| 注意: |
此資料不適用於家用或小型辦公室使用者,這些使用者通常不會使用本頁面中所討論的進階安全性功能。不過,這些使用者可以在其中找到有興趣的主題內容做為參考資訊。 | |
EAP 類型的 Alphabet Soup:MD5、LEAP、PEAP、FAST、TLS 及 TTLS
802.1x 極簡概述
這是透過驗證方式保護網路的一種連接埠存取通訊協定。因此,由於此類媒體的本質,這種驗證方法的類型在 WiFi 網路環境中非常好用。如果有某個 WiFi 使用者經由 802.1x 驗證進行網路存取,在存取點上就會開啟一個允許通訊的虛擬連接埠。如果授權不成功,就不會提供虛擬連接埠,而通訊就會受到阻擋。
802.1x 驗證有三項基本要件:
- 申請者 - 在 WiFi 工作站上執行的一個軟體用戶端
- 驗證者 - WiFi 存取點
- 驗證伺服器 - 驗證資料庫,通常是一個 RADIUS 伺服器,例如 Cisco* ACS*、Funk Steel-Belted RADIUS* 或 Microsoft* IAS*
申請者 (WiFi 工作站) 與驗證伺服器 (Microsoft IAS 或其他) 之間會使用可延伸的驗證通訊協定 (EAP) 來傳遞驗證資訊。EAP 類型會定義及處理實際的驗證。作為驗證者的存取點只是一個代理者,讓申請者與驗證伺服器能夠進行通訊。
要使用哪一種?
要實施哪一種 EAP 類型,或是到底要不要實施 802.1x,取決於公司需要的安全性等級,以及願意投入的管理間接成本/功能。希望這裡的敘述說明以及對照表,有助於您瞭解各種不同可用的 EAP 類型。
可延伸的驗證通訊協定 (EAP) 驗證類型
因為 WiFi 區域網路的安全性非常重要,且 EAP 驗證類型提供了一種較好的方法來保護無線區域網路連線的安全,所以各家廠商正為無線區域網路存取點積極開發並增加 EAP 驗證類型。EAP 驗證類型很多,其中最常部署的類型包括 EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-TTLS、EAP-Fast 及 Cisco LEAP。
- EAP-MD-5 (訊息摘要) 盤問是提供基本等級 EAP 支援的一種 EAP 驗證類型。通常不建議將 EAP-MD-5 用在 WiFi 區域網路的實際配置上,因為有可能推斷出使用者的密碼。它只適合作為單向的驗證;WiFi 用戶端與網路之間沒有相互驗證的機制。而且,非常重要的是,它不提供導出根據每次連接作業的動態有線等效保密 (WEP) 金鑰。
- EAP-TLS (傳輸層安全性) 提供用戶端與網路之間根據憑證的共同驗證。它根據用戶端及伺服器端的憑證來執行驗證,而且可以用來動態地產生根據使用者及根據連接作業的 WEP 金鑰,進而保護無線區域網路用戶端與存取點之間後續通訊的安全。EAP-TLS 的缺點之一,就是用戶端與伺服器端都必須管理相關的憑證。對於大型的無線區域網路系統而言,這可能是非常累贅而麻煩的工作。
- EAP-TTLS (隧道式傳輸層安全性) 是由 Funk Software* 與 Certicom* 開發的類型,作為 EAP-TLS 的一項延伸。這種安全性方法透過一個加密的通道 (或「隧道」),為用戶端與網路提供採用憑證的共同驗證,也提供了推導根據每一使用者、每一連線作業的動態 WEP 金鑰的方法。與 EAP-TLS 不同的是,EAP-TTLS 只需要伺服器端的憑證。
- EAP-FAST (經由安全通道的可延伸驗證) 是由 Cisco 所開發。取代使用憑證的方法,相互驗證是其達成 PAC (防護型存取憑證) 的手段,可由驗證伺服器進行動態管理。PAC 可以透過手動方式或自動提供 (一次性發佈) 給用戶端。手動提供方式是經由磁碟或安全的網路散佈方式提供給用戶端。自動提供則是在頻帶內,透過無線方式進行散佈。
- LEAP (輕量型可延伸的驗證通訊協定) 是主要用於 Cisco Aironet WLAN 的一種 EAP 驗證類型。它使用動態產生的 WEP 金鑰將資料傳輸加密,並且支援共同的驗證。LEAP 以前屬於專利技術,但 Cisco 已透過其 Cisco 相容擴充方案授權給許多其他製造廠商。
- PEAP (防護型可延伸的驗證通訊協定) 提供了一種經由 802.11 WiFi 網路來安全地傳輸驗證資料 (包括舊型的密碼式通訊協定) 的方法。PEAP 達到此一目標的方式,是在 PEAP 用戶端與驗證伺服器之間使用隧道功能。就像競爭的標準型「隧道式傳輸層安全性」(TTLS),PEAP 只使用伺服器端的憑證來驗證 WiFi 區域網路用戶端,因此可以簡化安全 WiFi 區域網路的實施與管理。PEAP 是由 Microsoft、Cisco 及 RSA Security 共同開發。
|
802.1x EAP 類型
特色 /
優點 |
MD5
---
訊息摘要 5 |
TLS
---
傳輸層安全性 |
TTLS
---
隧道式傳輸層安全性 |
PEAP
---
防護型傳輸層安全性 |
FAST
---
經由安全通道的可延伸驗證 |
LEAP
---
輕量型可延伸的驗證通訊協定 |
| 需要用戶端憑證 |
否 |
是 |
否 |
否 |
否
(PAC) |
否 |
| 需要伺服器端憑證 |
否 |
是 |
否 |
是 |
否
(PAC) |
否 |
WEP
金鑰管理 |
否 |
是 |
是 |
是 |
是 |
是 |
| Rouge AP 偵測 |
否 |
否 |
否 |
否 |
是 |
是 |
| 供應商 |
MS |
MS |
Funk |
MS |
Cisco |
Cisco |
| 驗證屬性 |
單向 |
雙向 |
雙向 |
雙向 |
雙向 |
雙向 |
| 部署難度 |
容易 |
困難 (因為用戶端憑證部署) |
適中 |
適中 |
適中 |
適中 |
| WiFi 安全性 |
差 |
非常高 |
高 |
高 |
高 |
使用複雜密碼時可以很高。 | |
回顧以上討論與對照表,通常可以得出下列結論:
- MD5 通常不使用,因為它只提供單向的驗證,也許更重要的是它不支援 WEP 金鑰的自動分配與輪轉,因此完全無法減輕手動維護 WEP 金鑰的管理負擔。
- TLS 雖然非常安全,但需要在每台 WiFi 工作站上安裝用戶端憑證。PKI 基礎架構的維護,除了維護無線區域網路本身的需求外,還要額外的系統管理專業與時間。
- TTLS 利用穿隧 TLS 的方式來處理憑證的問題,因此用戶端上面不需要有憑證。因此這是一般人比較願意使用的選擇。TTLS 的主要推動者是 Funk,而且請求者和驗證伺服器軟體需要付費。
- LEAP 的歷史最悠久,而且雖然以前屬於 Cisco 的專利 (只能搭配 Cisco WiFi 網路卡使用),但 Cisco 已透過其 Cisco 相容擴充方案將 LEAP 授權給許多其他製造廠商。使用 LEAP 驗證的時候,應該強制執行複雜密碼的政策。
- 對於無法強制執行複雜密碼政策,也不想要部署憑證進行驗證的企業,如今可以選擇使用 EAP-FAST。
- 最近推出的 PEAP 與 EAP-TTLS 類似之處在於用戶端不需要有憑證。PEAP 有 Cisco 與 Microsoft 的支持,並且可從 Microsoft 取得而不需要額外付費。如果希望從 LEAP 轉變到 PEAP,Cisco 的 ACS 驗證伺服器兩者都可以執行。
資料保密
達到資料保密的方法,乃是透過使用機密金鑰先將資料加密再進行傳輸,然後在接收端進行解密 (恢復原始資料)。「有線同等機密性」(WEP) 的安全性比較低,因此開發出例如 WPA 和 WPA2 其他方法更妥善保護無線傳送的資料。
WPA* (Wi-Fi* 防護型存取)
Wi-Fi 聯盟於 2003 年底提出這個採用標準規格的解決方案,作為開發更健全 WiFi 區域網路安全性解決方案,以達到 802.11i 修正案的標準。WPA 包含 802.1x 驗證與 TKIP 加密 (更先進也更安全的 WEP 加密形式)。
WPA2* (Wi-Fi 防護型存取 2)
Wi-Fi 聯盟於 2004 年底宣布了這個第二代的 WPA 安全性。WPA 與 WPA2 都同樣包含 802.1x 驗證。WPA2 根據 802.11i 修正案的標準,利用「進階加密標準」(AES) 來保護資料私密性。
WPA 個人版與 WPA2 個人版
適用於沒有驗證伺服器的小型辦公室與家庭使用者,存取的授權是由使用「預先共用金鑰」(PSK) 來決定。「預先共用金鑰」是存取點與所有用戶端之間必須符合的十六進位字串或密碼字詞。使用 WPA 個人版或 WPA2 個人版方法的時候,無法使用任何 802.1x 安全性。
其他安全性選擇
VPN
許多企業並不仰賴 WiFi 區域網路進行驗證與隱私保護 (加密),而是實施 VPN。這個方法是在企業防火牆外面放置存取點,並且讓使用者經由「VPN 閘道」穿進來,就像遠端使用者一樣。實施 VPN 解決方案也有一些不利的因素,包括高成本、初步安裝非常複雜,並且在管理方面會不斷需要額外的成本。 適用於: | 
