当前位置:首页 > 嵌入式 > 嵌入式软件
[导读]成功部署802.1X的六个诀窍

在网络中部署和支持802.1X认证协议是一个挑战,这里有一些技巧可以帮助你节省一些时间和成本。

1、考虑使用免费或者低成本的RAIUS服务器

对于小型和中型网络,你不需要花太多钱在RADIUS(远程认证拨号用户服务)服务器上。首先检查你的路由器平台、目录服务或者其他服务是否提供RADIUS/AAA(身份认证、授权和账户)。例如,如果你运行Windows Server的Active Directory域,检查Windows Server 2003 R2以及更早版本的Internet Authentication Service(IAS,Internet身份验证服务)组件或者Windows Server 2008的Network Policy Server (NPS,网络政策服务器)组件。

如果你当前的服务器不提供RADIUS功能,仍然有很多免费和低成本的服务器可以选择:

FreeRADIUS是完全免费的开源产品,可以在Linux或者其他类Unix的操作系统上运行,它最多可以支持数百万用户和请求。在默认情况下,FreeRADIUS有一个命令行界面,设置更改是通过编辑配置文件来实现的。其配置是高度可定制的,并且,因为它是开源产品。你还可以对软件进行代码修改。

TekRADIUS是共享软件服务器,在Windows上运行,并且提供一个GUI。该服务器的基本功能是免费的,你还可以购买其他版本来获取EAP-TLS和动态自签名证书(用于受保护可扩展身份验证协议(PEAP)会话、VoIP计费以及其他企业功能)等功能。

还有两个相当低成本的商业产品包括ClearBox和Elektron,它们都在Windows上运行,并提供30天免费试用。

一些接入点甚至还嵌入了RADIUS服务器,这对于小型网络而言非常实用。例如,HP ProCurve 530或者ZyXEL NWA-3500,NWA3166或NWA3160-N。

还有基于云计算的服务,例如AuthenticateMyWiFI,可以为802.1X提供托管RADIUS服务器,对于哪些不想投入时间和资源来建立自己的服务器的企业而言,这种服务非常好用。

2、同时为有线网络部署802.1X协议

你可能部署802.1X认证,只是希望通过WPA或者WPA2安全的企业模式来更好地保护你的无线局域网。但你也应该考虑为网络的有线端部署802.1X认证,虽然这并不能为有线连接提供加密(考虑IPsec来加密),但它将要求那些接入以太网的人在访问网络之前进行身份验证。

3、购买数字证书

如果你已经为802.1X的EAP类型部署了PEAP,你还必须加载RADIUS服务器以及数字证书(用于可选的但非常重要的服务器验证),这能有助于防止中间人攻击。

你可以通过你自己的Certificate Authority(证书颁发机构)来创建一个自签名证书,但你的证书颁发机构的根证书必须被加载到最终用户的计算机和设备上以让他们来进行服务器验证。

通常,你可以将证书颁发机构的根证书分发到管理计算机,例如如果你运行的是Windows Server 2003或更高版本的Active Directory,你可以通过组策略来分发。然而,对于非域和BYOD环境,证书必须手动安装或者以另一种方式来分布。

你也可以考虑从受Windows和其他操作系统信任的第三方证书颁发机构(例如VeriSign、Comodo或者GoDaddy)为你的RADIUS服务器购买一个数字证书,这样你就不用担心分发根证书到计算机和设备的问题。

4、分布设置到非域设备

如果你运行的是Windows Server 2003或更高版本的Active Directory,你通常可以通过组策略将网络设置(包括802.1X和任何数字证书)分发到windows XP以及随后加入这个域的机器。但是对于不在域中的机器,例如用户自备的笔记本电脑、智能手机和平板电脑,除了手动用户配置外,还有其他解决方案可供你选择。

请记住你要分布三个关键的东西:你的RADIUS服务器使用的证书颁发机构的根证书,如果使用EAP-TLS的话的用户证书,以及网络和802.1X设置。

你可以使用免费的SU1X 802.1X配置部署工具用于Windows XP(SP3)、Vista和Windows 7。你需要进入设置和偏好,从已经设置好网络的PC中捕捉网络信息,然后这个工具将会创建一个向导,用户可以在其计算机上运行这个向导以自动配置网络和其他设置。该工具支持根证书以及网络和802.1X设置的分发。此外,你可以配置它来添加/删除其他网络配置,修改网络优先事项,以及开启NAP/SoH。该工具甚至还可以为IE和Firefox配置自动或手动代理服务器设置,以及添加/删除网络打印机。

用于802.1X配置部署的商业产品包括XpressConnect、ClearPass QuickConnect以及ClearPass Onboard。

XpressConnect支持根证书、其他用户证书以及网络和Windows、Mac OS X、Linux、Android和iOS设备上的802.1X(PEAP、TLS和TTLS(通道传输层安全))设置的分布。对于TTLS,它还支持SecureW2 TTLS客户端的安装。XpressConnect是一个基于云计算的解决方案,你可以在web控制台定义你的网络设置,然后它会创建一个向导,你可以将其分发给用户。

ClearPass QuickConnect和ClearPass Onboard都支持根证书和网络以及Windows、Mac OS X、Linux、Android和iOS设备上的802.1X(PEAP、TLS和TTLS)的分发。ClearPass QuickConnect 是基于云计算的服务,不支持分发任何用户证书。ClearPass Onboard是针对ClearPass Policy Manager平台的软件模块,支持用户证书分发。

对于一些移动操作系统,也有专门的解决方案可供你用于分发802.1X和其他网络设置,例如针对iOS的iPhone配置实用工具或者针对黑莓设备的Blackberry Enterprise Server Express。

5、保护802.1X客户端设置

802.1X很容易受到中间人攻击,例如,攻击者可以通过修改后的RADIUS服务器来设置一个重复的Wi-Fi信号,然后让用户连接,以捕捉和跟踪用户的登录信息。然而,你可以通过安全地配置客户端计算机和设备来阻止这种类型的攻击。

在Windows中,你需要检查EAP属性中启用/配置的三个关键的设置:

● 验证服务器证书:该设置应该启用。应该从列表框中选择你的RADIUS服务器使用的证书颁发机构,者能够确保用户连接到的网络使用的RADIUS服务器拥有由证书颁发机构颁发的服务器证书。

● 连接到这些服务器:该设置应该启用。应该输入你的RADIUS服务器的证书上列出的域,者能够确保客户端只能与具有服务器证书的RADIUS服务器通信。[!--empirenews.page--]

● 不要提示用户授权新服务器或者可信证书颁发机构:应该启用以自动拒绝位置RADIUS服务器,而不是提示用户他们具有接受和连接的能力。

在Windows Visat和更高版本中,前两个设置应该在用户第一次登陆时,自动启用和配置。然而,最后一个设置应该手动启用,或者通过组策略或者其他分发方法来启用。在Windows XP中,用户必须手动配置所有设置,或者你也可以使用组策略或者其他分发方法。

对于不同的移动设备,802.1X设置在移动操作系统间有所不同。例如,Android只提供基本的802.1设置,而安装和选择RADIUS服务器的根证书以执行服务器验证功能属于可选功能。iOS允许你制定证书/域名称,还可以忽略其他证书以提高服务器验证的可靠性。

6、保护RADIUS服务器

不要忘了RADIUS服务器的安全性问题,毕竟它是处理验证的主要服务器。考虑专门使用一个单独的服务器来作为RADIUS服务器,确保其防火墙被锁定,并对位于另一台服务器上的RADIUS服务器用的任何数据库连接使用加密链接。

当生成共享秘密时,你需要输入到NAS(网络接入服务器)客户端列表或者RADIUS服务器数据库,使用强大的秘密。由于用户不必知道或者记住它们,可以使用非常长且复杂的秘密。请记住,大多数RADIUS服务器和NAS设备最多支持32个字符。

由于802.1X很容易受到中间人攻击,尤其是用户密码,所以请确保用户密码的安全性。如果你有一个类似Active Directory的目录服务,你可以执行密码政策以确保密码足够复杂和定期更换。

总结

请记住,应该对你网络的有线和无线部分都考虑采用802.1X。在选购服务器之前,确保你没有RADIUS功能,然后再考虑免费的或者低成本的服务器。为了缓解部署工作,可以考虑从第三方证书颁发机构购买服务器的数字证书。考虑使用帮助自动化非域计算机和设备的配置工作的解决方案。最后,但并非不重要的一点,确保你的802.1X服务器和客户端设置得到安全配置。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭