要点:
开放的 SSID 对企业而言可能更简单,但它们提供不了网络可见性,来排除网络连接问题。
随着远程办公和线下办公混合并存的发展趋势,办公场所的技术格局已经发生了巨大的变化。员工只用公司派发的电脑办公的时代已经成为过去,现在,BYOD(自携带设备)和非托管设备成为企业 IT 生态系统中越来越普遍的一部分。
不过,任何有安全意识的 IT 管理员都会对他们无法直接管控的设备保持警惕。这些设备可能存在安全风险,而且也让管理员面临着为这些设备准确配置网络访问权限的压力。
为了简单起见,一些人认为,在这种场景下,开放的 SSID 是最佳解决方案。然而,严格的网络安全标准,如 802.1X 所要求的不需要让对必要的资源访问复杂化。事实上,802.1X 提供了一系列的好处,包括大大改善了识别网络和连接问题的能力。
802.1X组件
IT 管理员在尝试实施 802.1X 时面临的障碍之一是需要为其建立复杂的配置和架构。所以,802.1X 究竟需要什么来实现?
简而言之,802.1X 只是一个验证协议,验证连接到你的网络的设备和用户。你可以用 802.1X 认证来保护你的 SSID。与 802.1X 相反,开放的 SSID 不需要这样的认证,就像许多没有密码的公共 Wi-Fi 网络,客户可能在办公场所里使用。
然而,与大多数人认为的不同之处在于,802.1X 并不一定需要大量复杂的组件。事实上,你真正需要实现它的是三件事:
● 客户端(大多数现代设备在其网络堆栈中已经有了一个)
● 认证器/接入点(AP)
● 认证服务器/RADIUS服务器
802.1X 以难以搭建和维护而闻名。虽然设置 802.1X 比建立一个开放的 SSID 确实需要更多的时间,但它不需要很复杂,且 802.1X 提供了固有的安全和故障排除的好处。
网络认证对比:开放式SSID与802.1X
当用户连接到 802.1X 网络或开放的 SSID 时,两者有很大不同。让我们仔细看看这两种方案的认证过程。
开放式SSID认证
你可能以前也遇到过开放式 SSID,例如咖啡馆、餐厅这种每天人流量很多的场所。当你连接到一个 SSID 时,你需要做的就是在你的设备上找到并选择这个网络。你的设备将向接入点(AP)提交一个认证请求,而接入点将反过来自动接受该请求。
换句话说,没有发生真正的认证过程。你不需要提交任何证明你身份的东西,无论是密码还是证书。
显然,这对终端用户来说很容易。他们所需要做的就是选择他们想要连接的正确网络,然后他们就可以连接上网了,就这样。
不过,简单并不总是好的,这里当然也是如此。用户在开放网络上会受到很多攻击,如数据包嗅探或无线钓鱼。如果存在其他问题,如连接问题,可能会更难解决,特别是在缺乏审计和认证的情况下。
802.1X认证
802.1X 与其他网络认证协议的真正区别在于使用了 RADIUS 服务器;这允许每个用户/设备用自己的证书来认证网络。以下高度概括了该过程如何运作:
● 设备尝试连接到你的网络,并向 RADIUS 服务器提交凭证;
● RADIUS 检查设备的凭证是否有效;
● 如果凭证有效,RADIUS 会发送一个 ACCESS_ACCEPT 数据包。如果凭证无效,RADIUS 拒绝访问。
RADIUS 本身并不包含用户信息,所以它需要一个数据库来检查提供给它的凭证是否准确。
用802.1X识别网络问题
802.1X 的各个组成部分,除了严格的认证带来明显的安全优势外,还提供了网络可视性的额外好处,使故障排除更简单。
让我们看看 802.1X 如何帮助你识别网络连接问题,以便快速解决它们。
使用RADIUS来排除网络故障
RADIUS 服务器也被称为 AAA(认证、授权和审计)服务器。网络故障排除的关键在于:审计。
用户和设备通过 RADIUS 服务器对网络进行认证,无论认证成功或失败,服务器会保留这些认证尝试的记录。这些记录被称为 RADIUS 事件日志。
事件日志包含多少细节取决于相关的 RADIUS;一些 RADIUS 服务提供的细节可能比其他服务少。
每当有用户认证失败,你可以看到失败背后的原因。这可以帮你找出认证过程中出错的地方,快速解决这一问题。
更重要的是,你可以使用各种过滤器来搜索日志。假如一个用户不能通过身份认证,你可以搜索他们的电子邮件地址,例如,看到 RADIUS 记录的错误信息。
宁盾802.1X认证
如果你对 802.1X 的主要担心是很难让每个人都设置好它,那么用宁盾 802.1X 认证不需要担心这些。
宁盾 802.1X 在配置上不复杂,且支持的认证账号源也十分丰富,如 AD 域账号、AAD、Google 账号等。除了账密认证,还提供了证书认证(免密认证)方式。要实施宁盾 802.1X,你不需要改造网络拓扑,而且对 Cisco、Aruba、H3C、华为等主流网络设备都能兼容。
如果你正在进行业务迁移上云,我们还有强大的、云原生的 RADIUS 服务,同样可以提供云 802.1X 认证服务,它能与您目前的基础设施快速整合,配置非常便捷。
宁盾(www.nington.com)版权所有
—END—