ภาพรวม 802.1X และประเภท EAP

เอกสาร

ข้อมูลผลิตภัณฑ์และเอกสารประกอบ

000006999

28/10/2021

หมาย เหตุข้อมูลนี้ไม่ได้ออกแบบมาสําหรับผู้ใช้ที่บ้านหรือในสํานักงานขนาดเล็กซึ่งมักจะไม่ได้ใช้คุณสมบัติการรักษาความปลอดภัยขั้นสูง เช่น ที่กล่าวถึงในหน้านี้ อย่างไรก็ตาม ผู้ใช้เหล่านี้อาจพบหัวข้อที่น่าสนใจเพื่อจุดประสงค์ในการให้ข้อมูล

 

ภาพรวม 802.1X

802.1X เป็นโปรโตคอลการเข้าถึงพอร์ตสําหรับปกป้องเครือข่ายผ่านการตรวจสอบความถูกต้อง ส่งผลให้วิธีการตรวจสอบความถูกต้องประเภทนี้มีประโยชน์อย่างมากในสภาพแวดล้อม Wi-Fi เนื่องจากธรรมชาติของสื่อ หากผู้ใช้ Wi-Fi ได้รับการรับรองความถูกต้องผ่าน 802.1X สําหรับการเข้าถึงเครือข่าย พอร์ตเสมือนจะเปิดขึ้นบนจุดเชื่อมต่อที่อนุญาตให้มีการสื่อสาร หากไม่ได้รับอนุญาตสําเร็จ พอร์ตเสมือนจะไม่สามารถใช้งานได้ และการสื่อสารจะถูกบล็อก

มีชิ้นส่วนพื้นฐานสามชิ้นไปยังการตรวจสอบความถูกต้อง 802.1X:

  1. คงทน ไคลเอ็นต์ซอฟต์แวร์ที่ทํางานบนเวิร์คสเตชัน Wi-Fi
  2. ตัวรับรองความถูกต้อง จุดเชื่อมต่อ Wi-Fi
  3. เซิร์ฟเวอร์การตรวจสอบความถูกต้อง ฐานข้อมูลการตรวจสอบความถูกต้องมักจะเป็นเซิร์ฟเวอร์ที่มีรัศมี เช่น Cisco ACS*, Funk Steel-Belted RADIUS* หรือ Microsoft IAS*

Extensible Authentication Protocol (EAP) จะถูกใช้เพื่อส่งผ่านข้อมูลการตรวจสอบความถูกต้องระหว่าง supplicant (Wi-Fi workstation) และเซิร์ฟเวอร์การตรวจสอบความถูกต้อง (Microsoft IAS หรืออื่นๆ) ประเภท EAP จะจัดการและกําหนดการตรวจสอบความถูกต้องจริง จุดเชื่อมต่อที่ทําหน้าที่เป็นผู้รับรองความถูกต้องเป็นเพียงพร็อกซี่ที่อนุญาตให้เซิร์ฟเวอร์ยืนยันตัวตนและเซิร์ฟเวอร์ตรวจสอบความถูกต้องสามารถสื่อสารได้

ฉันควรใช้แบบใด

EAP ประเภทใดที่จะนําไปใช้ หรือต้องการใช้ 802.1X หรือไม่ ขึ้นอยู่กับระดับความปลอดภัยที่องค์กรต้องการ โอเวอร์เฮดการบริหารและคุณสมบัติที่ต้องการ หวังว่าคําอธิบายที่นี่และแผนภูมิเปรียบเทียบจะช่วยลดความยุ่งยากในการทําความเข้าใจประเภท EAP ที่หลากหลาย

ประเภทการตรวจสอบความถูกต้อง Extensible Authentication Protocol (EAP)

เนื่องจากความปลอดภัยของ Wi-Fi Local Area Network (WLAN) เป็นสิ่งจําเป็น และประเภทการตรวจสอบความถูกต้อง EAP จึงเป็นวิธีรักษาความปลอดภัยการเชื่อมต่อ WLAN ที่ดีขึ้นอย่างรวดเร็ว ผู้จัดจําหน่ายจึงพัฒนาและเพิ่มประเภทการตรวจสอบความถูกต้อง EAP ไปยังจุดเชื่อมต่อ WLAN อย่างรวดเร็ว บางประเภทการตรวจสอบความถูกต้อง EAP ที่ใช้บ่อยที่สุดได้แก่ EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast และ Cisco LEAP

  • ความท้าทายของ EAP-MD-5 (Message Digest) เป็นประเภทการตรวจสอบความถูกต้อง EAP ที่ให้การสนับสนุน EAP ระดับพื้นฐาน โดยทั่วไปแล้ว ไม่แนะนําให้ใช้ EAP-MD-5 สําหรับการใช้งาน Wi-Fi LAN เนื่องจากอาจอนุญาตให้สืบทอดรหัสผ่านของผู้ใช้ได้ ซึ่งให้การตรวจสอบความถูกต้องแบบทิศทางเดียวเท่านั้น - ไม่มีการตรวจสอบความถูกต้องร่วมกันของไคลเอนต์ Wi-Fi และเครือข่าย และที่สําคัญมากก็คือไม่มีวิธีสืบทอดคีย์ความเป็นส่วนตัวที่เทียบเท่า (WEP) แบบใช้สายต่อเซสชันแบบไดนามิก
  • EAP-TLS (Transport Layer Security) จัดหาให้สําหรับการตรวจสอบความถูกต้องแบบอิงตามใบรับรองและร่วมกันของไคลเอ็นต์และเครือข่าย โดยอาศัยใบรับรองฝั่งไคลเอ็นต์และฝั่งเซิร์ฟเวอร์เพื่อทําการตรวจสอบความถูกต้อง และสามารถใช้เพื่อสร้างคีย์ WEP ที่อิงกับผู้ใช้และตามเซสชันแบบไดนามิกเพื่อรักษาความปลอดภัยการสื่อสารในภายหลังระหว่างไคลเอ็นต์ WLAN และจุดเข้าใช้งาน ข้อหนึ่งของ EAP-TLS คือใบรับรองต้องได้รับการจัดการทั้งบนฝั่งไคลเอนต์และเซิร์ฟเวอร์ สําหรับการติดตั้ง WLAN ขนาดใหญ่ นี่อาจเป็นงานที่ยุ่งยากมาก
  • EAP-TTLS (Tunneled Transport Layer Security) ได้รับการพัฒนาโดย Funk Software* และ Certicom* ซึ่งเป็นส่วนขยายของ EAP-TLS วิธีการรักษาความปลอดภัยนี้มีไว้สําหรับการตรวจสอบความถูกต้องร่วมกันแบบอิงใบรับรองของไคลเอ็นต์และเครือข่ายผ่านช่องสัญญาณที่เข้ารหัส (หรืออุโมงค์) รวมทั้งวิธีการสืบทอดคีย์ WEP แบบไดนามิกต่อผู้ใช้ต่อเซสชัน ไม่เหมือน EAP-TLS EAP-TTLS ต้องใช้ใบรับรองฝั่งเซิร์ฟเวอร์เท่านั้น
  • EAP-FAST (การตรวจสอบความถูกต้องแบบยืดหยุ่นผ่าน Secure Tunneling) ได้รับการพัฒนาโดย Cisco* แทนที่จะใช้ใบรับรองเพื่อรับรองความถูกต้องซึ่งกันและกัน EAP-FAST รับรองความถูกต้องด้วย PAC (Protected Access Credential) ซึ่งสามารถจัดการได้แบบไดนามิกโดยเซิร์ฟเวอร์ตรวจสอบความถูกต้อง PAC สามารถจัดสรร (กระจายครั้งเดียว) ให้กับไคลเอ็นต์ได้ด้วยตนเองหรือโดยอัตโนมัติ การจัดสรรด้วยตนเองคือการส่งไปยังไคลเอนต์ผ่านดิสก์หรือวิธีการกระจายเครือข่ายที่ปลอดภัย การจัดหาอัตโนมัติเป็นแบบ In-Band เหนืออากาศ การกระจาย
  • Extensible Authentication Protocol Method สําหรับ GSM Subscriber Identity (EAP-SIM) เป็นกลไกสําหรับการรับรองความถูกต้องและการกระจายคีย์เซสชัน โดยจะใช้ Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM) EAP-SIM ใช้คีย์ WEP ที่ใช้เซสชันแบบไดนามิก ซึ่งได้มาจากอะแดปเตอร์ไคลเอนต์และเซิร์ฟเวอร์ RADIUS ในการเข้ารหัสข้อมูล EAP-SIM กําหนดให้คุณต้องป้อนรหัสการตรวจสอบผู้ใช้หรือ PIN เพื่อสื่อสารกับการ์ด Subscriber Identity Module (SIM) ซิมการ์ดเป็นสมาร์ทการ์ดพิเศษที่ใช้โดย Global System for Mobile Communications (GSM) ที่ใช้เครือข่ายเซลลูลาร์ดิจิทัลที่ใช้ Global System
  • EAP-NIC (Extensible Authentication Protocol Method สําหรับการรับรองความถูกต้องของ UMTS และข้อตกลงคีย์) เป็นกลไก EAP สําหรับการรับรองความถูกต้องและการกระจายคีย์เซสชัน โดยใช้ Universal Mobile Telecommunications System (UMTS) Subscriber Identity Module (USIM) การ์ด USIM เป็นสมาร์ทการ์ดพิเศษที่ใช้กับเครือข่ายเซลลูลาร์เพื่อตรวจสอบผู้ใช้ดังกล่าวกับเครือข่าย
  • LEAP (น้ําหนักเบา Extensible Authentication Protocol) เป็นประเภทการตรวจสอบความถูกต้อง EAP ที่ใช้ใน Cisco Aironet* WLANs เป็นหลัก โดยเข้ารหัสการส่งข้อมูลโดยใช้คีย์ WEP ที่สร้างขึ้นแบบไดนามิก และรองรับการตรวจสอบความถูกต้องร่วมกัน ในที่นี้ Cisco ได้ให้สิทธิ์ LEAP กับผู้ผลิตรายอื่นๆ ผ่านโปรแกรม Cisco Compatible Extensions ของพวกเขา
  • PEAP (Protected Extensible Authentication Protocol) นําเสนอวิธีการส่งผ่านข้อมูลการตรวจสอบความถูกต้องอย่างปลอดภัย รวมถึงโปรโตคอลที่ใช้รหัสผ่านแบบเดิม ผ่านเครือข่าย 802.11 Wi-Fi PEAP บรรลุเป้าหมายนี้โดยใช้การอุโมงค์ระหว่างไคลเอ็นต์ PEAP และเซิร์ฟเวอร์การตรวจสอบความถูกต้อง PEAP เช่นเดียวกับ Tunneled Transport Layer Security (TTLS) ที่แข่งขันกัน PEAP จะรับรองความถูกต้องของไคลเอนต์ Wi-Fi LAN โดยใช้ใบรับรองฝั่งเซิร์ฟเวอร์เท่านั้น จึงช่วยให้การใช้งานและการดูแลระบบ LAN Wi-Fi ที่ปลอดภัยง่ายขึ้น Microsoft, Cisco และ RSA Security ได้พัฒนา PEAP

ประเภท EAP 802.1X

คุณสมบัติ / สิทธิประโยชน์

MD5
---
ข้อความแยกย่อย 5
TLS
---
ความปลอดภัยระดับการขนส่ง
TTLS
---
การรักษาความปลอดภัยระดับการโอนถ่ายข้อมูลแบบอุโมงค์
PEAP
---
การป้องกันความปลอดภัยระดับการขนส่ง

อย่าง รวด เร็ว
---
การตรวจสอบความถูกต้องที่ยืดหยุ่นผ่านการอุโมงค์ที่ปลอดภัย

กระโดด
---
โปรโตคอลรับรองความถูกต้องน้ําหนักเบา Extensible
ต้องระบุใบรับรองฝั่งไคลเอ็นต์ไม่ใช่ใช่ไม่ใช่ไม่ใช่ไม่ใช่
(PAC)
ไม่ใช่
ต้องมีใบรับรองฝั่งเซิร์ฟเวอร์ไม่ใช่ใช่ใช่ใช่ไม่ใช่
(PAC)
ไม่ใช่
การจัดการคีย์ WEPไม่ใช่ใช่ใช่ใช่ใช่ใช่
การตรวจจับ Rogue APไม่ใช่ไม่ใช่ไม่ใช่ไม่ใช่ใช่ใช่
ผู้ให้บริการนางสาวนางสาวสนุกนางสาวCiscoCisco
คุณลักษณะการตรวจสอบความถูกต้องทางเดียวร่วม กันร่วม กันร่วม กันร่วม กันร่วม กัน
ความยากลําบากในการปรับใช้ง่ายยาก (เนื่องจากการปรับใช้ใบรับรองไคลเอนต์)ปานกลางปานกลางปานกลางปานกลาง
การรักษาความปลอดภัย Wi-Fiยาก จนสูงมากสูงสูงสูงใช้รหัสผ่านที่ยากต่อการคาดเดาสูง

 

โดยปกติแล้ว การตรวจสอบการสนทนาและตารางด้านบนจะให้ข้อสรุปดังต่อไปนี้:

  • โดยทั่วไป MD5 ไม่ได้ใช้งานเนื่องจากจะทําการตรวจสอบความถูกต้องแบบทิศทางเดียวเท่านั้น และที่สําคัญยิ่งกว่านั้นคือไม่รองรับการเผยแพร่และการหมุนคีย์ WEP โดยอัตโนมัติ เพื่อบรรเทาภาระการดูแลระบบของการบํารุงรักษาคีย์ WEP ด้วยตนเอง
  • TLS ในขณะที่มีความปลอดภัยสูงจําเป็นต้องติดตั้งใบรับรองไคลเอนต์บนเวิร์คสเตชัน Wi-Fi แต่ละเครื่อง การบํารุงรักษาโครงสร้างพื้นฐาน PKI ต้องใช้ความเชี่ยวชาญด้านการบริหารและเวลาเพิ่มเติมนอกเหนือจากการรักษา WLAN เอง
  • TTLS จัดการกับปัญหาใบรับรองโดยการปรับแต่ง TLS และทําให้ไม่จําเป็นต้องมีใบรับรองในฝั่งไคลเอ็นต์ การทําให้เป็นตัวเลือกที่มักเป็นที่ต้องการ Funk Software* เป็นผู้โปรโมทหลักของ TTLS โดยมีค่าใช้จ่ายสําหรับซอฟต์แวร์เซิร์ฟเวอร์ที่ฉ้อโกงและรับรองความถูกต้อง
  • LEAP มีประวัติที่ยาวนานที่สุดและในขณะที่เจ้าของ Cisco ก่อนหน้านี้ (ใช้งานกับอะแดปเตอร์ Cisco Wi-Fi เท่านั้น) Cisco ได้อนุญาตให้ LEAP กับผู้ผลิตรายอื่นๆ ผ่านโปรแกรม Cisco Compatible Extensions ของพวกเขา ควรบังคับใช้นโยบายรหัสผ่านที่รัดกุมเมื่อใช้ LEAP สําหรับการรับรองความถูกต้อง
  • ตอนนี้ EAP-FAST มีให้สําหรับองค์กรที่ไม่สามารถบังคับใช้นโยบายรหัสผ่านที่แข็งแกร่งได้และไม่ต้องการปรับใช้ใบรับรองสําหรับการรับรองความถูกต้อง
  • PEAP ล่าสุดทํางานคล้ายกับ EAP-TTLS ที่ไม่จําเป็นต้องมีใบรับรองในฝั่งไคลเอ็นต์ PEAP ได้รับการสนับสนุนโดย Cisco และ Microsoft และไม่มีค่าใช้จ่ายเพิ่มเติมจาก Microsoft หากต้องการเปลี่ยนจาก LEAP เป็น PEAP เซิร์ฟเวอร์ตรวจสอบความถูกต้อง ACS ของ Cisco จะรันทั้งสองอย่าง

อีกทางเลือกหนึ่งคือ VPN

แทนที่จะพึ่งพา Wi-Fi LAN สําหรับการตรวจสอบความถูกต้องและความเป็นส่วนตัว (การเข้ารหัส) องค์กรจํานวนมากใช้ VPN ซึ่งทําได้โดยการวางจุดเชื่อมต่อภายนอกไฟร์วอลล์ขององค์กรและมีอุโมงค์ผู้ใช้ผ่านเกตเวย์ VPN เหมือนกับว่าพวกเขาเป็นผู้ใช้ระยะไกล ข้อเสียของการปรับใช้โซลูชัน VPN คือค่าใช้จ่าย ความซับซ้อนในการติดตั้งเบื้องต้น และโอเวอร์เฮดการบริหารที่ดําเนินอยู่