我有一些小型企业路由器(Cisco RV120W),我们在一些configuration了站点到站点VPN的小型办公室中使用,以允许我的主办公室和远程terminal之间的设备连接。 RV120W做得很好…我真的不能抱怨太多。 用户现在一直在问设置WIFI …并且玩了RV120W很多…我知道它支持wpa2的“企业authentication”。 设置完成并试图使之工作…我很快发现路由器没有通过VPN隧道发送RADIUS数据包…(由于一些愚蠢的原因,数据包从WAN接口出去)。
我和思科一起提出的最后三个主要问题……最后是一个“无法修复”(尽pipe他们承认这是一个错误)…所以我真的不想和这个问题作斗争跟他们。 所以,现在我重新考虑如何解决这个问题,使其工作,尽pipe设备的限制。 作为最后的努力……我可能最终会在路由器后面放置一个专用的AP …但是我宁愿没有另外的设备来维护每个站点。
TL; DR:
通过公共互联网丢弃RADIUS数据包有多安全? 潜在的,数据是可以被截取和解密的吗? 是否有潜在的重播攻击的种类? 还有其他的问题我应该知道吗?
这是我看到的方式。 你已经打电话给他们的支持,他们说他们没有什么可以做的。 国际海事组织这是某种路由问题。 我不知道你可以在你的设备上configuration多less(我认为它没有在其上运行的Cisco IOS)。 无论如何,让我们把它放在一边,并假设你不能。 我看到的选项如下。
你使用PAP吗? 使用CHAP会降低一些风险。 我们在说什么types的广域网?
如果广域网连接到您的ISP或共享networking? 在一个封闭的networking中,意味着通过VLAN或子网隔离stream量的传输,或者直接通过VLAN或子网隔离到公共互联网,其风险不大。 使用PAP进行更开放的networking更具风险。 另外使用PPTP vs XAUTH会增加风险。
Radius服务器应该能够通过任何networking从恶意的naspipe理欺骗的Radius Authe / Autho数据包。
configuration像nas共享密钥,重复login,客户端(nas)id,nastypes,数据包格式化之类的东西。 这些与encryption结合在一起会使恶意使用非常困难,但并非不可能。