登录
联系我们
 
 
菜单
登录
联系我们
X

为什么802.1X是大规模无线网络设计的最佳选择

博客首页

为什么802.1X是大规模无线网络设计的最佳选择

通过: 迈克尔·麦克纳姆 2013年3月27日   0 类别: 卫生保健, 款待, K-12教育, 高等教育, 零售, 产业, 战略, 安全, 设计

毫无疑问,无论使用哪种WLAN平台,您都想知道“哪种认证方法最适合我的大规模无线网络?” 我很高兴您提出要求,因为我对此事有一些意见,并准备与您分享。

在不详细讨论用于无线的每种身份验证方法的优缺点的情况下,我将仅关注一种方法。我关注的方法是最适合特定大型无线网络设计的方法。

我向客户推荐的方法是802.1x身份验证。 根据定义,802.1x是用于基于端口的身份验证的IEEE标准,最初是为有线网络身份验证而设计的,后来被利用为无线提供相同的服务。它通常仅在大型网络(例如校园网或企业网络)中实现。

无线网络设计

我对大型无线网络中802.1x的建议基于几个原因,我将为您指出。

易于管理

- 802.1x允许使用证书和/或用户凭据对网络进行身份验证。与使用扩展不佳的预共享密钥(PSK)相比,这提供了更简单的实现。考虑如何将PSK发布给所有用户,然后确保没有其他人发现该密钥并未经授权使用它。这不能有效地完成。我有一些教育客户仍在使用此方法,并且每次发现PSK或轻易发现PSK时,他们都必须更改PSK。

- 802.1x允许通过使用证书(EAP-TLS)或用户凭据(EAP-MSCHAPv2)进行身份验证。这对于网络管理员来说是个好兆头,因为他们可以从一个地方(即服务器)管理这两个要求。

- 802.1x使用很可能已经存在的后端基础结构。我们几乎所有的客户都是Microsoft域环境,他们已经拥有带有Active Directory的Windows服务器,并且他们的用户拥有带有名称,密码和组分配的帐户。我们的一些客户甚至选择了开放源代码的路线,并将OpenLDAP和FreeRADIUS用于其网络。 802.1x依赖这些数据库极大地简化了实施和管理。

- Windows Server中的组策略或OS X Server中的配置文件管理器允许将无线请求方配置文件推送到由这些服务器管理的计算机和设备上。在Windows域环境中,这是由组策略管理的所有计算机。通过为域计算机创建无线安全配置文件,您可以避免手动配置所有这些计算机。在Apple的配置文件管理器中,甚至还提供了供最终用户连接到Web门户并自行下载配置的条款。

使用方便

- 易用性是从最终用户的角度来看的,因为在无线请求者的提示下,他们最多要做的就是输入他们的网络凭据,以对网络进行身份验证。这通常只发生一次,并且除非密码更改或其证书被吊销,否则他们永远不会再为这些凭据而烦恼。与强制门户不同,后者通常需要每隔几个小时登录一次,或者在超时后需要在用户侧进行一次802.1x身份验证,然后在用户不了解的情况下在后台协商其余的门户。

- 带有证书的802.1x身份验证使其变得更加容易。设备通过向身份验证器,服务器,客户端证书和服务器出示其证书以供设备验证来完成所有身份验证工作。最终用户看不到该过程,并允许他们不受过程限制地使用设备。如何购买正确的无线接入点,企业无线网络设计,WiFi服务提供商,

- 如果通过组策略或配置文件管理器管理计算机,则最终用户也不必手动配置其设备以进行连接。删除此要求或以某种方式使其自动化可确保成功进行身份验证和连接,并获得很高的用户满意度。

支持

- 市场上几乎所有预期要连接到无线网络的设备都包括802.1x请求方,而没有3rd 方选项加载一个。打印机和某些游戏机可能是例外,但我看到有些人开始提供对此方法的支持。

- 支持 早在WinNT以来,所有Windows操作系统中都可以找到适用于802.1x的版本。只要我一直在进行大规模无线(8年),MacOS就一直支持它。 iOS设备均原生支持802.1x。 Android还为手机,平板电脑甚至Chromebook内置了802.1x请求方操作系统。

可扩展性

- 802.1x允许从单个管理点管理用户,设备,配置文件,证书等,并且配置文件管理解决方案允许自动或简化技术部署。

安全

- 设备和执行身份验证的服务器之间会协商802.1x身份验证密钥。它们是个人的,不会像PSK一样共享。

- 802.1x身份验证与AES加密相结合,可以确保密钥受到很好的保护,以免遭到黑客攻击。 (使用AES密码代替TKIP也意味着您将在WLAN上获得802.11n速度的全部好处。将TKIP与802.11n一起使用会受到惩罚)

- 如果您的WLAN解决方案支持它,则可以通过撤销其凭据或证书来使用CoA(更改授权RFC-3576)来拒绝用户访问网络。此撤销将立即使用户与网络断开连接。 

- 从身份验证服务器返回的属性可用于将用户置于学生,职员,承包商或访客之类的角色中。通过这些角色分配和适当的WLAN解决方案,您可以将策略应用于这些角色,以定义它们可以在您的网络上访问的内容。这通常称为基于角色的访问控制(RBAC)。

希望我已说服您更加仔细地研究在现有或即将部署的WLAN上使用802.1x身份验证。 如果您在部署方面有任何疑问或需要帮助,我们将为您提供帮助。 SecurEdge已帮助数百个或多个组织计划,部署和支持小型和大型无线解决方案。请 联系我们 如有任何疑问或免费咨询,请在此处下载我们的无线设计套件,以获取更多信息。

 

无线网络设计套件,无线服务提供商,