| 注 |
该数据不适用于家庭或小型办公室用户,他们通常不使用高级安全功能(如本页中讨论的功能)。 但是,对于这些对此主题感兴趣的用户,此处仅供参考。 | |
802.1x概述
使用哪一个?
可扩展身份验证协议(EAP)验证类型
802.1x概述
它是一个通过验证来保护网络的端口访问协议。 因此,这种类型的验证方法极为有用,Wi-Fi环境中的特点造成的媒体。 如果Wi-Fi用户通过802.1x进行身份验证来访问网络,虚拟端口接入点上会打开用于通信。 如果验证不成功,则不会提供虚拟端口,并将阻断通信。
802.1x验证分为3个基本部分:
- 请求者-在Wi-Fi工作站上运行的软件客户端
- 验证方-Wi-Fi接入点
- 验证服务器-一个验证数据库,通常是一个Radius服务器(例如Cisco ACS*、Funk Steel-Belted RADIUS*或Microsoft*IAS*
可扩展身份验证协议(EAP)用于之间传输验证信息在请求方(Wi-Fi工作站)和验证服务器((Microsoft IAS或其它)。 实际验证有EAP类型定义和处理。 作为验证者的接入点只是一个允许请求者和验证服务器之间进行通信的代理。
使用哪一个?
执行哪类EAP或是否执行802.1x取决于机构所需的安全级别和所需的额外管理和功能。 此处的说明和比较表将帮助减少了解各种可用EAP类型的困难。
可扩展身份验证协议(EAP)验证类型
由于Wi-Fi局域网(LAN)安全性至关重要,EAP验证类型可能提供了一种更好地保障无线局域网连接的方式,经销商正在迅速开发和添加EAP验证类型至他们的无线局域网接入点中。 部分最常部署的EAP验证类型包括EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-TTLS、EAP-Fast和Cisco LEAP。
- EAP-MD-5(消息摘要)质询是一种提供基本级别EAP支持的EAP验证类型。 通常不建议将EAP-MD-5用于Wi-Fi局域网实施中,因为它可能衍生用户密码。 它仅提供单向验证-无法执行相互验证Wi-Fi客户端和网络。 更为重要的是,它不提供了一种手段衍生动态、按对话有限对等保密(WEP)密钥。
- EAP-TLS(传输层安全)提供为客户端和网络提供基于证书及相互的验证。 它依赖客户端和服务器方面的证书进行验证,可用于动态生成基于用户和通话的WEP密钥以保障WLAN客户端和接入点之间的通信。 EAP-TLS的不足之处在于必须由客户端和服务器端双方管理证书。 对于较大的WLAN安装,则是比较重的任务。
- EAP-TTLS(隧道传输层安全)由Funk Software*和Certicom*合作开发,作为EAP-TLS的扩展。 此安全方法提供基于证书的相互验证为客户端和网络通过加密通道(或“隧道”),同时作为衍生动态及按用户和对话的WEP密钥。 与EAP-TLS不同,EAP-TTLS仅需要服务器方面的证书。
- EAP-FAST(通过安全隧道灵活验证)由Cisco*开发。 而不使用证书、相互验证通过PAC(保护访问凭证),可对其进行由验证服务器动态管理。 PAC可配置(一次性分发)到客户端手动或自动。 手动配备是指通过磁盘或可靠的网络分发方法传送到客户端。 自动配置是指带内的无线方式分发。
- LEAP(轻型可扩展身份验证协议)是一种EAP验证类型,主要用于Cisco Aironet*无线局域网。 它使用动态生成的WEP密钥对数据传输进行加密,并支持相互验证。 至于其所有权,Cisco已LEAP授权给其它制造商通过Cisco Compatible Extensions计划。
- PEAP(受保护的可扩展身份验证协议)提供了一种安全传输验证数据的方法,包括传统基于密码的协议,通过802.11Wi-Fi网络。 PEAP达到这个目的使用之间的“隧道”来PEAP客户端和验证服务器。 如同竞争对手标准"隧道传输层安全性"(TTLS)、PEAP来验证Wi-Fi局域网客户端仅使用服务器方面的证书,从而简化了安全Wi-Fi局域网的实现和管理。 Microsoft、Cisco和RSA Security都开发了PEAP。
|
802.1x EAP类型
功能/优点 |
MD5
---
信息摘要5 |
TLS
---
传输层安全 |
TTLS
---
隧道传输层安全 |
PEAP
---
受保护的传输层安全 |
快速
---
通过安全隧道灵活验证 |
LEAP
---
轻量级可扩展身份验证协议 |
| 需要客户端证书 |
无 |
是 |
无 |
无 |
无
(PAC) |
无 |
| 需要服务器证书 |
无 |
是 |
无 |
是 |
无
(PAC) |
无 |
| WEP密钥管理 |
无 |
是 |
是 |
是 |
是 |
是 |
| 欺诈AP检测 |
无 |
无 |
无 |
无 |
是 |
是 |
| 提供商 |
MS |
MS |
Funk |
MS |
Cisco |
Cisco |
| 验证属性 |
一种方式 |
相互 |
相互 |
相互 |
相互 |
相互 |
| 部署难易程度 |
简单 |
难(因为客户端证书配置的缘故) |
审查 |
审查 |
审查 |
审查 |
| Wi-Fi安全 |
差 |
很高 |
高 |
高 |
高 |
在使用强密码时,高。 | |
阅读上述讨论和表格,不难得出以下结论:
- MD5不常用,因为它只执行单向验证,更重要的是它不支持自动分配和转动WEP密钥,无法减轻手动WEP密钥维护的管理负担。
- TLS非常安全,但需要在每个Wi-Fi工作站上安装客户端证书。 维护PKI基础结构时除了维护WLAN本身以外,还和时间。
- TTLS解决证书问题隧道TLS、,因而不需要客户端证书。 因此,此类型通常是首选项。 TTLS主要由Funk销售,而且需为请求者和验证服务器软件付费。
- LEAP历史悠久,但先前由Cisco专有(工程与Cisco Wi-Fi适配器仅),Cisco已LEAP授权其它制造商通过Cisco Compatible Extensions计划。 一个在LEAP用于验证时,应执行强密码政策。
- EAP-FAST现在可的企业不能实行强密码政策和不想配置验证证书的。
- 最新的PEAP与EAP-TTLS的工作原理类似,不需要客户端证书。 PEAP由Cisco和Microsoft提供支持,可以从Microsoft免费获得。 如果想要从LEAP转换为PEAP,Cisco的ACS验证服务器可以运行这两种类型。
另一个选项-VPN
而不依靠Wi-Fi局域网认证和保密(加密),许多企业执行VPN。 这是通过内置入接入点放置到公司防火墙外面,并通过VPN网关进入用户通道-把他们当作远程用户。 执行VPN解决方案的费用、初始安装和后续管理成本已减少。
本文适用于:
|
机器翻译免责声明
