EAP(Extensible Authentication Protocol)
802.1x 極簡短概述
這是透過驗證方式保護網路的一種連接埠存取通訊協定。 因此,由於此類媒體的本質,這種驗證方法的類型在無線網路環境中非常好用。 如果有某個無線網路使用者經由 802.1x 驗證進行網路存取,在存取點上就會開啟一個允許通訊的虛擬連接埠。 如果授權不成功,就不會提供虛擬連接埠,而通訊就會受到阻擋。
802.1x 驗證有三項基本要件:
IEEE802.1X定義三個必要的角色完成認證交換。
1.認證者是網路設備(例如:接入點、交換機)希望在允許訪問前增強認證。
2. 請求者是網路設備(例如客戶端 PC、PDA)正在請求訪問。
3. 認證伺服器,典型的是 RADIUS 伺服器,執行必要的認證功能,代替認證者檢查請求者的認證證書,指示是否請求者已被授權訪問認證者的服務。
僅管一台設備可能既是認證者又是認證伺服器,但通常情況下,它們都是獨立的設備。獨立的認證伺服器最有效是當大多數的認證工作可以在被請求者(無線筆記本電腦)上實現時,認證伺服器可以具有較小的處理能力和記憶體,節省成本。
802.1X 不使用 PPP;而是把 EAP 資訊封裝在乙太網路訊框(frame)中。被封裝的 EAP 被稱為區域網路上的 EAP 或 EAPOL (EAP Over LAN) 。
要使用哪一種類型?
要實施哪一種 EAP 類型,或是到底要不要實施 802.1x,取決於公司需要的安全性等級,以及願意投入的管理間接成本/功能。 希望這裡的敘述說明以及對照表,有助於您瞭解各種不同可用的 EAP 類型。
可延伸的驗證通訊協定 (EAP, Extensible Authentication Protocol) 驗證類型
因為 WLAN 的安全性非常重要,且 EAP 驗證類型提供了一種較好的方法來保護 WLAN 連線的安全,所以各家廠商正為 WLAN 存取點積極開發並增加 EAP 驗證類型。 EAP 驗證類型很多,其中最部署的包括 EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-TTLS、EAP-Fast 及 Cisco LEAP。
- EAP-MD-5(Extensible Authentication Protocol - Message Digest 5)(訊息摘要) 盤問是提供基本等級 EAP 支援的一種 EAP 驗證類型。 通常不建議將 EAP-MD-5 用在無線區域網路的實際配置上,因為有可能推斷出使用者的密碼。 它只適合作為單向的驗證;無線用戶端與網路之間沒有共同的驗證。 而且,非常重要的是,它不提供導出根據每次連接作業的動態有線等效保密 (WEP) 金鑰。
- EAP-TLS(Extensible Authentication Protocol - Transport Layer Security)(傳輸層安全性) 提供用戶端與網路之間根據憑證的共同驗證。 它根據用戶端及伺服器端的憑證來執行驗證,而且可以用來動態地產生根據使用者及根據連接作業的 WEP 金鑰,進而保護 WLAN 用戶端與存取點之間後續通訊的安全。 EAP-TLS 的缺點之一,就是用戶端與伺服器端都必須管理相關的憑證。 對於大型的 WLAN 系統而言,這可能是非常累贅而麻煩的工作。
- EAP-TTLS(Extensible Authentication Protocol - Tunneled Transport Layer Security)(隧道式傳輸層安全性) 是由 Funk Software 與 Certicom 開發的類型,作為 EAP-TLS 的一項延伸。 這種安全性方法透過一個加密的通道 (或「隧道」),為用戶端與網路提供採用憑證的共同驗證,也提供了推導根據每一使用者、每一連線作業的動態 WEP 金鑰的方法。 與 EAP-TLS 不同的是,EAP-TTLS 只需要伺服器端的憑證。
- EAP-FAST(Extensible Authentication Protocol - Fast Authentication via Secure Tunneling)(透過安全穿隧的彈性驗證) 是由 Cisco 開發的。彼此驗證並不使用憑證,而是利用某種 PAC (防護型存取認證) 的方法來達成,這種方法可以讓驗證伺服器進行動態管理。PAC 可以利用手動或自動的方式提供 (一次分配) 到用戶端。手動分配可以透過磁片或安全網路配送方法傳遞到用戶端。自動分配是透過空中無線傳送的頻帶內配送。
- LEAP(Lightweight Extensible Authentication Protocol)(輕量型可延伸的驗證通訊協定) 是主要用於 Cisco Aironet WLAN 的一種 EAP 驗證類型。 它使用動態產生的 WEP 金鑰將資料傳輸加密,並且支援共同的驗證。 LEAP 以前屬於專利技術,但 Cisco 已透過其 Cisco 相容擴充方案授權給許多其他製造廠商。
- PEAP(Protected Extensible Authentication Protocol)(防護型可延伸的驗證通訊協定) 提供了一種經由 802.11 無線網路來安全地傳輸驗證資料 (包括舊型的密碼式通訊協定) 的方法。 PEAP 達到此一目標的方式,是在 PEAP 用戶端與驗證伺服器之間使用隧道功能。 就像競爭的標準型 "隧道式傳輸層安全性" (TTLS),PEAP 只使用伺服器端的憑證來驗證無線區域網路用戶端,因此可以簡化安全無線區域網路的實施與管理。 PEAP 是由 Microsoft、Cisco 及 RSA Security 共同開發。
回顧以上討論與對照表,通常可以得出下列結論:
- MD5 通常不使用,因為它只提供單向的驗證,也許更重要的是它不支援 WEP 金鑰的自動分配與輪轉,因此完全無法減輕手動維護 WEP 金鑰的管理負擔。
- TLS 雖然非常安全,卻需要在每台無線工作站上安裝用戶端憑證。 PKI 基礎架構的維護,除了維護 WLAN 本身的需求外,還要額外的系統管理專業與時間。
- TTLS 利用穿隧 TLS 的方式來處理憑證的問題,因此用戶端上面不需要有憑證。 因此這是一般人比較願意使用的選擇。 TTLS 的主要推動者是 Funk,而且請求者和驗證伺服器軟體需要付費。
- LEAP 的歷史最悠久,而且雖然以前屬於 Cisco 的專利 (只能搭配 Cisco 無線網路介面卡使用),但 Cisco 已透過其 Cisco 相容擴充方案授權給許多其他製造廠商。 使用 LEAP 驗證的時候,應該強制執行複雜密碼的政策。 在任何的windows作業系統中不支持LEAP,但LEAP被第三方的用戶軟體支持。該協議由於其容易受到字典攻擊脆弱性,就象EAP-MD5,而在一開始便廣為人知。但直到2003年Joshua Wright發表了ASLEAP以後,人們才開始討論LEAP存在嚴重的安全問題。Cisco仍然認為如果使用十分複雜的密碼,LEAP是安全的。但是在現實世界中人們幾乎不使用十分複雜的密碼,因為這對普通人來將是一件非常困難的事情。新的協議,諸如EAP-TTLS和PEAP,則沒有這些問題,因為他們給MSCHAPv2用戶認證會話建立了一個安全的傳輸層安全(TLS)通道,而且可以運行在使用Cisco和不使用Cisco的接入點上。
- 最近推出的 PEAP 與 EAP-TTLS 類似之處在於用戶端不需要有憑證。 PEAP 有 Cisco 與 Microsoft 的支持,並且可從 Microsoft 取得而不需要額外付費。 如果希望從 LEAP 轉變到 PEAP,Cisco 的 ACS 驗證伺服器兩者都可以執行。
資料保密
達到資料保密的方法,乃是透過使用機密金鑰先將資料加密再進行傳輸,然後在接收端進行解密 (恢復原始資料)。 "有線同等機密性" (WEP) 的安全性比較低,因此開發出例如 WPA 和 WPA2 其他方法更妥善保護無線傳送的資料。
WPA* (Wi-Fi* 防護型存取)
Wi-Fi 聯盟於 2003 年底提出這個採用標準規格的解決方案,作為開發更健全無線區域網路安全性解決方案,以達到 802.11i 修正案的標準。 WPA 包含 802.1x 驗證與 TKIP 加密 (更先進也更安全的 WEP 加密形式)。
WPA2* (Wi-Fi 防護型存取 2)
Wi-Fi 聯盟於 2004 年底宣布了這個第二代的 WPA 安全性。WPA 與 WPA2 都同樣包含 802.1x 驗證。 WPA2 根據 802.11i 修正案的標準,利用 "進階加密標準" (AES) 來保護資料私密性。
WPA 個人版與 WPA2 個人版
適用於沒有驗證伺服器的小型辦公室與家庭使用者,存取的授權是由使用 "預先共用金鑰" (PSK) 來決定。"預先共用金鑰" 是存取點與所有用戶端之間必須符合的十六進位字串或密碼字詞。 使用 WPA 個人版或 WPA2 個人版方法的時候,無法使用任何 802.1x 安全性。
其他安全性選擇
VPN
許多企業並不仰賴無線區域網路進行驗證與隱私保護 (加密),而是實施 VPN。 這個方法是在企業防火牆外面放置存取點,並且讓使用者經由 "VPN 閘道" 穿隧進來,就像遠端使用者一樣。 實施 VPN 解決方案也有一些不利的因素,包括高成本、初步安裝非常複雜,並且在管理方面會不斷需要額外的成本。
Comments