802.1X正在走向成熟,但还需要一个熟练的网络技术人员,以在任何大型部署配置它的产品。
虽然以前的贸易博览会上iLabs安全基于严格测试的重点是如何在IEEE802.1X认证标准有助于锁定无线局域网连接,今年的测试也跨越有线世界。
协议已经成熟,供应商花费了大量的精力来构建产品——在这次测试中包括客户端软件、无线接入点、有线接入点开关和验证服务器 - 围绕这一标准。然而,今年的测试显示,基于802.1X的一些产品仍然有很长的路要走之前,我们可以推荐他们作为企业级安全产品。
是时候去买802.1X了吗?
也可以看看:
该产品两个国家执行802.1X,但在大多数情况下,它会在任何大型部署需要很熟练的网络技术人员配置802.1x产品。这似乎也重视执行击中其他安全标准802.1X已分心厂商如数字证书处理,管理接口安全和事件记录。这些非802.1X问题可能会影响整体部署802.1X。
从哪里开始?
在802.1X的世界里,一个客户端被称为请求者。它连接到该设备是认证器。认证的背后,是维持与认证客户机/服务器关系的认证服务器。
我们用在PC和Macintosh计算机连接到无线接入点或有线交换机运行方软件,用半径服务器提供身份验证。被测试的恳求者来自思科,Funk软件公司,Meetinghouse数据通信,微软和开源实现Open1x。表示无线齿轮厂商分别是博通,思科,极进网络,Proxim公司,讯宝科技和Trapeze网络。参与有线交换机厂商包括思科,Extreme和生命值。与802.1 x兼容的RADIUS实现有Cisco、Infoblox、Funk、Meetinghouse、微软、Radiator、Roving Planet和开源FreeRADIUS。
在去年的测试中,我们研究了包括受保护的可扩展身份验证协议(用于验证的各种协议选项PEAP)和隧道传输层安全(TTLS),其使用服务器证书和TLS,使用客户端和服务器证书(看这里)。
今年,我们将重点放在测试三个组成部分(请求者,认证和认证服务器)的典型组合,以确定各种组件能够正确验证,连接到网络,并显示在测试服务器上运行的Web页面。
我们得出的结论是基本的互操作性的战斗已经结束。供应商目前正在出货802.1X功能的设备,在无线和有线两种情况。大多数的实现能够简单地进行互操作和插入。有肯定一些bug发现,如使用数字证书的问题,并连接特定的认证设备(交换机)一些RADIUS服务器的问题,但不超过你在其他任何一套新的产品,被抛出一起找到。
再告诉我为什么我现在在乎吗?
我们对802.1X被报道作为一种新兴的安全技术为三年。但我们主张网络专业人员现在应该注意,因为:
•无线访问控制。随着802.1X在当前状态下,我们终于看到了标准的处理提供一套技术上可靠,安全的访问控制机制。这将继续提高可用于控制和安全的无线(和有线)网络的选项。
•强大的加密标准。802.1X是IEEE正在进行的活动,以确保网络的可固定的一部分。作为802.11i标准 - 它指明了临时密钥完整性协议(TKIP)更安全的密钥设置机制来取代有线等效保密(WEP),并采用先进的加密标准(AES)加密-成为可用的,我们最终将能够拥有使用普遍接受的强加密算法的经过身份验证的网络。
•细粒度的局域网接入控制。802.1X的部署将为未来的安全机制的基础 - 喜欢能够停止拒绝服务上的用户通过用户和端口逐端口来控制网络访问 - 通过阻止网络访问,或限制到正确扫描工作站的网络访问的攻击。这将意味着在不久的将来,你将能够,如果你有病毒或蠕虫的爆发,不得不关闭您的网络中选择部分,以更好地管理网络维修。
也就是说,我们已经指出了几个可能使802.1X的使用变得复杂的问题,包括易用性、终端用户移动性和客户机内部的组件兼容性。
在802.1X实现中出现的易用性问题与我们在过去使用IPSec等技术时遇到的问题相同。向您的网络添加802.1X支持意味着您将拥有一组新的复杂用户界面屏幕,其中包含用户不友好的术语,如TKIP和TTLS。几乎没有供应商(如果有的话)简化了用户界面。
微软的这款软件使用隐藏在“网络连接”控制面板后面的多个窗口来配置802.1X。思科的supplicant使用它自己的多屏幕用户界面,然后仍然需要你在上面配置微软的supplicant。此外,大多数请求程序不支持诊断日志记录,这使得故障排除很困难。这些因素加在一起可能意味着高昂的部署成本。
手提电脑或无线手持设备的移动用户需要在802.1X域之间移动。但是,您必须小心配置802.1X supplicant软件来允许这一点。一些实现默认禁用了微软驱动组件的这些部分,这样您就不能像在许多Wi-Fi热点中那样访问开放的无线接入点。如果你的用户把他们的笔记本电脑从使用支持802.1x的无线接入点的办公室带到咖啡店或其他通常不使用802.1x的环境中,这种刚性就无法工作。在本例中,这些用户将被拒绝访问Internet。
802.1x请求者引入了另一种链路层协议处理组件到客户机。这是该技术是复杂和微妙的,当技术是混合发生错误的区域。结合802.1x用户,病毒扫描,个人防火墙和VPN客户端软件到一个终端用户机可以是一项艰巨的调试任务。
什么不见了?
实现802.1X的所有请求者和所有认证服务器是网络基础设施,使用加密的一部分,发挥整体认证方案的作用。因此,有普遍接受安全方面的考虑,这些产品应该解决的问题。随着基础设施的一部分,他们应该有实现的弹性,比如在主服务器发生故障的情况下使用替代RADIUS服务器的能力接入点的功能。这种弹性的缺失在一些产品。由于RADIUS服务器认证机制的重要组成部分,一个故障就会停止访问。
所有实现802.1X的RADIUS服务器都必须拥有服务器证书。这意味着它们必须实现与其他设备(如安全套接字层(SSL启用Web服务器。许多供应商不这样做。相反,它们只是将SSL协议中使用的RSA私钥存储在本地硬盘上的未加密文件中。例如,惠普的交换机并不以加密的方式存储私钥。松懈的证书处理意味着攻击者可以获得客户端802.1X证书,将其安装在RADIUS服务器上并伪装成合法服务器,从而获取网络流量。
像任何其他网络基础设施设备一样,无线访问点、交换机和RADIUS服务器应该具有安全管理接口。这通常意味着,如果它们具有控制台接口,则使用Secure Shell (SSH);如果它们具有Web接口,则使用SSL (Secure-HTTP)。思科的接入点不能做到这一点——你只能通过未加密的网络接口来管理它们。教会也不知道。Infoblox获得了部分信用——它的Web用户界面使用SSL,但它只支持自签名证书。这意味着能够访问用于设备管理的网络的攻击者可能会嗅出密码。即使使用自签名证书,中间人攻击仍然可以用于获得管理访问权。其他供应商,如Trapeze和Extreme,提供SSH和SSL管理接口。
最后,应该有一种合理的机制让这些设备与一个集中的安全事件管理系统共享它们的事件日志,这样网络管理员就可以监视企图的攻击或入侵,并创建安全审计跟踪。思科和Funk都不提供来自RADIUS服务器的外部日志记录。其他实现,如Infoblox、Microsoft和Roving Planet,提供了与外部日志记录工具的集成。
哪里802.1X去?
该标准仍然在移动。就在上个月,思科建议,然后单方面部署,又称为扩展认证协议另一种身份验证机制 - 通过安全隧道(EAP-FAST)灵活验证。EAP-FAST地址思科非常重视用户不想使用证书并希望使用密码进行身份验证。思科已经要求IETF接受EAP-FAST作为一个信息(不是标准)RFC。它适用于无线和有线环境。
要解决的另一个领域是在有线的情况下持续使用802.1X的。如果你已作出决策,获得你的有线网络应加以控制,你需要有关一致,不然会引入安全漏洞。在贸易博览会上iLabs示范示出的仅支持802.1X的请求者是工作站。即使是无线接入点,其本身的客户,如果你认为对未来电缆后面出来,进入一个开关,应该能够使用802.1X作为请求者的。
网络部署与90个工作站全部采用802.1X身份验证不保护LAN如果打印机和UPS是不是也使用它或不以其他方式保护。如果你的安全策略是这样的,所有的网络接入必须通过身份验证,你不想离开上锁的门,因此攻击者可以简单地通过拔下打印机和计算机插入到发动攻击在网络上得到。
启用网络的设备的所有供应商,如果这将是在一个安全一致的方式部署应该提供802.1X。这同样值得关注也适用于更专业化,网络功能的手持设备无线化。
了解更多关于这个话题
塞耶是加州山景城Canola & Jones公司的安全研究员rodney@canola-jones.com。
足球竞猜app软件网络世界融合收音机:罗德尼·塞耶讨论iLabs 802.1X测试结果。足球竞猜app软件网络世界融合,05/06/04