Server RADIUS: a comprehensive guide for businesses

執行摘要

對於在 旅宿業 、 零售業 、 交通運輸 及大型公共場所營運的 IT 經理、網路架構師和 CTO 而言，確保無線存取安全是一項核心營運要求，而非選配的升級。依賴預共用金鑰 (PSK) 進行 WiFi 存取是重大的安全隱患。單一憑證遭到破解就會暴露整個網路，且撤銷存取權限需要更改該場域中每台裝置的密碼。透過伺服器 RADIUS (Remote Authentication Dial-In User Service) 架構實施 802.1X 驗證可消除此問題。每位使用者皆獨立進行驗證、存取權限可立即撤銷，且動態強制執行網路分段。

伺服器 RADIUS 實施了 AAA 架構：驗證 (Authentication)、授權 (Authorization) 和計量 (Accounting)。它會比對 Microsoft Entra ID、Okta 或 Google Workspace 等目錄來驗證身分，透過動態 VLAN 分配將使用者指派至正確的網路區段，並為每個工作階段保留詳細的稽核軌跡。對於受 PCI DSS、GDPR 或 Cyber Essentials 規範的組織而言，此稽核軌跡並非選配，而是硬性的合規要求。Purple 的 Cloud RADIUS 伺服器透過基於憑證的 802.1X 驗證來保護員工和企業裝置，並在 80,000 多個營運場域中與 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 進行整合。

技術深潛：伺服器 RADIUS 架構

IEEE 802.1X 標準定義了基於連接埠的網路存取控制 (PNAC)。在無線網路環境中，它涉及三個協同運作的核心角色，以確保網路邊緣的安全。

當用戶端與存取點 (AP) 建立關聯時，AP 會阻擋除可延伸驗證通訊協定 (EAP) 訊息之外的所有資料流量。AP 將這些 EAP 訊息封裝在 RADIUS 封包中，並透過 UDP 連接埠 1812 將其轉發給伺服器 RADIUS。伺服器會比對後端目錄以驗證憑證，並傳回 Access-Accept（接受存取）或 Access-Reject（拒絕存取）訊息。如果接受，AP 將取消阻擋該連接埠，用戶端流量即可自由流動。

實務中的 AAA 架構

驗證 (Authentication) 是第一大支柱：驗證人員的身分。當裝置連接到 WPA3-Enterprise SSID 時，RADIUS 伺服器會根據設定的身分來源檢查所提供的憑證（Credentials 或 Certificate）。Microsoft Entra ID、Okta 和 Google Workspace 是與現代 Cloud RADIUS 平台直接整合的標準雲端身分識別提供商。

授權 (Authorisation) 是第二大支柱：決定已驗證的使用者可以執行哪些操作。RADIUS 伺服器會將 RADIUS 屬性傳回給存取點（Access Point），其中最關鍵的是 VLAN ID。財務團隊的員工會進入具有內部系統存取權限的 VLAN 10。承包商會進入僅限網際網路存取的 VLAN 20。訪客則會進入與所有企業資源隔離的 VLAN 30。這種動態 VLAN 分配是實現適當網路分割的機制，這在 零售 環境中是符合 PCI DSS 合規性的強制性控制措施。

稽核 (Accounting) 是第三大支柱：記錄實際發生的狀況。RADIUS 伺服器會記錄工作階段的開始與結束時間、工作階段持續時間、傳輸的資料以及每個裝置的 MAC 位址。在 PCI DSS v4.0 規範下，此記錄是強制性要求。一旦發生安全性事件，這些記錄就是進行鑑識調查的基礎。

EAP 方法選擇

您 RADIUS 伺服器部署的安全性在很大程度上取決於所選擇的 EAP 方法。企業 WiFi 中最常見的三種方法是 PEAP、EAP-TTLS 和 EAP-TLS。

PEAP-MSCHAPv2 是部署最廣泛的方法。它使用伺服器端憑證建立加密的 TLS 通道，使用者在通道內使用使用者名稱和密碼進行驗證。由於您只需要管理一個憑證（即伺服器的憑證），因此部署相對簡單。然而，如果用戶端裝置未明確設定為驗證伺服器憑證，則它們很容易受到惡意存取點攻擊。攻擊者可以出示偽造的憑證並擷取憑證資訊。這是一個記錄在案的真實威脅，而非理論上的威脅。請務必透過群組原則物件（GPO）或 MDM 設定檔強制執行嚴格的憑證驗證，無一例外。

EAP-TLS 是黃金標準。它要求在 RADIUS 伺服器和每個用戶端裝置上都安裝數位憑證，從而完全免除密碼。即使攻擊者擷取了完整的驗證互動過程，也沒有憑證資訊可供提取。折衷之處在於管理開銷：部署和管理用戶端憑證需要公鑰基礎建設 (PKI) 以及 Microsoft Intune 或 Jamf 等 MDM 平台。對於企業裝置，EAP-TLS 是您應該努力實現的驗證方法。Purple 的 Cloud RADIUS 原生支持 EAP-TLS，並提供自動化的憑證生命週期管理。

導入指南：雲端與地端部署

在部署 RADIUS 伺服器架構時，IT 團隊必須在雲端託管和地端（On-premises）部署之間做出選擇。這是專案中影響最深遠的架構決策。

地端 RADIUS 使用 FreeRADIUS 或 Microsoft 網路原則伺服器 (NPS) 等平台，能讓您完全掌控基礎設施。對於單一大型場域（如體育館、醫院或政府機構）而言，這可能是正確的選擇。驗證請求透過本地區域網路（LAN）傳輸，提供低於毫秒級的響應時間。如果您的身分目錄是基於資料主權原因而無法向網際網路公開的地端 Active Directory，那麼地端 RADIUS 伺服器通常是您唯一可行的選擇。

然而，對於多據點的企業組織，地端 RADIUS 會帶來重大的營運開銷。您必須在每個據點管理獨立的伺服器實例、手動處理憑證更新，並在凌晨兩點憑證過期導致系統中斷時進行緊急搶修。對於擁有 50 個據點的零售連鎖店而言，這意味著有 50 個獨立的 RADIUS 實例需要修補、監控與維護。

Cloud RADIUS 則完全改變了這一點。基礎設施託管於全球多個可用區域（Availability Zones）。當使用者在分部連線時，請求會路由至最近的雲端邊緣節點。系統預設內建高可用性。憑證輪替已自動化，消除了地端部署中最常見的驗證中斷原因。對於擁有 Microsoft Entra ID、Okta 或 Google Workspace 等雲端原生身分驗證提供商的多據點組織，Cloud RADIUS 幾乎在營運上都是更優越的選擇。

Purple 的 Cloud RADIUS 可與 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 直接整合。您無需更換任何無線基地台，即可在整個硬體資產中完成部署。

逐步部署步驟

步驟 1：選擇您的部署模式。 評估三個因素：您目前的身分驗證提供商及其是否為雲端原生；各據點的廣域網路（WAN）韌性；以及您的團隊管理日常維護的能力。這三個因素將決定雲端或地端是適合您的途徑。

步驟 2：整合您的身分來源。 將您的 RADIUS 伺服器連接到組織的身分目錄。大多數 Cloud RADIUS 平台支援透過 LDAP 或 SAML 與 Microsoft Entra ID、Okta 和 Google Workspace 直接整合。對於地端 Active Directory，請使用安全連接器上的 LDAP。 步驟 3：配置您的網路硬體。 建立一個配置為 WPA2-Enterprise 或 WPA3-Enterprise 的新 SSID，並將其指向您的 RADIUS 伺服器。設定共用金鑰 — 即加密無線存取點 (AP) 與 RADIUS 伺服器之間通訊的密碼。此共用金鑰在雙方必須完全一致。金鑰不相符是初始部署期間驗證失敗最常見的原因之一。

步驟 4：定義授權原則。 將身分目錄中的使用者群組對應到網路原則。員工在 VLAN 10 上獲得完整存取權限。訪客在 VLAN 20 上僅能存取網際網路。IoT 裝置則分配到受限的 VLAN，並透過防火牆規則阻擋橫向移動。

步驟 5：引導使用者上網。 針對企業員工，透過您的 MDM 平台部署 WiFi 設定檔。針對訪客，請使用 Captive Portal。Purple 的 Guest WiFi 平台可自動化訪客登入流程，支援社群登入、註冊表單和優惠券代碼。員工與企業裝置透過 802.1X 進行無感驗證，而訪客則會被引導至品牌入口網頁 — 這是一種分層存取模式，能同時提供安全與 WiFi Analytics 。

如欲深入瞭解跨訪客、員工和 IoT 網路的 SSID 架構，請參閱 Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi 。

最佳實踐

在每台用戶端裝置上強制執行嚴格的憑證驗證。 對 Windows 裝置使用群組原則物件 (GPO)，對 macOS 和行動裝置使用 MDM 設定檔。該設定檔必須明確指定要信任的憑證授權單位 (CA) 以及預期的伺服器名稱。切勿讓使用者手動進行此設定。未強制執行此驗證是 PEAP 部署中憑證被竊取的主要攻擊管道。

部署至少兩個 RADIUS 伺服器執行個體。 配置所有無線存取點，以便在主要伺服器無法連線時容錯移轉至次要伺服器。對於 Cloud RADIUS，此備援功能已內建並由提供商管理。對於地端部署 (On-premises)，請在兩個地理位置分散的地點部署主動-主動 (Active-Active) 叢集。

針對無主機 (Headless) IoT 裝置使用 MAC 驗證旁路 (MAB)。 印表機、感測器和數位看板無法提供 802.1X 認證憑據。MAB 允許基於 MAC 位址進行驗證。由於 MAC 位址極易被偽造，請務必將通過 MAB 驗證的裝置與受限的 VLAN 以及阻擋存取企業資源的防火牆規則搭配使用。

定期輪替共用金鑰。 無線存取點與 RADIUS 伺服器之間的共用金鑰必須足夠長、隨機，且定期輪替。強度不足或預設的共用金鑰會破壞整個驗證鏈的安全性。 透過滲透測試驗證區隔。 僅靠設定並不能作為證據。委託進行明確包含無線環境及 VLAN 區隔驗證的滲透測試。測試人員應主動嘗試從訪客 VLAN 存取企業資源，並記錄每次嘗試皆被阻擋。這就是您的 PCI DSS 合格安全性評估人員所需的證據。

疑難排解與風險緩釋

伺服器 RADIUS 部署中最常見的故障模式可分為以下四類。

共用金鑰不相符。 如果無線基地台（AP）上設定的共用金鑰與伺服器 RADIUS 上的金鑰不相符，每次驗證嘗試都會安靜地失敗。請務必複製並貼上共用金鑰，而不要手動輸入。在測試前，請先驗證雙邊的設定。

憑證過期。 在本機（On-premises）部署中，如果伺服器憑證過期，所有用戶端裝置都會拒絕連線。這會導致完全的驗證中斷，且無法平滑降級。Cloud RADIUS 供應商會自動進行憑證輪替，從而消除此風險。對於本機部署，請在到期前 60 天、30 天和 7 天設定監控警報。

未強制執行用戶端憑證驗證。 如果 PEAP 用戶端未設定驗證伺服器憑證，它們將會連線到任何回應的 RADIUS 伺服器，包括惡意基地台。請在每部受管理裝置上，透過 GPO 或 MDM 設定檔強制執行憑證驗證。

Cloud RADIUS 對 WAN 的依賴。 Cloud RADIUS 完全依賴各場域的 WAN 連線。如果網際網路連線中斷，驗證就會失敗。實施本機存活策略：設定無線基地台以快取關鍵員工的憑證，或使用 SD-WAN 來確保網際網路連線的高可用性。請務必設定備用原則——開放存取受限的 VLAN，或使用本機快取的憑證。

ROI 與業務影響

部署伺服器 RADIUS 架構能將無線網路從漏洞轉化為具備可衡量營運效益的受控安全資產。

對於一家擁有 45 家物業的歐洲酒店集團而言，從 45 個本機 FreeRADIUS 執行個體轉移至 Cloud RADIUS，為中央 IT 團隊節省了約 40% 的維護時間（Purple 內部數據）。這代表工程量能已從維持日常運作轉向策略性計畫。

對於準備進行 PCI DSS 審計的零售連鎖店而言，透過動態 VLAN 分配進行適當的網路區隔，可將訪客 WiFi 網路完全移出持卡人資料環境（CDE）的範圍。像 Purple 的 Guest WiFi 這樣的平台運作於面向訪客的 VLAN，與支付流量完全隔離。分析平台不屬於 PCI 範圍，企業可以安全、自信地保留部署營收創造工具（如訪客分析、忠誠度計畫、客戶互動）的自由。

對於擁有超過 10 個站點且網路工程師少於 5 人的企業而言，與維護地端基礎架構相比，Cloud RADIUS 可預測的營運支出通常能在 18 個月內實現正投資報酬率（Purple 內部數據）。大規模地端部署的硬體採購、電力、冷卻和工程時間成本，通常高於託管 Cloud RADIUS 服務的訂閱成本。

Purple 在全球超過 80,000 個實際場域中運行，提供 99.999% 的正常執行時間，並具備 ISO 27001 認證、符合 GDPR 和 CCPA 規範，以及 Cyber Essentials 認證。對於需要向董事會或審計人員證明盡職調查的 IT 團隊而言，這些認證提供了自行管理的地端部署所無法提供的第三方驗證。

如需 Purple 的 Cloud RADIUS 與其他平台的詳細比較，請參閱 Aruba ClearPass 與 Purple WiFi 功能及共同部署比較 。