Jak skutecznie wdrożyć 802.1X
- Eric Geier,
- 10.01.2013, godz. 10:00
XpressConnect zapewnia dostarczanie certyfikatów głównych i certyfikatów użytkowników, ustawień sieciowych oraz 802.1X (PEAP, TLS i TTLS) na urządzeniach z systemami Windows, Mac OS X, Linux, Android oraz iOS. W przypadku TTLS narzędzie obsługuje także instalację suplikanta SecureW2 TTLS. XpressConnect jest rozwiązaniem opartym na chmurze - w przeglądarkowej konsoli definiujemy nasze ustawienia sieciowe, a następnie tworzymy kreatora, którego dystrybuujemy na urządzenia końcowe.
Zarówno ClearPass QuickConnect, jak i ClearPass Onboard zapewniają dostarczanie certyfikatów głównych, ustawień sieciowych oraz 802.1X (PEAP, TLS i TTLS) na urządzeniach z systemami Windows, Mac OS X, Android oraz iOS. ClearPass QuickConnect to usługa z chmury i nie oferuje dystrybuowania żadnych certyfikatów użytkowników. Obsługuje to ClearPass Onboard, który jest modułem programowym platformy ClearPass Policy Manager.
Dostępne są także rozwiązania dla konkretnych mobilnych systemów operacyjnych, dystrybuujące ustawienia 802.1X i inne sieciowe. Jest wśród nich iPhone Configuration Utility, a dla terminali BlackBerry robi to zarówno BES, jak i jego bezpłatna wersja Express.
5. Zabezpieczenie ustawień klienta 802.1X
802.1X może być podatny na ataki man-in-the-middle, np. atakujący może dostarczyć sygnał WiFi z podstawionym serwerem RADIUS (np. przy użyciu FreeRadius-WPE), zwabić użytkowników, by się podłączyli, a następnie złamać ich dane uwierzytelniające. Można jednak przeciwdziałać tego typu atakom, bezpiecznie konfigurując komputery i urządzenia klienckie.
W Windows, we właściwościach EAP powinniśmy sprawdzić trzy podstawowe ustawienia, czy są one włączone/skonfigurowane:
• Ustawienie "Połącz tylko z tymi serwerami" powinno być włączone, a domena wymieniona na certyfikacie naszego RADIUS-a powinna być wprowadzona. Zapewnimy w ten sposób to, że klient komunikuje się wyłącznie z serwerami RADIUS z certyfikatem wystawionym dla naszej domeny.
• Ustawienie "Nie monituj użytkownika o autoryzowanie nowych serwerów lub zaufanych urzędów certyfikacji powinno być włączone. Zapewnimy w ten sposób automatyczne odrzucanie nieznanych serwerów RADIUS, nie zdając się na decyzje użytkownika.
Dla systemów Windows Vista i nowszych pierwsze dwa ustawienia powinny się automatycznie włączyć i skonfigurować przy pierwszym logowaniu użytkownika. Jednak trzecie ustawienie musi zostać włączone ręcznie lub poprzez zasady grupy (albo inną metodę dystrybucji). W Windows XP trzeba zrobić to dla wszystkich trzech ustawień.
W przypadku urządzeń mobilnych właściwe ustawienia 802.1X różnią się zależnie od systemu operacyjnego. Na przykład Android oferuje jedynie podstawowe ustawienia 802.1X z opcją zainstalowania i wybrania certyfikatu głównego CA naszego serwera RADIUS, by mogła być przeprowadzona jego walidacja. IOS pozwala dodatkowo na wyszczególnienie nazwy certyfikatu/domeny i ignorowanie innych certyfikatów, by zwiększyć wiarygodność walidacji serwera.