802.1X驗證的最佳實踐
原創【10月19日51CTO外電頭條】眾所周知,大多數值得一做的事情做起來似乎都不容易。IEEE 802.1X驗證顯然值得我們一試,但是許多公司似乎都在等待網絡和計算機供應商將它變得更加簡單,因此索性將其丟在了腦后。雖然網絡供應商已經開始將802.1X列入了他們的產品目錄,但是延誤它推廣進程的問題仍舊存在:如何讓你的用戶和員工在受到最少干擾的情況下為每臺計算機添加最新、最強大的安全控制措施?
盡管802.1X在過去的幾年里一直以來都是最受關注的驗證方法,然而用戶訪問網絡和相關政策的變化才讓它現在最終被大家所認可。企業現在所期望的是能夠為客戶、承包方、員工的個人電腦和智能手機提供持網絡登錄支持。所有人都希望得到一個包括加密認證和訪問權限區分功能在內,并能夠拒絕未知和不受信任用戶訪問的登陸解決方案。
所有這些好處顯而易見,網絡和安全團隊一直在努力推行802.1X,因為它意味著在網絡上手動觸摸每一臺設備成為了可能。網絡基礎架構組件和用戶設備之間所面臨的相互操作的挑戰、可擴展性問題和管理復雜性也阻礙了802.1X的部署。
事情正在發生變化,所有企業都在努力解決他們所面臨的困難。舉個例子說明,為了更好地為3000多名用戶提供服務,服務美國夏威夷楊百翰大學的IT團隊已經開始了一個安全的802.1X Cisco和Xirrus無限網絡的部署。除了鎖定大學內完全開放的無線網絡,他們所面臨的問題是要找到一個最佳的解決方案來讓他們的部署變得快捷,盡量減少對用戶的服務中斷,并支持各種各樣的用戶設備和來自不同廠商的網絡設備。經過對三家廠商產品的仔細評估,楊百翰大學選擇了Avenda的eTIPS基于身份的AAA和NAC平臺以及Avenda的QuickX端點配置向導。
楊百翰大學基礎架構主管Mark Aughenbaugh說,“關于強制使用802.1X 的政策,Avenda早就在這方面很有經驗了。他們擁有非常成熟的產品。”
此外,楊百翰大學還選擇使用Avenda的Quick1X端點配置產品來幫助合理化他們的進程。Aughenbaugh說有了Quick1X,他們能夠在每個人的設備上簡單的安裝和配置802.1X。最后通過一個基于網絡的門戶,讓用戶使用一個預先定義的配置模板來運行導向,從而簡化程序,并可以刪除配置每臺電腦的幫助臺。
“Avenda的解決方案使我們能夠輕松的解決之前的無線問題,它運行得非常好,我們開始著眼于何時為我們的有線和VPN網絡部署802.1X安全措施。,”Aughenbaugh說,“我們的主要安全目標已經實現,事實上我們現在擁有之前所沒有的網絡訪問可見度。我們可以觀察每個用戶的連接和使用詳情,這有助于我們調整無線網絡,同時改善用戶體驗。”
楊百翰大學的團隊使用了下列最佳做法來保證他們的802.1X部署一切順利。他們認為這些做法同樣適用于任何企業和組織:
1. 部署一個能夠支持所有現有基礎架構的解決方案,并在多廠商環境下工作。這一點在楊百翰大學的案例中顯得尤為重要,因為他們的網絡由240個來自Cisco和Xirrus的訪問端點組成,動態目錄和其他組件在其中發揮了積極的作用。
2. 找到一個包括RADIUS和使用你現有的RADIUS架構順利工作的方法。
3. 在用戶配置的支持方面,找到一個支持多種操作系統的辦法,比如Windows 7,Windows Vista,Mac OS X,Mac iOS和Linux。
4. 確保用戶配置工具可以創建多個預配置軟件包,這樣你就可以為不同的對象比如學生、員工、訪客等設置不同的配置選項。
5. 確保用戶能夠得到一個易于使用的工具或者向導,只需要輕輕點幾下鼠標就可以完成配置過程。
6. 在配置或者政策變化需要的時候,確保IT部門可以輕松地配置和分配最新的軟件包。
原作:Linda Musthaler
【本文乃51CTO精選譯文,轉載請務必標明作者和出處!】
【編輯推薦】
