802.1X正在走向成熟,但需要熟练的网络技术人员在任何大型部署的产品中配置它。
虽然以前的贸易博览会上iLabs安全基于测试的测试严格地集中在IEEE如何802.1X认证标准有助于锁定无线局域网连接,今年的测试也横跨了有线世界。
协议已经成熟,供应商花费了大量的精力来构建产品——在这个测试中包括客户端软件,无线接入点,有线开关和身份验证服务器——围绕这个标准。然而,今年的测试表明,在我们将一些基于802.1X的产品推荐为企业级安全产品之前,它们还有很长的路要走。
是时候去买802.1X了吗?
也可以看看:
这些产品确实实现了802.1X,但在大多数情况下,需要非常熟练的网络技术人员在任何大型部署中配置802.1X产品。似乎对实现802.1X的关注也分散了供应商对其他安全标准的关注,比如数字证书处理,管理接口安全和事件日志记录。这些非802.1X问题可能会全面影响802.1X部署。
从哪里开始呢?
在802.1X中,客户端被称为恳求者。它连接的设备是一个验证器。在身份验证器的后面是一个身份验证服务器,它维护与身份验证器的客户端/服务器关系。
我们用在PC和Macintosh计算机连接到无线接入点或有线交换机运行方软件,用半径服务器提供身份验证。接受测试的恳求者来自思科,Funk软件公司,Meetinghouse数据通信,微软和开源实现Open1x。表示无线齿轮厂商分别是博通,思科,极端网络, Proxim, Symbol Technologies和Trapeze Networks。参与的有线交换机供应商包括Cisco、Extreme和生命值.Cisco、Infoblox、Funk、Meetinghouse、Microsoft、Radiator、Roving Planet和开源的FreeRADIUS都支持802.1 x标准的RADIUS实现。
在去年的测试中,我们检查了各种认证协议选项,包括受保护的可扩展认证协议(PEAP)及隧道传输层保安(TTLS),其使用服务器证书和TLS,使用客户端和服务器证书(在这里看到的)。
今年,我们将重点放在测试三个组成部分(请求者,认证和认证服务器)的典型组合,以确定各种组件能够正确验证,连接到网络,并显示在测试服务器上运行的Web页面。
我们得出的结论是基本的互操作性的战斗已经结束。供应商目前正在出货802.1X功能的设备,在无线和有线两种情况。大多数的实现能够简单地进行互操作和插入。有肯定一些bug发现,如使用数字证书的问题,并连接特定的认证设备(交换机)一些RADIUS服务器的问题,但不超过你在其他任何一套新的产品,被抛出一起找到。
再告诉我一遍为什么我现在会在乎?
三年来,我们一直在报道802.1X作为一种新兴的安全技术。但我们认为网络专业人士现在应该注意了,因为:
•无线访问控制。随着802.1X在当前状态下,我们终于看到了标准的处理提供一套技术上可靠,安全的访问控制机制。这将继续提高可用于控制和安全的无线(和有线)网络的选项。
•强大的加密标准。802.1X是IEEE正在进行的活动,以确保网络的可固定的一部分。作为802.11i标准 - 它指明了临时密钥完整性协议(TKIP)更安全的密钥设置机制来取代有线等效保密(WEP.),以及使用高级加密标准(AES)用于加密——变得可用,我们将最终能够拥有使用普遍接受的强加密算法的经过身份验证的网络。
•细粒度的局域网访问控制。802.1X的部署将为未来的安全机制奠定基础——比如能够停止拒绝服务上的用户通过用户和端口逐端口来控制网络访问 - 通过阻止网络访问,或限制到正确扫描工作站的网络访问的攻击。这将意味着在不久的将来,你将能够,如果你有病毒或蠕虫的爆发,不得不关闭您的网络中选择部分,以更好地管理网络维修。
也就是说,我们已经指出了一些可能使802.1X的使用复杂化的问题,包括易用性、终端用户移动性和客户端机器中的组件兼容性。
在802.1X实现中出现的易用性问题与我们过去在使用IPSec等技术时遇到的问题相同。向您的网络添加802.1X支持意味着您将拥有一组新的复杂的用户界面屏幕,其中包含用户不友好的术语,如TKIP和TTLS。几乎没有(如果有的话)央求供应商使用户界面变得简单。
微软的请求者使用隐藏在“网络连接”控制面板后面的多个窗口来配置802.1X。思科的请求者使用它自己的多屏幕用户界面,然后仍然要求你配置微软的请求者在它之上。此外,大多数请求者不支持诊断日志记录,使故障排除变得困难。这些因素加在一起可能意味着高昂的部署成本。
的笔记本电脑或无线手持设备的移动用户都希望能802.1X域之间旅行。但是,你必须要小心配置802.1X客户端软件,让这一点。某些实现在默认情况下禁用Microsoft驱动程序组件的那部分,这样就可以像你这样一个开放的无线接入点找到许多的Wi-Fi热点不再访问。这种刚性会,如果你有他们使用802.1X的支持无线接入点的咖啡馆或通常不使用802.1x的其他环境中谁采取从办公室的笔记本电脑的用户无法正常工作。在这个例子中,这些用户将被拒绝访问互联网。
802.1x请求者引入了另一种链路层协议处理组件到客户机。这是该技术是复杂和微妙的,当技术是混合发生错误的区域。结合802.1x用户,病毒扫描,个人防火墙和VPN客户端软件到一个终端用户机可以是一项艰巨的调试任务。
有什么不见了?
实现802.1X的所有请求者和所有认证服务器是网络基础设施,使用加密的一部分,发挥整体认证方案的作用。因此,有普遍接受安全方面的考虑,这些产品应该解决的问题。随着基础设施的一部分,他们应该有实现的弹性,比如在主服务器发生故障的情况下使用替代RADIUS服务器的能力接入点的功能。这种弹性的缺失在一些产品。由于RADIUS服务器认证机制的重要组成部分,一个故障就会停止访问。
所有实现802.1X的RADIUS服务器都需要有服务器证书。这意味着它们必须实现与其他设备(如安全套接字层(SSL启用Web服务器。许多供应商不这样做。相反,它们只是将SSL协议中使用的RSA私钥存储在本地硬盘上的一个未加密文件中。例如,惠普的交换机不以加密的方式存储私钥。证书处理不周意味着攻击者可以获取客户端802.1X证书,安装在RADIUS服务器上,伪装成合法服务器,从而窃听网络流量。
与任何其他网络基础设施设备一样,无线接入点、交换机和RADIUS服务器应该具有安全的管理接口。如果有控制台接口,这通常意味着使用Secure Shell (SSH);如果有Web接口,则使用SSL (Secure- http)。思科的接入点不会这样做——你只能通过未加密的网络接口来管理它们。教会也不知道。Infoblox也有部分功劳——它的Web用户界面使用SSL,但它只支持自签名证书。这意味着能够访问用于设备管理的网络的攻击者可能会嗅探密码。即使使用自签名证书,中间人攻击仍可用于获得管理访问权。其他供应商,如Trapeze和Extreme,提供SSH和SSL管理接口。
最后,应该有一个合理的机制让这些设备与集中的安全事件管理系统共享它们的事件日志,以便网络管理员可以监视试图的攻击或入侵,并创建安全审计跟踪。思科和Funk都不提供RADIUS服务器的外部日志记录。其他实现,如Infoblox、Microsoft和Roving Planet,提供了与外部日志记录工具的集成。
802.1X将走向何方?
该标准仍然在移动。就在上个月,思科建议,然后单方面部署,又称为扩展认证协议另一种身份验证机制 - 通过安全隧道(EAP-FAST)灵活验证。EAP-FAST地址思科非常重视用户不想使用证书并希望使用密码进行身份验证。思科已经要求IETF接受EAP-FAST作为一个信息(不是标准)RFC。它适用于无线和有线环境。
另一个需要解决的问题是在有线情况下对802.1X的一致使用。如果您已经制定了应该控制对有线网络的访问的策略决策,那么您需要保持一致,否则您将引入安全漏洞。iLabs演示中显示的唯一具有802.1 x功能的请求器是工作站。即使是无线接入点,如果你想到从后面出来的电缆进入交换机,它们本身就是客户端,也应该能够使用802.1X作为请求器。
如果打印机和UPS不使用局域网,或者没有其他保护措施,那么使用802.1X身份验证的90台工作站的网络部署就不能保护局域网。如果您的安全策略要求所有网络访问都必须经过身份验证,那么您不希望离开未上锁的大门,这样攻击者就可以通过拔下打印机并插入计算机来进入网络来发起攻击。
如果要以安全一致的方式部署802.1X,那么所有支持网络的设备供应商都应该提供802.1X。同样的关注也适用于更专业的、启用网络的手持设备无线化。
了解有关此主题的更多信息
塞耶是加州山景城Canola & Jones的一名安全研究员rodney@canola-jones.com.
有个足球雷竞技app网络世界融合收音机:罗德尼·塞耶Thayer讨论iLabs 802.1X测试结果。有个足球雷竞技app网络世界融合,05/06/04。