1、考慮使用免費(fèi)或者低成本的RAIUS服務(wù)器
對于小型和中型網(wǎng)絡(luò),你不需要花太多錢在RADIUS(遠(yuǎn)程認(rèn)證撥號用戶服務(wù))服務(wù)器上。首先檢查你的路由器平臺、目錄服務(wù)或者其他服務(wù)是否提供RADIUS/AAA(身份認(rèn)證、授權(quán)和賬戶)。例如,如果你運(yùn)行Windows Server的Active Directory域,檢查Windows Server 2003 R2以及更早版本的Internet Authentication Service(IAS,Internet身份驗(yàn)證服務(wù))組件或者Windows Server 2008的Network Policy Server (NPS,網(wǎng)絡(luò)政策服務(wù)器)組件。
如果你當(dāng)前的服務(wù)器不提供RADIUS功能,仍然有很多免費(fèi)和低成本的服務(wù)器可以選擇:
FreeRADIUS是完全免費(fèi)的開源產(chǎn)品,可以在Linux或者其他類Unix的操作系統(tǒng)上運(yùn)行,它最多可以支持?jǐn)?shù)百萬用戶和請求。在默認(rèn)情況下,F(xiàn)reeRADIUS有一個(gè)命令行界面,設(shè)置更改是通過編輯配置文件來實(shí)現(xiàn)的。其配置是高度可定制的,并且,因?yàn)樗情_源產(chǎn)品。你還可以對軟件進(jìn)行代碼修改。
TekRADIUS是共享軟件服務(wù)器,在Windows上運(yùn)行,并且提供一個(gè)GUI。該服務(wù)器的基本功能是免費(fèi)的,你還可以購買其他版本來獲取EAP-TLS和動態(tài)自簽名證書(用于受保護(hù)可擴(kuò)展身份驗(yàn)證協(xié)議(PEAP)會話、VoIP計(jì)費(fèi)以及其他企業(yè)功能)等功能。
還有兩個(gè)相當(dāng)?shù)统杀镜纳虡I(yè)產(chǎn)品包括ClearBox和Elektron,它們都在Windows上運(yùn)行,并提供30天免費(fèi)試用。
一些接入點(diǎn)甚至還嵌入了RADIUS服務(wù)器,這對于小型網(wǎng)絡(luò)而言非常實(shí)用。例如,HP ProCurve 530或者ZyXEL NWA-3500,NWA3166或NWA3160-N。
還有基于云計(jì)算的服務(wù),例如AuthenticateMyWiFI,可以為802.1X提供托管RADIUS服務(wù)器,對于哪些不想投入時(shí)間和資源來建立自己的服務(wù)器的企業(yè)而言,這種服務(wù)非常好用。
2、同時(shí)為有線網(wǎng)絡(luò)部署802.1X協(xié)議
你可能部署802.1X認(rèn)證,只是希望通過WPA或者WPA2安全的企業(yè)模式來更好地保護(hù)你的無線局域網(wǎng)。但你也應(yīng)該考慮為網(wǎng)絡(luò)的有線端部署802.1X認(rèn)證,雖然這并不能為有線連接提供加密(考慮IPsec來加密),但它將要求那些接入以太網(wǎng)的人在訪問網(wǎng)絡(luò)之前進(jìn)行身份驗(yàn)證。
3、購買數(shù)字證書
如果你已經(jīng)為802.1X的EAP類型部署了PEAP,你還必須加載RADIUS服務(wù)器以及數(shù)字證書(用于可選的但非常重要的服務(wù)器驗(yàn)證),這能有助于防止中間人攻擊。
你可以通過你自己的Certificate Authority(證書頒發(fā)機(jī)構(gòu))來創(chuàng)建一個(gè)自簽名證書,但你的證書頒發(fā)機(jī)構(gòu)的根證書必須被加載到最終用戶的計(jì)算機(jī)和設(shè)備上以讓他們來進(jìn)行服務(wù)器驗(yàn)證。
通常,你可以將證書頒發(fā)機(jī)構(gòu)的根證書分發(fā)到管理計(jì)算機(jī),例如如果你運(yùn)行的是Windows Server 2003或更高版本的Active Directory,你可以通過組策略來分發(fā)。然而,對于非域和BYOD環(huán)境,證書必須手動安裝或者以另一種方式來分布。
你也可以考慮從受Windows和其他操作系統(tǒng)信任的第三方證書頒發(fā)機(jī)構(gòu)(例如VeriSign、Comodo或者GoDaddy)為你的RADIUS服務(wù)器購買一個(gè)數(shù)字證書,這樣你就不用擔(dān)心分發(fā)根證書到計(jì)算機(jī)和設(shè)備的問題。
4、分布設(shè)置到非域設(shè)備
如果你運(yùn)行的是Windows Server 2003或更高版本的Active Directory,你通常可以通過組策略將網(wǎng)絡(luò)設(shè)置(包括802.1X和任何數(shù)字證書)分發(fā)到windows XP以及隨后加入這個(gè)域的機(jī)器。但是對于不在域中的機(jī)器,例如用戶自備的筆記本電腦、智能手機(jī)和平板電腦,除了手動用戶配置外,還有其他解決方案可供你選擇。
請記住你要分布三個(gè)關(guān)鍵的東西:你的RADIUS服務(wù)器使用的證書頒發(fā)機(jī)構(gòu)的根證書,如果使用EAP-TLS的話的用戶證書,以及網(wǎng)絡(luò)和802.1X設(shè)置。
你可以使用免費(fèi)的SU1X 802.1X配置部署工具用于Windows XP(SP3)、Vista和Windows 7。你需要進(jìn)入設(shè)置和偏好,從已經(jīng)設(shè)置好網(wǎng)絡(luò)的PC中捕捉網(wǎng)絡(luò)信息,然后這個(gè)工具將會創(chuàng)建一個(gè)向?qū)В脩艨梢栽谄溆?jì)算機(jī)上運(yùn)行這個(gè)向?qū)б宰詣优渲镁W(wǎng)絡(luò)和其他設(shè)置。該工具支持根證書以及網(wǎng)絡(luò)和802.1X設(shè)置的分發(fā)。此外,你可以配置它來添加/刪除其他網(wǎng)絡(luò)配置,修改網(wǎng)絡(luò)優(yōu)先事項(xiàng),以及開啟NAP/SoH。該工具甚至還可以為IE和Firefox配置自動或手動代理服務(wù)器設(shè)置,以及添加/刪除網(wǎng)絡(luò)打印機(jī)。
用于802.1X配置部署的商業(yè)產(chǎn)品包括XpressConnect、ClearPass QuickConnect以及ClearPass Onboard。
XpressConnect支持根證書、其他用戶證書以及網(wǎng)絡(luò)和Windows、Mac OS X、Linux、Android和iOS設(shè)備上的802.1X(PEAP、TLS和TTLS(通道傳輸層安全))設(shè)置的分布。對于TTLS,它還支持SecureW2 TTLS客戶端的安裝。XpressConnect是一個(gè)基于云計(jì)算的解決方案,你可以在web控制臺定義你的網(wǎng)絡(luò)設(shè)置,然后它會創(chuàng)建一個(gè)向?qū)В憧梢詫⑵浞职l(fā)給用戶。
ClearPass QuickConnect和ClearPass Onboard都支持根證書和網(wǎng)絡(luò)以及Windows、Mac OS X、Linux、Android和iOS設(shè)備上的802.1X(PEAP、TLS和TTLS)的分發(fā)。ClearPass QuickConnect 是基于云計(jì)算的服務(wù),不支持分發(fā)任何用戶證書。ClearPass Onboard是針對ClearPass Policy Manager平臺的軟件模塊,支持用戶證書分發(fā)。
對于一些移動操作系統(tǒng),也有專門的解決方案可供你用于分發(fā)802.1X和其他網(wǎng)絡(luò)設(shè)置,例如針對iOS的iPhone配置實(shí)用工具或者針對黑莓設(shè)備的Blackberry Enterprise Server Express。
5、保護(hù)802.1X客戶端設(shè)置
802.1X很容易受到中間人攻擊,例如,攻擊者可以通過修改后的RADIUS服務(wù)器來設(shè)置一個(gè)重復(fù)的Wi-Fi信號,然后讓用戶連接,以捕捉和跟蹤用戶的登錄信息。然而,你可以通過安全地配置客戶端計(jì)算機(jī)和設(shè)備來阻止這種類型的攻擊。
在Windows中,你需要檢查EAP屬性中啟用/配置的三個(gè)關(guān)鍵的設(shè)置:
● 驗(yàn)證服務(wù)器證書:該設(shè)置應(yīng)該啟用。應(yīng)該從列表框中選擇你的RADIUS服務(wù)器使用的證書頒發(fā)機(jī)構(gòu),者能夠確保用戶連接到的網(wǎng)絡(luò)使用的RADIUS服務(wù)器擁有由證書頒發(fā)機(jī)構(gòu)頒發(fā)的服務(wù)器證書。
● 連接到這些服務(wù)器:該設(shè)置應(yīng)該啟用。應(yīng)該輸入你的RADIUS服務(wù)器的證書上列出的域,者能夠確保客戶端只能與具有服務(wù)器證書的RADIUS服務(wù)器通信。
● 不要提示用戶授權(quán)新服務(wù)器或者可信證書頒發(fā)機(jī)構(gòu):應(yīng)該啟用以自動拒絕位置RADIUS服務(wù)器,而不是提示用戶他們具有接受和連接的能力。
在Windows Visat和更高版本中,前兩個(gè)設(shè)置應(yīng)該在用戶第一次登陸時(shí),自動啟用和配置。然而,最后一個(gè)設(shè)置應(yīng)該手動啟用,或者通過組策略或者其他分發(fā)方法來啟用。在Windows XP中,用戶必須手動配置所有設(shè)置,或者你也可以使用組策略或者其他分發(fā)方法。
對于不同的移動設(shè)備,802.1X設(shè)置在移動操作系統(tǒng)間有所不同。例如,Android只提供基本的802.1設(shè)置,而安裝和選擇RADIUS服務(wù)器的根證書以執(zhí)行服務(wù)器驗(yàn)證功能屬于可選功能。iOS允許你制定證書/域名稱,還可以忽略其他證書以提高服務(wù)器驗(yàn)證的可靠性。
6、保護(hù)RADIUS服務(wù)器
不要忘了RADIUS服務(wù)器的安全性問題,畢竟它是處理驗(yàn)證的主要服務(wù)器。考慮專門使用一個(gè)單獨(dú)的服務(wù)器來作為RADIUS服務(wù)器,確保其防火墻被鎖定,并對位于另一臺服務(wù)器上的RADIUS服務(wù)器用的任何數(shù)據(jù)庫連接使用加密鏈接。
當(dāng)生成共享秘密時(shí),你需要輸入到NAS(網(wǎng)絡(luò)接入服務(wù)器)客戶端列表或者RADIUS服務(wù)器數(shù)據(jù)庫,使用強(qiáng)大的秘密。由于用戶不必知道或者記住它們,可以使用非常長且復(fù)雜的秘密。請記住,大多數(shù)RADIUS服務(wù)器和NAS設(shè)備最多支持32個(gè)字符。
由于802.1X很容易受到中間人攻擊,尤其是用戶密碼,所以請確保用戶密碼的安全性。如果你有一個(gè)類似Active Directory的目錄服務(wù),你可以執(zhí)行密碼政策以確保密碼足夠復(fù)雜和定期更換。
總結(jié)
請記住,應(yīng)該對你網(wǎng)絡(luò)的有線和無線部分都考慮采用802.1X。在選購服務(wù)器之前,確保你沒有RADIUS功能,然后再考慮免費(fèi)的或者低成本的服務(wù)器。為了緩解部署工作,可以考慮從第三方證書頒發(fā)機(jī)構(gòu)購買服務(wù)器的數(shù)字證書。考慮使用幫助自動化非域計(jì)算機(jī)和設(shè)備的配置工作的解決方案。最后,但并非不重要的一點(diǎn),確保你的802.1X服務(wù)器和客戶端設(shè)置得到安全配置。