802.1X成功部署的六个诀窍[2]

dh2013

802.1X成功部署的六个诀窍[2]


4、分布设置到非域设备

如果你运行的是Windows Server 2003或更高版本的Active Directory，你通常可以通过组策略将网络设置(包括802.1X和任何数字证书)分发到windows XP以及随后加入这个域的机器。但是对于不在域中的机器，例如用户自备的笔记本电脑、智能手机和平板电脑，除了手动用户配置外，还有其他解决方案可供你选择。

请记住你要分布三个关键的东西：你的RADIUS服务器使用的证书颁发机构的根证书，如果使用EAP-TLS的话的用户证书，以及网络和802.1X设置。

你可以使用免费的SU1X 802.1X配置部署工具用于Windows XP(SP3)、Vista和Windows 7。你需要进入设置和偏好，从已经设置好网络的PC中捕捉网络信息，然后这个工具将会创建一个向导，用户可以在其计算机上运行这个向导以自动配置网络和其他设置。该工具支持根证书以及网络和802.1X设置的分发。此外，你可以配置它来添加/删除其他网络配置，修改网络优先事项，以及开启NAP/SoH。该工具甚至还可以为IE和Firefox配置自动或手动代理服务器设置，以及添加/删除网络打印机。

用于802.1X配置部署的商业产品包括XpressConnect、ClearPass QuickConnect以及ClearPass Onboard。

XpressConnect支持根证书、其他用户证书以及网络和Windows、Mac OS X、Linux、Android和iOS设备上的802.1X(PEAP、TLS和TTLS(通道传输层安全))设置的分布。对于TTLS，它还支持SecureW2 TTLS客户端的安装。XpressConnect是一个基于云计算的解决方案，你可以在WEB控制台定义你的网络设置，然后它会创建一个向导，你可以将其分发给用户。

ClearPass QuickConnect和ClearPass Onboard都支持根证书和网络以及Windows、Mac OS X、Linux、Android和iOS设备上的802.1X(PEAP、TLS和TTLS)的分发。ClearPass QuickConnect 是基于云计算的服务，不支持分发任何用户证书。ClearPass Onboard是针对ClearPass Policy Manager平台的软件模块，支持用户证书分发。

对于一些移动操作系统，也有专门的解决方案可供你用于分发802.1X和其他网络设置，例如针对iOS的iPhone配置实用工具或者针对黑莓设备的Blackberry Enterprise Server Express。

5、保护802.1X客户端设置

802.1X很容易受到中间人攻击，例如，攻击者可以通过修改后的RADIUS服务器来设置一个重复的Wi-Fi信号，然后让用户连接，以捕捉和跟踪用户的登录信息。然而，你可以通过安全地配置客户端计算机和设备来阻止这种类型的攻击。

在Windows中，你需要检查EAP属性中启用/配置的三个关键的设置:

● 验证服务器证书：该设置应该启用。应该从列表框中选择你的RADIUS服务器使用的证书颁发机构，者能够确保用户连接到的网络使用的RADIUS服务器拥有由证书颁发机构颁发的服务器证书。

● 连接到这些服务器：该设置应该启用。应该输入你的RADIUS服务器的证书上列出的域，者能够确保客户端只能与具有服务器证书的RADIUS服务器通信。

● 不要提示用户授权新服务器或者可信证书颁发机构：应该启用以自动拒绝位置RADIUS服务器，而不是提示用户他们具有接受和连接的能力。

在Windows Visat和更高版本中，前两个设置应该在用户第一次登陆时，自动启用和配置。然而，最后一个设置应该手动启用，或者通过组策略或者其他分发方法来启用。在Windows XP中，用户必须手动配置所有设置，或者你也可以使用组策略或者其他分发方法。

对于不同的移动设备，802.1X设置在移动操作系统间有所不同。例如，Android只提供基本的802.1设置，而安装和选择RADIUS服务器的根证书以执行服务器验证功能属于可选功能。iOS允许你制定证书/域名称，还可以忽略其他证书以提高服务器验证的可靠性。

6、保护RADIUS服务器

不要忘了RADIUS服务器的安全性问题，毕竟它是处理验证的主要服务器。考虑专门使用一个单独的服务器来作为RADIUS服务器，确保其防火墙被锁定，并对位于另一台服务器上的RADIUS服务器用的任何数据库连接使用加密链接。

当生成共享秘密时，你需要输入到NAS(网络接入服务器)客户端列表或者RADIUS服务器数据库，使用强大的秘密。由于用户不必知道或者记住它们，可以使用非常长且复杂的秘密。请记住，大多数RADIUS服务器和NAS设备最多支持32个字符。

由于802.1X很容易受到中间人攻击，尤其是用户密码，所以请确保用户密码的安全性。如果你有一个类似Active Directory的目录服务，你可以执行密码政策以确保密码足够复杂和定期更换。
( 深度ghost xp sp3www.xitcz.com )
总结

请记住，应该对你网络的有线和无线部分都考虑采用802.1X。在选购服务器之前，确保你没有RADIUS功能，然后再考虑免费的或者低成本的服务器。为了缓解部署工作，可以考虑从第三方证书颁发机构购买服务器的数字证书。考虑使用帮助自动化非域计算机和设备的配置工作的解决方案。最后，但并非不重要的一点，确保你的802.1X服务器和客户端设置得到安全配置。