802.1 倍概述和 EAP 类型

文档

产品信息和文件

000006999

2021 年 10 月 28 日

注意此数据并非面向通常不使用高级安全功能(如本页面中讨论的高级安全功能)的家庭或小型办公室用户。但是,这些用户可能会发现这些主题有趣的是出于信息目的。

 

802.1 倍概述

802.1X 是一种端口访问协议,用于通过身份验证保护网络。因此,由于介质的本质,这种身份验证方法在 Wi-Fi 环境中非常有用。如果 Wi-Fi 用户通过 802.1X 验证了网络访问,则在接入点打开虚拟端口允许进行通信。如果未成功授权,则无法提供虚拟端口,通信也被阻止。

身份验证有三个基本部分至 802.1 倍:

  1. 耐用性在 Wi-Fi 工作站上运行的软件客户端。
  2. 验证者Wi-Fi 接入点。
  3. 身份验证服务器身份验证数据库,通常为半径服务器,如 Cisco ACS*、Funk Steel-Belted RADIUS* 或 Microsoft IAS*。

可扩展身份验证协议 (EAP) 用于在请求(Wi-Fi 工作站)和身份验证服务器(Microsoft IAS 或其他)之间传递身份验证信息。EAP 类型实际上处理和定义了身份验证。充当验证器的接入点只能是允许受请求者和身份验证服务器进行通信的代理。

我应该使用哪个?

实施哪种 EAP 类型,或是否同时实施 802.1 倍,取决于组织所需的安全程度、管理开销和所需的功能。希望此处的描述和比较图表能够缓解理解 EAP 可用类型的困难。

可扩展身份验证协议 (EAP) 身份验证类型

由于 Wi-Fi 局域网 (WLAN) 安全性至关重要,而且 EAP 身份验证类型提供了保护 WLAN 连接的潜在更好方法,因此供应商正在快速开发并将 EAP 身份验证类型添加到其 WLAN 接入点中。一些最常部署的 EAP 身份验证类型包括 EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-TTLS、EAP-Fast 和 Cisco LEAP。

  • EAP-MD-5 (消息摘要) 挑战是一种提供基本 EAP 支持的 EAP 身份验证类型。对于 Wi-Fi LAN 实施,通常不建议使用 EAP-MD-5,因为它可能会允许推导用户的密码。它仅提供单向身份验证 -不提供 Wi-Fi 客户端和网络的相互身份验证。而且非常重要,它不提供一种让每个会话都具有等效隐私 (WEP) 密钥的动态方法。
  • EAP-TLS(传输层安全)提供基于证书和客户端和网络的相互身份验证。它依靠客户端和服务器端证书来执行身份验证,并可用于动态生成基于用户和会话的 WEP 密钥,以确保 WLAN 客户端和接入点之间的后续通信的安全。EAP-TLS 的一个缺点是必须同时在客户端和服务器端管理证书。对于 WLAN 大型安装而言,这可能是一项非常麻烦的任务。
  • EAP-TTLS(隧道传输层安全)由 Funk Software* 和 Certicom* 开发,作为 EAP-TLS 的扩展。此安全方法通过加密通道(或隧道)提供基于证书的、对客户端和网络的相互验证,并提供了一种获取每个用户的动态每会话 WEP 密钥的方法。与 EAP-TLS 不同,EAP-TTLS 只需要服务器端证书。
  • EAP-FAST(通过安全通道开发的灵活身份验证)由思科* 开发。而不是使用证书来实现相互认证。EAP-FAST 通过 PAC(受保护的访问凭据)的方式进行身份验证,该凭据可由身份验证服务器动态管理。PAC 可以手动或自动向客户端配置(一次)。手动配置是通过磁盘或安全的网络分发方法交付给客户端。自动配置是带内、广播、分发。
  • GSM 订阅者身份 (EAP-SIM) 的可扩展身份验证协议方法是一种身份验证和会话密钥分发机制。它使用全局移动通信系统 (GSM) 订阅者身份模块 (SIM)。EAP-SIM 使用基于会话的动态 WEP 密钥(源自客户端适配器和 RADIUS 服务器)对数据进行加密。EAP-SIM 要求您输入用户验证代码或 PIN,以便与用户标识模块 (SIM) 卡通信。SIM 卡是一种特殊智能卡,被 Global System for Mobile Communications (GSM) 的数字蜂窝网络所使用。
  • EAP-AKA(UMTS 身份验证和密钥协议的可扩展验证协议方法)是一种使用通用移动电信系统 (UMTS) 用户身份模块 (USIM) 进行身份验证和会话密钥分发的 EAP 机制。USIM 卡是一款专用智能卡,用于蜂窝网络来通过网络验证特定用户。
  • LEAP(轻量级可扩展验证协议)是一种 EAP 身份验证类型,主要在 Cisco Aironet* WLAN 中使用。它使用动态生成的 WEP 密钥加密数据传输,并支持相互身份验证。自此,思科通过其兼容思科的扩展计划已授权对各种其他制造商进行飞跃。
  • PEAP(受保护的可扩展身份验证协议)提供了一种通过 802.11 Wi-Fi 网络传输安全身份验证数据(包括基于密码的传统协议)的方法。PEAP 通过使用 PEAP 客户端与身份验证服务器之间的通道来实现这一目标。与竞争标准隧道传输层安全性 (TTLS) 一样,PEAP 仅使用服务器端证书验证 Wi-Fi LAN 客户端,从而简化安全 Wi-Fi LAN 的实施和管理。微软、思科和 RSA Security 开发了 PEAP。

802.1 倍 EAP 类型

功能/优势

MD5
---
消息摘要 5
TLS
---
运输级别安全性
TTLS
---
通道传输级别安全
PEAP
---
受保护的交通级别安全性

快速
---
通过安全隧道进行灵活身份验证

飞跃
---
轻量级可扩展验证协议
需要客户端证书是的
(PAC)
需要服务器端证书是的是的是的
(PAC)
WEP 密钥管理是的是的是的是的是的
񎻮达 AP 检测是的是的
供应商女士女士临阵脱逃女士思科思科
身份验证属性一种方法相互相互相互相互相互
部署困难容易困难(由于客户端证书部署)温和温和温和温和
Wi-Fi 安全性可怜非常高使用强密码时高。

 

对上述讨论和表格的审查通常会得出以下结论:

  • MD5 通常不会被使用,因为它只执行单向身份验证,而且可能更重要的是不支持 WEP 密钥的自动分发和旋转,所以没有什么可以减轻人工 WEP 密钥维护的管理负担。
  • TLS 虽然非常安全,但需要在每个 Wi-Fi 工作站上安装客户端证书。除了维护 WLAN 本身之外,对 PKI 基础设施的维护还需要额外的管理专业知识和时间。
  • TTLS 通过寻找 TLS 解决证书问题,从而无需在客户端获得证书。使它成为经常首选的选项。Funk Software* 是 TTLS 的主要推广者,并且对受许可和身份验证服务器软件有一定的费用。
  • LEAP 历史最长,而思科的专有业务(仅适用于思科 Wi-Fi 适配器)是目前持续时间最长的一次,但思科通过 Cisco 兼容扩展计划已授权向众多其他制造商实现飞跃。当使用 LEAP 用于身份验证时,应强制执行强大的密码政策。
  • EAP-FAST 现在对无法执行强大密码策略且不想部署用于身份验证的证书的企业可用。
  • 最近的 PEAP 的工作原理与 EAP-TTLS 类似,因为它不需要客户端方面的证书。PEAP 由思科和 Microsoft 提供支持,无需额外从 Microsoft 获得。如果希望从飞跃过渡到 PEAP,思科的 ACS 身份验证服务器将同时运行两者。

另一个选项是 VPN

许多企业没有依靠 Wi-Fi LAN 来进行身份验证和隐私(加密),而是实施 VPN。这样做就是将接入点放置在公司防火墙外,并通过 VPN 网关将用户隧道放入系统中,就像他们是远程用户一样。实施 VPN 解决方案的缺点是成本、初始安装复杂性和持续的管理开销。