发布时间: 2017-06-16 11:03:32
怎样能够在公司网络中成功布置和撑持802.1X认证协议关于网络工程师来说是一个应战,本文“802.1X成功布置的六个窍门”将有一些窍门能够协助你节约一些时刻和本钱。
1、思考运用免费或许低本钱的RAIUS效劳器
关于小型和中型网络,你不需求花太多钱在RADIUS(长途认证拨号用户效劳)效劳器上。首要查看你的路由器渠道、目录效劳或许其他效劳能否供给RADIUS/AAA(身份认证、授权和账户)。例如,若是你运转Windows
Server的Active Directory域,查看Windows Server 2003 R2以及更早版别的Internet
Authentication Service(IAS,Internet身份验证效劳)组件或许Windows Server
2008的Network Policy Server (NPS,网络方针效劳器)组件。若是你当时的效劳器不供给RADIUS功用,依然有许多免费和低成本的效劳器能够挑选:
1.FreeRADIUS是完全免费的开源产物,能够在Linux或许其他类UNIX的操作系统上运转,它最多能够撑持数百万用户和恳求。在默许情况下,FreeRADIUS有一个命令行界面,设置更改是经过修正装备文件来完成的。其装备是高度可定制的,而且,因为它是开源产物。你还能够对软件进行代码修正。
2.TekRADIUS是同享软件效劳器,在Windows上运转,而且供给一个GUI。该效劳器的根本功用是免费的,你还能够采办其他版别来获取EAP-TLS和动态自签名证书(用于受维护可扩大身份验证协议(PEAP)会话、VoIP计费以及其他公司功用)等功用。
还有两个适当低本钱的商业产物包含ClearBox和Elektron,它们都在Windows上运转,并供给30天免费试用。一些接入点乃至还嵌入了RADIUS效劳器,这关于小型网络而言十分有用。例如,HP ProCurve 530或许ZyXEL NWA-3500,NWA3166或NWA3160-N。还有根据云核算的效劳,例如AuthenticateMyWiFI,能够为802.1X供给保管RADIUS效劳器,关于哪些不想投入时刻和资源来树立个人的效劳器的公司而言,这种效劳十分好用。
2、一起为有线网络布置802.1X协议
你能够布置802.1X认证,仅仅期望经过WPA或许WPA2安全的公司形式来十分好地维护你的无线局域网。但你也应该思考为网络的有线端布置802.1X认证,尽管这并不能为有线衔接供给加密(思考IPsec来加密),但它将需求那些接入以太网的人在拜访网络之前进行身份验证。
3、采办数字证书
若是你现已为802.1X的EAP类型布置了PEAP,你还有必要加载RADIUS效劳器以及数字证书(用于可选的但十分重要的效劳器验证),这能有助于避免中间人进犯。你能够经过你个人的Certificate Authority(证书颁布组织)来创立一个自签名证书,但你的证书颁布组织的根证书有必要被加载到最终用户的核算机和设备上以让他们来进行效劳器验证。一般,你能够将证书颁布组织的根证书分发到管理核算机,例如若是你运转的是Windows Server 2003或更高版别的Active Directory,你能够经过组策略来分发。可是,关于非域和BYOD环境,证书有必要手动装置或许以另一种办法来散布。你也能够思考从受Windows和其他操作系统信赖的第三方证书颁布组织(例如VeriSign、Comodo或许GoDaddy)为你的RADIUS效劳器采办一个数字证书,这样你就不用忧虑分发根证书到核算机和设备的难题。
4、散布设置到非域设备
若是你运转的是Windows
Server 2003或更高版别的Active
Directory,你一般能够经过组策略将网络设置(包含802.1X和任何数字证书)分发到windows
XP以及随后参加这个域的机器。可是关于不在域中的机器,例如用户自备的笔记本电脑、智能手机和平板电脑,除了手动用户装备外,还有其他解决方案可供你挑选。 你能够运用免费的SU1X
802.1X装备布置东西用于Windows XP(SP3)、Vista和Windows
7。你需求进入设置和偏好,从现已设置好网络的PC中捕捉网络信息,然后这个东西将会创立一个导游,用户能够在其核算机上运转这个导游以主动装备网络和其他设置。该东西撑持根证书以及网络和802.1X设置的分发。此外,你能够装备它来增加/删去其他网络装备,修正网络优先事项,以及敞开NAP/SoH。该东西乃至还能够为IE和Firefox装备主动或手动代理效劳器设置,以及增加/删去网络打印机。
用于802.1X装备布置的商业产物包含XpressConnect、ClearPass QuickConnect以及ClearPass
Onboard。XpressConnect撑持根证书、其他用户证书以及网络和Windows、Mac
OS
X、Linux、Android和iOS设备上的802.1X(PEAP、TLS和TTLS(通道传输层安全))设置的散布。关于TTLS,它还撑持SecureW2
TTLS客户端的装置。XpressConnect是一个根据云核算的解决方案,你能够在WEB控制台界说你的网络设置,然后它会创立一个导游,你能够将其分发给用户。ClearPass
QuickConnect和ClearPass Onboard都撑持根证书和网络以及Windows、Mac OS
X、Linux、Android和iOS设备上的802.1X(PEAP、TLS和TTLS)的分发。ClearPass QuickConnect
是根据云核算的效劳,不撑持分发任何用户证书。ClearPass Onboard是对准ClearPass Policy
Manager渠道的软件模块,撑持用户证书分发。 关于一些挪动操作系统,也有专门的解决方案可供你用于分发802.1X和其他网络设置,例如对准iOS的iPhone装备有用东西或许对准黑莓设备的Blackberry Enterprise Server Express。
5、维护802.1X客户端设置
802.1X很简单遭到中间人进犯,例如,进犯者能够经过修正后的RADIUS效劳器来设置一个重复的Wi-Fi信号,然后让用户衔接,以捕捉和盯梢用户的登录信息。可是,你能够经过安全地装备客户端核算机和设备来阻碍这种类型的进犯。在Windows中,你需求查看EAP特点中启用/装备的三个要害的设置:
● 验证效劳器证书:该设置应该启用。应该从列表框中挑选你的RADIUS效劳器运用的证书颁布组织,者能够保证用户衔接到的网络运用的RADIUS效劳器具有由证书颁布组织颁布的效劳器证书。
● 衔接到这些效劳器:该设置应该启用。应该输入你的RADIUS效劳器的证书上列出的域,者能够保证客户端只能与具有效劳器证书的RADIUS效劳器通讯。
● 不要提示用户授权新效劳器或许可信证书颁布组织:应该启用以主动回绝方位RADIUS效劳器,而不是提示用户他们具有承受和衔接的才能。
在Windows Visat和更高版别中,前两个设置应该在用户第一次登入时,主动启用和装备。可是,最终一个设置应该手动启用,或许经过组策略或许其他分发办法来启用。在Windows XP中,用户有必要手动装备一切设置,或许你也能够运用组策略或许其他分发办法。关于不一样的挪动设备,802.1X设置在挪动操作系统间有所不一样。例如,Android只供给根本的802.1设置,而装置和挑选RADIUS效劳器的根证书以履行效劳器验证功用归于可选功用。iOS答应你拟定证书/域称号,还能够疏忽其他证书以进步效劳器验证的可靠性。
6、维护RADIUS效劳器
不要忘了RADIUS效劳器的安全性难题,究竟它是处置验证的首要效劳器。思考专门运用一个独自的效劳器来作为RADIUS效劳器,保证其防火墙被确定,并对坐落另一台效劳器上的RADIUS效劳器用的任何数据库衔接运用加密连接。当生成同享隐秘时,你需求输入到NAS(网络接入效劳器)客户端列表或许RADIUS效劳器数据库,运用强壮的隐秘。因为用户不用晓得或许记住它们,能够运用十分长且杂乱的隐秘。请记住,大多数RADIUS效劳器和NAS设备最多撑持32个字符。因为802.1X很简单遭到中间人进犯,尤其是用户暗码,所以请保证用户暗码的安全性。若是你有一个相似Active Directory的目录效劳,你能够履行暗码方针以保证暗码满足杂乱和定时替换。
总结
请记住,应该对你网络的有线和无线有些都思考选用802.1X。在选购效劳器之前,保证你没有RADIUS功用,然后再思考免费的或许低本钱的效劳器。为了减轻布置作业,能够思考从第三方证书颁布组织采办效劳器的数字证书。思考运用协助主动化非域核算机和设备的装备作业的解决方案。最终,但并非不重要的一点,保证你的802.1X效劳器和客户端设置得到安全装备。
上一篇: {思科CCIE-RS}思科多层交换概述