1. Een gratis of goedkope RADIUS-server

Je hoeft echt geen grof geld neer te tellen voor een nieuwe server die RADIUS (Remote Authentication Dial In User Service) ondersteunt. In sommige gevallen is dit netwerkprotocol al beschikbaar via de directoryservice of routeringsplatform dat je gebruikt. Als je bijvoorbeeld een Active Directory op Windows Server hebt draaien, zoek dan de RADIUS-instellingen bij de Internet Authentication Service (IAS) op Windows Server-versies tot en met 2003 R2. Vanaf Windows Server 2008 staat deze optie onder Network Policy Server (NPS).

Er zijn gratis of goedkope alternatieven beschikbaar als de huidige server nog geen RADIUS ondersteunt. FreeRADIUS is gratis, open source en draait op Linux en UNIX-varianten. De software kan omgaan met slechts enkele gebruikers tot miljoenen verificatieverzoeken. Het programma gebruikt een opdrachtprompt en instellingen zijn te wijzigen door configuratiebestanden te bewerken. FreeRADIUS is goed aan te passen en omdat het open source is, kan het pakket zelfs worden aangepast aan de specifieke eisen van je bedrijf.

TekRADIUS is een sharewareserver met grafische interface. De software draait op Windows. De standaardfuncties zijn gratis en ondersteuning voor bijvoorbeeld EAP-TLS kan erbij worden gekocht. De software biedt meer zakelijke features, zoals het aanmaken van certificaten voor PEAP-sessies.

Twee commerciële producten, Clearbox en Elektron, zijn allebei vrij goedkoop. Ze draaien op Windows en er zit een proefperiode van 30 dagen bij. Daarnaast zijn er nog clouddiensten, zoals AuthenticateMyWiFi. Deze dienst host een RADIUS-server zodat je als bedrijf geen tijd en moeite meer hoeft te steken in de implementatie ervan.

2. Rol 802.1x ook bedraad uit

De meeste bedrijven rollen 802.1x uit, omdat het beveilingsprotocol op het draadloze LAN beter te beveiligen is. Maar denk ook na over het bedrade netwerk. 802.1x biedt geen versleuteling voor ingeplugde verbindingen (gebruik daarvoor protocol IPsec) maar het zorgt er wel voor dat mensen die inpluggen moeten inloggen voordat ze toegang krijgen tot het netwerk.

3. Koop een certificaat

Als je voor de EAP-versie van 802.1x PEAP gebruikt, heb je nog steeds een certificaat nodig. De RADIUS-server heeft dat nodig om man-in-the-middle-aanvallen te voorkomen. Met een certificaat verifiëren clients bij de server dat alles klopt en dat er niet wordt gerommeld met de gegevens tussen de pc en de server terwijl ze werden overgedragen.

Je kunt zelf een certificaat bemachtigen van een Certificate Authority (CA) maar de clientcomputers moeten deze dan nog herkennen. Daarom moet het rootcertificaat van deze CA op het apparaat van de eindegebruiker zijn geïnstalleerd. Dit rootcertificaat kun je naar apparaten op het netwerk pushen, bijvoorbeeld via een Group Policy als je de Active Directory gebruikt op Windows Server 2003 of later. Voor toestellen die niet met het domein zijn verbonden en bij BYOD-omgevingen, moet het certificaat handmatig worden geïnstalleerd.

Om dit probleem te omzeilen, koop je een certificaat van een CA die standaard wordt herkend door Windows en andere besturingssystemen, bijvoorbeeld bij grote third-party CA's als VeriSign, Comodo en GoDaddy. Op die manier hoef je niet na te denken over het distribueren van rootcertificaten naar allerlei apparaten die verbinding willen maken met het netwerk.

4. Gebruikersapparaten niet handmatig instellen

Via de Active Directory zijn allerlei netwerkinstellingen (inclusief 802.1x en certificaten) met behulp van een Group Policy naar alle systemen binnen het domein te pushen. Maar apparaten die daar buitenvallen, zoals eigen laptops, smartphones en tablets, worden vaak handmatig ingesteld. Handmatige configuratie hoeft in veel gevallen niet, want er zijn andere manieren om netwerkinstellingen te distribueren naar ongekoppelde apparaten.

Er zijn drie belangrijke elementen die je naar apparaten wilt doorvoeren: het rootcertificaat van de CA die gebruikt wordt door de RADIUS-server, gebruikerscertificaten als je EAP-TLS gebruikt en de netwerkopties inclusief de 802.1x-instellingen.

Ten eerste is er de gratis tool SU1X 802.1X Configuration Deployment Tool. Deze werkt op Windows XP (SP3), Vista en Windows 7. Het programma neemt de instellingen van een pc die al verbonden is met het netwerk over en maakt daarmee een installatiewizard. Gebruikers kunnen deze op hun systeem draaien om zo automatisch de netwerkinstellingen te configureren.

De software ondersteunt de distributie van rootcertificaten, netwerkopties en 802.1x-instellingen. Daarnaast heb je de optie om netwerkprofielen toe te voegen of te verwijderen, netwerkprioriteiten aan te passen en om NAP/SoH in te schakelen. Het programma configureert automatisch (of handmatig) de proxy-instellingen van de Internet Explorer of Firefox en kan netwerkprinters toevoegen of verwijderen.

XpressConnect ondersteunt de distributie van rootcertificaten, gebruikerscertificaten en netwerk- en 802.1x-instellingen (PEAP, TLS en TTLS) naar Windows, OS X, Linux, Android en iOS-apparaten. Met de software kun je ook de TTLS-supplicant SecureW2 installeren. Dit is een cloudoplossing, waar je de netwerkinstellingen configureert via een webinterface en de gemaakte installatiewizard is weer door te geven aan gebruikers.

ClearPass QuickConnect en ClearPass Onboard ondersteunen allebei de distributie van rootcertificaten en netwerk- en 802.1x-instellingen voor apparaten op Windows, OS X, Android en iOS. QuickConnect is een clouddienst waarmee je geen gebruikerscertificaten kunt uitgeven. OnBoard is een softwaremodule in de Policy Manager die wel het distribueren van gebruikerscertificaten ondersteunt.

Er zijn verder nog pakketten om 802.1x uit te rollen die specifiek gericht zijn op mobiele besturingssystemen. Neem bijvoorbeeld de iPhone Configuration Utility voor iOS of de BES Express voor BlackBerry's.

5. Beveilig de gebruikersinstellingen

Man-in-the-middle aanvallen zijn een probleem waar je je tegen moet wapenen. Een hacker kan een WiFi-netwerk opzetten waar een aangepaste RADIUS-server aan hangt (bijvoorbeeld met de FreeRadius Wireless Pwnage Edition) en proberen onwetende gebruikers de verkeerde verbinding in te lokken. Vervolgens proberen ze login-gegevens van de verbonden client te achterhalen.

Binnen Windows zijn er drie belangrijke instellingen die geconfigureerd moeten zijn in de EAP-eigenschappen.

'Servercertificaat valideren'. Deze optie moet aanstaan en de CA die de RADIUS-server gebruikt moet geselecteerd zijn. Dit zorgt ervoor dat de RADIUS-server kijkt of de gebruiker het juist certificaat heeft geïnstalleerd.

'Verbinding maken met deze servers'. De CA die de RADIUS-server gebruikt moet ook hier geselecteerd zijn. Dit zorgt ervoor dat clients alleen contact maken met servers die het servercertificaat gebruiken die bij het domein hoort.

'Gebruiker niet vragen om nieuwe servers of vertrouwde certificeringsinstanties te verifiëren'. Deze optie moet aanstaan om ervoor te zorgen dat verbindingen van vreemde RADIUS-server automatisch worden afgewezen zonder gebruikers de optie te geven deze per ongeluk te accepteren.

Vanaf Windows Vista zijn de eerste twee opties automatisch ingeschakeld en worden automatisch geconfigureerd als een gebruiker voor de eerste keer inlogt. Maar laatste optie moet handmatig worden geconfigureerd of anders via een Group Policy of soortgelijke optie worden ingesteld. Klanten met Windows XP moeten alle drie handmatig instellen of via deze netwerkinstellingen moeten via een andere distributiemethode naar apparaten worden gepusht.

Bij mobiele apparaten verschillen de precieze 802.1x-instellingen per besturingssysteem. Zo biedt Android vrij algemene 802.1x-instellingen met de optie om de rootcertificaat van je RADIUS-server te kiezen en te installeren. Bij iOS kun je ook nog de domeinnaam en certificaatsnaam specificeren. Ook zijn andere certificaten uit te sluiten, wat de veiligheid van het verificatieproces vergroot.

6. Beveilig de server

De RADIUS-server zelf moet natuurlijk ook goed beveiligd zijn. Gebruik bij voorkeur een dedicated server voor het RADIUS-protocol, zorg ervoor dat de firewall goed is ingesteld en versleutel alle verbindingen die naar andere servers toegaan.

Als je de shared secret voor de PSK's aanmaakt in de NAS of de database van de RADIUS-server, gebruik dan unieke en sterke wachtwoorden. Deze kunnen behoorlijk lang en complex zijn, want gebruikers hebben ze verder niet nodig. De meeste RADIUS-servers kunnen maximaal 32 tekens aan voor de PSK.

Omdat 802.1x gevoelig is voor man-in-the-middle-aanvallen aan de gebruikerskant, moeten ook gebruikerswachtwoorden sterk zijn. In de directoryservice is het meestal mogelijk om een wachtwoordbeleid in te stellen. Op deze manier zorg je ervoor dat wachtwoorden een bepaalde sterkte hebben en dat ze om de zoveel tijd worden vervangen.

Samenvatting

Denk erover na of 802.1x niet ook op het bedrade netwerk uitgerold moet worden. Verzeker je ervan dat RADIUS ook daadwerkelijk nodig is en zo ja, kijk goed naar gratis en goedkope serveropties. Een certificaat van een third-party CA kan er aan bijdragen dat de boel makkelijker uit te rollen is. Denk aan een methode om apparaten die niet in het domein vallen automatisch te configureren. En zorg er tenslotte voor dat zowel de server als de clients goed beveiligd zijn.