| 注意 |
此資料不適用於家用或小型辦公室使用者,這些使用者通常不會使用本頁面中所討論的進階安全性功能。不過,這些使用者可以在其中找到有興趣的主題內容做為參考資訊。 | |
802.1x 概述
要使用什麼?
可延伸驗證通訊協定 (EAP) 驗證類型
802.1x 概述
這是透過驗證方式保護網路的一種連接埠存取通訊協定。因此,由於此類媒體的本質,這種驗證方法的類型在 WiFi 網路環境中非常好用。如果有某個 WiFi 使用者經由 802.1x 驗證進行網路存取,在存取點上就會開啟一個允許通訊的虛擬連接埠。如果授權不成功,就不會提供虛擬連接埠,而通訊就會受到阻擋。
802.1x 驗證有三項基本要件:
- 申請者 - 在 WiFi 工作站上執行的一個軟體用戶端
- 驗證者 - WiFi 存取點
- 驗證伺服器 - 驗證資料庫,通常是一個 RADIUS 伺服器,例如 Cisco* ACS*、Funk Steel-Belted RADIUS* 或 Microsoft* IAS*
申請者 (WiFi 工作站) 與驗證伺服器 (Microsoft IAS 或其他) 之間會使用可延伸的驗證通訊協定 (EAP) 來傳遞驗證資訊。EAP 類型會定義及處理實際的驗證。作為驗證者的存取點只是一個代理者,讓申請者與驗證伺服器能夠進行通訊。
要使用什麼?
要實施哪一種 EAP 類型,或是到底要不要實施 802.1x,取決於公司需要的安全性等級,以及願意投入的管理間接成本/功能。希望這裡的敘述說明以及對照表,有助於您瞭解各種不同可用的 EAP 類型。
可延伸的驗證通訊協定 (EAP) 驗證類型
因為 WiFi 區域網路 (LAN) 的安全性非常重要,且 EAP 驗證類型提供了一種較好的方法來保護無線區域網路連線的安全,所以各家廠商正為無線區域網路存取點積極開發並增加 EAP 驗證類型。EAP 驗證類型很多,其中最常部署的類型包括 EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-TTLS、EAP-Fast 及 Cisco LEAP。
- EAP-MD-5 (訊息摘要) 盤問是提供基本等級 EAP 支援的一種 EAP 驗證類型。通常不建議將 EAP-MD-5 用在 WiFi 區域網路的實際配置上,因為有可能推斷出使用者的密碼。它只適合作為單向的驗證;WiFi 用戶端與網路之間沒有相互驗證的機制。而且,非常重要的是,它不提供導出根據每次連接作業的動態有線等效保密 (WEP) 金鑰。
- EAP-TLS (傳輸層安全性) 提供用戶端與網路之間根據憑證的共同驗證。它根據用戶端及伺服器端的憑證來執行驗證,而且可以用來動態地產生根據使用者及根據連接作業的 WEP 金鑰,進而保護無線區域網路用戶端與存取點之間後續通訊的安全。EAP-TLS 的缺點之一,就是用戶端與伺服器端都必須管理相關的憑證。對於大型的無線區域網路系統而言,這可能是非常累贅而麻煩的工作。
- EAP-TTLS (隧道式傳輸層安全性) 是由 Funk Software* 與 Certicom* 開發的類型,作為 EAP-TLS 的一項延伸。這種安全性方法透過一個加密的通道 (或「隧道」),為用戶端與網路提供採用憑證的共同驗證,也提供了推導根據每一使用者、每一連線作業的動態 WEP 金鑰的方法。與 EAP-TLS 不同的是,EAP-TTLS 只需要伺服器端的憑證。
- EAP-FAST (經由安全通道的可延伸驗證) 是由 Cisco 所開發。取代使用憑證的方法,相互驗證是其達成 PAC (防護型存取憑證) 的手段,可由驗證伺服器進行動態管理。PAC 可以透過手動方式或自動提供 (一次性發佈) 給用戶端。手動提供方式是經由磁碟或安全的網路散佈方式提供給用戶端。自動提供則是在頻帶內,透過無線方式進行散佈。
- LEAP (輕量型可延伸的驗證通訊協定) 是主要用於 Cisco Aironet WLAN 的一種 EAP 驗證類型。它使用動態產生的 WEP 金鑰將資料傳輸加密,並且支援共同的驗證。LEAP 以前屬於專利技術,但 Cisco 已透過其 Cisco 相容擴充方案授權給許多其他製造廠商。
- PEAP (防護型可延伸的驗證通訊協定) 提供了一種經由 802.11 WiFi 網路來安全地傳輸驗證資料 (包括舊型的密碼式通訊協定) 的方法。PEAP 達到此一目標的方式,是在 PEAP 用戶端與驗證伺服器之間使用隧道功能。就像競爭的標準型「隧道式傳輸層安全性」(TTLS),PEAP 只使用伺服器端的憑證來驗證 WiFi 區域網路用戶端,因此可以簡化安全 WiFi 區域網路的實施與管理。PEAP 是由 Microsoft、Cisco 及 RSA Security 共同開發。
|
802.1x EAP 類型
特色/優點 |
MD5
---
訊息摘要 5 |
TLS
---
傳輸層安全性 |
TTLS
---
隧道式傳輸層安全性 |
PEAP
---
防護型傳輸層安全性 |
FAST
---
經由安全通道的可延伸驗證 |
LEAP
---
輕量型可延伸的驗證通訊協定 |
| 需要用戶端憑證 |
否 |
是 |
否 |
否 |
否
(PAC) |
否 |
| 需要伺服器端憑證 |
否 |
是 |
否 |
是 |
否
(PAC) |
否 |
| WEP 金鑰管理 |
否 |
是 |
是 |
是 |
是 |
是 |
| Rouge AP 偵測 |
否 |
否 |
否 |
否 |
是 |
是 |
| 供應商 |
MS |
MS |
Funk |
MS |
Cisco |
Cisco |
| 驗證屬性 |
單向 |
雙向 |
雙向 |
雙向 |
雙向 |
雙向 |
| 部署難度 |
容易 |
困難 (因為用戶端憑證部署) |
適中 |
適中 |
適中 |
適中 |
| WiFi 安全性 |
差 |
非常高 |
高 |
高 |
高 |
使用複雜密碼時可以很高。 | |
回顧以上討論與對照表,通常可以得出下列結論:
- MD5 通常不使用,因為它只提供單向的驗證,也許更重要的是它不支援 WEP 金鑰的自動分配與輪轉,因此完全無法減輕手動維護 WEP 金鑰的管理負擔。
- TLS 雖然非常安全,但需要在每台 WiFi 工作站上安裝用戶端憑證。PKI 基礎架構的維護,除了維護無線區域網路本身的需求外,還要額外的系統管理專業與時間。
- TTLS 利用穿隧 TLS 的方式來處理憑證的問題,因此用戶端上面不需要有憑證。因此這是一般人比較願意使用的選擇。TTLS 的主要推動者是 Funk,而且請求者和驗證伺服器軟體需要付費。
- LEAP 的歷史最悠久,而且雖然以前屬於 Cisco 的專利 (只能搭配 Cisco WiFi 網路卡使用),但 Cisco 已透過其 Cisco 相容擴充方案將 LEAP 授權給許多其他製造廠商。使用 LEAP 驗證的時候,應該強制執行複雜密碼的政策。
- 對於無法強制執行複雜密碼政策,也不想要部署憑證進行驗證的企業,如今可以選擇使用 EAP-FAST。
- 最近推出的 PEAP 與 EAP-TTLS 類似之處在於用戶端不需要有憑證。PEAP 有 Cisco 與 Microsoft 的支持,並且可從 Microsoft 取得而不需要額外付費。如果希望從 LEAP 轉變到 PEAP,Cisco 的 ACS 驗證伺服器兩者都可以執行。
其他安全性選擇
許多企業並不仰賴無線區域網路進行驗證與隱私保護 (加密),而是執行 VPN。這個方法是在企業防火牆外面放置存取點,並且讓使用者經由「VPN 閘道」穿進來,就像遠端使用者一樣。實施 VPN 解決方案也有一些不利的因素,包括高成本、初步安裝非常複雜,並且在管理方面會不斷需要額外的成本。 適用於: | 
