分類
CISSP

802.1X 概述與 EAP 類型

802.1X 概述

802.1X 是一種連接埠存取通訊協定,保護經由驗證的網路。因此,由於此類媒體的本質,這種驗證方法的類型在 Wi-Fi 網路環境中非常好用。如果有某個 Wi-Fi 使用者經由 802.1X 驗證進行網路存取,在存取點上就會開啟一個允許通訊的虛擬連接埠。如果授權不成功,就不會提供虛擬連接埠,而通訊就會受到阻擋。

802.1X 驗證有三項基本要件:

  1. 申請者在 Wi-Fi 工作站上執行的軟體用戶端
  2. 驗證者 Wi-Fi 存取點
  3. 驗證伺服器驗證資料庫,通常是一個 RADIUS 伺服器,例如 Cisco ACS*、Steel-Belted RADIUS* 或 Microsoft IAS*

申請者 (Wi-Fi 工作站) 與驗證伺服器 (Microsoft IAS 或其他) 之間會使用可延伸的驗證通訊協定 (EAP) 來傳遞驗證資訊。EAP 類型實際上處理和定義身份驗證。作為驗證者的存取點只是一個代理者,讓申請者與驗證伺服器能夠進行通訊。

我應該使用哪些?

要實施哪一種 EAP 類型,或是到底要不要實施 802.1X,取決於公司需要的安全性等級,以及願意投入的管理間接成本和功能。希望這裡的敘述說明以及對照表,有助於您瞭解各種不同可用的 EAP 類型。

可延伸驗證通訊協定 (EAP) 驗證類型

因為 Wi-Fi 區域網路 (WLAN) 的安全性非常重要,且 EAP 驗證類型提供了一種較好的方法來保護無線區域網路連線的安全,所以各家廠商正為無線區域網路存取點積極開發並增加 EAP 驗證類型。EAP 驗證類型很多,其中最常部署的類型包括 EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-TTLS、EAP-Fast 及 Cisco LEAP。

  • EAP-MD-5 (訊息摘要) 盤問是提供基本等級 EAP 支援的一種 EAP 驗證類型。通常不建議將 EAP-MD-5 用在 Wi-Fi 區域網路的實際配置上,因為有可能推斷出使用者的密碼。它只適合作為單向的驗證;Wi-Fi 用戶端與網路之間沒有相互驗證的機制。而且,非常重要的是,它不提供導出根據每次連接作業的動態有線等效保密 (WEP) 金鑰。
  • EAP-TLS (傳輸層安全性) 提供用戶端與網路之間根據憑證的共同驗證。它根據用戶端及伺服器端的憑證來執行驗證,而且可以用來動態地產生根據使用者及根據連接作業的 WEP 金鑰,進而保護無線區域網路用戶端與存取點之間後續通訊的安全。EAP-TLS 的缺點之一,就是用戶端與伺服器端都必須管理相關的憑證。對於大型的無線區域網路系統而言,這可能是非常累贅而麻煩的工作。
  • EAP-TTLS (隧道式傳輸層安全性) 是由 Funk Software* 與 Certicom* 開發的類型,作為 EAP-TLS 的一項延伸。這種安全性方法透過一個加密的通道 (或「隧道」),為用戶端與網路提供採用憑證的共同驗證,也提供了推導根據每一使用者、每一連線作業的動態 WEP 金鑰的方法。與 EAP-TLS 不同的是,EAP-TTLS 只需要伺服器端的憑證。
  • EAP-FAST (經由安全通道的可延伸驗證) 是由 Cisco 所開發。而不是使用憑證執行相互驗證。EAP-FAST 透過 PAC (受保護的存取憑據) 進行驗證,而 PAC 可透過驗證伺服器動態管理。PAC 可以透過手動方式或自動提供 (一次性發佈) 給用戶端。手動提供方式是經由磁碟或安全的網路散佈方式提供給用戶端。自動提供則是在頻帶內,透過無線方式進行散佈。
  • GSM 用戶識別模組 (EAP-SIM) 的「可延伸驗證通訊協定方式」是驗證機制和作業階段金鑰分配。它使用全球行動通訊系統 (GSM) 訂用者身分模組 (SIM)。EAP-SIM 使用從用戶端介面卡和 RADIUS 伺服器衍生出的動態作業階段為基礎的 WEP 金鑰來加密資料。EAP-SIM 需要您輸入使用者驗證碼或 PIN,才能與用戶識別模組 (SIM) 卡通訊。SIM 卡是特別的智慧卡,用於 “全球行動通訊系統” (GSM) 數位行動網路。
  • EAP-AKA (適用 UMTS 驗證與金鑰協議的延伸驗證通訊協定方法) 是驗證與作業階段金鑰分配的 EAP 機制,使用全球行動通訊系統 (UMTS) 用戶識別模組 (USIM)。USIM 卡是使用行動網路的特殊智慧卡,使用網路來驗證指定的使用者。
  • LEAP (輕量型可延伸的驗證通訊協定) 是主要用於 Cisco Aironet* WLAN 的一種 EAP 驗證類型。它使用動態產生的 WEP 金鑰將資料傳輸加密,並且支援共同的驗證。LEAP 以前屬於專利技術,但 Cisco 已透過其 Cisco 相容擴充方案授權給許多其他製造廠商。
  • PEAP (防護型可延伸的驗證通訊協定) 提供了一種經由 802.11 Wi-Fi 網路來安全地傳輸驗證資料 (包括舊型的密碼式通訊協定) 的方法。PEAP 達到此一目標的方式,是在 PEAP 用戶端與驗證伺服器之間使用隧道功能。就像競爭的標準型「隧道式傳輸層安全性」(TTLS),PEAP 只使用伺服器端的憑證來驗證 Wi-Fi 區域網路用戶端,因此可以簡化安全 Wi-Fi 區域網路的實施與管理。PEAP 是由 Microsoft、Cisco 及 RSA Security 共同開發。

回顧以上討論與對照表,通常可以得出下列結論:

  • MD5 通常不使用,因為它只提供單向的驗證,也許更重要的是它不支援 WEP 金鑰的自動分配與輪轉,因此完全無法減輕手動維護 WEP 金鑰的管理負擔。
  • TLS 雖然非常安全,但需要在每台 Wi-Fi 工作站上安裝用戶端憑證。PKI 基礎架構的維護,除了維護無線區域網路本身的需求外,還要額外的系統管理專業與時間。
  • TTLS 利用穿隧 TLS 的方式來處理憑證的問題,因此用戶端上面不需要有憑證。因此這是一般人比較願意使用的選擇。Funk Software* 是 TTLS 的主要提倡者,要求者和驗證伺服器軟體均收取費用。
  • LEAP 的歷史最悠久,而且雖然以前屬於 Cisco 的專利 (只能搭配 Cisco Wi-Fi 網路卡使用),但 Cisco 已透過其 Cisco 相容擴充方案將 LEAP 授權給許多其他製造廠商。使用 LEAP 驗證的時候,應該強制執行複雜密碼的政策。
  • 對於無法強制執行複雜密碼政策,也不想要部署憑證進行驗證的企業,如今可以選擇使用 EAP-FAST。
  • 最近推出的 PEAP 與 EAP-TTLS 類似之處在於用戶端不需要有憑證。PEAP 有 Cisco 與 Microsoft 的支持,並且可從 Microsoft 取得而不需要額外付費。如果希望從 LEAP 轉變到 PEAP,Cisco 的 ACS 驗證伺服器兩者都可以執行。

另一個選擇是 VPN

許多企業並不仰賴 Wi-Fi 區域網路進行驗證與隱私保護 (加密),而是執行 VPN。這個方法是在企業防火牆外面放置存取點,並且讓使用者經由「VPN 閘道」穿進來,就像遠端使用者一樣。實施 VPN 解決方案也有一些不利的因素,包括高成本、初步安裝非常複雜,並且在管理方面會不斷需要額外的成本。

資料來源:https://www.intel.com.tw/content/www/tw/zh/support/articles/000006999/wireless/legacy-intel-wireless-products.html

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。