XpressConnect zapewnia dostarczanie certyfikatów głównych i certyfikatów użytkowników, ustawień sieciowych oraz 802.1X (PEAP, TLS i TTLS) na urządzeniach z systemami Windows, Mac OS X, Linux, Android oraz iOS. W przypadku TTLS narzędzie obsługuje także instalację suplikanta SecureW2 TTLS. XpressConnect jest rozwiązaniem opartym na chmurze - w przeglądarkowej konsoli definiujemy nasze ustawienia sieciowe, a następnie tworzymy kreatora, którego dystrybuujemy na urządzenia końcowe.

Zarówno ClearPass QuickConnect, jak i ClearPass Onboard zapewniają dostarczanie certyfikatów głównych, ustawień sieciowych oraz 802.1X (PEAP, TLS i TTLS) na urządzeniach z systemami Windows, Mac OS X, Android oraz iOS. ClearPass QuickConnect to usługa z chmury i nie oferuje dystrybuowania żadnych certyfikatów użytkowników. Obsługuje to ClearPass Onboard, który jest modułem programowym platformy ClearPass Policy Manager.

Dostępne są także rozwiązania dla konkretnych mobilnych systemów operacyjnych, dystrybuujące ustawienia 802.1X i inne sieciowe. Jest wśród nich iPhone Configuration Utility, a dla terminali BlackBerry robi to zarówno BES, jak i jego bezpłatna wersja Express.

5. Zabezpieczenie ustawień klienta 802.1X

802.1X może być podatny na ataki man-in-the-middle, np. atakujący może dostarczyć sygnał WiFi z podstawionym serwerem RADIUS (np. przy użyciu FreeRadius-WPE), zwabić użytkowników, by się podłączyli, a następnie złamać ich dane uwierzytelniające. Można jednak przeciwdziałać tego typu atakom, bezpiecznie konfigurując komputery i urządzenia klienckie.

W Windows, we właściwościach EAP powinniśmy sprawdzić trzy podstawowe ustawienia, czy są one włączone/skonfigurowane:

• Ustawienie "Weryfikuj certyfikat serwera" powinno być włączone, a CA używane przez nasz serwer RADIUS powinno być wybrane z listy. Zapewnimy w ten sposób to, że użytkownik połączy się z naszym RADIUS-em.

• Ustawienie "Połącz tylko z tymi serwerami" powinno być włączone, a domena wymieniona na certyfikacie naszego RADIUS-a powinna być wprowadzona. Zapewnimy w ten sposób to, że klient komunikuje się wyłącznie z serwerami RADIUS z certyfikatem wystawionym dla naszej domeny.

• Ustawienie "Nie monituj użytkownika o autoryzowanie nowych serwerów lub zaufanych urzędów certyfikacji powinno być włączone. Zapewnimy w ten sposób automatyczne odrzucanie nieznanych serwerów RADIUS, nie zdając się na decyzje użytkownika.

Dla systemów Windows Vista i nowszych pierwsze dwa ustawienia powinny się automatycznie włączyć i skonfigurować przy pierwszym logowaniu użytkownika. Jednak trzecie ustawienie musi zostać włączone ręcznie lub poprzez zasady grupy (albo inną metodę dystrybucji). W Windows XP trzeba zrobić to dla wszystkich trzech ustawień.

W przypadku urządzeń mobilnych właściwe ustawienia 802.1X różnią się zależnie od systemu operacyjnego. Na przykład Android oferuje jedynie podstawowe ustawienia 802.1X z opcją zainstalowania i wybrania certyfikatu głównego CA naszego serwera RADIUS, by mogła być przeprowadzona jego walidacja. IOS pozwala dodatkowo na wyszczególnienie nazwy certyfikatu/domeny i ignorowanie innych certyfikatów, by zwiększyć wiarygodność walidacji serwera.