802.1X 概述與 EAP 類型
注意 | 此資料不適用於家用或小型辦公室使用者,這些使用者通常不會使用本頁面中所討論的進階安全性功能。不過,這些使用者可以在其中找到有興趣的主題內容做為參考資訊。 |
802.1X 概述
802.1X 是一種連接埠存取通訊協定,保護經由驗證的網路。因此,由於此類媒體的本質,這種驗證方法的類型在 Wi-Fi 網路環境中非常好用。如果有某個 Wi-Fi 使用者經由 802.1X 驗證進行網路存取,在存取點上就會開啟一個允許通訊的虛擬連接埠。如果授權不成功,就不會提供虛擬連接埠,而通訊就會受到阻擋。
802.1X 驗證有三項基本要件:
- 申請者在 Wi-Fi 工作站上執行的軟體用戶端
- 驗證者 Wi-Fi 存取點
- 驗證伺服器驗證資料庫,通常是一個 RADIUS 伺服器,例如 Cisco ACS*、Steel-Belted RADIUS* 或 Microsoft IAS*
申請者 (Wi-Fi 工作站) 與驗證伺服器 (Microsoft IAS 或其他) 之間會使用可延伸的驗證通訊協定 (EAP) 來傳遞驗證資訊。EAP 類型實際上處理和定義身份驗證。作為驗證者的存取點只是一個代理者,讓申請者與驗證伺服器能夠進行通訊。
我應該使用哪些?
要實施哪一種 EAP 類型,或是到底要不要實施 802.1X,取決於公司需要的安全性等級,以及願意投入的管理間接成本和功能。希望這裡的敘述說明以及對照表,有助於您瞭解各種不同可用的 EAP 類型。
可延伸驗證通訊協定 (EAP) 驗證類型
因為 Wi-Fi 區域網路 (WLAN) 的安全性非常重要,且 EAP 驗證類型提供了一種較好的方法來保護無線區域網路連線的安全,所以各家廠商正為無線區域網路存取點積極開發並增加 EAP 驗證類型。EAP 驗證類型很多,其中最常部署的類型包括 EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-TTLS、EAP-Fast 及 Cisco LEAP。
- EAP-MD-5 (訊息摘要) 盤問是提供基本等級 EAP 支援的一種 EAP 驗證類型。通常不建議將 EAP-MD-5 用在 Wi-Fi 區域網路的實際配置上,因為有可能推斷出使用者的密碼。它只適合作為單向的驗證;Wi-Fi 用戶端與網路之間沒有相互驗證的機制。而且,非常重要的是,它不提供導出根據每次連接作業的動態有線等效保密 (WEP) 金鑰。
- EAP-TLS (傳輸層安全性) 提供用戶端與網路之間根據憑證的共同驗證。它根據用戶端及伺服器端的憑證來執行驗證,而且可以用來動態地產生根據使用者及根據連接作業的 WEP 金鑰,進而保護無線區域網路用戶端與存取點之間後續通訊的安全。EAP-TLS 的缺點之一,就是用戶端與伺服器端都必須管理相關的憑證。對於大型的無線區域網路系統而言,這可能是非常累贅而麻煩的工作。
- EAP-TTLS (隧道式傳輸層安全性) 是由 Funk Software* 與 Certicom* 開發的類型,作為 EAP-TLS 的一項延伸。這種安全性方法透過一個加密的通道 (或「隧道」),為用戶端與網路提供採用憑證的共同驗證,也提供了推導根據每一使用者、每一連線作業的動態 WEP 金鑰的方法。與 EAP-TLS 不同的是,EAP-TTLS 只需要伺服器端的憑證。
- EAP-FAST (經由安全通道的可延伸驗證) 是由 Cisco 所開發。而不是使用憑證執行相互驗證。EAP-FAST 透過 PAC (受保護的存取憑據) 進行驗證,而 PAC 可透過驗證伺服器動態管理。PAC 可以透過手動方式或自動提供 (一次性發佈) 給用戶端。手動提供方式是經由磁碟或安全的網路散佈方式提供給用戶端。自動提供則是在頻帶內,透過無線方式進行散佈。
- GSM 用戶識別模組 (EAP-SIM) 的「可延伸驗證通訊協定方式」是驗證機制和作業階段金鑰分配。它使用全球行動通訊系統 (GSM) 訂用者身分模組 (SIM)。EAP-SIM 使用從用戶端介面卡和 RADIUS 伺服器衍生出的動態作業階段為基礎的 WEP 金鑰來加密資料。EAP-SIM 需要您輸入使用者驗證碼或 PIN,才能與用戶識別模組 (SIM) 卡通訊。SIM 卡是特別的智慧卡,用於 "全球行動通訊系統" (GSM) 數位行動網路。
- EAP-AKA (適用 UMTS 驗證與金鑰協議的延伸驗證通訊協定方法) 是驗證與作業階段金鑰分配的 EAP 機制,使用全球行動通訊系統 (UMTS) 用戶識別模組 (USIM)。USIM 卡是使用行動網路的特殊智慧卡,使用網路來驗證指定的使用者。
- LEAP (輕量型可延伸的驗證通訊協定) 是主要用於 Cisco Aironet* WLAN 的一種 EAP 驗證類型。它使用動態產生的 WEP 金鑰將資料傳輸加密,並且支援共同的驗證。LEAP 以前屬於專利技術,但 Cisco 已透過其 Cisco 相容擴充方案授權給許多其他製造廠商。
- PEAP (防護型可延伸的驗證通訊協定) 提供了一種經由 802.11 Wi-Fi 網路來安全地傳輸驗證資料 (包括舊型的密碼式通訊協定) 的方法。PEAP 達到此一目標的方式,是在 PEAP 用戶端與驗證伺服器之間使用隧道功能。就像競爭的標準型「隧道式傳輸層安全性」(TTLS),PEAP 只使用伺服器端的憑證來驗證 Wi-Fi 區域網路用戶端,因此可以簡化安全 Wi-Fi 區域網路的實施與管理。PEAP 是由 Microsoft、Cisco 及 RSA Security 共同開發。
802.1X EAP 類型 特色/優點 | MD5 --- 訊息摘要 5 | TLS --- 傳輸層安全性 | TTLS --- 隧道式傳輸層安全性 | PEAP --- 防護型傳輸層安全性 | 快速 | LEAP --- 輕量型可延伸的驗證通訊協定 |
需要用戶端憑證 | 否 | 是 | 否 | 否 | 否 (PAC) | 否 |
需要伺服器端憑證 | 否 | 是 | 是 | 是 | 否 (PAC) | 否 |
WEP 金鑰管理 | 否 | 是 | 是 | 是 | 是 | 是 |
Rouge AP 偵測 | 否 | 否 | 否 | 否 | 是 | 是 |
供應商 | MS | MS | Funk | MS | Cisco | Cisco |
驗證屬性 | 單向 | 雙向 | 雙向 | 雙向 | 雙向 | 雙向 |
部署難度 | 容易 | 困難 (因為用戶端憑證部署) | 適中 | 適中 | 適中 | 適中 |
Wi-Fi 安全性 | 差 | 非常高 | 高 | 高 | 高 | 使用複雜密碼時可以很高。 |
回顧以上討論與對照表,通常可以得出下列結論:
- MD5 通常不使用,因為它只提供單向的驗證,也許更重要的是它不支援 WEP 金鑰的自動分配與輪轉,因此完全無法減輕手動維護 WEP 金鑰的管理負擔。
- TLS 雖然非常安全,但需要在每台 Wi-Fi 工作站上安裝用戶端憑證。PKI 基礎架構的維護,除了維護無線區域網路本身的需求外,還要額外的系統管理專業與時間。
- TTLS 利用穿隧 TLS 的方式來處理憑證的問題,因此用戶端上面不需要有憑證。因此這是一般人比較願意使用的選擇。Funk Software* 是 TTLS 的主要提倡者,要求者和驗證伺服器軟體均收取費用。
- LEAP 的歷史最悠久,而且雖然以前屬於 Cisco 的專利 (只能搭配 Cisco Wi-Fi 網路卡使用),但 Cisco 已透過其 Cisco 相容擴充方案將 LEAP 授權給許多其他製造廠商。使用 LEAP 驗證的時候,應該強制執行複雜密碼的政策。
- 對於無法強制執行複雜密碼政策,也不想要部署憑證進行驗證的企業,如今可以選擇使用 EAP-FAST。
- 最近推出的 PEAP 與 EAP-TTLS 類似之處在於用戶端不需要有憑證。PEAP 有 Cisco 與 Microsoft 的支持,並且可從 Microsoft 取得而不需要額外付費。如果希望從 LEAP 轉變到 PEAP,Cisco 的 ACS 驗證伺服器兩者都可以執行。
另一個選擇是 VPN
許多企業並不仰賴 Wi-Fi 區域網路進行驗證與隱私保護 (加密),而是執行 VPN。這個方法是在企業防火牆外面放置存取點,並且讓使用者經由「VPN 閘道」穿進來,就像遠端使用者一樣。實施 VPN 解決方案也有一些不利的因素,包括高成本、初步安裝非常複雜,並且在管理方面會不斷需要額外的成本。