RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。
RADIUS协议认证机制灵活,可以采用PAP、 CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。
一、一般情况下,我们运行的是Windows Server 2003或更高版本的Active Directory,通常可以通过组策略将网络设置(包括802.1X和任何数字证书)分发到windows XP以及随后加入这个域的机器。
但是对于不在域中的机器,例如用户自备的笔记本电脑、智能手机和平板电脑,除了手动用户配置外,还有其他解决方案可供你选择,这里要注意的是RADIUS服务器使用的证书颁发机构的根证书,如果使用EAP-TLS的话的用户证书,以及网络和802.1X设置。
二、我们可以使用免费的SU1X 802.1X配置部署工具用于Windows XP(SP3)、Vista和Windows 7。你需要进入设置和偏好,从已经设置好网络的PC中捕捉网络信息,然后这个工具将会创建一个向导,用户可以在其计算机上运行这个向导以自动配置网络和其他设置。该工具支持根证书以及网络和802.1X设置的分发。
此外,你可以配置它来添加/删除其他网络配置,修改网络优先事项,以及开启NAP/SoH。该工具甚至还可以为IE和Firefox配置自动或手动代理服务器设置,以及添加/删除网络打印机。
三、用于802.1X配置部署的商业产品包括XpressConnect、ClearPass QuickConnect以及ClearPass Onboard,XpressConnect支持根证书、其他用户证书以及网络和Windows、Mac OS X、Linux、Android和iOS设备上的802.1X(PEAP、TLS和TTLS(通道传输层安全))设置的分布。
对于TTLS,它还支持SecureW2 TTLS客户端的安装。XpressConnect是一个基于云计算的解决方案,你可以在web控制台定义你的网络设置,然后它会创建一个向导,你可以将其分发给用户。
四、ClearPass QuickConnect和ClearPass Onboard都支持根证书和网络以及Windows、Mac OS X、Linux、Android和iOS设备上的802.1X(PEAP、TLS和TTLS)的分发。ClearPass QuickConnect 是基于云计算的服务,不支持分发任何用户证书。
ClearPass Onboard是针对ClearPass Policy Manager平台的软件模块,支持用户证书分发,对于一些移动操作系统,也有专门的解决方案可供你用于分发802.1X和其他网络设置。
五、保护802.1X客户端设置,802.1X很容易受到中间人攻击,例如,攻击者可以通过修改后的RADIUS服务器来设置一个重复的Wi-Fi信号,然后让用户连接,以捕捉和跟踪用户的登录信息。然而,你可以通过安全地配置客户端计算机和设备来阻止这种类型的攻击:
1、验证服务器证书:该设置应该启用。应该从列表框中选择你的RADIUS服务器使用的证书颁发机构,者能够确保用户连接到的网络使用的RADIUS服务器拥有由证书颁发机构颁发的服务器证书。
2、连接到这些服务器:该设置应该启用。应该输入你的RADIUS服务器的证书上列出的域,者能够确保客户端只能与具有服务器证书的RADIUS服务器通信。
3、不要提示用户授权新服务器或者可信证书颁发机构:应该启用以自动拒绝位置RADIUS服务器,而不是提示用户他们具有接受和连接的能力。
六、在Windows Visat和更高版本中,前两个设置应该在用户第一次登陆时,自动启用和配置。然而,最后一个设置应该手动启用,或者通过组策略或者其他分发方法来启用。在Windows XP中,用户必须手动配置所有设置,或者你也可以使用组策略或者其他分发方法。
七、保护RADIUS服务器,不要忘了RADIUS服务器的安全性问题,毕竟它是处理验证的主要服务器。
考虑专门使用一个单独的服务器来作为RADIUS服务器,确保其防火墙被锁定,并对位于另一台服务器上的RADIUS服务器用的任何数据库连接使用加密链接,当生成共享秘密时,你需要输入到NAS(网络接入服务器)客户端列表或者RADIUS服务器数据库,使用强大的秘密。
由于用户不必知道或者记住它们,可以使用非常长且复杂的秘密。请记住,大多数RADIUS服务器和NAS设备最多支持32个字符。
由于802.1X很容易受到中间人攻击,尤其是用户密码,所以请确保用户密码的安全性。如果你有一个类似Active Directory的目录服务,你可以执行密码政策以确保密码足够复杂和定期更换。
