怎樣能夠在公司網絡中成功布置和撐持802.1X認證協議關于網絡工程師來說是一個應戰,本文“802.1X成功布置的六個竅門”將有一些竅門能夠協助你節約一些時刻和本錢。
1、思考運用免費或許低本錢的RAIUS效勞器
關于小型和中型網絡,你不需求花太多錢在RADIUS(長途認證撥號用戶效勞)效勞器上。首要查看你的路由器渠道、目錄效勞或許其他效勞能否供給RADIUS/AAA(身份認證、授權和賬戶)。例如,若是你運轉Windows
Server的Active Directory域,查看Windows Server 2003 R2以及更早版別的Internet
Authentication Service(IAS,Internet身份驗證效勞)組件或許Windows Server
2008的Network Policy Server (NPS,網絡方針效勞器)組件。若是你當時的效勞器不供給RADIUS功用,依然有許多免費和低成本的效勞器能夠挑選:
1.FreeRADIUS是完全免費的開源產物,能夠在Linux或許其他類UNIX的操作系統上運轉,它最多能夠撐持數百萬用戶和懇求。在默許情況下,FreeRADIUS有一個命令行界面,設置更改是經過修正裝備文件來完成的。其裝備是高度可定制的,而且,因為它是開源產物。你還能夠對軟件進行代碼修正。
2.TekRADIUS是同享軟件效勞器,在Windows上運轉,而且供給一個GUI。該效勞器的根本功用是免費的,你還能夠采辦其他版別來獲取EAP-TLS和動態自簽名證書(用于受維護可擴大身份驗證協議(PEAP)會話、VoIP計費以及其他公司功用)等功用。
還有兩個適當低本錢的商業產物包含ClearBox和Elektron,它們都在Windows上運轉,并供給30天免費試用。一些接入點乃至還嵌入了RADIUS效勞器,這關于小型網絡而言十分有用。例如,HP ProCurve 530或許ZyXEL NWA-3500,NWA3166或NWA3160-N。還有根據云核算的效勞,例如AuthenticateMyWiFI,能夠為802.1X供給保管RADIUS效勞器,關于哪些不想投入時刻和資源來樹立個人的效勞器的公司而言,這種效勞十分好用。
2、一起為有線網絡布置802.1X協議
你能夠布置802.1X認證,僅僅期望經過WPA或許WPA2安全的公司形式來十分好地維護你的無線局域網。但你也應該思考為網絡的有線端布置802.1X認證,盡管這并不能為有線銜接供給加密(思考IPsec來加密),但它將需求那些接入以太網的人在拜訪網絡之前進行身份驗證。
3、采辦數字證書
若是你現已為802.1X的EAP類型布置了PEAP,你還有必要加載RADIUS效勞器以及數字證書(用于可選的但十分重要的效勞器驗證),這能有助于避免中間人進犯。你能夠經過你個人的Certificate Authority(證書頒布組織)來創立一個自簽名證書,但你的證書頒布組織的根證書有必要被加載到最終用戶的核算機和設備上以讓他們來進行效勞器驗證。一般,你能夠將證書頒布組織的根證書分發到管理核算機,例如若是你運轉的是Windows Server 2003或更高版別的Active Directory,你能夠經過組策略來分發。可是,關于非域和BYOD環境,證書有必要手動裝置或許以另一種辦法來散布。你也能夠思考從受Windows和其他操作系統信賴的第三方證書頒布組織(例如VeriSign、Comodo或許GoDaddy)為你的RADIUS效勞器采辦一個數字證書,這樣你就不用憂慮分發根證書到核算機和設備的難題。
4、散布設置到非域設備
若是你運轉的是Windows
Server 2003或更高版別的Active
Directory,你一般能夠經過組策略將網絡設置(包含802.1X和任何數字證書)分發到windows
XP以及隨后參加這個域的機器。可是關于不在域中的機器,例如用戶自備的筆記本電腦、智能手機和平板電腦,除了手動用戶裝備外,還有其他解決方案可供你挑選。 你能夠運用免費的SU1X
802.1X裝備布置東西用于Windows XP(SP3)、Vista和Windows
7。你需求進入設置和偏好,從現已設置好網絡的PC中捕捉網絡信息,然后這個東西將會創立一個導游,用戶能夠在其核算機上運轉這個導游以主動裝備網絡和其他設置。該東西撐持根證書以及網絡和802.1X設置的分發。此外,你能夠裝備它來增加/刪去其他網絡裝備,修正網絡優先事項,以及敞開NAP/SoH。該東西乃至還能夠為IE和Firefox裝備主動或手動代理效勞器設置,以及增加/刪去網絡打印機。
用于802.1X裝備布置的商業產物包含XpressConnect、ClearPass QuickConnect以及ClearPass
Onboard。XpressConnect撐持根證書、其他用戶證書以及網絡和Windows、Mac
OS
X、Linux、Android和iOS設備上的802.1X(PEAP、TLS和TTLS(通道傳輸層安全))設置的散布。關于TTLS,它還撐持SecureW2
TTLS客戶端的裝置。XpressConnect是一個根據云核算的解決方案,你能夠在WEB控制臺界說你的網絡設置,然后它會創立一個導游,你能夠將其分發給用戶。ClearPass
QuickConnect和ClearPass Onboard都撐持根證書和網絡以及Windows、Mac OS
X、Linux、Android和iOS設備上的802.1X(PEAP、TLS和TTLS)的分發。ClearPass QuickConnect
是根據云核算的效勞,不撐持分發任何用戶證書。ClearPass Onboard是對準ClearPass Policy
Manager渠道的軟件模塊,撐持用戶證書分發。 關于一些挪動操作系統,也有專門的解決方案可供你用于分發802.1X和其他網絡設置,例如對準iOS的iPhone裝備有用東西或許對準黑莓設備的Blackberry Enterprise Server Express。
5、維護802.1X客戶端設置
802.1X很簡單遭到中間人進犯,例如,進犯者能夠經過修正后的RADIUS效勞器來設置一個重復的Wi-Fi信號,然后讓用戶銜接,以捕捉和盯梢用戶的登錄信息。可是,你能夠經過安全地裝備客戶端核算機和設備來阻礙這種類型的進犯。在Windows中,你需求查看EAP特點中啟用/裝備的三個要害的設置:
● 驗證效勞器證書:該設置應該啟用。應該從列表框中挑選你的RADIUS效勞器運用的證書頒布組織,者能夠保證用戶銜接到的網絡運用的RADIUS效勞器具有由證書頒布組織頒布的效勞器證書。
● 銜接到這些效勞器:該設置應該啟用。應該輸入你的RADIUS效勞器的證書上列出的域,者能夠保證客戶端只能與具有效勞器證書的RADIUS效勞器通訊。
● 不要提示用戶授權新效勞器或許可信證書頒布組織:應該啟用以主動回絕方位RADIUS效勞器,而不是提示用戶他們具有承受和銜接的才能。
在Windows Visat和更高版別中,前兩個設置應該在用戶第一次登入時,主動啟用和裝備。可是,最終一個設置應該手動啟用,或許經過組策略或許其他分發辦法來啟用。在Windows XP中,用戶有必要手動裝備一切設置,或許你也能夠運用組策略或許其他分發辦法。關于不一樣的挪動設備,802.1X設置在挪動操作系統間有所不一樣。例如,Android只供給根本的802.1設置,而裝置和挑選RADIUS效勞器的根證書以履行效勞器驗證功用歸于可選功用。iOS答應你擬定證書/域稱號,還能夠疏忽其他證書以進步效勞器驗證的可靠性。
6、維護RADIUS效勞器
不要忘了RADIUS效勞器的安全性難題,究竟它是處置驗證的首要效勞器。思考專門運用一個獨自的效勞器來作為RADIUS效勞器,保證其防火墻被確定,并對坐落另一臺效勞器上的RADIUS效勞器用的任何數據庫銜接運用加密連接。當生成同享隱秘時,你需求輸入到NAS(網絡接入效勞器)客戶端列表或許RADIUS效勞器數據庫,運用強壯的隱秘。因為用戶不用曉得或許記住它們,能夠運用十分長且雜亂的隱秘。請記住,大多數RADIUS效勞器和NAS設備最多撐持32個字符。因為802.1X很簡單遭到中間人進犯,尤其是用戶暗碼,所以請保證用戶暗碼的安全性。若是你有一個相似Active Directory的目錄效勞,你能夠履行暗碼方針以保證暗碼滿足雜亂和定時替換。
總結
請記住,應該對你網絡的有線和無線有些都思考選用802.1X。在選購效勞器之前,保證你沒有RADIUS功用,然后再思考免費的或許低本錢的效勞器。為了減輕布置作業,能夠思考從第三方證書頒布組織采辦效勞器的數字證書。思考運用協助主動化非域核算機和設備的裝備作業的解決方案。最終,但并非不重要的一點,保證你的802.1X效勞器和客戶端設置得到安全裝備。
