| 注意: |
该数据不适用于家庭或小型办公室用户通常不使用高级安全功能(如本页中讨论。 然而,这些用户可以找到主题有兴趣用于信息目的。 | |
802.1x概述
使用哪一个?
可扩展验证协议(EAP)验证类型
802.1x概述
它是一个通过验证来保护网络的端口访问协议。 因此,此类型的验证方法是非常有用,WiFi环境中因性质媒体。 如果一个WIFi用户通过验证通过802.1X网络访问,一个虚拟端口接入点上会打开允许进行通信。 如果验证不成功,则不会提供虚拟端口并将阻断通信。
有三种基本部分802.1x验证:
- 请求者-上运行的软件客户端WiFi工作站
- 验证者-WiFi接入点
- 验证服务器-一个验证数据库,通常是一个Radius服务器(例如Cisco*ACS*、Funk Steel-Belted RADIUS*或Microsoft IAS*
可扩展身份验证协议"(EAP)是用于之间传输验证信息恳请者(Wifi工作站)和验证服务器((Microsoft IAS或其它)。 实际验证有EAP类型定义和处理。 作为验证者的接入点只是一个代理以允许请求者和验证服务器之间进行通信。
使用哪一个?
应用哪一类EAP或是否应用802.1x取决于机构所需的安全级别和所需的额外管理和功能。 此处的说明和比较表将减少了解各种可用EAP类型的困难。
可扩展验证协议(EAP)验证类型
由于WiFi局域网(LAN)安全性是非常必要,EAP验证类型提供了一种更好地保障WLAN连接的方式,经销商正在迅速开发和添加EAP验证类型至他们的WLAN接入点。 部分最常部署的EAP验证类型包括EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-TTLS、EAP-Fast和Cisco LEAP。
- EAP-MD-5(消息摘要)质询是一种提供基本级别EAP支持的EAP验证类型。 EAP-MD-5通常不建议用于无线LAN执行,因为它可能衍生用户密码。 它仅提供单向验证-没有相互验证WiFi客户端和网络。 更为重要的是,它不提供衍生动态、每次会话有线等同隐私(WEP)密钥的方法。
- EAP-TLS(传输层安全)提供基于证书及相互验证客户端和网络。 它依赖客户断和服务器方面的证书进行验证,可用于动态生成基于用户和基于会话的WEP密钥以保障WLAN客户端和接入点之间的通信。 EAP-TLS的不足之处在于必须由客户端和服务器端双方管理证书。 对于较大的WLAN安装,这可能是一个非常繁琐任务。
- EAP-TTLS(隧道传输层安全性)是由Funk Software*and Certicom开发*,作为EAP-TLS的扩展。 此安全性方法提供基于证书的相互验证客户端和网络通过加密通道(或"隧道"),以及衍生动态、每一用户、每次会话WEP密钥。 与EAP-TLS、EAP-TTLS仅需要服务器方面的证书。
- EAP-FAST(通过安全隧道灵活认证)是由Cisco开发*。 而不是使用证书、相互验证是通过PAC(保护访问资格)可以通过验证服务器进行动态管理。 PAC既可配备(一次配发)到客户端既可手动也可自动。 手动配备是通过磁盘或可靠的网络分配方法配送到客户端。 自动提供是指带内、以无线方式分发。
- LEAP(轻量级可扩展验证协议)是一种EAP验证类型,主要用于Cisco Aironet WLAN。 它使用动态生成的WEP密钥对数据传输进行加密,并支持相互验证。 至于其所有权,Cisco已LEAP授权给其它制造商通过Cisco Compatible Extensions计划。
- PEAP(受保护的可扩展验证协议)提供的方法可安全传输验证数据,包括传统基于密码的协议,通过802.11WiFi网络。 PEAP可通过使用PEAP客户端和验证服务器之间的"隧道"。 希望同竞争对手标准"隧道传输层安全性"(TTLS)、PEAP验证WiFi LAN客户端使用服务器单边证书,从而简化了的实施与管理安全WiFi局域网。 Microsoft、Cisco和RSA Security都开发了PEAP。
|
802.1x EAP类型
功能/优点 |
md5
---
Message Digest5 |
TLS
---
传输层安全性 |
TTLS
---
隧道传输层安全 |
PEAP
---
受保护的传输层安全 |
快速
---
通过安全隧道灵活验证 |
LEAP
---
轻量级可扩展身份验证协议 |
| 需要客户端证书 |
否 |
是 |
否 |
否 |
否
(PAC) |
否 |
| 需要服务器证书 |
否 |
是 |
否 |
是 |
否
(PAC) |
否 |
| WEP密钥管理 |
否 |
是 |
是 |
是 |
是 |
是 |
| 欺诈AP检测 |
否 |
否 |
否 |
否 |
是 |
是 |
| 供应商 |
MS |
MS |
Funk |
MS |
Cisco |
Cisco |
| 验证属性 |
单向 |
相互 |
相互 |
相互 |
相互 |
相互 |
| 部署难易程度 |
简单 |
难(因为客户端证书配置的缘故) |
中等 |
中等 |
中等 |
中等 |
| WiFi安全性 |
差 |
很高 |
高 |
高 |
高 |
在使用强密码时,高。 | |
阅读上述讨论和表格,不难得以下结论:
- md5不常用,因为它只执行单向验证,更重要的是它不支持自动分配和转动WEP密钥,无法减轻手动WEP密钥维护的管理负担。
- TLS非常安全,但需要安装客户端证书上的每个WIFi工作站。 维护PKI基础结构需要其它管理方面的专门技术和时间除了维护WLAN本身以外,。
- TTLS通过与TLS建立通道来解决证书问题,了在客户端安装证书的麻烦。 因此,此类型通常是首选项。 TTLS主要由Funk销售,而且需为请求者和验证服务器软件。
- LEAP历史悠久,但先前由Cisco专有(适用于Cisco WiFi适配器仅),Cisco已LEAP授权给其它制造商通过Cisco Compatible Extensions计划。 应执行强密码政策在LEAP用于验证。
- EAP-FAST现在可用于企业不能实行强密码政策和不想部署证书进行验证。
- 最新的PEAP与EAP-TTLS的工作原理类似,不需要客户端证书。 PEAP由Cisco和Microsoft提供支持,从Microsoft免费获得。 如果想要从LEAP转换为PEAP,Cisco的ACS验证服务器可以运行这两种类型。
另一个选项-VPN
而不依靠WiFi局域网认证和保密(加密),许多企业采用VPN。 只要将接入点放置到公司防火墙外面并通过VPN网关进入用户通道-把他们当作远程用户。 在后续管理成本已减少执行VPN解决方案费用、初始安装和管理开销。
本文适用于:
|
机器翻译的免责申明
