設定 RADIUS 策略以實現細粒度網路存取控制

歡迎來到 Purple 技術簡報。我是您的主持人，今天我們將深入探討企業網路架構師和 IT 總監非常關心的一個關鍵主題：設定 RADIUS 策略以實現細粒度網路存取控制。 如果您正在管理連鎖飯店、零售網路或大型公共場域的基礎架構，您就會知道，僅依賴簡單預共用金鑰的時代早已過去。安全性、合規性和使用者體驗需要更精密的方法。今天，我們將剖析內容感知存取的架構，探索部署策略，並討論如何避免最常見且代價高昂的陷阱。 讓我們從背景開始。為什麼我們要討論 RADIUS 和 802.1X？因為邊界已經消失了。您有企業筆記型電腦、訪客智慧型手機、承包商平板電腦，以及大量湧入的 IoT 裝置，它們都在存取相同的實體存取點。您需要一種機制來動態隔離這些流量、強制執行合規性，同時仍能提供無縫的使用者體驗。這正是 RADIUS 策略發揮作用的地方。透過利用 802.1X，您從「誰知道密碼」的模型轉變為「您是誰、您使用的是什麼裝置，以及您的上下文是什麼？」這種轉變是根本性的。 該架構依賴三個組件。首先是 Supplicant——終端使用者裝置上的軟體用戶端。其次是驗證器——通常是您的無線存取點或交換器。第三是驗證伺服器——您的 RADIUS 伺服器。當裝置連線時，驗證器會將 EAP 訊息傳遞給 RADIUS 伺服器。RADIUS 伺服器會根據您的身分儲存庫（例如 Active Directory、LDAP 或 Entra ID 等雲端提供者）驗證憑證。 但這裡是最關鍵的部分：設定正確的 RADIUS 伺服器不僅僅傳回簡單的「是」或「否」。它還會傳回廠商專屬屬性（VSA），這些屬性會指示網路基礎架構確切如何處理該特定工作階段。這其中最強大的應用就是動態 VLAN 分配。 想像一下體育場或大型會議中心等高密度環境。為不同的使用者群組廣播多個 SSID 會產生巨大的指標開銷並降低射頻效能。您廣播的每個 SSID 都會消耗寶貴的空中時間。使用 RADIUS，您只需廣播一個安全的 SSID。當財務經理進行驗證時，RADIUS 會指示存取點將其流量引導至 VLAN 10。當 POS 終端機連線時，它會被置於 VLAN 20。當承包商進行驗證時，他們會進入具有受限存取權限的 VLAN 30。這很乾淨、高效，並且能大幅減少您的受攻擊面。 現在，讓我們進入技術深挖。您將在 RADIUS 執行設定檔中設定的關鍵屬性包括：Tunnel-Type（設定為 VLAN）、Tunnel-Medium-Type（設定為 802）以及 Tunnel-Private-Group-Id（即您的實際 VLAN ID）。這三個屬性在 Access-Accept 訊息中一起傳回，指示驗證器將工作階段置於正確的網路區段中。 對於驗證協定，您有多種選擇。EAP-TLS 是黃金標準。它使用用戶端憑證進行驗證，完全消除了憑證遭竊和密碼疲勞的風險。對於擁有 MDM 平台來自動化憑證配置的企業管理裝置，這是正確的選擇。PEAP-MSCHAPv2 是 BYOD 場景的可靠選擇，在這些場景中部署憑證並不切實際——它使用伺服器憑證建立 TLS 通道，然後在該通道內傳遞使用者名稱和密碼憑證。請完全避免使用 LEAP 或 EAP-MD5 等舊型協定；它們在密碼學上很脆弱，不應在任何現代部署中使用。 讓我們來談談部署。我始終建議採用分階段的方法。 第一階段是身分來源整合。您的 RADIUS 策略取決於您的底層目錄。確保您的 Active Directory 或 Entra ID 群組具有邏輯性、結構良好，並直接對應到您預期的網路區段。在開始之前稽核您的群組。刪除過期帳戶，整合重疊的群組，並建立清晰的存取層級：高階主管、員工、承包商、訪客和 IoT。對於面向公眾的網路，Purple 等平台可充當身分識別提供者，彌補公共訪客存取與安全驗證框架之間的差距。 第二階段是策略設定。建立評估多個上下文因素（而不僅僅是憑證）的策略。評估 NAS-IP-Address（即驗證器的 IP），以了解請求來自哪個實體位置。評估 Called-Station-Id（包含 SSID 名稱），以了解使用者正在連線到哪個網路。評估時間。承包商在凌晨兩點的存取設定檔應該與他們在早上九點的存取設定檔截然不同。分層套用這些條件以建立真正具備內容感知的策略。 第三階段是推出。我必須強調這一點：切勿同時在整個企業中部署 802.1X 強制執行。先從監控模式開始。在監控模式下，驗證失敗會被記錄，但仍會授予存取權限。這使您能夠洞察設定錯誤的 Supplicant、憑證已過期的裝置以及不支援 802.1X 的舊型設備。在監控模式下運行兩到四週，解決您發現的問題，然後開始逐個位置強制執行策略。 現在，讓我們來談談最佳實踐以及會讓團隊陷入困境的陷阱。 在 802.1X 環境中，導致災難性驗證失敗的首要原因就是憑證過期。不論是 RADIUS 伺服器憑證過期，還是根 CA 憑證過期。當這種情況發生時，每個驗證伺服器憑證的裝置都將無法連線。實施健全的憑證生命週期管理。在到期前九十天、六十天和三十天設定自動警報。將憑證更新作為一項計劃內的營運任務，而不是反應性的緊急事件。 第二個主要挑戰是 IoT。許多裝置（印表機、攝影機、醫療設備、大樓管理系統）根本不支援 802.1X。對於這些裝置，您必須使用 MAC 驗證繞過（即 MAB）。裝置的 MAC 地址被用作其憑證。但請記住這條規則：永遠不要信任 MAC。MAC 地址很容易被欺騙。僅在絕對必要時使用 MAB，並始終將這些裝置置於高度受限、隔離的 VLAN 中，並套用僅允許這些裝置運作所需之特定流量的嚴格 ACL。 第三個陷阱是 Supplicant 設定錯誤。終端使用者裝置可能設定為驗證伺服器憑證，但其信任儲存庫中缺少必要的根 CA。這會導致裝置拒絕伺服器憑證並連線失敗。解決方法是使用 MDM 將標準化的無線設定檔推送到所有企業裝置，確保信任正確的根 CA 並設定正確的 EAP 方法。 最後，考慮您的網路路徑。驗證器與 RADIUS 伺服器之間的高延遲可能會導致 EAP 逾時，從而導致連線失敗。對於擁有許多遠端位置的分散式企業，請確保您的 WAN 架構為您的集中式 AAA 服務提供低延遲的連線。 讓我們轉向 ROI 和業務影響。 為什麼要付出這麼大的努力？首先，減少營運開銷。將多個 SSID 整合到具有動態 VLAN 分配的單一 802.1X 網路中，可以提高無線效能並降低管理複雜性。更少的 SSID 意味著更少的指標開銷、更多可用的空中時間以及為使用者提供更好的吞吐量。 其次，合規性。如果您從事零售業，嚴格的網路隔離是 PCI DSS 的要求。如果您從事醫療保健行業，這是 HIPAA 的要求。RADIUS 策略提供了通過合規性稽核並避免重大財務處罰所需的、可驗證且可稽核的控制措施。 第三，使用者體驗。無縫、安全的驗證（特別是透過 EAP-TLS 或 OpenRoaming）為回歸的企業使用者和 VIP 訪客消除了 Captive Portal 的摩擦。在旅宿和交通環境中，這會直接影響滿意度評分和回頭客率。 現在進入我們的快速問答環節。 問題：「我們有很多舊型裝置。為了簡單起見，我們應該繼續使用 WPA2-PSK 嗎？」 回答：不。將您具備能力的裝置過渡到 802.1X，並對舊型裝置使用 MAB，將它們置於隔離的區段中。單個遭到破解的 PSK 就會使您的整個網路面臨風險。這不是一個值得做的妥協。 問題：「Purple 如何融入 RADIUS 部署？」 回答：Purple 提供關於驗證趨勢、工作階段持續時間和漫遊行為的深度分析，這對於優化您的部署至關重要。此外，作為 OpenRoaming 的身分識別提供者，它為訪客簡化了安全存取，而沒有傳統 Captive Portal 的摩擦。 問題：「對於剛開始這段旅程的團隊來說，最快取得成效的方法是什麼？」 回答：本週就在監控模式下部署 RADIUS。您將立即獲得對驗證環境的能見度，並在強制執行策略之前識別出需要注意的裝置和使用者。了解現狀是第一步。 總結來說，設定 RADIUS 策略以實現細粒度網路存取控制，是對您網路的安全、效能和合規性態勢的一項策略性投資。從乾淨、結構良好的身分目錄開始。利用動態 VLAN 分配來整合您的 SSID 並優化您的射頻環境。優先為企業裝置採用基於憑證的驗證。對 IoT 謹慎且安全地使用 MAB。並且始終分階段推出，從監控模式開始。 感謝您加入本次 Purple 技術簡報。如需更詳細的指南、部署策略，以及探索 Purple 的訪客 WiFi 和分析平台如何與您的網路存取控制架構整合，請造訪 purple dot ai。