成功部署802.1X的六個訣竅

在網絡中部署和支持802.1X認證協議是一個挑戰，這里有一些技巧可以幫助你節省一些時間和成本。

1、考慮使用免費或者低成本的RAIUS服務器

對于小型和中型網絡，你不需要花太多錢在RADIUS(遠程認證撥號用戶服務)服務器上。首先檢查你的路由器平臺、目錄服務或者其他服務是否提供RADIUS/AAA(身份認證、授權和賬戶)。例如，如果你運行Windows Server的Active Directory域，檢查Windows Server 2003 R2以及更早版本的Internet Authentication Service(IAS，Internet身份驗證服務)組件或者Windows Server 2008的Network Policy Server (NPS，網絡政策服務器)組件。

如果你當前的服務器不提供RADIUS功能，仍然有很多免費和低成本的服務器可以選擇：

FreeRADIUS是完全免費的開源產品，可以在Linux或者其他類Unix的操作系統上運行，它最多可以支持數百萬用戶和請求。在默認情況下，FreeRADIUS有一個命令行界面，設置更改是通過編輯配置文件來實現的。其配置是高度可定制的，并且，因為它是開源產品。你還可以對軟件進行代碼修改。

TekRADIUS是共享軟件服務器，在Windows上運行，并且提供一個GUI。該服務器的基本功能是免費的，你還可以購買其他版本來獲取EAP-TLS和動態自簽名證書(用于受保護可擴展身份驗證協議(PEAP)會話、VoIP計費以及其他企業功能)等功能。

還有兩個相當低成本的商業產品包括ClearBox和Elektron，它們都在Windows上運行，并提供30天免費試用。

一些接入點甚至還嵌入了RADIUS服務器，這對于小型網絡而言非常實用。例如，HP ProCurve 530或者ZyXEL NWA-3500，NWA3166或NWA3160-N。

還有基于云計算的服務，例如AuthenticateMyWiFI，可以為802.1X提供托管RADIUS服務器，對于哪些不想投入時間和資源來建立自己的服務器的企業而言，這種服務非常好用。

2、同時為有線網絡部署802.1X協議

你可能部署802.1X認證，只是希望通過WPA或者WPA2安全的企業模式來更好地保護你的無線局域網。但你也應該考慮為網絡的有線端部署802.1X認證，雖然這并不能為有線連接提供加密(考慮IPsec來加密)，但它將要求那些接入以太網的人在訪問網絡之前進行身份驗證。

3、購買數字證書

如果你已經為802.1X的EAP類型部署了PEAP，你還必須加載RADIUS服務器以及數字證書(用于可選的但非常重要的服務器驗證)，這能有助于防止中間人攻擊。

你可以通過你自己的Certificate Authority(證書頒發機構)來創建一個自簽名證書，但你的證書頒發機構的根證書必須被加載到最終用戶的計算機和設備上以讓他們來進行服務器驗證。

通常，你可以將證書頒發機構的根證書分發到管理計算機，例如如果你運行的是Windows Server 2003或更高版本的Active Directory，你可以通過組策略來分發。然而，對于非域和BYOD環境，證書必須手動安裝或者以另一種方式來分布。

你也可以考慮從受Windows和其他操作系統信任的第三方證書頒發機構(例如VeriSign、Comodo或者GoDaddy)為你的RADIUS服務器購買一個數字證書，這樣你就不用擔心分發根證書到計算機和設備的問題。

4、分布設置到非域設備

如果你運行的是Windows Server 2003或更高版本的Active Directory，你通常可以通過組策略將網絡設置(包括802.1X和任何數字證書)分發到windows XP以及隨后加入這個域的機器。但是對于不在域中的機器，例如用戶自備的筆記本電腦、智能手機和平板電腦，除了手動用戶配置外，還有其他解決方案可供你選擇。

請記住你要分布三個關鍵的東西：你的RADIUS服務器使用的證書頒發機構的根證書，如果使用EAP-TLS的話的用戶證書，以及網絡和802.1X設置。

你可以使用免費的SU1X 802.1X配置部署工具用于Windows XP(SP3)、Vista和Windows 7。你需要進入設置和偏好，從已經設置好網絡的PC中捕捉網絡信息，然后這個工具將會創建一個向導，用戶可以在其計算機上運行這個向導以自動配置網絡和其他設置。該工具支持根證書以及網絡和802.1X設置的分發。此外，你可以配置它來添加/刪除其他網絡配置，修改網絡優先事項，以及開啟NAP/SoH。該工具甚至還可以為IE和Firefox配置自動或手動代理服務器設置，以及添加/刪除網絡打印機。

用于802.1X配置部署的商業產品包括XpressConnect、ClearPass QuickConnect以及ClearPass Onboard。

XpressConnect支持根證書、其他用戶證書以及網絡和Windows、Mac OS X、Linux、Android和iOS設備上的802.1X(PEAP、TLS和TTLS(通道傳輸層安全))設置的分布。對于TTLS，它還支持SecureW2 TTLS客戶端的安裝。XpressConnect是一個基于云計算的解決方案，你可以在web控制臺定義你的網絡設置，然后它會創建一個向導，你可以將其分發給用戶。

ClearPass QuickConnect和ClearPass Onboard都支持根證書和網絡以及Windows、Mac OS X、Linux、Android和iOS設備上的802.1X(PEAP、TLS和TTLS)的分發。ClearPass QuickConnect 是基于云計算的服務，不支持分發任何用戶證書。ClearPass Onboard是針對ClearPass Policy Manager平臺的軟件模塊，支持用戶證書分發。

對于一些移動操作系統，也有專門的解決方案可供你用于分發802.1X和其他網絡設置，例如針對iOS的iPhone配置實用工具或者針對黑莓設備的Blackberry Enterprise Server Express。

5、保護802.1X客戶端設置

802.1X很容易受到中間人攻擊，例如，攻擊者可以通過修改后的RADIUS服務器來設置一個重復的Wi-Fi信號，然后讓用戶連接，以捕捉和跟蹤用戶的登錄信息。然而，你可以通過安全地配置客戶端計算機和設備來阻止這種類型的攻擊。

在Windows中，你需要檢查EAP屬性中啟用/配置的三個關鍵的設置:

● 驗證服務器證書：該設置應該啟用。應該從列表框中選擇你的RADIUS服務器使用的證書頒發機構，者能夠確保用戶連接到的網絡使用的RADIUS服務器擁有由證書頒發機構頒發的服務器證書。

● 連接到這些服務器：該設置應該啟用。應該輸入你的RADIUS服務器的證書上列出的域，者能夠確保客戶端只能與具有服務器證書的RADIUS服務器通信。