> 返回 首页 > 精选文章 > 身份和访问管理 >还在用开放的SSID?不如了解下如何用802.1X识别网络问题

还在用开放的SSID?不如了解下如何用802.1X识别网络问题

发布时间:2023-05-25 13:45:00  来源:宁盾  点击量:

要点:

开放的 SSID 对企业而言可能更简单,但它们提供不了网络可见性,来排除网络连接问题。


随着远程办公和线下办公混合并存的发展趋势,办公场所的技术格局已经发生了巨大的变化。员工只用公司派发的电脑办公的时代已经成为过去,现在,BYOD(自携带设备)和非托管设备成为企业 IT 生态系统中越来越普遍的一部分。


不过,任何有安全意识的 IT 管理员都会对他们无法直接管控的设备保持警惕。这些设备可能存在安全风险,而且也让管理员面临着为这些设备准确配置网络访问权限的压力。


为了简单起见,一些人认为,在这种场景下,开放的 SSID 是最佳解决方案。然而,严格的网络安全标准,如 802.1X 所要求的不需要让对必要的资源访问复杂化。事实上,802.1X 提供了一系列的好处,包括大大改善了识别网络和连接问题的能力。



802.1X组件


IT 管理员在尝试实施 802.1X 时面临的障碍之一是需要为其建立复杂的配置和架构。所以,802.1X 究竟需要什么来实现?


简而言之,802.1X 只是一个验证协议,验证连接到你的网络的设备和用户。你可以用 802.1X 认证来保护你的 SSID。与 802.1X 相反,开放的 SSID 不需要这样的认证,就像许多没有密码的公共 Wi-Fi 网络,客户可能在办公场所里使用。


然而,与大多数人认为的不同之处在于,802.1X 并不一定需要大量复杂的组件。事实上,你真正需要实现它的是三件事:


● 客户端(大多数现代设备在其网络堆栈中已经有了一个)

● 认证器/接入点(AP)

● 认证服务器/RADIUS服务器


802.1X 以难以搭建和维护而闻名。虽然设置 802.1X 比建立一个开放的 SSID 确实需要更多的时间,但它不需要很复杂,且 802.1X 提供了固有的安全和故障排除的好处。



网络认证对比:开放式SSID与802.1X


当用户连接到 802.1X 网络或开放的 SSID 时,两者有很大不同。让我们仔细看看这两种方案的认证过程。


开放式SSID认证


你可能以前也遇到过开放式 SSID,例如咖啡馆、餐厅这种每天人流量很多的场所。当你连接到一个 SSID 时,你需要做的就是在你的设备上找到并选择这个网络。你的设备将向接入点(AP)提交一个认证请求,而接入点将反过来自动接受该请求。


换句话说,没有发生真正的认证过程。你不需要提交任何证明你身份的东西,无论是密码还是证书。


显然,这对终端用户来说很容易。他们所需要做的就是选择他们想要连接的正确网络,然后他们就可以连接上网了,就这样。


不过,简单并不总是好的,这里当然也是如此。用户在开放网络上会受到很多攻击,如数据包嗅探或无线钓鱼。如果存在其他问题,如连接问题,可能会更难解决,特别是在缺乏审计和认证的情况下。


802.1X认证



802.1X 与其他网络认证协议的真正区别在于使用了 RADIUS 服务器;这允许每个用户/设备用自己的证书来认证网络。以下高度概括了该过程如何运作:


● 设备尝试连接到你的网络,并向 RADIUS 服务器提交凭证;

● RADIUS 检查设备的凭证是否有效;

● 如果凭证有效,RADIUS 会发送一个 ACCESS_ACCEPT 数据包。如果凭证无效,RADIUS 拒绝访问。


RADIUS 本身并不包含用户信息,所以它需要一个数据库来检查提供给它的凭证是否准确。



用802.1X识别网络问题


802.1X 的各个组成部分,除了严格的认证带来明显的安全优势外,还提供了网络可视性的额外好处,使故障排除更简单。


让我们看看 802.1X 如何帮助你识别网络连接问题,以便快速解决它们。


使用RADIUS来排除网络故障


RADIUS 服务器也被称为 AAA(认证、授权和审计)服务器。网络故障排除的关键在于:审计


用户和设备通过 RADIUS 服务器对网络进行认证,无论认证成功或失败,服务器会保留这些认证尝试的记录。这些记录被称为 RADIUS 事件日志。


事件日志包含多少细节取决于相关的 RADIUS;一些 RADIUS 服务提供的细节可能比其他服务少。


每当有用户认证失败,你可以看到失败背后的原因。这可以帮你找出认证过程中出错的地方,快速解决这一问题。


更重要的是,你可以使用各种过滤器来搜索日志。假如一个用户不能通过身份认证,你可以搜索他们的电子邮件地址,例如,看到 RADIUS 记录的错误信息。



宁盾802.1X认证


如果你对 802.1X 的主要担心是很难让每个人都设置好它,那么用宁盾 802.1X 认证不需要担心这些。


宁盾 802.1X 在配置上不复杂,且支持的认证账号源也十分丰富,如 AD 域账号、AAD、Google 账号等。除了账密认证,还提供了证书认证(免密认证)方式。要实施宁盾 802.1X,你不需要改造网络拓扑,而且对 Cisco、Aruba、H3C、华为等主流网络设备都能兼容。


如果你正在进行业务迁移上云,我们还有强大的、云原生的 RADIUS 服务,同样可以提供云 802.1X 认证服务,它能与您目前的基础设施快速整合,配置非常便捷。


宁盾(www.nington.com)版权所有

—END—

企业级数字身份基础设施提供商
x