成功部署802.1X的六個(gè)訣竅

● 不要提示用戶(hù)授權(quán)新服務(wù)器或者可信證書(shū)頒發(fā)機(jī)構(gòu)：應(yīng)該啟用以自動(dòng)拒絕位置RADIUS服務(wù)器，而不是提示用戶(hù)他們具有接受和連接的能力。

在Windows Visat和更高版本中，前兩個(gè)設(shè)置應(yīng)該在用戶(hù)第一次登陸時(shí)，自動(dòng)啟用和配置。然而，最后一個(gè)設(shè)置應(yīng)該手動(dòng)啟用，或者通過(guò)組策略或者其他分發(fā)方法來(lái)啟用。在Windows XP中，用戶(hù)必須手動(dòng)配置所有設(shè)置，或者你也可以使用組策略或者其他分發(fā)方法。

對(duì)于不同的移動(dòng)設(shè)備，802.1X設(shè)置在移動(dòng)操作系統(tǒng)間有所不同。例如，Android只提供基本的802.1設(shè)置，而安裝和選擇RADIUS服務(wù)器的根證書(shū)以執(zhí)行服務(wù)器驗(yàn)證功能屬于可選功能。iOS允許你制定證書(shū)/域名稱(chēng)，還可以忽略其他證書(shū)以提高服務(wù)器驗(yàn)證的可靠性。

6、保護(hù)RADIUS服務(wù)器

不要忘了RADIUS服務(wù)器的安全性問(wèn)題，畢竟它是處理驗(yàn)證的主要服務(wù)器。考慮專(zhuān)門(mén)使用一個(gè)單獨(dú)的服務(wù)器來(lái)作為RADIUS服務(wù)器，確保其防火墻被鎖定，并對(duì)位于另一臺(tái)服務(wù)器上的RADIUS服務(wù)器用的任何數(shù)據(jù)庫(kù)連接使用加密鏈接。

當(dāng)生成共享秘密時(shí)，你需要輸入到NAS(網(wǎng)絡(luò)接入服務(wù)器)客戶(hù)端列表或者RADIUS服務(wù)器數(shù)據(jù)庫(kù)，使用強(qiáng)大的秘密。由于用戶(hù)不必知道或者記住它們，可以使用非常長(zhǎng)且復(fù)雜的秘密。請(qǐng)記住，大多數(shù)RADIUS服務(wù)器和NAS設(shè)備最多支持32個(gè)字符。

由于802.1X很容易受到中間人攻擊，尤其是用戶(hù)密碼，所以請(qǐng)確保用戶(hù)密碼的安全性。如果你有一個(gè)類(lèi)似Active Directory的目錄服務(wù)，你可以執(zhí)行密碼政策以確保密碼足夠復(fù)雜和定期更換。

總結(jié)

請(qǐng)記住，應(yīng)該對(duì)你網(wǎng)絡(luò)的有線和無(wú)線部分都考慮采用802.1X。在選購(gòu)服務(wù)器之前，確保你沒(méi)有RADIUS功能，然后再考慮免費(fèi)的或者低成本的服務(wù)器。為了緩解部署工作，可以考慮從第三方證書(shū)頒發(fā)機(jī)構(gòu)購(gòu)買(mǎi)服務(wù)器的數(shù)字證書(shū)。考慮使用幫助自動(dòng)化非域計(jì)算機(jī)和設(shè)備的配置工作的解決方案。最后，但并非不重要的一點(diǎn)，確保你的802.1X服務(wù)器和客戶(hù)端設(shè)置得到安全配置。