dh2013 发表于 2014-2-9 22:46:11

802.1X成功部署的六个诀窍[2]

802.1X成功部署的六个诀窍


4、分布设置到非域设备

如果你运行的是Windows Server 2003或更高版本的Active Directory,你通常可以通过组策略将网络设置(包括802.1X和任何数字证书)分发到windows XP以及随后加入这个域的机器。但是对于不在域中的机器,例如用户自备的笔记本电脑、智能手机和平板电脑,除了手动用户配置外,还有其他解决方案可供你选择。

请记住你要分布三个关键的东西:你的RADIUS服务器使用的证书颁发机构的根证书,如果使用EAP-TLS的话的用户证书,以及网络和802.1X设置。

你可以使用免费的SU1X 802.1X配置部署工具用于Windows XP(SP3)、Vista和Windows 7。你需要进入设置和偏好,从已经设置好网络的PC中捕捉网络信息,然后这个工具将会创建一个向导,用户可以在其计算机上运行这个向导以自动配置网络和其他设置。该工具支持根证书以及网络和802.1X设置的分发。此外,你可以配置它来添加/删除其他网络配置,修改网络优先事项,以及开启NAP/SoH。该工具甚至还可以为IE和Firefox配置自动或手动代理服务器设置,以及添加/删除网络打印机。

用于802.1X配置部署的商业产品包括XpressConnect、ClearPass QuickConnect以及ClearPass Onboard。

XpressConnect支持根证书、其他用户证书以及网络和Windows、Mac OS X、Linux、Android和iOS设备上的802.1X(PEAP、TLS和TTLS(通道传输层安全))设置的分布。对于TTLS,它还支持SecureW2 TTLS客户端的安装。XpressConnect是一个基于云计算的解决方案,你可以在WEB控制台定义你的网络设置,然后它会创建一个向导,你可以将其分发给用户。

ClearPass QuickConnect和ClearPass Onboard都支持根证书和网络以及Windows、Mac OS X、Linux、Android和iOS设备上的802.1X(PEAP、TLS和TTLS)的分发。ClearPass QuickConnect 是基于云计算的服务,不支持分发任何用户证书。ClearPass Onboard是针对ClearPass Policy Manager平台的软件模块,支持用户证书分发。

对于一些移动操作系统,也有专门的解决方案可供你用于分发802.1X和其他网络设置,例如针对iOS的iPhone配置实用工具或者针对黑莓设备的Blackberry Enterprise Server Express。

5、保护802.1X客户端设置

802.1X很容易受到中间人攻击,例如,攻击者可以通过修改后的RADIUS服务器来设置一个重复的Wi-Fi信号,然后让用户连接,以捕捉和跟踪用户的登录信息。然而,你可以通过安全地配置客户端计算机和设备来阻止这种类型的攻击。

在Windows中,你需要检查EAP属性中启用/配置的三个关键的设置:

● 验证服务器证书:该设置应该启用。应该从列表框中选择你的RADIUS服务器使用的证书颁发机构,者能够确保用户连接到的网络使用的RADIUS服务器拥有由证书颁发机构颁发的服务器证书。

● 连接到这些服务器:该设置应该启用。应该输入你的RADIUS服务器的证书上列出的域,者能够确保客户端只能与具有服务器证书的RADIUS服务器通信。

● 不要提示用户授权新服务器或者可信证书颁发机构:应该启用以自动拒绝位置RADIUS服务器,而不是提示用户他们具有接受和连接的能力。

在Windows Visat和更高版本中,前两个设置应该在用户第一次登陆时,自动启用和配置。然而,最后一个设置应该手动启用,或者通过组策略或者其他分发方法来启用。在Windows XP中,用户必须手动配置所有设置,或者你也可以使用组策略或者其他分发方法。

对于不同的移动设备,802.1X设置在移动操作系统间有所不同。例如,Android只提供基本的802.1设置,而安装和选择RADIUS服务器的根证书以执行服务器验证功能属于可选功能。iOS允许你制定证书/域名称,还可以忽略其他证书以提高服务器验证的可靠性。

6、保护RADIUS服务器

不要忘了RADIUS服务器的安全性问题,毕竟它是处理验证的主要服务器。考虑专门使用一个单独的服务器来作为RADIUS服务器,确保其防火墙被锁定,并对位于另一台服务器上的RADIUS服务器用的任何数据库连接使用加密链接。

当生成共享秘密时,你需要输入到NAS(网络接入服务器)客户端列表或者RADIUS服务器数据库,使用强大的秘密。由于用户不必知道或者记住它们,可以使用非常长且复杂的秘密。请记住,大多数RADIUS服务器和NAS设备最多支持32个字符。

由于802.1X很容易受到中间人攻击,尤其是用户密码,所以请确保用户密码的安全性。如果你有一个类似Active Directory的目录服务,你可以执行密码政策以确保密码足够复杂和定期更换。
( 深度ghost xp sp3www.xitcz.com )
总结

请记住,应该对你网络的有线和无线部分都考虑采用802.1X。在选购服务器之前,确保你没有RADIUS功能,然后再考虑免费的或者低成本的服务器。为了缓解部署工作,可以考虑从第三方证书颁发机构购买服务器的数字证书。考虑使用帮助自动化非域计算机和设备的配置工作的解决方案。最后,但并非不重要的一点,确保你的802.1X服务器和客户端设置得到安全配置。
页: [1]
查看完整版本: 802.1X成功部署的六个诀窍[2]