Jak skutecznie wdrożyć 802.1X
- Eric Geier,
- 10.01.2013, godz. 10:00
6. Zabezpieczenie serwera RADIUS
Istnieją nawet usługi w modelu chmury, takie jak AuthenticateMyWiFi, oferujące hostowany serwer RADIUS do usług 802.1X.
Gdy zabezpieczamy współdzielonym hasłem listę klientów serwera NAS (Network Access Server) lub bazę danych RADIUS-a, to powinno być ono odpowiednio mocne. Ponieważ jest wpisywane raz i nie ma potrzeby go stale pamiętać, niech będzie bardzo długie i złożone (większość serwerów RADIUS i NAS pozwala na wprowadzenie w haśle 32 znaków).
Ponieważ protokół 802.1X jest podatny na ataki man-in-the-middle na hasła użytkowników, to zadbajmy, by także one były wystarczająco mocne. Jeśli używamy usług katalogowych - jak Active Directory - możemy wymusić reguły tworzenia haseł, by były one silne i co jakiś czas zmieniane.
Wszystko, co najważniejsze
Warto wykorzystać 802.1X zarówno do sieci bezprzewodowej, jaki i przewodowej. Zanim zaczniemy rozglądać się za RADIUS-em, sprawdźmy czy już nie mamy takiej funkcjonalności w naszej sieci. Aby ułatwić sobie wdrożenie, warto rozważyć zakupienie certyfikatu od zewnętrznego centrum certyfikacji (CA). Ułatwieniem będzie też zautomatyzowanie konfigurowania komputerów i urządzeń spoza domeny. Last, but not least - zadbajmy by nasz serwer 802.1X i urządzenia klienckie były bezpiecznie skonfigurowane.
(oprac. tj)