本节书摘来自异步社区《CCNP安全Secure 642-637认证考试指南》一书中的第6章,第6.2节规划基本的802.1X部署,作者【美】Sean Wilkins , Trey Smith,更多章节内容可以访问云栖社区“异步社区”公众号查看
6.2 规划基本的802.1X部署
CCNP安全Secure 642-637认证考试指南
在这一章中,我们将讨论如何为通信双方配置基本的双向认证。在双向认证中,不仅网络需要对用户的身份进行验证,用户也需要对网络的身份进行验证。请注意,认证对象为使用计算机的用户而非计算机本身。第7章将介绍机器认证(machine authentication)。认证方与认证服务器之间采用共享密钥(shared secret)作为身份凭证1,请求方与认证服务器之间采用EAP-FAST作为认证协议。管理员需要收集输入参数、确定配置方式并根据通行的部署原则进行配置。
接下来,我们将介绍各种802.1X/Cisco IBNS组件的配置。
认证方:Cisco Catalyst交换机;
认证服务器(AAA服务器):Cisco安全访问控制服务器(Cisco ACS)4.2;
有线请求方:Cisco安全服务客户端(Cisco SSC)5.1。
6.2.1 收集输入参数
802.1X认证架构涉及多种技术,良好的前期规划有助于成功的部署。下面列出了规划时需要收集的一些重要信息。
列出所有允许非授权用户访问网络资源的局域网交换机,根据上述信息确定需要配置802.1X的交换机以及交换机可用的功能。
确定储存用户身份信息的数据库类型(如Windows Active Directory)。为使802.1X认证过程对用户完全透明,部署802.1X时可以考虑采用同一种数据库作为认证数据库。
确定客户信息(如采用何种平台与操作系统),以便选择合适的请求方。
确定企业采用的软件派发机制,后者将影响当前和今后的请求方配置与支持工作。
确定请求方与认证服务器之间的网络路径是否可信。如果网络路径可信,可以考虑让认证服务器自动部署受保护的访问凭证(PAC)文件,否则应采用手动方式部署PAC文件。
6.2.2 部署工作
基本的802.1X部署工作包括以下4步。
步骤1 为Cisco Catalyst交换机配置802.1X认证方。
步骤2 为交换机配置访客VLAN或受限VLAN,并调整802.1X定时器(可选)。
步骤3 为Cisco ACS配置EAP-FAST,并在本地数据库创建用户账户。
步骤4 为客户主机配置并部署802.1X请求方。本章以工作在Windows环境下的Cisco SSC为例介绍如何配置请求方。
6.2.3 部署选择
根据所用的系统与网络类型,规划802.1X部署时需要考虑以下问题。
EAP选取可供选择的EAP类型很多。如果采用简单密码或一次性密码(OTP)作为身份凭证,则应遵循以下原则。
采用简单密码时,可以考虑部署EAP-FAST作为外部认证协议,EAP-MSCHAPv2作为内部认证协议。由于请求方的身份凭证在加密的TLS隧道中传输,因此攻击者无法获取这些重要信息。如果网络环境较为安全,也可以直接部署EAP-MSCHAPv2而无需采用EAP-FAST。
采用一次性密码时,可以考虑部署EAP-FAST或EAP-PEAP作为外部认证协议,EAP-GTC作为内部认证协议。为安全起见,务必不要单独使用EAP-GTC。
请求方选取请求方既可以集成在操作系统中(如Windows本地请求方),也可以是第三方软件(如Cisco SSC)。选择请求方时应遵循以下原则。
如果对功能要求不高且希望简化配置的难度,可以考虑采用操作系统自带的请求方。
如果需要支持多种认证协议且需要在有线与无线环境实施认证,可以考虑采用Cisco SSC。
6.2.4 一般性部署原则
部署802.1X认证架构时应遵循以下一般性原则。
在802.1X架构中采用扩展性较强的单点登录(single sign-on),并确保身份凭证的安全性。
进行部署前分析,并采用经过测试的部署计划。参数或配置不当可能导致大量用户无法访问网络。
在正式部署前进行试验性部署,并根据暴露出来的问题调整相关的配置。
试验性部署应尽可能覆盖企业网,以最大限度模拟实际的部署状况。
1共享密钥仅配置在认证方与认证服务器上,用于验证并加密认证方与认证服务器之间的通信。——译者注
