Jak skutecznie wdrożyć 802.1X

Wdrożenie i obsługa uwierzytelniania 802.1X w naszej niewielkiej sieci może być wyzwaniem. Jeśli jednak zastosujemy się do pewnych wskazówek, to możemy zaoszczędzić czas, pieniądze i niepotrzebne stresy.

1. Użycie darmowego/niedrogiego serwera RADIUS

W przypadku niewielkich sieci nie musimy wydawać fortuny na serwer RADIUS (Remote Authentication Dial-In User Service). Po pierwsze, sprawdźmy, czy nasz router, usługi katalogowe albo inny serwer w sieci nie zapewniają już nam obsługi RADIUS/AAA (Authentication, Authorization, Accounting - czyli uwierzytelnianie, autoryzację oraz kontrolę dostępu do zasobów sieciowych). Na przykład, jeśli w naszej sieci jest domena Active Directory na serwerze Windows, to mamy komponent Internet Authentication Service (IAS) - w przypadku Windows Server 2003 R2 (i wcześniejszych wydaniach) - albo Network Policy Server (NPS) z Windows Server 2008 i późniejszych.

Jeśli jednak nasz obecny serwer nie zapewnia funkcjonalności RADIUS, to możemy wykorzystać jedno z wielu dostępnych za darmo lub niedrogich rozwiązań.

Od Windows Server 2008 Microsoft oferuję usługę RADIUS w postaci Network Policy Server (NPS). Wcześniej zapewniała to usługa serwerowa Internet Authentication Service (IAS). Jak większość usług serwerowych Windows, NPS konfiguruje się przy użyciu GUI.

Od Windows Server 2008 Microsoft oferuję usługę RADIUS w postaci Network Policy Server (NPS). Wcześniej zapewniała to usługa serwerowa Internet Authentication Service (IAS). Jak większość usług serwerowych Windows, NPS konfiguruje się przy użyciu GUI.

Przykładem może być FreeRADIUS, zupełnie darmowy serwer open source dla różnych odmian Linuksa (co prawda FreeRADIUS.org nie ma wersji dla Windows, ale FreeRADIUS.net stworzyła taką, opartą na Cygwin). Może on obsłużyć od kilku do milionów użytkowników i zleceń. Domyślnie oferuje interfejs wiersza poleceń (CLI), a ustawienia są zmieniane przez edycje plików konfiguracyjnych. Konfigurację można w dużym stopniu dostosowywać, a ponieważ jest to oprogramowanie open source, to oczywiście możemy nawet wprowadzać zmiany w jego kodzie.

Inną propozycją jest TekRADIUS, który działa z systemem Windows i oferuje interfejs graficzny. Wersja z podstawowymi funkcjami jest za darmo. Za serwer z obsługą EAP-TLS, dynamicznym tworzeniem certyfikatów typu self-signed do sesji PEAP, bilingiem VoIP i innymi funkcjami przydatnymi nie tylko w większym biznesie, trzeba zapłacić.

Dwa przykładowe produkty komercyjne, ale wciąż niedrogie, to ClearBox i Elektron, oba przeznaczone dla Windows i oferujące 30-dniową wersję testową.

W przypadku małych sieci możemy posłużyć się punktem dostępowym/routerem WiFi z wbudowanym serwerem RADIUS (mają taką opcję nawet niedrogie routery). Jeśli nie ma wbudowanego serwera, to wykorzystując alternatywny firmware (np. DD-WRT), możemy nasz bezprzewodowy router w taką funkcjonalność wyposażyć.

Ostatecznie istnieją nawet usługi w modelu chmury, takie jak AuthenticateMyWiFi, oferujące hostowany serwer RADIUS do usług 802.1X. Ten wariant powinien zainteresować tych, którzy nie chcą poświęcać czasu i zasobów komputerowych na wdrażanie własnego rozwiązania.

2. Wprowadzenie 802.1X także do kablowej części sieci

Zdecydowaliśmy się wdrożyć uwierzytelnianie 802.1X, by lepiej zabezpieczyć naszą sieć bezprzewodową, dotychczas chronioną tylko przez protokół WPA (szyfrowanie TKIP) lub WPA-2 (algorytm AES). Warto jednak rozważyć także wdrożenie 802.1X w naszej sieci kablowej. Co prawda, nie zapewni nam to szyfrowania po takich łączach (trzeba by pomyśleć o IPSec), ale będzie wymagać uwierzytelniania od podłączających się do gniazdka ethernetowego, zanim uzyskają dostęp do sieci.


TOP 200