| 注意 | 此数据不是针对通常不使用高级安全功能(如本页中讨论的内容)家庭用户或小型办公室用户。但是,这些用户可能会发现这些主题非常有趣,仅供参考。 |
802.1 倍概述
802.1X 是一种端口访问协议,用于通过身份验证保护网络。因此,由于介质的性质,这种身份验证方法在 Wi-Fi 环境中非常有用。如果 Wi-Fi 用户通过 802.1X 通过网络访问身份验证,则接入点上将打开一个虚拟端口,允许通信。如果未成功授权,则虚拟端口不可用,并且通信被阻止。
802.1X 身份验证有三个基本部分:
- 请求方在 Wi-Fi 工作站上运行的软件客户端。
- 验证器Wi-Fi 接入点。
- 身份验证服务器身份验证数据库,通常是一个半径服务器,如 Cisco ACS*、Funk Steel-Belted RADIUS* 或 Microsoft IAS*。
可扩展身份验证协议 (EAP) 用于在请求方(Wi-Fi 工作站)和验证服务器(Microsoft IAS 或其他)之间传递身份验证信息。EAP 类型实际上处理和定义身份验证。充当验证器的接入点只是一个代理,允许请求方和验证服务器进行通信。
我应该使用哪个?
要实施哪种 EAP 类型或是否实施 802.1X 取决于组织所需的安全级别、管理开销和所需的功能。希望此处的说明和比较图表能轻松理解可用的 EAP 类型的各种困难。
可扩展身份验证协议 (EAP) 身份验证类型
由于 Wi-Fi Local Area Network (WLAN) 安全性至关重要,并且 EAP 身份验证类型提供了一种潜在更好的方法来保护 WLAN 连接,因此供应商正在快速开发 EAP 身份验证类型,并添加到其 WLAN 接入点。一些最常用的 EAP 身份验证类型包括 EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-TTLS、EAP-Fast 和 Cisco LEAP。
- EAP-MD-5(消息摘要)挑战赛是一种提供基本 EAP 支持的 EAP 身份验证类型。通常不建议对 Wi-Fi LAN 实施使用 EAP-MD-5,因为它可能会允许衍生用户的密码。它仅提供双向身份验证 -没有对 Wi-Fi 客户端和网络进行相互身份验证。而且非常重要的一点,它无法提供一种衍生动态、每会话有线等效隐私 (WEP) 密钥的方式。
- EAP-TLS(传输层安全)对客户端和网络提供基于证书的互认证。它依赖于客户端和服务器端证书来执行身份验证,并可用于动态生成基于用户和基于会话的 WEP 密钥,以确保 WLAN 客户端和接入点之间的后续通信。EAP-TLS 的一个缺点是证书必须在客户端和服务器端管理。对于大型 WLAN 安装,这可能是一个非常繁琐的任务。
- EAP-TTLS(通道传输层安全)由 Funk Software* 和 Certicom* 开发,作为 EAP-TLS 的扩展。此安全方法提供了通过加密通道(或通道)对客户端和网络进行基于证书的相互身份验证,以及衍生动态每用户、每会话 WEP 密钥的方法。与 EAP-TLS 不同,EAP-TTLS 只需要服务器端证书。
- EAP-FAST(通过安全通道的灵活身份验证)由 Cisco* 开发。而不是使用证书来实现相互身份验证。EAP-FAST 通过 PAC(受保护的访问凭据)进行身份验证,该凭据可以通过身份验证服务器动态管理。PAC 可以手动或自动调配(一次分发)到客户端。手动配置是通过磁盘或安全的网络分发方法交付到客户端。自动配置是一个带内、空中分发。
- GSM 订阅者身份 (EAP-SIM) 的可扩展身份验证协议方法是一种身份验证和会话密钥分发机制。它使用全球移动通信系统 (GSM) 订购者身份模块 (SIM)。EAP-SIM 使用从客户端适配器和 RADIUS 服务器派生的基于动态会话的 WEP 密钥加密数据。EAP-SIM 要求您输入用户验证码或 PIN,以与订购者身份模块 (SIM) 卡通信。SIM 卡是一种特殊智能卡,由基于全球移动通信系统 (GSM) 的数字蜂窝网络使用。
- EAP-AKA(UMTS 身份验证和密钥协议可扩展验证协议方法)是一种使用通用移动电信系统 (UMTS) 订阅者身份模块 (USIM) 进行身份验证和会话密钥分发的 EAP 机制。USIM 卡是一种与蜂窝网络一起用于验证网络给定用户的特殊智能卡。
- LEAP(轻量级可扩展身份验证协议)是一种 EAP 身份验证类型,主要用于 Cisco 500* WLAN。它使用动态生成的 WEP 密钥加密数据传输,并支持相互身份验证。Heretofore 专有技术,思科已经通过其 Cisco 兼容扩展计划将 LEAP 许可给其他许多制造商。
- PEAP(受保护的可扩展身份验证协议)提供了一种通过 802.11 Wi-Fi 网络传输安全身份验证数据(包括基于旧有密码的协议)的方法。PEAP 通过使用 PEAP 客户端和验证服务器之间的通道来实现这一点。与竞争标准通道传输层安全 (TTLS) 一样,PEAP 仅使用服务器端证书对 Wi-Fi LAN 客户端进行身份验证,从而简化安全 Wi-Fi LAN 的实施和管理。Microsoft、Cisco 和 RSA Security 开发了 PEAP。
802.1 倍 EAP 类型 功能/优势 | MD5
---
消息摘要 5 | Tls
---
传输级别安全性 | TTLS
---
通道传输级别安全性 | PEAP
---
受保护的传输级别安全性 | 快速
---
通过安全通道的灵活身份验证 | 飞跃
---
轻量级可扩展身份验证协议 |
| 需要客户端证书 | 不 | 是的 | 不 | 不 | 不
(PAC) | 不 |
| 需要服务器端证书 | 不 | 是的 | 是的 | 是的 | 不
(PAC) | 不 |
| WEP 密钥管理 | 不 | 是的 | 是的 | 是的 | 是的 | 是的 |
| 多点 AP 检测 | 不 | 不 | 不 | 不 | 是的 | 是的 |
| 供应商 | 女士 | 女士 | 临阵脱逃 | 女士 | 思科 | 思科 |
| 身份验证属性 | 一种方法 | 相互 | 相互 | 相互 | 相互 | 相互 |
| 部署困难 | 容易 | 困难(由于客户端证书部署) | 温和 | 温和 | 温和 | 温和 |
| Wi-Fi 安全性 | 可怜 | 非常高 | 高 | 高 | 高 | 使用强密码时高。 |
对上述讨论和表的回顾通常得出以下结论:
- MD5 通常不用于,因为它仅执行双向身份验证,而且更重要的是不支持 WEP 密钥的自动分发和旋转,因此不能减轻手动 WEP 密钥维护的管理负担。
- TLS 虽然非常安全,但要求在每个 Wi-Fi 工作站上安装客户端证书。维护 PKI 基础设施除了需要维护 WLAN 本身之外,还需要额外的管理专业知识和时间。
- TTLS 通过通道 TLS 来解决证书问题,从而无需在客户端使用证书。因此,这是一个通常首选的选项。Funk Software* 是 TTLS 的主要设计工具,对请求方和认证服务器软件收费。
- LEAP 拥有最长的历史,虽然以前是思科专有技术(仅适用于 Cisco Wi-Fi 适配器),但思科已经通过其 Cisco 兼容扩展计划将 LEAP 许可给其他许多制造商。当 LEAP 用于身份验证时,应强制实施强密码策略。
- EAP-FAST 现在可用于无法强制实施强密码策略且不想部署身份验证证书的企业。
- 最近的 PEAP 工作原理与 EAP-TTLS 类似,因为它不需要客户端的证书。PEAP 由思科和 Microsoft 提供,由 Microsoft 提供,不增加成本。如果需要从 LEAP 过渡到 PEAP,思科的 ACS 身份验证服务器将同时运行。
另一个选项是 VPN
许多企业没有依赖 Wi-Fi LAN 进行身份验证和隐私(加密),而是实施 VPN。这将通过将接入点置于公司防火墙之外,然后通过 VPN 网关将用户通道接入,就像他们是远程用户一样。实施 VPN 解决方案最大的优势是成本、初始安装复杂性和持续的管理开销。