模式。不过也有一部分Wi-Fi设备单纯只支持PSK个人模式。这些产品通常属于陈旧的Wi-Fi设备或者主要针对家庭及消费级使用场景所设计,例如游戏主机、无线网络摄像机或者智能温控装置等等。当然,大家可能也会发现一部分不具备企业模式支持能力的商用设备,例如无线信用卡终端等。
▲这款惠普501无线桥接装置能够帮助陈旧设备等接入企业模式保护下的网络体系。
除了直接更换设备之外(这种选项的可行性确实不高),我们还可以通过多种方式帮助非企业型设备连入业务环境。很多RADIUS服务器都支持MAC(即媒体访问控制)认证回避机制,它允许大家将特定设备的MAC地址排除在验证流程之外,从而允许其实现网络访问。不过由于伪造MAC地址非常困倦,所以这并不是一种非常安全的解决方案。另一种选择是创建一个独立的、采取个人PSK安全机制的SSID,不过这同样会降低业务网络的安全性水平。
如果非企业设备上具备以太网端口,那么我们完全可以将其接入有线网络。如果不提供LAN端口,那么我们则应该考虑使用企业级无线桥接装置。大家可以禁用该设备的内部Wi-Fi(如果存在)并将无线桥接装置连入该设备的以太网端口; 接下来,桥接装置将承担起以无线方式接入企业安全Wi-Fi网络的任务。
抵御中间人攻击的侵袭
尽管企业Wi-Fi安全机制能够提供卓越的保护效果,但其同样拥有众多漏洞,其中之一就是中间人攻击。这种状况往往发生在某位攻击者设置了伪造无线网络或者流氓接入点的情况下。这些虚假体系通常与目标网络拥有同样的名称,因此Wi-Fi设备会自动进行连入。这些伪造网络也可以拥有自己的RADIUS服务器。
攻击者的目的在于获取指向这些伪造网络的设备并捕捉其验证请求,这很可能会导致登录凭证曝光。伪造网络甚至能够进行深入设置,使得用户顺利接入互联网——这样一来,用户将根本意识不到自己的连接过程出了问题。
正因为如此,在我们的RADIUS服务器上安装数字SSL证书才会如此重要。正如之前所提到,大多数无线设备能够在验证之后才执行与Wi-Fi网络服务器的连接操作。这有助于确保它们始终接入真正的服务器,并将登录凭证交付至正确的对象。
在Windows、Mac OS X以及iOS设备上,服务器验证选项通常默认处于启用状态。当我们首次接入到某个企业Wi-Fi网络时,系统会提示用户验证RADIUS服务器数字证书的详细信息。在此之后,默认情况下我们会在服务器端的数字证书或者证书颁发方产生变更时再次得到提示。
▲上图所示为Windows平台在识别到新的或者经过变更的RADIUS服务器证书时给出的提示信息。
但在Android手机或者平板设备上,大家必须以手动方式启用服务器验证选项,可能同时需要自行安装该服务器的根认证证书。
▲Windows系统中的设置选项,用于配置服务器验证及启用自动拒绝功能。
服务器验证机制能够帮助大家识别可能存在的中间人攻击,不过多数用户往往会不假思索直接选择接受新证书。为了避免用户随意接受新的或者发生变更的服务器证书,我们可以使用设备或者操作系统中所提供的自动拒绝证书变更功能。
举例来说,Windows计算机或者其它设备在EAP属性当中提供了一项设置,能够以手动方式在每台设备上启用或者直接将设置结果推送到特定域网络内的每台计算机上。
- 看不过瘾?点击下面链接!
- Newifi mini的静态IP地址分配
- 闪讯wifi伴侣修改wifi密码教程
- 腾达路由器桥接其他品牌路由器不兼容该怎么办?
- 局域网内电脑不能互相访问怎么办
- 小米路由器Wifi信号增强的10种方法
- 怎么通过路由器对家中的网络进行控制
