802.1x 和 EAP 类型

无线安全 － 802.1x 和 EAP 类型

按字母表示的 EAP 类型 - MD5、LEAP、PEAP、FAST、TLS 和 TTLS 注： 该数据不适用于家庭或小型办公室用户，他们通常不使用高级安全功能（如本页中讨论的功能）。不过这些用户可能会发现它很有参考价值。 802.1x 概述 它是一种通过认证保护网络的端口访问协议。 此类型的验证方法在无线环境中因该媒体的性质而特别有用。 如果无线用户通过 802.1x 网络访问验证，接入点上会打开一个用于通信的虚拟端口。 如果验证不成功，则不会提供虚拟端口，并将阻断通信。 802.1x 验证分为 3 个基本部分： 请求者 - 在无线工作站上运行的软件客户端 验证者 - 无线接入点 认证服务器 - 一个认证数据库，通常是一个 Radius 服务器（例如 Cisco ACS*、Funk Steel-Belted RADIUS* 或 Microsoft* IAS*） EAP (可扩展验证协议) 用于在请求者（无线工作站）和验证服务器（(Microsoft IAS 或其它）之间传输验证信息。 实际验证有 EAP 类型定义和处理。 作为验证者的接入点只是一个允许请求者和验证服务器之间进行通信的代理。 使用哪一个？ 应用哪一类 EAP 或是否应用 802.1x 取决于机构所需的安全级别和期望的管理开支/功能。 此处的说明和比较表将帮助减少了解各种可用 EAP 类型的困难。 可扩展验证协议 (EAP) 验证类型 由于 WLAN 安全是非常必要，EAP 验证类型提供了一种更好地保障 WLAN 连接的方式，经销商正在迅速开发和添加 EAP 验证类型至他们的 WLAN 接入点。 部分最常部署的 EAP 验证类型包括 EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-Fast 和 Cisco LEAP。 EAP-MD-5 (消息摘要) 质询是一种提供基本级别 EAP 支持的 EAP 验证类型。 EAP-MD-5 通常不建议用于无线 LAN 执行，因为它可能衍生用户密码。 它仅提供单向验证 - 无法进行无线客户端和网络之间的互相验证。 更为重要的是，它不提供衍生动态、按对话有限对等保密 (WEP)密钥的方法。 EAP-TLS (传输层安全) 提供为客户端和网络提供基于证书及相互的验证。 它依赖客户断和服务器方面的证书进行验证，可用于动态生成基于用户和通话的 WEP 密钥以保障 WLAN 客户端和接入点之间的通信。 EAP-TLS 的不足之处在于必须由客户端和服务器端双方管理证书。 对于较大的 WLAN 安装，则是比较重的任务。 EAP-TTLS (隧道传输层安全）是由 Funk Software and Certicom 开发的，作为 EAP-TLS 的扩展。 此安全方法通过加密通道（或“隧道”）为客户端和网络之间提供基于证书的相互验证，同时作为衍生动态及按用户和对话的 WEP 密钥。 与 EAP-TLS 不同，EAP-TTLS 仅需要服务器方面的证书。 EAP-FAST (通过安全隧道灵活认证) 是由 Cisco 开发的。相互认证是通过 PAC （保护访问资格）而不是使用证书实现的，PAC 可以由认证服务器动态管理，既可手动也可自动配备（一次性分发）给客户端。手动配备是通过磁盘或可靠的网络分发方法配送到客户端。自动配备是指带内以无线方式分发。 LEAP (轻型可扩展验证协议) 是一种 EAP 验证类型，主要用于 Cisco Aironet WLAN。 它使用动态生成的 WEP 密钥对数据传输进行加密，并支持相互验证。 至于其所有权，Cisco 已通过 Cisco Compatible Extensions 计划，将 LEAP 授权给其它制造商许可使用。 PEAP (受保护的可扩展验证协议)通过 802.11 无线网络提供了一种安全传输验证数据的方法，包括传统的密码保护协议。 PEAP 通过使用 PEAP 客户端和验证服务器之间的“隧道”来实现。 同竞争对手标准“隧道传输层安全”(TTLS) 一样，PEAP 使用服务器单边证书来验证无线 LAN 客户端，从而简化了安全无线 LAN 的执行和管理。 Microsoft、Cisco 和 RSA Security 都开发了 PEAP。 802.1x EAP 类型 功能/优点 MD5 --- 信息摘要 5 TLS --- 传输层安全 TTLS --- 隧道传输层安全 PEAP --- 受保护的传输层安全 快速 --- 通过安全隧道灵活验证 LEAP --- 轻型可扩展认证协议 需要客户端证书 否 是 否 否 不 (PAC) 否 需要服务器证书 否 是 否 是 不 (PAC) 否 WEP 密钥管理 否 是 是 是 是 是 Rouge AP 检测 否 否 否 否 是 是 提供商 MS MS Funk MS Cisco Cisco 验证属性 单向 相互 相互 相互 相互 相互 部署难易程度 容易 难（因为客户端证书配置的缘故） 一般 一般 一般 一般 无线安全 差 很高 高 高 高 在使用强密码时，高。 阅读上述讨论和表格，不难得出以下结论： MD5 不常用，因为它只执行单向验证，更重要的是它不支持自动分配和转动 WEP 密钥，无法减轻手动 WEP 密钥维护的管理负担。 TLS 非常安全，但需要在各个无线工作站上安装客户端证书。 维护 PKI 基础结构时，除了维护 WLAN 本身以外，还需要其它管理方面的专门技术和时间。 TTLS 通过与 TLS 建立通道来解决证书问题，除去了在客户端安装证书的麻烦。 因此，此类型通常是首选项。 TTLS 主要由 Funk 销售，而且需为请求者和验证服务器软件付费。 LEAP 历史悠久，但先前由 Cisco 专有（仅与 Cisco 无线适配器一起使用），Cisco 已通过 Cisco Compatible Extensions 计划，将 LEAP 授权给其它制造商许可使用。 在 LEAP 用于验证时，应执行强密码政策。 EAP-FAST 现在可用于不能实行强密码政策和不想配置验证证书的企业。 最新的 PEAP 与 EAP-TTLS 的工作原理类似，不需要客户端证书。 PEAP 由 Cisco 和 Microsoft 提供支持，可以从 Microsoft 免费获得。 如果想要从 LEAP 转换为 PEAP，Cisco 的 ACS 验证服务器可以运行这两种类型。 数据保密 数据保密是通过在传输前使用保密键对数据进行加密，然后在接收端再进行解密 (恢复普通数据)而实现的。 有线对等加密（WEP）提供的安全性较弱；因此，目前已开发出其他更好的保护无线数据的方法（如 WPA 和 WPA2）。 WPA*（Wi-Fi* 保护访问） Wi-Fi 联盟在 2003 年下半年引入了此基于标准的解决方案，用来开发更稳健的无线局域网安全解决方案以满足 802。11i 修订后的要求。 WPA 包括 802.1x 认证和 TKIP 加密(更先进且更安全的 WEP 加密）。 WPA2*（Wi-Fi 保护访问 2） Wi-Fi 联盟在 2004 年下半年发布了这一第二代 WPA 安全方案。像 WPA 一样，WPA2 也包含 802.1x 认证。 根据 802.11i 修订，WPA2 使用高级加密标准（AES）保护数据保密。 WPA 个人版和 WPA2 个人版 对于无认证服务器的小办公室和家庭用户而言，访问权限是使用预共享的密钥（PSK）决定的。预共享密钥是十六进制字符串或口令，接入点和所有客户端间的预共享密钥必须匹配。 使用 WPA 个人或 WPA2 个人方法时，没有可用的 802.1x 安全类型。 其他安全选项 VPN 许多企业不依赖无线局域网认证和保密（加密），而是采用 VPN。 只要将接入点放置到公司防火墙外面，并通过 VPN 网关进入用户通道 - 把他们当作远程用户。 执行 VPN 解决方案的费用、初始安装和后续管理成本已减少。