在网络中部署和支持802.1X认证协议是一个挑战,这里有一些技巧可以帮助你节省一些时间和成本。
1、考虑使用免费或者低成本的RAIUS服务器
对于小型和中型网络,你不需要花太多钱在RADIUS(远程认证拨号用户服务)服务器上。首先检查你的路由器平台、目录服务或者其他服务是否提供RADIUS/AAA(身份认证、授权和账户)。例如,如果你运行Windows Server的Active Directory域,检查Windows Server 2003 R2以及更早版本的Internet Authentication Service(IAS,Internet身份验证服务)组件或者Windows Server 2008的Network Policy Server (NPS,网络政策服务器)组件。
如果你当前的服务器不提供RADIUS功能,仍然有很多免费和低成本的服务器可以选择:
FreeRADIUS是完全免费的开源产品,可以在Linux或者其他类Unix的操作系统上运行,它最多可以支持数百万用户和请求。在默认情况下,FreeRADIUS有一个命令行界面,设置更改是通过编辑配置文件来实现的。其配置是高度可定制的,并且,因为它是开源产品。你还可以对软件进行代码修改。
TekRADIUS是共享软件服务器,在Windows上运行,并且提供一个GUI。该服务器的基本功能是免费的,你还可以购买其他版本来获取EAP-TLS和动态自签名证书(用于受保护可扩展身份验证协议(PEAP)会话、VoIP计费以及其他企业功能)等功能。
还有两个相当低成本的商业产品包括ClearBox和Elektron,它们都在Windows上运行,并提供30天免费试用。
一些接入点甚至还嵌入了RADIUS服务器,这对于小型网络而言非常实用。例如,HP ProCurve 530或者ZyXEL NWA-3500,NWA3166或NWA3160-N。
还有基于云计算的服务,例如AuthenticateMyWiFI,可以为802.1X提供托管RADIUS服务器,对于哪些不想投入时间和资源来建立自己的服务器的企业而言,这种服务非常好用。
2、同时为有线网络部署802.1X协议
你可能部署802.1X认证,只是希望通过WPA或者WPA2安全的企业模式来更好地保护你的无线局域网。但你也应该考虑为网络的有线端部署802.1X认证,虽然这并不能为有线连接提供加密(考虑IPsec来加密),但它将要求那些接入以太网的人在访问网络之前进行身份验证。
3、购买数字证书
如果你已经为802.1X的EAP类型部署了PEAP,你还必须加载RADIUS服务器以及数字证书(用于可选的但非常重要的服务器验证),这能有助于防止中间人攻击。
你可以通过你自己的Certificate Authority(证书颁发机构)来创建一个自签名证书,但你的证书颁发机构的根证书必须被加载到最终用户的计算机和设备上以让他们来进行服务器验证。
通常,你可以将证书颁发机构的根证书分发到管理计算机,例如如果你运行的是Windows Server 2003或更高版本的Active Directory,你可以通过组策略来分发。然而,对于非域和BYOD环境,证书必须手动安装或者以另一种方式来分布。
你也可以考虑从受Windows和其他操作系统信任的第三方证书颁发机构(例如VeriSign、Comodo或者GoDaddy)为你的RADIUS服务器购买一个数字证书,这样你就不用担心分发根证书到计算机和设备的问题。
4、分布设置到非域设备
如果你运行的是Windows Server 2003或更高版本的Active Directory,你通常可以通过组策略将网络设置(包括802.1X和任何数字证书)分发到windows XP以及随后加入这个域的机器。但是对于不在域中的机器,例如用户自备的笔记本电脑、智能手机和平板电脑,除了手动用户配置外,还有其他解决方案可供你选择。
请记住你要分布三个关键的东西:你的RADIUS服务器使用的证书颁发机构的根证书,如果使用EAP-TLS的话的用户证书,以及网络和802.1X设置。
你可以使用免费的SU1X 802.1X配置部署工具用于Windows XP(SP3)、Vista和Windows 7。你需要进入设置和偏好,从已经设置好网络的PC中捕捉网络信息,然后这个工具将会创建一个向导,用户可以在其计算机上运行这个向导以自动配置网络和其他设置。该工具支持根证书以及网络和802.1X设置的分发。此外,你可以配置它来添加/删除其他网络配置,修改网络优先事项,以及开启NAP/SoH。该工具甚至还可以为IE和Firefox配置自动或手动代理服务器设置,以及添加/删除网络打印机。
用于802.1X配置部署的商业产品包括XpressConnect、ClearPass QuickConnect以及ClearPass Onboard。
XpressConnect支持根证书、其他用户证书以及网络和Windows、Mac OS X、Linux、Android和iOS设备上的802.1X(PEAP、TLS和TTLS(通道传输层安全))设置的分布。对于TTLS,它还支持SecureW2 TTLS客户端的安装。XpressConnect是一个基于云计算的解决方案,你可以在web控制台定义你的网络设置,然后它会创建一个向导,你可以将其分发给用户。
ClearPass QuickConnect和ClearPass Onboard都支持根证书和网络以及Windows、Mac OS X、Linux、Android和iOS设备上的802.1X(PEAP、TLS和TTLS)的分发。ClearPass QuickConnect 是基于云计算的服务,不支持分发任何用户证书。ClearPass Onboard是针对ClearPass Policy Manager平台的软件模块,支持用户证书分发。
对于一些移动操作系统,也有专门的解决方案可供你用于分发802.1X和其他网络设置,例如针对iOS的iPhone配置实用工具或者针对黑莓设备的Blackberry Enterprise Server Express。
5、保护802.1X客户端设置
802.1X很容易受到中间人攻击,例如,攻击者可以通过修改后的RADIUS服务器来设置一个重复的Wi-Fi信号,然后让用户连接,以捕捉和跟踪用户的登录信息。然而,你可以通过安全地配置客户端计算机和设备来阻止这种类型的攻击。
在Windows中,你需要检查EAP属性中启用/配置的三个关键的设置:
● 验证服务器证书:该设置应该启用。应该从列表框中选择你的RADIUS服务器使用的证书颁发机构,者能够确保用户连接到的网络使用的RADIUS服务器拥有由证书颁发机构颁发的服务器证书。
● 连接到这些服务器:该设置应该启用。应该输入你的RADIUS服务器的证书上列出的域,者能够确保客户端只能与具有服务器证书的RADIUS服务器通信。
● 不要提示用户授权新服务器或者可信证书颁发机构:应该启用以自动拒绝位置RADIUS服务器,而不是提示用户他们具有接受和连接的能力。
在Windows Visat和更高版本中,前两个设置应该在用户第一次登陆时,自动启用和配置。然而,最后一个设置应该手动启用,或者通过组策略或者其他分发方法来启用。在Windows XP中,用户必须手动配置所有设置,或者你也可以使用组策略或者其他分发方法。
对于不同的移动设备,802.1X设置在移动操作系统间有所不同。例如,Android只提供基本的802.1设置,而安装和选择RADIUS服务器的根证书以执行服务器验证功能属于可选功能。iOS允许你制定证书/域名称,还可以忽略其他证书以提高服务器验证的可靠性。
6、保护RADIUS服务器
不要忘了RADIUS服务器的安全性问题,毕竟它是处理验证的主要服务器。考虑专门使用一个单独的服务器来作为RADIUS服务器,确保其防火墙被锁定,并对位于另一台服务器上的RADIUS服务器用的任何数据库连接使用加密链接。
当生成共享秘密时,你需要输入到NAS(网络接入服务器)客户端列表或者RADIUS服务器数据库,使用强大的秘密。由于用户不必知道或者记住它们,可以使用非常长且复杂的秘密。请记住,大多数RADIUS服务器和NAS设备最多支持32个字符。
由于802.1X很容易受到中间人攻击,尤其是用户密码,所以请确保用户密码的安全性。如果你有一个类似Active Directory的目录服务,你可以执行密码政策以确保密码足够复杂和定期更换。
总结
请记住,应该对你网络的有线和无线部分都考虑采用802.1X。在选购服务器之前,确保你没有RADIUS功能,然后再考虑免费的或者低成本的服务器。为了缓解部署工作,可以考虑从第三方证书颁发机构购买服务器的数字证书。考虑使用帮助自动化非域计算机和设备的配置工作的解决方案。最后,但并非不重要的一点,确保你的802.1X服务器和客户端设置得到安全配置。