ภาพรวม 802.1X และประเภท EAP

เอกสาร

ข้อมูลผลิตภัณฑ์และเอกสารประกอบ

000006999

26/03/2021

หมาย เหตุข้อมูลนี้ไม่ได้มุ่งหวังที่จะใช้กับผู้ใช้ในบ้านหรือสํานักงานขนาดเล็กที่โดยทั่วไปไม่ได้ใช้คุณสมบัติการรักษาความปลอดภัยขั้นสูง ดังที่กล่าวถึงในหน้านี้ อย่างไรก็ตาม ผู้ใช้เหล่านี้อาจค้นหาหัวข้อที่มีวัตถุประสงค์เพื่อให้ข้อมูล

 

ภาพรวม 802.1X

802.1X เป็นโปรโตคอลการเข้าถึงพอร์ตเพื่อปกป้องเครือข่ายผ่านการรับรองความถูกต้อง ด้วยเหตุนี้วิธีการรับรองความถูกต้องประเภทนี้จึงมีประโยชน์อย่างมากในสภาพแวดล้อม Wi-Fi เนื่องจากธรรมชาติของสื่อ หากผู้ใช้ Wi-Fi ผ่านการตรวจสอบความถูกต้องผ่าน 802.1X เพื่อการเข้าถึงเครือข่าย พอร์ตเสมือนจะเปิดขึ้นบนจุดเชื่อมต่อเพื่อให้สามารถสื่อสารได้ หากไม่อนุญาตให้เสร็จสมบูรณ์ พอร์ตเสมือนจะไม่สามารถใช้งานได้และการสื่อสารจะถูกบล็อก

การตรวจสอบความถูกต้อง 802.1X มีอยู่สามรายการพื้นฐาน:

  1. การกระตุ้น ไคลเอ็นต์ซอฟต์แวร์ที่รันอยู่บนเวิร์คสเตชัน Wi-Fi
  2. ตัวรับรองความถูกต้อง จุดเชื่อมต่อ Wi-Fi
  3. เซิร์ฟเวอร์การตรวจสอบความถูกต้อง ฐานข้อมูลการตรวจสอบความถูกต้อง ซึ่งโดยปกติแล้วเป็นเซิร์ฟเวอร์อันไร้ที่จํากัด เช่น Cisco ACS*, Funk Steel-Smtp หรือ MICROSOFT IAS*

ใช้ Extensible Authentication Protocol (EAP) เพื่อส่งผ่านข้อมูลการรับรองความถูกต้องระหว่างส่วนย่อย (เวิร์กสเตชัน Wi-Fi) และเซิร์ฟเวอร์การรับรองความถูกต้อง (Microsoft IAS หรืออื่นๆ) ประเภท EAP จะจัดการและกําหนดการพิสูจน์ตัวตนจริง จุดเชื่อมต่อที่กระทาการในฐานะผู้รับรองความถูกต้องเป็นเพียงพร็อกซี่เดียวที่จะช่วยให้เซิร์ฟเวอร์การตรวจสอบความถูกต้องและเซิร์ฟเวอร์ตรวจสอบความถูกต้องสามารถสื่อสารได้

ฉันควรใช้งานแบบใด

ประเภท EAP ที่จะปรับใช้ หรือจะใช้ 802.1X หรือไม่ทั้งหมดขึ้นอยู่กับระดับความปลอดภัยที่องค์กรต้องการ ค่าใช้จ่ายในการจัดการ และคุณสมบัติที่ต้องการ ความสลดใจของรายละเอียดที่นี่และแผนภูมิเปรียบเทียบจะช่วยบรรเทาปัญหาในการเข้าใจประเภท EAP ต่างๆ ที่มีอยู่

ประเภทการรับรองความถูกต้อง Extensible Authentication Protocol (EAP)

เนื่องจากการรักษาความปลอดภัย Wi-Fi Local Area Network (WLAN) เป็นประเภทการตรวจสอบความถูกต้อง EAP ที่เป็นส่วนที่จาเป็นในการรักษาความปลอดภัยให้กับการเชื่อมต่อ WLAN ผู้ให้บริการจึงมีการพัฒนาและเพิ่มประเภทการตรวจสอบความถูกต้อง EAP อย่างรวดเร็วไปยังจุดเชื่อมต่อ WLAN ประเภทการตรวจสอบความถูกต้อง EAP ที่ใช้งานบ่อยที่สุดบางประเภทได้แก่ EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast และ Cisco LEAP

  • ความท้าทาย EAP-MD-5 (Message Digest) คือประเภทการตรวจสอบความถูกต้อง EAP ที่ให้การสนับสนุน EAP ระดับพื้นฐาน โดยทั่วไปแล้ว EAP-MD-5 จะไม่แนะนาให้ใช้งานกับการใช้ Wi-Fi LAN เนื่องจากอาจอนุญาตให้รหัสผ่านของผู้ใช้ได้รับมา ซึ่งให้ไว้เฉพาะการตรวจสอบความถูกต้องแบบทางเดียว เท่านั้น - ไม่มีการตรวจสอบความถูกต้องแบบไม่ระบุชื่อของไคลเอ็นต์ Wi-Fi และเครือข่าย และที่สําคัญมากคือไม่มีวิธีสร้างคีย์ความเป็นส่วนตัวที่เทียบเท่ากับแบบต่อเซสชัน (WEP) แบบไดนามิก
  • EAP-TLS (Transport Layer Security) ให้การรับรองความถูกต้องแบบใช้ใบรับรองและการตรวจสอบความถูกต้องแบบใช้ใบรับรองร่วมกันของไคลเอ็นต์และเครือข่าย โดยอาศัยใบรับรองฝั่งไคลเอ็นต์และฝั่งเซิร์ฟเวอร์เพื่อรับรองความถูกต้อง และสามารถใช้เพื่อสร้างคีย์ WEP ที่ใช้ผู้ใช้และเซสชันแบบไดนามิกเพื่อรักษาความปลอดภัยในการสื่อสารที่ตามมาระหว่างไคลเอนต์ WLAN และจุดเชื่อมต่อ drawเป็นหนึ่งใน EAP-TLS คือต้องจัดการใบรับรองทั้งบนฝั่งไคลเอ็นต์และเซิร์ฟเวอร์ เพื่อการติดตั้ง WLAN ขนาดใหญ่ นี่อาจเป็นงานที่ยุ่งยากมาก
  • EAP-TTLS (Tunneled Transport Layer Security) ถูกพัฒนาโดยซอฟต์แวร์ Funk* และ Certicom* โดยเป็นส่วนขยายของ EAP-TLS วิธีการรักษาความปลอดภัยนี้ให้กับการตรวจสอบความถูกต้องแบบเข้ารหัสที่ใช้ใบรับรองของไคลเอ็นต์และเครือข่ายผ่านช่องสัญญาณ (หรืออุโมงค์) แบบเข้ารหัส รวมถึงวิธีในการให้คีย์ WEP แบบไดนามิกต่อผู้ใช้ต่อเซสชัน ซึ่งแตกต่างจาก EAP-TLS, EAP-TTLS ต้องใช้เฉพาะใบรับรองฝั่งเซิร์ฟเวอร์เท่านั้น
  • EAP-FAST (การตรวจสอบความถูกต้องแบบยืดหยุ่นผ่าน Secure Tunneling) พัฒนาโดย Cisco* แทนที่จะใช้ใบรับรองเพื่อรับรองความถูกต้องแบบไม่ระบุชื่อ EAP-FAST จะรับรองความถูกต้องโดยใช้ PAC (Protected Access Credential) ซึ่งสามารถจัดการได้โดยเซิร์ฟเวอร์การตรวจสอบความถูกต้องแบบไดนามิก PAC สามารถจัดเตรียม (กระจายครั้งเดียว) ให้กับไคลเอ็นต์ด้วยตนเองหรือโดยอัตโนมัติ การจัดเตรียมด้วยตนเองจะถูกจัดส่งไปยังไคลเอ็นต์ผ่านดิสก์หรือวิธีการกระจายเครือข่ายที่ปลอดภัย การจัดเตรียมอัตโนมัติเป็นแบบ in-band ผ่านอากาศ การกระจาย
  • Extensible Authentication Protocol Method for GSM Subscriber Identity (EAP-SIM) คือกลไกในการรับรองความถูกต้องและการกระจายคีย์เซสชัน ซึ่งใช้ Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM) EAP-SIM ใช้คีย์ WEP แบบไดนามิกบนเซสชัน ซึ่งมาจากอะแดปเตอร์ไคลเอนต์และเซิร์ฟเวอร์ SCSI เพื่อเข้ารหัสข้อมูล EAP-SIM ต้องการให้คุณป้อนรหัสการตรวจสอบผู้ใช้หรือ PIN เพื่อสื่อสารกับการ์ด Subscriber Identity Module (SIM) การ์ด SIM เป็นสมาร์ทการ์ดพิเศษที่ใช้ระบบ Global System for Mobile Communications (GSM) ที่ใช้เครือข่ายเซลลูล่าร์ดิจิทัล
  • EAP-6 (Extensible Authentication Protocol Method for SDNTS Authentication and Key Agreement) คือกลไก EAP เพื่อการรับรองความถูกต้องและการกระจายคีย์เซสชัน โดยใช้ Universal Mobile Telecommunications System (SDNTS) Subscriber Identity Module (USIM) การ์ด USIM เป็นสมาร์ทการ์ดพิเศษที่ใช้กับเครือข่ายโทรศัพท์เพื่อตรวจสอบผู้ใช้รายหนึ่งกับเครือข่าย
  • LEAP (Lightweight Extensible Authentication Protocol) เป็นประเภทการตรวจสอบความถูกต้อง EAP ที่ใช้เป็นหลักใน Cisco Aironet* WLANs โดยจะเข้ารหัสการส่งข้อมูลโดยใช้คีย์ WEP ที่สร้างขึ้นแบบไดนามิก และสนับสนุนการรับรองความถูกต้องแบบไม่ระบุชื่อ กรรมสิทธิ์ของ Cisco ได้อนุญาตให้ใช้ LEAP กับผู้ผลิตรายอื่นๆ ผ่านโปรแกรม Cisco Compatible Extensions ของตน
  • PEAP (Protected Extensible Authentication Protocol) ให้วิธีในการถ่ายโอนข้อมูลการตรวจสอบความถูกต้องอย่างปลอดภัย รวมถึงโปรโตคอลที่ใช้รหัสผ่านดั้งเดิมผ่านเครือข่าย Wi-Fi 802.11 PEAP จะทํางานนี้ให้เสร็จโดยใช้การทันเนลระหว่างไคลเอ็นต์ PEAP และเซิร์ฟเวอร์การรับรองความถูกต้อง PEAP จะรับรองไคลเอ็นต์ Wi-Fi LAN โดยใช้เฉพาะใบรับรองฝั่งเซิร์ฟเวอร์ จึงลดความซับซ้อนของการปรับใช้และการดูแลระบบ Wi-Fi LAN ที่ปลอดภัย เช่นเดียวกับ Tunneled Transport Layer Security (TTLS) มาตรฐานคู่แข่ง Microsoft, Cisco และ RSA Security ได้พัฒนา PEAP ขึ้น

ประเภท EAP 802.1X

คุณสมบัติ / สิทธิประโยชน์

MD5
---
การแยกย่อยข้อความ 5
Tls
---
ความปลอดภัยระดับการขนส่ง
TTLS
---
การรักษาความปลอดภัยระดับการขนส่งแบบ Tunneled
Peap
---
การรักษาความปลอดภัยระดับการขนส่งที่ได้รับการปกป้อง

อย่าง รวด เร็ว
---
การยืนยันความถูกต้องที่ยืดหยุ่นผ่าน Secure Tunneling

กระโดด
---
โปรโตคอลการรับรองความถูกต้องแบบ Extensible Lightweight
ต้องระบุใบรับรองฝั่งไคลเอ็นต์ไม่ใช่ใช่ไม่ใช่ไม่ใช่ไม่ใช่
(PAC)
ไม่ใช่
ต้องมีใบรับรองฝั่งเซิร์ฟเวอร์ไม่ใช่ใช่ใช่ใช่ไม่ใช่
(PAC)
ไม่ใช่
การจัดการคีย์ WEPไม่ใช่ใช่ใช่ใช่ใช่ใช่
การตรวจจับ Rogue APไม่ใช่ไม่ใช่ไม่ใช่ไม่ใช่ใช่ใช่
ผู้ให้บริการนางสาวนางสาวสนุกๆนางสาวCiscoCisco
แอตทริบิวต์การยืนยันความถูกต้องวิธีเดียวร่วม กันร่วม กันร่วม กันร่วม กันร่วม กัน
การปรับใช้ที่ยุ่งยากง่ายยาก (เนื่องจากการปรับใช้ใบรับรองไคลเอนต์)ปานกลางปานกลางปานกลางปานกลาง
การรักษาความปลอดภัย Wi-Fiยาก จนสูงมากสูงสูงสูงสูงเมื่อใช้รหัสผ่านที่รัดกุม

 

การทบทวนการอภิปรายและตารางข้างต้นมักจะให้ข้อสรุปดังต่อไปนี้:

  • โดยทั่วไป MD5 ไม่ได้ใช้เนื่องจากการตรวจสอบความถูกต้องแบบทางเดียวเท่านั้น และแม้แต่ความสําคัญกว่านั้นยังไม่รองรับการกระจายโดยอัตโนมัติและการยืนยันคีย์ WEP ดังนั้นจะไม่ช่วยบรรเทาภาระด้านการบริหารการบํารุงรักษาคีย์ WEP ด้วยตนเอง
  • TLS ในขณะที่มีความปลอดภัยสูง จะต้องมีใบรับรองไคลเอนต์ติดตั้งบนเวิร์คสเตชัน Wi-Fi แต่ละตัว การบํารุงรักษาโครงสร้างพื้นฐาน PKI ต้องการความเชี่ยวชาญด้านการบริหารเพิ่มเติมและเวลานอกเหนือจากการรักษา WLAN ด้วยตัวเอง
  • TTLS จะแก้ไขปัญหาใบรับรองโดยการส่ง TLS แบบทันเนล และช่วยขจัดความต้องใช้ใบรับรองในด้านไคลเอ็นต์ การนี้เป็นตัวเลือกที่มักเป็นที่ต้องการ Funk Software* เป็นโปรโมเตอร์หลักของ TTLS และมีค่าใช้จ่ายเพิ่มเติมซอฟต์แวร์เซิร์ฟเวอร์พิสูจน์ตัวตนและพิสูจน์ตัวตน
  • LEAP มีประวัติที่ยาวที่สุด และในขณะที่ก่อนหน้านี้กรรมสิทธิ์ของ Cisco (ใช้งานกับอะแดปเตอร์ Cisco Wi-Fi เท่านั้น) Cisco ได้อนุญาตให้ใช้ LEAP กับผู้ผลิตรายอื่นๆ ผ่านโปรแกรม Cisco Compatible Extensions ของตน ควรบังคับใช้นโยบายรหัสผ่านที่คาดเดายากเมื่อใช้ LEAP เพื่อการรับรองความถูกต้อง
  • ขณะนี้ EAP-FAST มีให้ใช้งานแล้วเพื่อองค์กรที่ไม่สามารถบังคับใช้นโยบายรหัสผ่านที่คาดเดาได้ และไม่ต้องการปรับใช้ใบรับรองเพื่อการรับรองความถูกต้อง
  • PEAP ล่าสุดใช้งานได้ใกล้เคียงกับ EAP-TTLS ในที่ที่ไม่ต้องใช้ใบรับรองในฝั่งไคลเอ็นต์ PEAP ได้รับการสนับสนุนโดย Cisco และ Microsoft และให้บริการโดยไม่มีค่าใช้จ่ายเพิ่มเติมจาก Microsoft หากต้องการเปลี่ยนจาก LEAP เป็น PEAP เซิร์ฟเวอร์การตรวจสอบความถูกต้องของ Cisco ACS จะรันทั้งคู่

ทางเลือกอื่นคือ VPN

แทนที่จะใช้ Wi-Fi LAN เพื่อการตรวจสอบความถูกต้องและความเป็นส่วนตัว (การเข้ารหัส) องค์กรหลายแห่งก็ใช้งาน VPN แทน ซึ่งจะเสร็จสิ้นด้วยการวางจุดเชื่อมต่อไว้ข้างนอกไฟร์วอลล์ขององค์กร และมีช่องสัญญาณผู้ใช้ผ่านเกตเวย์ VPN เหมือนกับว่าพวกเขาเป็นผู้ใช้ระยะไกล downsides ของการใช้โซลูชัน VPN คือต้นทุน ความซับซ้อนในการติดตั้งครั้งแรก และค่าใช้จ่ายในการจัดการที่ต่อเนื่อง