在网络上部署与支持802.1X验证可能存在一定挑战,但是有些技巧可帮助你节约时间、成本,让你少走弯路。
1. 考虑使用免费的或低价的RADIUS服务器
对于中小规模的网络而言,你不需要在RADIUS(远程验证拨入用户服务)服务器上投入很多。首先检查路由平台,目录服务或其他服务器是否已经为你提供了RADIUS/AAA.例如,如你用一个Windows Server运行Active Directory,那就要看看Windows Server 2003 R2中的互联网验证服务(IAS)组件以及以前的Windows Server 2008 网络策略服务器(NPS)组件。
如果当前服务器不能提供RADIUS功能,那么其实还有很多免费和低成本的服务器可供选择:
FreeRADIUS是一款完全免费,开源可运行于Linux和其他Unix类操作系统上。它可以服务的用户量从十几个到上百万不等。默认状态下,FreeRADIUS有一个命令行界面,而设置更改则可通过编辑配置文件来实现。配置具有高度自定义特征,而开源又可以让用户对软件代码做出更改。
TekRADIUS是作为共享件服务器发布的,主要是在Windows提供GUI.其基本性能是免费的,不多其他版本则需要付费试用,如EAP-TLS以及为受保护的可扩展验证协议(PEAP)对话创建动态自签署证书,VoIP次序表以及其他企业级性能。
还有两款相当低成本的产品是ClearBox和Elektron,二者都运行于Windows,且提供30免费试用期。
有些接入点甚至带有嵌入式的RADIUS服务器,这种非常适合较小型的网络。例如,HP ProCurve 530或是ZyXEL NWA-3500,NWA3166 或 NWA3160-N.
还有基于云的服务,如AuthenticateMy WiFi,可以为802.1X提供托管RADIUS服务器,它非常适合于那些不想投入时间和资源创建自有RADIUS服务的人。
2. 为有线网络部署802.1X
你或许已经打算要部署802.1X验证,这样你就可以更好地通过WPA企业安全模式保护无线LAN的安全。但请同时为有线网络布控考虑一下802.1X验证问题。尽管它不会为有线连接提供加密,但它也会在准许接入网络前先进行验证。
3. 为简易部署购买数字证书
如果你正在为802.1X的EAP类型部署PEAP,那么你还需要加载带有数字证书的RADIUS服务器,这样在验证前,终端用户发起的选择性服务器验证中可以用到。这有助于阻止中间人攻击。
你可以用自己的证书授权创建自签署证书,但是必须将证书授权的根证书加载到终端用户电脑和设备上执行服务器验证。
通常你可以为所管理的电脑分配证书授权的根证书,如假设你运行使用Windows Server 2003或更新版本的环境中运行Active Directory,则可以通过群策略实现。但是,对于非域和BYOD环境,则必须手动安装该证书或用其他方式分配。
你也可以从第三方证书授权处购买用于RADIUS服务器的数字证书,像VeriSign,Comodo和GoDaddy都是Windows和其他操作系统信任的,所以对于大多数电脑和设备而言,不需要太担心分配根证书的问题。
4. 为非域设备分配设置
如果你在Windows Server 2003上运行Active Directory域或者你还可以通过群策略为Windows XP分配网络设置,而后机器就会连接到域上。但是对于那些不在域上的机器,如用户自有笔记本,智能手机和平板电脑,除了手动配置外,还有其他的分配方案。
记住,你要分配三个要素:RADIUS服务器证书授权的根证书,如果使用EAP-TLS的话则是用户证书;网络;802.1X设置。
也有可用于Windows XP(SP3),Vista和Windows 7的免费SU1X 802.1X配置部署工具。你可以输入自己的设置和喜好,从网络中已经安装好的电脑里捕获网络信息,然后工具会创建一个向导供用户自动配置网络。
它支持根证书授权证书,网络和802.1X设置的分配。此外,你可以将其配置为 添加/删除其他网络配置文件,更改网络优先性,然后打开NAP/SoH.它甚至可以为IE,Firefox配置自动或手动代理服务器设置,还可以添加/删除联网的打印机。
商业化的选择,则可以考虑用XpressConnect,ClearPass QuickConnect和ClearPass Onboard进行802.1X配置部署。
在Windows,Mac OS X,Linux,Android和iOS设备上,XpressConnect都支持根证书授权的分配以及任意用户证书,网络以及802.1X设置。对于TTLS而言,它还支持SecureW2 TTLS的安装。XpressConnect是基于云的方案,在此方案中,你可以将网络设置定义到Web控制台,然后它会创建一个向导,让你对用户进行配置。
ClearPass QuickConnect和ClearPass Onboard都支持根证书授权,网络和802.1X设置在Windows,Mac OS X,安卓和iOS设备上的分配。ClearPass QuickConnect是基于云的服务,它不支持任何用户证书的分配。ClearPass Onboard是ClearPass策略管理器平台的软件模式,不支持用户证书的分配。
还有一些用于某些移动操作系统的指定方案可用于802.1X和其他网络设置的分配,如iPhone Configuration Utility,BlackBerry Enterprise Server Express.
5. 保护802.1X客户端设置
802.1X易遭中间人攻击,例如,攻击者可通过修改过的RADIUS服务器安装一个一模一样的Wifi信号,并试图让用户连接到此信号以便获取用户登录凭证。尽管日常,如果你的客户端配置合理安全,仍然可以阻止这类攻击。
在Windows环境下,你需要对EAP属性中启用/配置好的三个关键设置进行验证:
1)验证服务器证书:RADIUS服务器使用的证书授权应该从列表框中选定。这样可以确保RADIUS服务器是通过用户连接的网络来获取证书授权发布的服务器证书。
2)连接这些服务器:RADIUS服务器上的证书中列出的
3)不要让用户授权新服务器或是受信任的证书授权:应该启用自动拒绝未知RADIUS服务器,而不是让用户接受这些服务器或是连接这些服务器。
在Windows Vista或更新的系统中,用户首次登录时,会自动启用前面两个设置并对其进行配置。但是,最后一个设置必须手动启用或是通过群策略或其他分配方法启用。而在XP中,用户必须对所有设置进行手动配置,或者用户可以使用群策略或另一种分配方式。
对于移动设备而言,802.1X设置不同于移动操作系统。例如,安卓仅通过基本的802.1X设置安装和选择RADIUS服务器的根证书授权,因此它可以进行服务器验证。IOS也可以让用户指定证书/域名,还可以让你忽略其他证书以便增加服务器验证的可靠性。
6. 保护RADIUS服务器
别忘了RADIUS服务器的安全性,因为这也是处理验证的一个方面。可以考虑为RADIUS指定一个单独的服务器,确保其防火墙锁定,位于另一服务器上的RADIUS服务器使用的数据库连接都要加密。
当产生要推入NAS客户列表或RADIUS服务器数据库的共享机密时,使用独一无二的强密码。由于用户不需要知道或是记住这些秘密,所以密码要尽可能长而复杂。
由于802.1X的用户密码容易遭受中间人攻击,所以要加强用户密码的强度。如果你使用Active Directory的目录服务,就可以实施密码策略来确保密码足够复杂,而且要定期修改密码。
小结
记住,有线网络和无线网络都需要考虑802.1X的安全问题。在寻找服务器前不要使用RADIUS功能;考虑使用免费或成本较低的服务器。要想简化部署,可以从第三方证书授权机构购买数字证书。可使用自动对非域电脑和设备进行配置的方案。此外,还要确保802.1X服务器和客户端的配置安全。