A implementação e o suporte para a autenticação 802.1X [vamos fazer um texto explicando O que é 802.1X] em sua rede pode ser um desafio para as empresas, sejam elas PMEs ou multinacionais.

Por isso, criamos uma lista com algumas dicas para ajudar no processo de implantação do protocolo e ajudar o CIO a economizar tempo, dinheiro e diminuir os problemas. Confira:


1- Adquira um Certificado Digital para uma implantação facilitada

Se você está implementando protocolos PEAP (Protected Extensible Authentication Protocol ou Protocolo de Autenticação Extensível Protegido) para o tipo EAP (Extensible Authentication Protocol  ou protocolo de autenticação extensível) do 802.1X, ainda será necessário carregar o servidor RADIUS com um certificado digital para validação opcional mas extremamente importante do servidor, que é feita pelos usuários finais antes da autenticação. Isto é para ajudar a impedir ataques de espionagem criptografada.

Você pode criar um certificado auto-assinado com sua própria autoridade de certificação, mas o certificado-raiz da Autoridade de certificação deve ser carregado nos computadores e dispositivos de usuários finais para que eles possam validar o servidor.

Geralmente, você pode distribuir os certificados-raiz de Autoridades de Certificação para computadores gerenciados, tais como o Group Policy (um recurso do Windows Server para controlar o ambiente de trabalho de contas de usuário e contas de computador) caso você esteja rodando o diretório ativo com o Windows Server 2003 ou um sistema operacional mais recente. No entanto, para ambientes sem domínio definido ou com políticas de BYOD, o certificado deve ser instalado manualmente ou distribuído de outra forma.

Outra opção é a de adquirir um certificado digital para o servidor RADIUS de outras Autoridades Certificadoras (VeriSign, Comodo, GoDaddy são alguns exemplos) que já possuem a confiança do Windows e outros sistemas operacionais. Com isso, você não teria que se preocupar sobre como distribuir o certificado-raiz da autoridade de certificação para a maioria dos computadores e dispositivos.


2- Considere um servidor RADIUS  gratuito ou de baixo custo

Para redes pequenas ou médias, não é necessário gastar uma fortuna em um servidor RADIUS (autenticação remota serviço ao usuário dial-in). Verifique primeiro se a sua plataforma de roteador, serviço de diretório ou qualquer outro servidor já fornece RADIUS/AAA (autenticação, autorização e contabilidade) para a empresa. Por exemplo, se você estiver executando um domínio do Active Directory com um Windows Server, procure no componente de serviços de autenticação de Internet (IAS) do Windows Server 2003 R2 ou no componente do servidor de segurança de rede (NPS) do Windows Server 2008 ou posterior.

Se os servidores atuais não fornecerem funcionalidade RADIUS, ainda existem muitos servidores gratuitos e de baixo custo:

O FreeRADIUS, por exemplo, é totalmente gratuito, com código aberto e pode rodar em Linux ou outros sistemas operacionais Unix. Ele pode servir tanto poucos usuários e  solicitações como milhões deles. O FreeRADIUS tem uma interface de linha de comando padronizada e mudanças de configuração são feitas através da edição de arquivos de configuração. A configuração também é altamente personalizável e devido ao fato de possuir o código aberto, você pode até mesmo fazer alterações no código do software.

O TekRADIUS foi lançado como um servidor shareware que roda em Windows e oferece uma GUI (Graphical user interface). Os recursos básicos são gratuitos, enquanto outros recursos como EAP-TLS e a criação de certificados auto-assinados dinâmicos para sessões PEAP, cobranças por VoIP e outros recursos corporativos.

Alguns pontos de acesso podem até ter incorporados servidores RADIUS, ótimos para redes menores. Além disso, existem serviços baseados em Nuvem como o AuthenticateMyWiFi, que fornecem servidores RADIUS hospedados para 802.1X. Esse formato é ideal para empresas que não querem investir tempo e recursos no desenvolvimento do seu próprio servidor RADIUS.


3- Implemente o protocolo 802.1 X para a rede com fio também

Você pode ter decidido implementar a autenticação 802.1X só para proteger melhor a rede sem fio corporativa com o modo Enterprise do Wi-Fi Protected Access (WPA ou WPA2) segurança. No entanto, é bom considerar também a autenticação 802.1X para a rede com fio, pois apesar de não oferecer criptografia para as conexões com fio (olhar para IPsec para isso), seria necessária a autenticação para os que vão se conectar à Ethernet antes que eles recebessem acesso à rede.  


4- Garanta a segurança do servidor RADIUS

Não se esqueça da segurança do servidor RADIUS também já que ele é o único responsável por tratar da autenticação. Considere dedicar um servidor separado apenas para o papel do RADIUS, garantindo que o firewall dele está trancado. Use também links criptografados para quaisquer conexões de base de dados utilizadas pelo servidor RADIUS, que estejam localizadas em um outro servidor.

Quando estiver gerando as senhas que você vai inserir na lista de clientes do NAS (network access server) ou na base de dados do servidor RADIUS, utilize senhas únicas e bastante fortes. Como os usuários não precisam saber ou lembrar delas, crie senhas bem longas e complexas. Lembre-se que boa parte dos servidores RADIUS e dispositivos NAS suportam mais que 32 caracteres para senhas compartilhadas.

Uma vez que o protocolo 802.1X é propenso à ataques de espionagem criptografada na senha do usuário, garanta que as senhas dos usuários também sejam fortes.

Fonte:
http://www.networkworld.com/news/2012/061112-8021x-259869.html?nsdr=true