6. Zabezpieczenie serwera RADIUS

Jeśli nasz RADIUS ma być pewną i niezawodną platformą uwierzytelniania, nie możemy zapomnieć o jego ochronie. Warto rozważyć przeznaczenie oddzielnego serwera wyłącznie do tej roli, upewniając się że jego firewall jest szczelny. Warto wdrożyć szyfrowanie w połączeniach RADIUS-a z bazą danych, rezydującą na innym serwerze.

Gdy zabezpieczamy współdzielonym hasłem listę klientów serwera NAS (Network Access Server) lub bazę danych RADIUS-a, to powinno być ono odpowiednio mocne. Ponieważ jest wpisywane raz i nie ma potrzeby go stale pamiętać, niech będzie bardzo długie i złożone (większość serwerów RADIUS i NAS pozwala na wprowadzenie w haśle 32 znaków).

Ponieważ protokół 802.1X jest podatny na ataki man-in-the-middle na hasła użytkowników, to zadbajmy, by także one były wystarczająco mocne. Jeśli używamy usług katalogowych - jak Active Directory - możemy wymusić reguły tworzenia haseł, by były one silne i co jakiś czas zmieniane.

Wszystko, co najważniejsze

Warto wykorzystać 802.1X zarówno do sieci bezprzewodowej, jaki i przewodowej. Zanim zaczniemy rozglądać się za RADIUS-em, sprawdźmy czy już nie mamy takiej funkcjonalności w naszej sieci. Aby ułatwić sobie wdrożenie, warto rozważyć zakupienie certyfikatu od zewnętrznego centrum certyfikacji (CA). Ułatwieniem będzie też zautomatyzowanie konfigurowania komputerów i urządzeń spoza domeny. Last, but not least - zadbajmy by nasz serwer 802.1X i urządzenia klienckie były bezpiecznie skonfigurowane.

(oprac. tj)