تطبيق RADIUS + Active Directory لتأمين شبكة WiFi بمستوى مؤسسي
استخدام باسوورد مشترك للـ WiFi يسبب مشاكل أمنية مباشرة، مهما كان حجم الشركة. الحل الفعلي هو الانتقال إلى 802.1X Authentication باستخدام RADIUS مرتبط مع Active Directory حتى تكون عملية المصادقة مركزية، دقيقة، ومبنية على هوية المستخدم الفعلية.
—
المشكلة التقنية
بروتوكولات الـ Personal مثل WPA2-PSK تعتمد على مفتاح ثابت واحد لكل الأجهزة. هذا يسبب:
– عدم إمكانية تحديد هوية المستخدم الحقيقي
– عدم وجود Accounting logs لمتابعة الجلسات
– صعوبة تغيير الباسورد بدون تأثير على مئات الأجهزة
– سهولة تسريب المفتاح وإمكانية استخدامه على أي جهاز
– غياب Dynamic Keying لأن كل الأجهزة تشتغل على نفس الـ PMK
هذه مشاكل غير مقبولة في بيئة Enterprise.
—
دور RADIUS + AD داخل 802.1X Framework
نظام WPA2/WPA3 Enterprise يشتغل عبر EAP. هنا يجي دور RADIUS (مثل Microsoft NPS) حتى ينفذ:
– Authentication: التحقق من هوية المستخدم
– Authorization: تحديد السياسات الخاصة بكل مستخدم أو مجموعة
– Accounting: تسجيل بداية ونهاية الجلسات ومحاولات الدخول
عملية المصادقة الفعلية تعتمد على Active Directory كمرجع رئيسي للـ Credentials.
—
البروتوكولات المتاحة داخل EAP
حسب مستوى الأمان المطلوب:
1. PEAP-MSCHAPv2
الأكثر انتشاراً لكنه أضعف من ناحية مقاومة هجمات MITM، ويعتمد على Credentials نصية.
2. EAP-TLS
الخيار الأكثر أماناً لأنه يعتمد Certificates على مستوى الجهاز أو المستخدم.
كل جهاز يمتلك Certificate فريد، وهذا يمنع انتحال الهوية تماماً.
3. EAP-TTLS / EAP-FAST
خيارات أقل انتشاراً لكنها موجودة حسب البنية التحتية.
لشركة تريد أمان عالي، EAP-TLS يعتبر الخيار النهائي.
—
البنية المطلوبة
لتنفيذ بيئة Enterprise Authentication كاملة تحتاج:
– Active Directory Domain Services
– Certificate Authority داخلية (Enterprise CA)
– Network Policy Server (NPS)
– Access Points تدعم WPA2/WPA3 Enterprise
– VLAN Structure واضحة داخل الـ Core Switch
توزيع الشهادات يتم عادةً عبر GPO إذا الأجهزة دومينية.
—
مسار المصادقة خطوة بخطوة
1. الجهاز يرسل طلب Association إلى الـ AP
2. الـ AP يحدد أن الـ SSID يعمل بـ 802.1X ويرسل Request Identity
3. الجهاز يرسل EAP-Response
4. الـ AP ينقل العملية للـ RADIUS
5. الـ RADIUS يتواصل مع AD (بروتوكول Kerberos أو NTLM حسب الحالة)
6. إذا المستخدم أو الجهاز مجتاز الشروط → Accept
7. الـ AP يولّد Pairwise Master Key مخصوص للجهاز (Dynamic Keying)
هذا يوفر Layer 2 Encryption متغير لكل جهاز، وليس مفتاح ثابت.
—
السياسات المتقدمة
هنا تكمن قوة الحل الحقيقي:
– تخصيص VLAN لكل Group:
مثال: IT, HR, Finance, Guests
– تفعيل Tunnel-PVT TLV داخل الرد من RADIUS لتحديد VLAN
– تحديد Device-Type Policies (Domain Devices، BYOD، ضيوف)
– وضع أجهزة Legacy داخل VLAN محددة أو استخدام MAB كحل مؤقت
– ربط NPS مع SIEM لتجميع Logs وتحليلها
– Accounting Start/Stop لتتبع كل جلسة بدقة
—
النتائج التقنية الفعلية
– التخلص من PSK تماماً
– مصادقة مبنية على هوية المستخدم أو الجهاز
– Dynamic Encryption Key لكل جلسة
– إمكانية قطع أو منع أي مستخدم لحظياً من خلال AD فقط
– سياسات granular لكل قسم أو نوع جهاز
– سجل كامل للدخول والخروج ومحاولات الوصول
– مستوى حماية أعلى ضد MITM، Evil Twin، وRogue AP attacks
