Jest jeszcze problem uniwersalności. Czy ten sam mechanizm uwierzytelniania stosować dla wszystkich użytkowników, czy też może inaczej traktować użytkowników lokalnych, inaczej tych w sieci WAN, a jeszcze inaczej łączących się za pośrednictwem VPN? A co z gośćmi z zewnątrz - okazjonalnymi użytkownikami firmowej sieci WLAN? Jakkolwiek podział na grupy zaufania jest technicznie możliwy, pozostaje wątpliwość, czy ostateczne efekty są warte zachodu. Najwygodniej byłoby ustalić jedną metodę weryfikacji tożsamości i skupić się na jej efektywnym działaniu.

Na koniec pozostaje jeszcze sprawdzić, czy wszystkie warstwy infrastruktury wspierają ten sam schemat uwierzytelniania i tę samą jego wersję. Biorąc pod uwagę ich mnogość i fakt, że ich powstawanie było rozłożone w czasie, nie jest to wcale oczywiste. Z nowszymi urządzeniami nie powinno być problemu - w razie niezgodności powinna wystarczyć aktualizacja firmware. Kłopoty mogą pojawiać się w przypadku urządzeń starszych niż sprzed 3 lat.

Dojrzewające serwery

Wybór schematu uwierzytelniania jest niebagatelną decyzją także z innego powodu. Ustalenie restrykcyjnych reguł uwierzytelniania sprawdzi się w przypadku stacji roboczych na stałe wpiętych do sieci LAN, natomiast wątpliwe, czy będzie do utrzymania na notebookach. Problem polega bowiem na tym, że większość hot-spotów - dla "wygody" - działa bez jakichkolwiek restrykcji co do warunków uwierzytelniania. Jeżeli użytkownik wyjdzie w świat z notebookiem ustawionym na automatyczne wykorzystanie 802.1X, w większości przypadków nie będzie mógł skorzystać z Internetu.

Chyba, że uprze się i znajdzie odpowiednie opcje konfiguracyjne. Jednak liczenie na to, że użytkownicy nauczą się samodzielnie zmieniać ustawienia, jest mrzonką. Być może niektórzy, ale większość będzie oczekiwać, podobnie jak ma to miejsce w przypadku rozwiązań VPN, że "to będzie działać samo". Niestety, przynajmniej na razie nie będzie. W przypadku standardowego klienta Microsoftu dołączanego do Windows XP dostępna jest oddzielna zakładka we właściwościach połączenia sieciowego. Cisco dla odmiany oferuje wraz ze swoimi kartami własny interfejs konfiguracyjny... co jednak nie zwalnia użytkownika z odnalezienia i odpowiedniego ustawienia opcji w Windows.

Do rozwiązania pozostaje jeszcze kilka innych niuansów, na które wypada zwrócić uwagę, poszukując rozwiązań do budowy infrastruktury dla 802.1X. Na przykład serwery AAA, które są jej immanentnym składnikiem, to w wielu przypadkach produkty wciąż dojrzewające. Niejednemu z nich zapomniano np. dodać bezpiecznego przechowywania bazy haseł lub też założono, że połączenie między serwerem RADIUS a urządzeniem dostępowym jest bezpieczne.

Poza tym interfejsy administracyjne są dalekie od doskonałości, a biorąc pod uwagę, że wdrożenie obejmie całą firmę, wygoda zarządzania może mieć wpływ na czas trwania projektu, a więc i na koszty. Niestety, można doszukać się znacznie gorszych wpadek - niektóre konsole nie udostępniają własnych bezpiecznych kanałów komunikacji - czasami brak nawet "zwykłego" SSL.

Po stronie usług pośredniczących w uwierzytelnianiu zdarzają się niedoróbki w postaci braku możliwości automatycznego skorzystania z zapasowego serwera RADIUS, gdy pierwszy jest niedostępny.

Jako kluczowy element zabezpieczeń system AAA powinien być zdwojony. Oczywiście, że można to obejść, budując klaster ze współdzielonym przez dwa serwery (czy więcej) wirtualnym adresem IP, ale dlaczego wydawać pieniądze na klaster, skoro można tego uniknąć, wybierając odpowiedni produkt?

802.1X na tapecie

Wdrożenie protokołu 802.1X w sieci przewodowej może zasadniczo podnieść poziom bezpieczeństwa zasobów informatycznych. Przy założeniu, że wykorzystywany sprzęt jest w miarę nowy, koszt wdrożenia nie powinien być wysoki. Stosunek potencjalnych korzyści do kosztów wygląda naprawdę interesująco, zwłaszcza gdy sieć jest homogeniczna.

Mimo to, do wdrożeń 802.1X należy podchodzić ostrożnie. Jeżeli sieć ma być bezpieczna dzięki 802.1X, powinny go wykorzystywać wszystkie urządzenia podłączone do sieci, a więc także np. drukarki sieciowe, inteligentne systemy zasilania awaryjnego itp. Jeśli nie jest to możliwe, kwestię ich uwierzytelniania trzeba będzie rozwiązać w jakiś inny sposób, inaczej bowiem włamywacz podający się za drukarkę będzie mógł przełamać zabezpieczenia.

Wciąż pojawiają się nowe specyfikacje protokołów roboczych, jednak trzon technologii 802.1X nie będzie już ulegać zmianom, co będzie służyć stabilizowaniu implementacji. Najlepiej spisać listę wymagań jeszcze przed przystąpieniem do analizy konkretnych produktów - powinno to pomóc wychwycić niedociągnięcia. Można przy tym z dużym prawdopodobieństwem założyć, że wiele z dzisiejszych problemów zniknie w ciągu roku, najdalej dwóch lat.