Радиус по WAN
Вы не указали, ищете ли Вы HIDS или NIDS, таким образом, я принял первого - Verisys является системой контроля целостности файлов для Windows, который должен согласоваться с остальной частью Вашей безопасности (антивирус, брандмауэры и т.д.). Например, можно использовать его для обнаружения любых изменений в критических системных файлах или веб-страницах.
Вот как я это вижу тогда. Вы позвонили в их поддержку, и они заявили, что ничего не могут сделать. ИМО, это своего рода проблема маршрутизации. Я не знаю, сколько вы можете настроить на своем устройстве (я предполагаю, что на нем не работает cisco IOS). В любом случае, оставим это в стороне и предположим, что вы не можете. Я вижу следующие варианты:
- Обновите свои маршрутизаторы до Cisco 881w. Это точно поддерживает RADIUS через VPN (это то, что мы делаем).
- Работайте с дополнительными AP. На самом деле неплохой план, теперь ваша беспроводная связь не привязана к вашему маршрутизатору. Это означает, что если выйдет новый стандарт Wi-Fi, вы можете обновить его независимо от маршрутизатора.
- Вы можете выполнять RAIDUS через Интернет, но, поскольку это PAP, я настоятельно рекомендую вам НЕ этого делать.
Вы используете PAP? использование CHAP снизит некоторый риск. Также о каком типе WAN мы говорим?
Если WAN к вашему провайдеру или к общей сети? В закрытой сети, означающей транспорт, который разделяет трафик через VLAN или подсеть, или напрямую в общедоступный Интернет с помощью VLAN или подсети, это не так рискованно. Переход через более открытую сеть с использованием PAP более рискован. Также использование PPTP вместо XAUTH было бы дополнительным уровнем риска.
Radius-серверы должны иметь возможность управлять поддельными Radius Authe / Autho-пакетами по любой сети от вредоносного NAS.
Настройка чего-то вроде общего ключа nas, дублированного входа в систему, идентификатора клиента (nas), типа nas, форматирования пакета. Это в сочетании с шифрованием сделает очень трудным, но не невозможным злонамеренное использование.