随着 IT 网络从有线转向无线,网络安全和入网人员身份认证服务再次成为业内焦点。通过物理连接的网络代理实现安全的时代已经过去。无线网络时代,网络安全需要采取额外措施,其中就包括 RADIUS 认证,世界各地的 IT 管理员都开始考虑将 RADIUS 认证加入身份和访问管理(IAM)工具中。本文将从管理员的视角分析 RADIUS 认证的部署方案。
一、RADIUS 用例的过去和现在
RADIUS 认证服务(Remote Authentication Dial In User Service,远程用户拨号认证服务)最早可以追溯到拨号上网的年代,当时主要用于控制用户对网络的访问。当基于 802.1x 协议的交换机上市后,开源的 RADIUS 认证服务 FreeRADIUS 就和交换机耦合用以增强网络控制。虽然网络安全的确有所提升,但有一个问题始终存在,那就是当时的网络很难支持 802.1x 协议。而进入无线网络时代后,这一问题也迎刃而解了。
现在,绝大多数网络都由 WiFi 构成,管理员也非常注重对网络的保护,于是作为身份和访问管理(IAM)工具能力之一的 RADIUS 认证功能引起了 IT 界极大的兴趣。RADIUS 增强无线网络安全的原理如下:管理员要求用户通过其操作系统上的客户端向无线接入点进行身份认证,无线接入点将用户凭证传递到 RADIUS 认证服务器。RADIUS 认证服务器通常和 OpenLDAP 或微软 Active Directory(AD)等身份源(IdP)集成。身份源(IdP)核对完用户凭证后,再将凭证传递回 RADIUS 认证服务器和无线接入点,并授权用户访问。
从以上过程可以看出,采用RADIUS 认证后用户连接到网络需要使用唯一的身份凭证,而不是可随意共享的 SSID 和密码,这样一来就大大提升了无线网络的安全性。
二、使用 RADIUS 和 VLAN 增强网络安全
RADIUS 认证的另一个优势是支持添加 VLAN 划分。动态 VLAN 根据终端用户的MAC地址决定用户划分到哪个 VLAN 中,以提高安全性。如果没有为用户添加 VLAN 标记,所有部门的用户都会划分到同一个网络中。想象一下一个公司的研发、市场、销售和财务都连接到同一个网络,一旦网络的某个部分受到破坏,整个网络就会崩溃。使用 VLAN 对网络分段后,可以确保网络之间不会相互影响。
当然,无论企业是否采用 VLAN 划分,将 RADIUS 认证集成到身份和访问管理(IAM)工具中都是很明智的方案。不过,问题是真正实现这一方案需要投入大量的时间和资源。所幸,现在有了一个更简单的方法。
三、云身份目录服务+ RADIUS 认证
上文提到 RADIUS 认证服务器需要和身份源(IdP)集成,如果企业内还没有搭建 OpenLDAP 或 Active Directory (AD)目录服务设施,那么企业想实现无线网络安全投入的成本就不仅仅是 RADIUS 认证服务器的成本了。
既然如此,如果有一种云身份目录服务方案,既具备了 RADIUS 认证能力,又提供了LDAP目录服务,企业只需根据自己的场景灵活订阅 RADIUS 认证能力,不就大大降低了投入成本?
现在,基于这一理念的云身份目录方案——NingDS 上线。它是一个云托管的LDAP目录服务,可以代替 OpenLDAP 或 AD 等本地身份源。内置的RADIUS 云服务器天然集成了目录服务(身份源)。管理员只需配置用户,将用户的无线接入点指向 NingDS 中的 RADIUS 云服务器,就能即刻获得安全的网络访问体验。如果企业想实施 VLAN 划分,只需要使用兼容设备,就能将组或个人用户分配到特定的 VLAN。
NingDS 云身份目录服务为中小企业的网络安全建设提供了便利。按需订阅,开箱即用的优势免去了 IT 管理员安装、部署、运维服务器/系统的复杂工作,也降低了企业在网络安全的投入成本,深受管理员的青睐。
(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解更多内容,可前往宁盾官网博客解锁更多干货)