跳至主要內容

如何設定用於 WiFi 驗證的 RADIUS 伺服器

本權威指南為 IT 主管與網路架構師提供部署企業級 WiFi 驗證 RADIUS 伺服器的完整藍圖。內容涵蓋地端與雲端託管部署之間的架構權衡、EAP 方法選擇、Active Directory 整合以及動態 VLAN 分配。場域營運商與 IT 團隊將獲得具體的實作步驟、真實案例研究與風險緩解策略,以便在本季度內從不安全的 PSK 環境轉移到強健的 802.1X 架構。

📖 8 分鐘閱讀📝 1,860 字數🔧 2 範例3 練習題📚 9 關鍵定義

收聽此指南

查看播客逐字稿
歡迎閱讀 Purple 的技術簡報。今天我們要探討的是任何企業 IT 主管都必須面對的關鍵基礎架構決策:如何為 WiFi 驗證設定 RADIUS 伺服器。如果您正在管理大規模的部署——無論是連鎖飯店、零售網路,還是幅員遼闊的大學校園——僅依賴簡單的預共用金鑰(PSK)會帶來重大的安全風險。我們需要 802.1X,而這意味著我們需要 RADIUS。 首先來瞭解背景。RADIUS(遠端使用者撥入驗證服務)扮演著您網路守門人的角色。當裝置嘗試連線到 WiFi 存取點(AP)時,該存取點會作為驗證器,並將憑證轉發給 RADIUS 伺服器。伺服器會比對目錄(例如 Active Directory 或 LDAP 資料庫)來檢查這些憑證,然後傳回接受或拒絕的訊息。它是企業級 WiFi 安全的基石,也是讓您能夠大規模執行細粒度存取原則的機制。 現在讓我們深入探討技術細節。您將面臨的第一個重大架構決策,是在地端 RADIUS 伺服器與雲端託管解決方案之間做出選擇。在過去,微軟的網路原則伺服器(NPS)或開源的 FreeRADIUS 等地端解決方案是標準配置。它們提供對基礎架構的完全控制,且驗證不依賴外部網際網路連線。然而,它們需要專用硬體、持續的維護以及手動設定備援。如果您擁有單一資料中心且 IT 團隊人手充足,這是一個完全可行的方案。 另一方面,雲端 RADIUS 解決方案已變得越來越受歡迎,特別是對於零售連鎖店或餐旅場所等分散式環境。雲端 RADIUS 完全免除了硬體管理的繁瑣,提供內建的高可用性,並與 Azure Active Directory 或 Okta 等雲端身分識別提供者無縫整合。其權衡之處在於驗證需要可靠的網際網路連線,且會產生持續的訂閱費用。對於管理 50 個或 100 個據點的場所營運商而言,因無需在每個站點部署和維護地端伺服器而節省的營運成本,幾乎肯定會超過該筆訂閱費用。 在部署 RADIUS 時,可延伸驗證協定(EAP)是關鍵所在。它定義了用戶端與伺服器如何進行協商並執行驗證。EAP-TLS 是安全性的黃金標準,因為它在用戶端和伺服器端都使用數位憑證,完全免除了對密碼的需求。這意味著即使攻擊者攔截了驗證交換過程,也沒有憑證可供竊取。然而,部署用戶端憑證在管理上可能會非常繁重。您需要公開金鑰基礎架構(PKI)和 MDM 解決方案,才能將憑證推送到每部裝置。PEAP-MSCHAPv2 是最常見的替代方案。它使用伺服器端憑證來建立加密的 TLS 通道,使用者在通道內使用使用者名稱和密碼進行驗證。這比 EAP-TLS 部署起來要容易得多,因為您只需要管理一個憑證 — 即伺服器的憑證。然而,這一點至關重要 — 如果用戶端未嚴格設定為驗證伺服器的憑證,它們就容易受到惡意存取點的攻擊。攻擊者可以架設一個虛假存取點,出示欺詐性憑證,並擷取憑證。這不是理論上的攻擊,而是有文獻記載的真實世界威脅。 讓我們來談談實作建議和陷阱。第一個建議是在每個用戶端裝置上強制執行嚴格的憑證驗證。針對 Windows 裝置使用群組原則物件,針對 macOS 和行動裝置使用 MDM 設定檔(無論是 Intune、Jamf 還是其他解決方案)。設定檔必須明確指定要信任哪一個憑證授權單位,以及預期的伺服器名稱是什麼。請勿將此留給終端使用者手動設定。 第二個建議是實作動態 VLAN 分配。不要將所有通過驗證的使用者放在同一個扁平網路中,而是設定 RADIUS 伺服器,指示存取點根據使用者在目錄中的群組成員身分,將使用者置於特定的 VLAN 中。這對於將公司裝置與 BYOD 或訪客裝置進行區隔至關重要。財務團隊的員工應該與當天來訪的承包商處於不同的網路區段。 第三個建議涉及訪客存取。對於需要向訪客提供 WiFi 的場所(如飯店、零售店、會議中心),將您的 RADIUS 基礎架構與 Captive Portal 解決方案(例如 Purple 的 Guest WiFi 平台)相結合是一個強大的組合。員工和公司裝置透過 802.1X 進行無感驗證,而訪客則被導向至品牌專屬的入口網站進行驗證。Purple 的平台隨後會擷取第一方數據並提供訪客行為分析,將您的網路從成本中心轉變為商業智慧資產。 現在進入快速問答環節。第一個問題:我需要為 RADIUS 準備專用伺服器嗎?對於地端部署,是的,強烈建議在專用的虛擬機器上執行,而不是與網域控制站共享資源。驗證是高度敏感於延遲的操作,資源爭奪可能會導致斷斷續續的失敗,這非常難以診斷。第二個問題:RADIUS 可以處理印表機或 IoT 感測器等無螢幕(headless)設備的驗證嗎?可以,透過 MAC 驗證旁路(MAC Authentication Bypass,簡稱 MAB)。這允許不具備 802.1X 功能的設備根據其 MAC 位址進行驗證。然而,由於 MAC 位址很容易被偽造,經由 MAB 驗證的設備應始終放置在受到嚴格限制的 VLAN 中。第三個問題:我該如何處理 RADIUS 伺服器備援?請務必部署至少兩台 RADIUS 伺服器 —— 一台主伺服器和一台備用伺服器。將所有存取點配置為在主伺服器無法連線時,自動容錯移轉至備用伺服器。對於雲端 RADIUS,這種備援通常已內建並由供應商管理。 總結今天簡報的關鍵要點:預共用金鑰不適用於企業級 WiFi。請實施 802.1X。根據您的 IT 資源、您管理的據點數量以及現有的身分識別基礎架構,選擇您的部署模式 —— 地端或雲端。如果您是分散式且雲端優先的企業,雲端 RADIUS 幾乎無疑是正確的選擇。在用戶端上強制執行嚴格的憑證驗證,這是不可妥協的。使用動態 VLAN 分配來分割您的網路。最後,思考您的驗證基礎架構如何與更廣泛的平台整合,以提供超越單純存取控制的商業價值。 如需進一步閱讀,我們建議參考 Purple 關於配置 802.1X WiFi 驗證以及使用強效 DNS 策略保護網路安全的指南。感謝您的收聽。

header_image.png

Executive Summary

For enterprise environments — whether a sprawling university campus, a high-density stadium, or a distributed retail chain — relying on a Pre-Shared Key (PSK) for WiFi access is a significant security liability. A single compromised credential exposes the entire network, and revoking access requires changing the password for every device on the estate. Implementing 802.1X authentication via a RADIUS (Remote Authentication Dial-In User Service) server eliminates this problem entirely: each user authenticates individually, access can be revoked instantly, and network segmentation is enforced dynamically.

This guide provides a definitive roadmap for IT managers and network architects to deploy RADIUS authentication. We cover the architectural trade-offs between on-premise and cloud-hosted deployments, the configuration of Extensible Authentication Protocol (EAP) methods, and the integration with directory services like Active Directory. We also demonstrate how a robust authentication layer integrates with Guest WiFi solutions to provide seamless access for visitors, while capturing the WiFi Analytics that turn your network into a business intelligence asset.


Technical Deep-Dive

The 802.1X Architecture

The IEEE 802.1X standard defines port-based Network Access Control (PNAC). In a wireless context, it involves three primary roles working in concert:

Role Component Responsibility
Supplicant Client device (laptop, smartphone) Presents credentials to request network access
Authenticator WiFi Access Point or Controller Enforces access control; relays EAP messages
Authentication Server RADIUS Server Validates credentials; returns accept/reject and policy attributes

When a supplicant associates with an access point, the AP blocks all data traffic except EAP (Extensible Authentication Protocol) messages. The AP encapsulates these EAP messages in RADIUS packets and forwards them to the RADIUS server. The server verifies the credentials against a backend database — typically LDAP or Active Directory — and returns an Access-Accept or Access-Reject message. If accepted, the AP unblocks the port and the client's traffic flows freely.

architecture_overview.png

Choosing an EAP Method

The security of your RADIUS deployment depends heavily on the EAP method selected. The two most prevalent in enterprise deployments are:

EAP-TLS (Transport Layer Security) is the gold standard. It requires digital certificates on both the RADIUS server and every client device, eliminating passwords entirely. Even if an attacker captures the full authentication exchange, there are no credentials to extract. The trade-off is administrative overhead: deploying and managing client certificates requires a functioning Public Key Infrastructure (PKI) and an MDM solution (e.g., Microsoft Intune, Jamf) to distribute certificates to endpoints.

PEAP-MSCHAPv2 (Protected EAP) is the most widely deployed method in practice. It uses a server-side certificate to establish an encrypted TLS tunnel, inside which the client authenticates with a username and password. This is significantly easier to deploy than EAP-TLS because only one certificate — the server's — needs to be managed. However, it carries a critical caveat: if client devices are not explicitly configured to validate the RADIUS server's certificate, they are vulnerable to Man-in-the-Middle (MitM) attacks via rogue access points.

> Critical Security Note: Failing to enforce strict certificate validation on client devices effectively nullifies the security benefits of PEAP-MSCHAPv2. An attacker can deploy a rogue AP, present a fraudulent certificate, and capture user credentials in plaintext. This is not a theoretical risk — it is a well-documented attack vector that has been exploited in real-world environments.


Implementation Guide

Step 1: Architectural Decision — On-Premise vs. Cloud RADIUS

The first decision is where to host the RADIUS infrastructure. This is primarily an operational and cost question, not a security one — both models can be deployed securely.

comparison_chart.png

On-Premise RADIUS (e.g., Microsoft NPS, FreeRADIUS, Cisco ISE) is suited for organisations with dedicated IT staff, existing on-premise directory infrastructure, and stringent data sovereignty or compliance requirements. It does not depend on internet connectivity for authentication, which is a meaningful advantage for environments where internet uptime cannot be guaranteed.

Cloud RADIUS is increasingly the preferred model for distributed environments — Retail chains, Hospitality groups, and Transport hubs where deploying servers at every location is operationally impractical. Cloud RADIUS integrates natively with cloud identity providers (Azure AD, Google Workspace, Okta) and provides built-in high availability and global scalability.

Step 2: Install and Configure the RADIUS Server

For an on-premise deployment using Microsoft NPS (the most common choice in Windows-centric environments):

  1. Install the Network Policy Server role via Server Manager.
  2. Register the NPS server in Active Directory to allow it to read user dial-in properties.
  3. Create a RADIUS Client entry for each access point or wireless controller, specifying the AP's IP address and a strong, unique Shared Secret.
  4. Configure a Network Policy defining the conditions (e.g., user group membership) and constraints (e.g., EAP method, session timeout) for access.
  5. Configure the Connection Request Policy to process requests locally.

For FreeRADIUS on Linux:

  1. Install via package manager: sudo apt-get install freeradius freeradius-ldap.
  2. Configure /etc/freeradius/3.0/clients.conf to define RADIUS clients (APs) and their shared secrets.
  3. Configure the LDAP module in /etc/freeradius/3.0/mods-available/ldap to point to your Active Directory or LDAP server.
  4. Enable the LDAP module: sudo ln -s /etc/freeradius/3.0/mods-available/ldap /etc/freeradius/3.0/mods-enabled/.
  5. Define EAP methods in /etc/freeradius/3.0/mods-available/eap.

Step 3: Configure Access Points

On your wireless controller or individual access points:

  1. Define the RADIUS server IP address(es) and authentication port (default: UDP 1812).
  2. Configure the Shared Secret — use a minimum of 22 characters, mixing alphanumeric and special characters. Use a unique secret per location or AP group.
  3. Configure the SSID to use WPA2-Enterprise or WPA3-Enterprise security mode with 802.1X key management.
  4. Configure a secondary RADIUS server for failover.

Step 4: Directory Integration

For on-premise AD integration, the RADIUS server must be joined to the domain or have LDAP read access. Ensure service accounts used for LDAP binding have the minimum required permissions. For cloud RADIUS, configure the API-based synchronization or SAML/OIDC integration with your IdP.

Define clear user groups in your directory, as these will drive authorization policies. Recommended group structure:

Group VLAN Access Level
Corp_Staff VLAN 10 Full internal network
Corp_Contractors VLAN 20 Internet + specific internal resources
Corp_IoT VLAN 30 Isolated, device-specific ports only
Corp_Guests VLAN 100 Internet only via captive portal

Step 5: Client Configuration and Certificate Validation

This is the most operationally critical step. Use Group Policy (GPO) for Windows and MDM profiles for macOS/iOS/Android to push WiFi configurations silently to managed devices. The profile must specify:

  • The Root CA that issued the RADIUS server's certificate.
  • The expected server name (CN or SAN of the server certificate).
  • The EAP method and inner authentication protocol.

For unmanaged BYOD devices, provide clear self-service onboarding instructions, ideally via a Network Access Control (NAC) portal.

Step 6: Implement Dynamic VLAN Assignment

Configure the RADIUS server to return VLAN assignment attributes in the Access-Accept response:

  • Tunnel-Type = VLAN (13)
  • Tunnel-Medium-Type = IEEE-802 (6)
  • Tunnel-Private-Group-Id = ``

The access point reads these attributes and places the authenticated client on the specified VLAN — no manual reconfiguration required as users change roles or locations.


Best Practices

Redundancy is non-negotiable. Deploy a minimum of two RADIUS servers (primary and secondary) and configure all access points to fail over automatically. For on-premise deployments, consider placing the secondary server in a different physical location or availability zone. A RADIUS outage means nobody can authenticate, which is a complete network outage for 802.1X-protected SSIDs.

Monitor certificate expiry proactively. A RADIUS server certificate expiry is one of the most common causes of sudden, widespread authentication failures. Implement monitoring to alert administrators at least 30 days before expiry. This applies to both the server certificate and any intermediate CA certificates in the chain.

Treat the Shared Secret as a critical credential. The shared secret between the AP and the RADIUS server encrypts RADIUS packets. Use unique secrets per location or AP group, store them in a secrets manager, and rotate them periodically. See our guide on Protect Your Network with Strong DNS and Security for broader network security hygiene recommendations.

Align with compliance frameworks. For environments subject to PCI DSS (e.g., retail payment networks), 802.1X authentication directly supports requirements for network access control and audit logging. For GDPR compliance, RADIUS accounting logs (port 1813) provide a detailed audit trail of who accessed the network, from where, and when — valuable for incident response. For Healthcare environments, network segmentation via dynamic VLAN assignment supports HIPAA requirements for protecting electronic protected health information (ePHI).


Troubleshooting & Risk Mitigation

Failure Mode Symptom Resolution
Certificate expiry Sudden mass authentication failures Monitor expiry; renew and redeploy certificate
NTP desynchronisation Intermittent EAP-TLS failures Ensure RADIUS server and DCs sync to same NTP source
LDAP connectivity loss Authentication fails when AD is unreachable Deploy redundant DCs; configure RADIUS to cache recent authentications
Incorrect Shared Secret AP logs show RADIUS timeout or Bad authenticator Verify secret matches on both AP and RADIUS server
Client certificate mismatch EAP-TLS failures for specific devices Verify client cert is issued by trusted CA; check cert validity period
VLAN not assigned User authenticated but on wrong network segment Verify RADIUS attributes are correctly returned; check AP VLAN configuration

For a deeper dive into the 802.1X configuration process itself, the How to Configure 802.1X WiFi Authentication: A Step-by-Step Guide provides granular, vendor-specific configuration walkthroughs.


ROI & Business Impact

Transitioning from PSK to RADIUS-backed 802.1X requires an initial investment in configuration, and potentially licensing for cloud solutions or hardware for on-premise deployments. The ROI case is straightforward:

Risk mitigation: The average cost of a data breach in the UK is in excess of £3 million (IBM Cost of a Data Breach Report). A compromised PSK can expose the entire network. 802.1X limits the blast radius to a single compromised user account, which can be disabled in seconds via the directory.

Operational efficiency: Dynamic VLAN assignment eliminates manual network reconfiguration as staff change roles. Onboarding a new employee means adding them to the correct AD group — the network access follows automatically.

Compliance posture: For organisations subject to PCI DSS, ISO 27001, or Cyber Essentials Plus, 802.1X is a direct control that auditors expect to see. Deploying it strengthens your compliance posture and reduces audit remediation costs.

Guest experience and analytics: For venue operators, integrating RADIUS for staff authentication with Purple's Guest WiFi platform for visitor access creates a unified, tiered access model. Staff authenticate silently via 802.1X; guests connect via a branded captive portal. Purple's WiFi Analytics platform then provides real-time visibility into visitor dwell times, repeat visit rates, and engagement metrics — data that directly informs marketing spend and venue operations decisions.


For further reading, see the Como Configurar a Autenticação 802.1X WiFi: Um Guia Passo a Passo for Portuguese-language implementation guidance, and What Is a Leased Line? Dedicated Business Internet for guidance on ensuring the underlying connectivity meets enterprise requirements.

關鍵定義

RADIUS (Remote Authentication Dial-In User Service)

一種網路協定,為連線至網路服務的使用者提供集中式的驗證、授權和計費 (AAA) 管理。定義於 RFC 2865。

核心伺服器元件,在授予 WiFi 存取權限之前,先對照目錄驗證使用者憑證。每個使用 802.1X 的企業級 WiFi 部署都需要 RADIUS 伺服器。

802.1X

一項用於基於連接埠的網路存取控制 (PNAC) 的 IEEE 標準。它為希望連接到 LAN 或 WLAN 的裝置提供驗證機制,在驗證成功之前阻擋所有非 EAP 流量。

定義 Supplicant、Authenticator 和驗證伺服器如何進行通訊的整體框架標準。當 IT 團隊提到「企業級 WiFi 安全性」時,通常是指搭配 802.1X 的 WPA2/WPA3-Enterprise。

Supplicant

用戶端裝置(更確切地說,是該裝置上的 802.1X 軟體堆疊),透過向網路出示憑證來啟動驗證程序。

在 Windows 上,內建的 supplicant 是 Wireless AutoConfig 服務。在 macOS 和 iOS 上,它是作業系統原生的。確保正確設定 supplicant(特別是憑證驗證)是部署問題最常見的來源。

Authenticator

網路裝置(通常是 WiFi 存取點或無線控制器),充當 Supplicant 與 RADIUS 伺服器之間的媒介,根據驗證結果執行存取控制。

AP 會阻擋連接埠上的所有資料流量,直到收到來自 RADIUS 伺服器的 Access-Accept。它還會從 Access-Accept 回應中讀取 RADIUS 屬性(例如 VLAN 分配)並將其套用至該工作階段。

EAP (Extensible Authentication Protocol)

定義於 RFC 3748 的驗證框架,為 Supplicant 與驗證伺服器之間的各種驗證方法(TLS、PEAP、TTLS 等)提供標準化的傳輸機制。

EAP 是用戶端與 RADIUS 伺服器之間溝通的「語言」。EAP 方法的選擇(EAP-TLS 對比 PEAP)決定了驗證系統的安全強度和部署複雜度。

PEAP (Protected EAP)

一種 EAP 方法,首先使用伺服器的憑證建立 TLS 通道,然後在該加密通道內進行二次驗證(通常是使用使用者名稱/密碼的 MSCHAPv2)。

最常見的企業級 WiFi 驗證方法,因其在安全性和部署簡易性之間取得了平衡。僅需要伺服器端憑證,使其比 EAP-TLS 更容易推廣部署。

Dynamic VLAN Assignment

一種 RADIUS 功能,伺服器在 Access-Accept 回應中包含特定於 VLAN 的屬性(Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-Id),指示 AP 將已驗證的用戶端分配到特定的 VLAN。

使單一 SSID 能夠為具有不同安全性需求的多個使用者群體提供服務。無需為不同的使用者群組廣播多個 SSID,從而減少射頻開銷並簡化使用者體驗。

Shared Secret

僅為 Authenticator (AP) 和 RADIUS 伺服器所知的預先設定文字字串,用於對 RADIUS 封包進行簽章和加密,以確保通訊的完整性和真實性。

關鍵的安全設定要素。如果共用金鑰強度不足或遭到洩露,攻擊者可能會偽造 RADIUS Access-Accept 回應,從而授予未經授權的網路存取權限。請為每個位置使用唯一的金鑰,並將其儲存在金鑰管理工具中。

MAC Authentication Bypass (MAB)

一種備用驗證機制,將裝置的 MAC 位址用作其身分憑證,使不支援 802.1X supplicant 的裝置能夠存取網路。

用於無介面裝置(印表機、IoT 感測器、IP 攝影機)。由於 MAC 位址是公開可見且易於偽造的,因此 MAB 提供的是裝置識別而非強效驗證。請務必搭配限制性的 VLAN 分配使用。

範例

一家擁有 500 家分店的連鎖零售商需要為店長的平板電腦和 POS 終端機實施安全 WiFi。他們目前在所有門市使用單一的 PSK,該密碼經常被分享給未授權的員工和承包商。他們使用 Azure AD 進行身分識別管理,且各分店均無專職的 IT 人員。

部署與 Azure AD 直接整合的 Cloud RADIUS 解決方案。這消除了在 500 個地點部署和管理地端 RADIUS 伺服器的需求。IT 團隊使用 Microsoft Intune 將 WiFi 設定檔推送到所有設定為 PEAP-MSCHAPv2 的店長平板電腦和 POS 終端機,嚴格執行對 Cloud RADIUS 伺服器憑證的驗證。Cloud RADIUS 策略在授予存取權限之前會檢查使用者的 Azure AD 群組成員資格:「Store_Managers」群組分配到 VLAN 10(完整的 POS 和後台存取權限),「Contractors」群組分配到 VLAN 20(僅限網際網路)。當承包商的合約結束時,將其從 Azure AD 群組中移除即可立即同時撤銷其在所有 500 個地點的 WiFi 存取權限,無需更改 PSK。

考官評語: 此方法解決了核心安全漏洞(共用 PSK),同時考量到營運限制(無分店 IT 人員、Azure AD 環境)。Cloud RADIUS 提供了必要的擴充性,並與現有的身分識別提供者進行原生整合。使用動態 VLAN 分配可確保即使承包商的裝置在合約結束後仍在現場,只需將其從目錄群組中移除這單一操作,即可撤銷其存取權限。

一家擁有 400 間客房的市中心飯店需要為員工(前台、房務、管理層)和房客提供安全的 WiFi。員工需要存取物業管理系統 (PMS) 和內部伺服器。房客則僅需網際網路存取。該飯店擁有單一的地端 Windows Server 環境。

在專用的 Windows Server VM 上部署 Microsoft NPS。在無線基礎架構上設定兩個 SSID:「Hotel_Staff」(WPA2-Enterprise802.1X)和「Hotel_Guest」(開放式或 WPA2-Personal,重導向至 Captive Portal)。針對員工 SSID,NPS 會比對 Active Directory 驗證憑證並傳回動態 VLAN 分配:「Management」AD 群組 → VLAN 10(完整存取權限),「FrontDesk」 → VLAN 20(PMS 存取權限),「Housekeeping」 → VLAN 30(僅限網際網路 + 排班應用程式)。針對房客,將 Captive Portal 與 Purple 的 Guest WiFi 平台整合,以提供品牌化的登入體驗、收集第一方數據(電子郵件、行銷同意書),並獲取停留時間和重複造訪的分析數據。雙 SSID 模式可在網路層將員工與房客的流量完全隔離。

考官評語: 在此案例中,雙 SSID 模式是比單一 SSID 搭配複雜策略路由更正確的方法。它提供了清晰的營運隔離並簡化了疑難排解。針對房客 SSID 整合 Purple 是商業上的明智決策:它將房客網路從成本中心轉變為數據收集與行銷管道,並透過重複造訪率和電子郵件行銷參與度帶來可衡量的投資報酬率 (ROI)。

練習題

Q1. 您的組織正在將 2,000 台 Windows 筆記型電腦從共享的 PSK 遷移到採用 PEAP-MSCHAPv2 的 802.1X。您的安全團隊指出,PEAP 容易受到透過惡意存取點進行憑證收集的攻擊。要降低此風險,最重要的一個設定步驟是什麼?您如何進行大規模部署?

提示:考慮是什麼原因阻止了用戶端去信任一個呈現自簽章憑證的欺詐性 RADIUS 伺服器。

查看標準答案

關鍵步驟是在每個用戶端裝置上強制執行嚴格的伺服器憑證驗證。使用群組原則物件 (GPO),將 WiFi 設定檔推送到所有 2,000 台筆記型電腦,其中指定:(1) 簽發 RADIUS 伺服器憑證的確切根 CA 憑證,(2) 預期的伺服器名稱 (CN/SAN),以及 (3) 用戶端不得提示使用者信任新憑證。這可確保即使攻擊者部署了帶有欺詐性憑證的惡意 AP,用戶端也會拒絕 TLS 握手並拒絕傳送憑證。如果沒有此設定,PEAP 就無法針對惡意 AP 攻擊提供任何實質的保護。

Q2. 一家醫院的 IT 主管需要為 300 台不支援 802.1X 的醫療 IoT 裝置(輸液幫浦、監控設備)提供網路存取。這些裝置與員工工作站位於同一個無線基礎架構上。RADIUS 基礎架構應如何處理這些裝置?必須實施哪些網路控制措施?

提示:思考適用於無螢幕/無周邊 (headless) 裝置的驗證方法,以及如何彌補其固有的弱點。

查看標準答案

在 RADIUS 伺服器上針對這些特定裝置設定 MAC 驗證旁路 (MAB)。將每個裝置的 MAC 位址註冊在專用的 Active Directory 群組或 RADIUS 資料庫中。由於 MAC 位址很容易被偽造,RADIUS 伺服器必須使用動態 VLAN 分配,將所有通過 MAB 驗證的裝置放入專用且受高度限制的 VLAN(例如 VLAN 30 - IoT)。此 VLAN 應設定防火牆,僅允許與特定的醫療伺服器 IP 位址進行通訊,並封鎖所有其他流量,包括網際網路存取以及向員工 VLAN 的橫向移動。員工工作站則透過 802.1X 進行驗證並放置在獨立的 VLAN 上。此架構符合 HIPAA 對 ePHI 鄰近裝置的網路分割要求。

Q3. 您是一家擁有 50 家分店的連鎖餐廳的網路架構師。使用 Cloud RADIUS 時,有 49 家分店的驗證運作正常,但有一家特定分店回報所有裝置都無法驗證。Cloud RADIUS 管理入口網站顯示來自該分店的驗證請求數量為零。您的診斷方法是什麼?

提示:如果 RADIUS 伺服器完全沒有收到任何請求,則問題出在驗證器 (Authenticator) 與伺服器之間的通訊路徑上,而非驗證邏輯本身。

查看標準答案

由於 RADIUS 伺服器收到來自該分店的請求為零,因此故障發生在存取點與 Cloud RADIUS 伺服器之間。診斷步驟依序為:(1) 驗證該分店 AP 或無線控制器上設定的 RADIUS 伺服器 IP 位址和連接埠 (UDP 1812) — 這裡的拼寫錯誤是最常見的原因。(2) 檢查該分店的本機防火牆或路由器規則,以確認允許向外傳送到 Cloud RADIUS IP 範圍的 UDP 1812 流量。(3) 驗證 AP 上設定的共用金鑰 (Shared Secret) 是否與 Cloud RADIUS 入口網站中為該分店設定的金鑰一致 — 不匹配會導致 RADIUS 伺服器靜默丟棄封包。(4) 檢查該分店的網際網路連線是否正常運作 — Cloud RADIUS 需要可靠的網際網路連線。在 AP 或上游路由器上進行封包擷取,將可確認是否正在傳送 RADIUS 封包以及是否收到回應。