企业|WPA 企业模式的安全性和部署( 二 )
以下是RADIUS协议的常见实现:
网络策略服务器(NPS):这是Microsoft RADIUS协议的一种实现,它包含在Microsoft Windows Server 2008及更高版本中。在此之前,它被称为Internet验证服务(IAS);
FreeRADIUS:这是一个免费的RADIUS服务器,可以安装在大多数操作系统上。 FreeRADIUS是高度可定制的,并且能够与多种身份验证类型一起使用;
请注意,这些不是唯一的RADIUS实现,并且存在许多供应商解决方案。供应商解决方案也可以与组织内的现有产品很好地集成在一起,因此应予以考虑。
下表概述了针对上述问题的已识别RADIUS解决方案的优缺点:
文章图片
EAP身份验证方法
对于无线企业模式网络身份验证,使用了可扩展身份验证协议(EAP)框架(802.1X标准实际上定义了“EAP over LAN”网络的封装,称为EAPOL),EAP框架未定义身份验证的发生方式,而是定义了标准功能,从而允许开发符合这些标准功能的多种EAP方法。
最安全的EAP方法包含“外部”和“内部”身份验证,“外部”身份验证方法是创建安全隧道以安全传输身份验证信息的过程。这是通过使用服务器和/或客户端证书创建TLS隧道来完成的。 “内部”身份验证方法执行身份验证,此身份验证在“外部”身份验证方法创建的安全隧道内执行,以确保隐私和篡改保护。
最常见、最安全的EAP身份验证方法如下:
1. EAP传输层安全性(EAP-TLS):同时要求请求方服务器和身份验证服务器通过数字证书验证彼此的身份。由于服务器验证了客户端,因此这被认为是最安全的方法,并且破坏用户密码不足以获取对网络的访问权限。
2. EAP-TTLS:此方法使用TLS外隧道安全地执行身份验证,TLS隧道是使用身份验证服务器上的数字证书设置的,但是,客户端无需具有数字证书。此方法支持基于旧密码的内部身份验证方法,例如MSCHAPv2
3. PEAP:与EAP-TTLS相似,它使用安全的加密TLS连接,并且只有客户端必须验证服务器。但是,PEAP会隧道化用于内部身份验证的EAP方法。这允许基于传统密码的身份验证方法,例如EAP-MSCHAPv2,但还允许安全地隧穿EAP-TLS等EAP方法。
尽管EAP-TLS被认为是最安全的EAP方法,但实现EAP-TLS却是在便利性和安全性之间进行权衡。这是由于在生成证书并将证书推送到所有客户端设备时需要进行管理。希望使用此EAP方法,因为它可以防止多种攻击,主要是恶意访问点,因为客户端和服务器都必须相互验证。
客户端安全注意事项
在部署企业模式安全性之前,最好了解客户端应实施的一些常见安全性配置选项。
Microsoft Windows和macOS操作系统中提供以下选项:
1. 验证服务器证书:要求客户端在验证之前验证验证服务器证书。如果证书尚未受信任,则会提示用户接受证书。对于macOS系统,可以对身份验证服务器证书进行硬编码以使其可信。
2. 验证服务器名称:限制客户端仅连接到授权的身份验证服务器。通过检查身份验证服务器证书中的公用名(CN),以查看其是否与该字段中列出的任何服务器匹配,来完成验证。
3. 启用身份隐私:启用身份隐私将阻止尝试进行身份验证时以明文形式发送任何用户名。这通常是通过使用“匿名”身份来完成的,从而防止网络内的信息泄露给攻击者。
Microsoft Windows操作系统中提供以下选项:
1. 受信任的根证书颁发机构:客户端应信任将证书颁发给身份验证服务器的根证书颁发机构(CA)。最安全的配置是确保仅对受信任的根CA进行显式检查,以防止使用带有恶意访问点的签名证书的某些已知攻击。
2. 禁止用户授权新服务器或CA:应启用此选项以禁止用户验证新的任意证书。管理员应该对证书进行处理,以使其在日常使用中不产生警告,并且启用该功能将防止用户意外接受来自恶意访问点的证书警告。
文章图片
Microsoft Windows 10客户端的示例PEAP属性配置窗口
实施/迁移到WPA企业的建议
尝试部署WPA企业模式安全网络时,无论是升级到现有环境还是全新环境,都应牢记以下常规技术部署规则:
1. 在测试环境中执行测试和初始部署;
2. 如果在现有系统上执行测试,请始终先进行备份;
3. 记录以方便复制而采取的步骤;
4. 确保在进行关键更改时流程到位,以便在发现问题(例如问题)时快速还原更改。还原失败的部署,从而减少用户的无线访问。
企业模式无线网络的部署遵循以下部署步骤:
1. 研究和计划:研究你的组织当前的无线网络配置;组织想要达到什么安全态势?为了达到理想的安全状态,必须采取什么措施?
2. 测试部署:将实施计划部署为测试环境;
3. 部署:将网络部署到生产环境;
4. 用户迁移:将用户从现有网络无缝迁移到新网络。
研究与计划
研究和计划的目的是确定当前网络的功能,以便有效地计划配置。
1. 当前有哪些客户端连接到网络?这将有助于确定当前客户端网络本身支持哪些身份验证方法。 Microsoft Windows 7和更低版本本身不支持EAP-TTLS,但是可以安装允许此功能的软件。此外,这将使你确定RADIUS服务器必须支持哪些身份验证方法。
推荐阅读
- 创意|@全国高校学子,广州这家企业招募创意合伙人,快来挑战吧
- 陕西苹果产业|宝鸡苹果产业“千阳模式” 推动苹果产业高质量发展
- 望城|员工挪用公司200余万元炒股?望城警方为企业挽回损失获锦旗
- 社保大讲堂|企业工人每天工作12个小时,30天上满,工资应该发多少?
- 美国企业|美国贸易政策:损人害己的瞎折腾
- 破产企业|调查称日本因疫情破产企业增至600家
- 李子彬|企业如何应对变化转型升级,李子彬会长出席宜信财富传承峰会为企业带来"锦囊"
- lift|支撑特斯拉近4000 亿美元市值,是独一无二的商业模式?
- 消息资讯|乘风破浪 | 变革转型:人才培养——企业转型与创新的核心驱动力
- 百强|北京市工商联发布2020北京民营企业百强榜单 京东、联想、国美位列前三