11-02-2011, 10:26
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
למען יבינו אותך בעתיד, קוראים לזה image, לא build. במילה build משתמשים בהקשר של הידור גירסא של מוצר תוכנה...
העיקרון של WPA2-Enterprise הוא שכדי לגשת לרשת ה WiFi, המשתמש צריך לעבור אימות דרך שרת ה RADIUS. שרת ה RADIUS יכול לבחור מספר אלמנטים לשם כך. הוא יכול לעשות אפילו two-factor authentication אם אתה רוצה (מכיר את התקני הסיסמא המתחלפת כל 60 שניות של RSA? אז משהו כזה בנוסף לסיסמא הרגילה).
אתה יכול לעשות אימות מול מערכת ניהול המשתמשים שלך (תהא AD/LDAP/NIS או whatever...), ושרת ה RADIUS יחליט אם לאשר כניסה או לא. הוא גם יאפשר לך בקרה על מי עושה מה, כי זה חלק מהרעיון שלו. ושינוי סיסמאות של המשתמשים בכל זמן מה, ימנע נסיונות BF שלוקחים הרבה זמן מחד, וימנע מעובדים שעזבו את החברה והצליחו לעשות את זה כשברשותם ידע על משתמשים אחרים, להיות בעל מידע יעיל לכניסה לרשת לאורך זמן...
לעומת זאת, מפתח סטטי הוא הרבה יותר בעייתי. כל שצריך לעשות זה "להעלים" לפטופ של החברה, ויש לפורץ את המפתח שלך, שאתה לא תשנה אף פעם...
אתה כן צריך לחסום את הרשת "עם קוד כלשהוא", למרות שאתה חוזר ואומר שלא. אני לא מבין למה אתה חושב שהם יצטרכו להקליד את הקוד "באמצע הבדיקה". אתחול מחשב לא אמור לבקש את הסיסמא שוב... לא אם מסמנים את אפשרות זכירת הסיסמא בכל אופן.
ד"א - RADIUS מאפשר לך, גם, בהתאם למשתמש ו/או קבוצתו, להחליט מאיזה pool של כתובות הוא יקבל IP. כמובן שה AP צריך לתמוך בזה.
אשר ל VLAN - זה רעיון טוב באופן כללי. כדאי שתעשה אותו בכל מקרה. ככל שיש יותר רמות של אבטחה, הסיכונים יורדים.
אשר לאיך להתחיל להריץ שרת RADIUS, אולי כדאי שתשקול appliance-תוכנתי כגון zeroshell ...
|