802.1X: สิ่งที่แน่นอนเกี่ยวกับ WPA และ EAP


19

ฉันเข้าใจ 802.1X ว่าเป็นพอร์ตควบคุมการรับรองความถูกต้อง อย่างไรก็ตามเมื่อฉันตรวจสอบการตั้งค่าการเข้ารหัสสำหรับไร้สายของฉันฉันพบ 802.1X ในแบบหล่นลงพร้อมกับ WPA2, WPA และ WEP แต่ฉันไม่เห็นว่ามันจะเป็นทางเลือกสำหรับสิ่งเหล่านี้ได้อย่างไร

มีคนช่วยอธิบายในแง่ของคนธรรมดาได้อย่างไรว่า 802.1X เหมาะสมอย่างไรกับบางทีอาจเกี่ยวข้องกับโปรโตคอล EAP ด้วย? ทั้งหมดที่ฉันรู้คือ 802.1X มีสองพอร์ตโลจิคัลพอร์ตสำหรับทุกพอร์ตจริงหนึ่งในนั้นคือการรับรองความถูกต้องและฉันคิดว่าอีกอันสำหรับข้อความ EAP จริง ๆ ที่ไหลผ่าน?

คำตอบ:


38

ที่ใกล้ที่สุดที่ฉันสามารถทำได้เพื่อข้อกำหนดของคนธรรมดา, oversimplified เล็กน้อยและ จำกัด เพียง WPA2 เพียงเพราะความเรียบง่าย:

802.1X ไม่ใช่ประเภทการเข้ารหัส มันเป็นเพียงกลไกการตรวจสอบต่อผู้ใช้ (เช่นชื่อผู้ใช้และรหัสผ่าน)

WPA2 เป็นรูปแบบความปลอดภัยที่ระบุสองประเด็นหลักของความปลอดภัยแบบไร้สายของคุณ:

  • การตรวจสอบความถูกต้อง: ตัวเลือก PSK ("ส่วนบุคคล") หรือ 802.1X ("องค์กร") ของคุณ
  • การเข้ารหัส: AES-CCMP เสมอ

หากคุณใช้การรักษาความปลอดภัย WPA2 บนเครือข่ายของคุณคุณมีสองตัวเลือกการรับรองความถูกต้อง: คุณต้องใช้รหัสผ่านเดียวสำหรับเครือข่ายทั้งหมดที่ทุกคนรู้จัก (ซึ่งเรียกว่าคีย์ที่แชร์ล่วงหน้าหรือ PSK) หรือคุณใช้ 802.1X เพื่อบังคับให้ผู้ใช้แต่ละคนใช้ข้อมูลรับรองการเข้าสู่ระบบที่เป็นเอกลักษณ์ของตนเอง (เช่นชื่อผู้ใช้และรหัสผ่าน)

ไม่ว่าคุณจะตั้งค่าประเภทการรับรองความถูกต้องแบบใด WPA2 จะใช้รูปแบบที่เรียกว่า AES-CCMP เพื่อเข้ารหัสข้อมูลของคุณผ่านทางอากาศเพื่อความลับและเพื่อป้องกันการโจมตีประเภทอื่น ๆ

802.1X คือ "EAP over LANs" หรือ EAPoL EAP ย่อมาจาก "Extensible Authentication Protocol" ซึ่งหมายความว่าเป็นรูปแบบปลั๊กอินสำหรับวิธีการรับรองความถูกต้องต่างๆ ตัวอย่างบางส่วน:

  • คุณต้องการรับรองความถูกต้องของผู้ใช้ด้วยชื่อผู้ใช้และรหัสผ่านหรือไม่ จากนั้น "PEAP" เป็นประเภท EAP ที่ใช้งานได้ดี
  • คุณต้องการตรวจสอบผู้ใช้ของคุณผ่านใบรับรองหรือไม่ จากนั้น "EAP-TLS" เป็นประเภท EAP ที่ดีที่จะใช้
  • อุปกรณ์ในเครือข่ายของคุณสมาร์ทโฟน GSM ทั้งหมดใช้ซิมการ์ดหรือไม่ จากนั้นคุณสามารถใช้ "EAP-SIM" เพื่อทำการตรวจสอบสไตล์ GSM SIM การ์ดเพื่อใช้งานบนเครือข่ายของคุณ ฯลฯ

หากคุณตั้งค่าเราเตอร์ไร้สายให้ใช้ 802.1X จำเป็นต้องมีวิธีตรวจสอบสิทธิ์ผู้ใช้ของคุณผ่าน EAP บางประเภท เราเตอร์บางตัวอาจมีความสามารถให้คุณป้อนรายการชื่อผู้ใช้และรหัสผ่านที่ถูกต้องบนเราเตอร์และเราเตอร์รู้วิธีทำการรับรองความถูกต้องทั้งหมดด้วยตัวเอง แต่ส่วนใหญ่อาจต้องการให้คุณกำหนดค่า RADIUS RADIUS เป็นโปรโตคอลที่ให้คุณเก็บชื่อผู้ใช้และฐานข้อมูลรหัสผ่านของคุณบนเซิร์ฟเวอร์ส่วนกลางดังนั้นคุณไม่จำเป็นต้องทำการเปลี่ยนแปลงเราเตอร์ไร้สายแต่ละตัวแยกกันในแต่ละครั้งที่คุณเพิ่มหรือลบผู้ใช้หรือผู้ใช้เปลี่ยนรหัสผ่านหรือบางสิ่ง เราเตอร์ไร้สายที่ใช้ 802.1X โดยทั่วไปไม่รู้วิธีรับรองความถูกต้องของผู้ใช้โดยตรงพวกเขารู้วิธีเกตเวย์ระหว่าง 802.1X และ RADIUS เพื่อให้เครื่องไคลเอนต์ไร้สายได้รับการรับรองความถูกต้องโดยเซิร์ฟเวอร์ RADIUS บนเครือข่าย

หากอินเทอร์เฟซผู้ใช้เราเตอร์ไร้สายของคุณมี "802.1X" ในรายการประเภทการเข้ารหัสก็อาจหมายถึง "802.1X พร้อม Dynamic WEP" ซึ่งเป็นโครงร่างแบบเก่าที่ใช้ 802.1X สำหรับการตรวจสอบความถูกต้องและต่อผู้ใช้หนึ่งครั้งต่อเซสชัน คีย์ WEP ถูกสร้างขึ้นแบบไดนามิกซึ่งเป็นส่วนหนึ่งของกระบวนการตรวจสอบความถูกต้องและดังนั้น WEP จึงเป็นวิธีการเข้ารหัสที่ใช้ในท้ายที่สุด

อัปเดตอีกครั้ง: พอร์ตโลจิคัลสองพอร์ต

เพื่อตอบคำถามของคุณเกี่ยวกับสองพอร์ตโลจิคัลพอร์ตมีแนวคิดที่แยกกันสองประการในข้อมูลจำเพาะ 802.1X ที่คุณอาจอ้างถึง

ขั้นแรกข้อมูลจำเพาะ 802.1X จะกำหนดบทบาทของไคลเอ็นต์และเซิร์ฟเวอร์สำหรับโปรโตคอล 802.1X แต่จะเรียกพวกเขาว่า Supplicant และ Authenticator ตามลำดับ ภายในไคลเอนต์ไร้สายหรือเราเตอร์ไร้สายของคุณคุณมีซอฟต์แวร์ที่ทำงานตามบทบาทของ 802.1X Supplicant หรือ Authenticator ซอฟต์แวร์ที่มีบทบาทนี้เรียกว่า Port Access Entity หรือ PAE โดยสเป็ค

ประการที่สองสเป็คระบุว่าภายในเครื่องไคลเอนต์ไร้สายของคุณจะต้องมีวิธีสำหรับซอฟต์แวร์ 802.1X Supplicant ของคุณเพื่อเข้าถึงอินเทอร์เฟซไร้สายของคุณเพื่อส่งและรับแพ็กเก็ต EAP เพื่อรับรองความถูกต้องแม้ว่าจะไม่มีซอฟต์แวร์เครือข่ายอื่น ๆ ระบบของคุณได้รับอนุญาตให้ใช้ส่วนต่อประสานไร้สาย (เนื่องจากส่วนต่อประสานเครือข่ายไม่น่าเชื่อถือจนกว่าจะได้รับการรับรองความถูกต้อง) ดังนั้นในทางวิศวกรรมที่แปลกประหลาดของเอกสารข้อมูลจำเพาะ IEEE มันมีตรรกะ "พอร์ตที่ไม่สามารถควบคุมได้" ที่ไคลเอ็นต์ซอฟต์แวร์ 802.1X เชื่อมต่อและตรรกะ "พอร์ตควบคุม" ที่ส่วนที่เหลือของสแต็กเครือข่ายเชื่อมโยงถึง เมื่อคุณพยายามเชื่อมต่อกับเครือข่าย 802.1X เป็นครั้งแรกเฉพาะพอร์ตที่ไม่มีการควบคุมเท่านั้นที่เปิดใช้งานในขณะที่ไคลเอ็นต์ 802.1X ทำสิ่งนั้น เมื่อการเชื่อมต่อได้รับการรับรองความถูกต้องแล้ว (และพูดว่า

คำตอบยาวไม่มากนักในแง่ของคนธรรมดา:
IEEE 802.1X เป็นวิธีที่จะทำการตรวจสอบต่อผู้ใช้หรือต่ออุปกรณ์สำหรับ LAN Ethernet แบบใช้สายหรือไร้สาย (และโครงร่างเครือข่ายอื่น ๆ ในตระกูล IEEE 802) เดิมได้รับการออกแบบและปรับใช้สำหรับเครือข่าย Ethernet แบบมีสายและต่อมาได้รับการรับรองโดย IEEE 802.11 (wireless LAN) คณะทำงานซึ่งเป็นส่วนหนึ่งของการรักษาความปลอดภัย 802.11i ภาคผนวก 802.11 เพื่อทำหน้าที่เป็นวิธีการรับรองความถูกต้องต่อผู้ใช้หรือต่ออุปกรณ์ สำหรับเครือข่าย 802.11

เมื่อคุณใช้การตรวจสอบความถูกต้อง 802.1X บนเครือข่าย WPA หรือ WPA2 ของคุณคุณยังคงใช้รหัสลับการรักษาความลับของ WPA หรือ WPA2 และอัลกอริธึมความสมบูรณ์ของข้อความ นั่นคือในกรณีของ WPA คุณยังคงใช้ TKIP เป็นรหัสลับของคุณและ MIChael เป็นการตรวจสอบความสมบูรณ์ของข้อความ ในกรณีของ WPA2 คุณกำลังใช้ AES-CCMP ซึ่งเป็นทั้งรหัสลับและการตรวจสอบความสมบูรณ์ของข้อความ

ความแตกต่างเมื่อคุณใช้ 802.1X คือคุณไม่ได้ใช้คีย์ที่แชร์ล่วงหน้าทั่วทั้งเครือข่าย (PSK) อีกต่อไป เนื่องจากคุณไม่ได้ใช้ PSK เดียวสำหรับอุปกรณ์ทั้งหมดการรับส่งข้อมูลของอุปกรณ์แต่ละรายการจึงปลอดภัยยิ่งขึ้น ด้วย PSK หากคุณรู้จัก PSK และจับการจับมือคีย์เมื่ออุปกรณ์เข้าร่วมเครือข่ายคุณสามารถถอดรหัสการรับส่งข้อมูลทั้งหมดของอุปกรณ์นั้นได้ แต่ด้วย 802.1X กระบวนการตรวจสอบความถูกต้องจะสร้างเนื้อหาสำคัญที่ใช้ในการสร้าง Pairwise Master Key (PMK) ที่ไม่ซ้ำกันสำหรับการเชื่อมต่อดังนั้นจึงไม่มีวิธีใดที่ผู้ใช้รายหนึ่งจะถอดรหัสการรับส่งข้อมูลของผู้ใช้รายอื่น

802.1X ขึ้นอยู่กับ EAP ซึ่งเป็นโปรโตคอลการตรวจสอบสิทธิ์แบบขยายได้ที่พัฒนาขึ้นสำหรับ PPP และยังคงใช้อย่างกว้างขวางในโซลูชัน VPN ที่ใช้ PPP ภายในอุโมงค์ที่เข้ารหัส (LT2P-over-IPSec, PPTP, ฯลฯ ) ในความเป็นจริง 802.1X โดยทั่วไปเรียกว่า "EAP over LANs" หรือ "EAPoL"

EAP จัดเตรียมกลไกทั่วไปสำหรับการส่งข้อความการตรวจสอบสิทธิ์ (คำขอการตรวจสอบสิทธิ์ความท้าทายการตอบกลับการแจ้งเตือนความสำเร็จ ฯลฯ ) โดยที่ชั้น EAP ไม่จำเป็นต้องทราบรายละเอียดของวิธีการรับรองความถูกต้องเฉพาะที่ใช้ มี "ประเภท EAP" ที่แตกต่างกันจำนวนหนึ่ง (กลไกการตรวจสอบความถูกต้องที่ออกแบบมาเพื่อเสียบเข้ากับ EAP) สำหรับทำการตรวจสอบความถูกต้องผ่านชื่อผู้ใช้และรหัสผ่านใบรับรองบัตรโทเค็นและอื่น ๆ

เนื่องจากประวัติของ EAP ด้วย PPP และ VPN มันจึงถูกส่งไปยัง RADIUS เสมอ ด้วยเหตุนี้จึงเป็นเรื่องปกติ (แต่ไม่จำเป็นทางเทคนิค) สำหรับ 802.11 APs ที่สนับสนุน 802.1X เพื่อให้มีไคลเอ็นต์ RADIUS ดังนั้นโดยทั่วไปแล้ว AP ไม่รู้จักชื่อผู้ใช้หรือรหัสผ่านของใครก็ตามหรือแม้แต่วิธีการประมวลผลการรับรองความถูกต้อง EAP ประเภทต่าง ๆ พวกเขารู้วิธีที่จะใช้ในข้อความ EAP ทั่วไปจาก 802.1X และเปลี่ยนเป็นข้อความ RADIUS และส่งต่อไปยังเซิร์ฟเวอร์ RADIUS . ดังนั้น AP จึงเป็นเพียงสื่อกลางสำหรับการรับรองความถูกต้องไม่ใช่งานปาร์ตี้ จุดสิ้นสุดที่แท้จริงของการรับรองความถูกต้องโดยทั่วไปแล้วจะเป็นไคลเอนต์ไร้สายและเซิร์ฟเวอร์ RADIUS (หรือเซิร์ฟเวอร์การตรวจสอบความถูกต้องต้นน้ำบางส่วนที่เซิร์ฟเวอร์ RADIUS เกตเวย์ไป)

ประวัติที่มากกว่าที่คุณต้องการทราบ: เมื่อสร้าง 802.11 เป็นครั้งแรกวิธีการรับรองความถูกต้องเท่านั้นที่ได้รับการสนับสนุนคือรูปแบบของการรับรองความถูกต้องของคีย์ที่ใช้ร่วมกันโดยใช้คีย์ WEP 40- หรือ 104 บิตบิตและ WEP ถูก จำกัด ผู้ใช้หรืออุปกรณ์ทั้งหมดที่เชื่อมต่อกับเครือข่ายของคุณต้องรู้จักหนึ่งในสี่ปุ่มลัดสำหรับเครือข่ายเพื่อให้สามารถใช้งานได้ ไม่มีวิธีในมาตรฐานในการรับรองความถูกต้องของผู้ใช้หรืออุปกรณ์แยกกัน นอกจากนี้ยังอนุญาตให้ใช้วิธีการรับรองความถูกต้องของคีย์ที่ใช้ร่วมกันเพื่อการโจมตีที่คาดเดาได้ง่าย "oracle ออฟไลน์" อย่างรวดเร็ว

ผู้จำหน่าย 802.11 อุปกรณ์ระดับองค์กรหลายรายตระหนักว่าการรับรองความถูกต้องต่อผู้ใช้ (เช่นชื่อผู้ใช้และรหัสผ่านหรือใบรับรองผู้ใช้) หรือต่ออุปกรณ์ (ใบรับรองเครื่อง) นั้นจำเป็นต่อการทำให้ 802.11 ประสบความสำเร็จในตลาดองค์กร แม้ว่า 802.1X นั้นยังไม่เสร็จ แต่ Cisco ก็ใช้ร่าง 802.1X ฉบับร่าง จำกัด ประเภท EAP หนึ่งประเภท (รูปแบบของ EAP-MSCHAPv2) ทำให้มันสร้างคีย์ WEP แบบไดนามิกต่ออุปกรณ์ต่อเซสชันและสร้าง สิ่งที่พวกเขาเรียกว่า "Lightweight EAP" หรือ LEAP ผู้ค้ารายอื่นทำสิ่งที่คล้ายกัน แต่มีชื่อ clunkier เช่น "802.1X with dynamic WEP"

Wi-Fi Alliance (néeพันธมิตร Wireless Ethernet Compatibility Alliance หรือ "WECA") เห็น WEP ตัวแทนเลวร้ายที่สมควรได้รับและเห็นการกระจายตัวของรูปแบบความปลอดภัยที่เกิดขึ้นในอุตสาหกรรม แต่ไม่สามารถรอให้คณะทำงาน IEEE 802.11 เสร็จสิ้น การใช้ 802.1X เข้ากับ 802.11i ดังนั้น Wi-Fi Alliance จึงสร้าง Wi-Fi Protected Access (WPA) เพื่อกำหนดมาตรฐานผู้ค้าข้ามที่ทำงานร่วมกันเพื่อแก้ไขข้อบกพร่องใน WEP เป็นรหัสลับ (สร้าง TKIP เพื่อแทนที่) ข้อบกพร่อง ในการรับรองความถูกต้องของคีย์ที่ใช้ร่วมกันของ WEP (การสร้าง WPA-PSK เพื่อแทนที่) และเพื่อให้วิธีการใช้ 802.1X สำหรับการรับรองความถูกต้องต่อผู้ใช้หรือต่ออุปกรณ์

จากนั้นกลุ่มงาน IEEE 802.11i ทำงานให้เสร็จโดยเลือก AES-CCMP เป็นรหัสลับของอนาคตและใช้ 802.1X โดยมีข้อ จำกัด บางประการเพื่อให้ปลอดภัยบนเครือข่ายไร้สายสำหรับการรับรองความถูกต้องต่อผู้ใช้และต่ออุปกรณ์สำหรับ 802.11 LAN ไร้สาย ในทางกลับกัน Wi-Fi Alliance สร้าง WPA2 เพื่อรับรองการทำงานร่วมกันระหว่างการใช้งาน 802.11i (พันธมิตร Wi-Fi เป็นองค์กรรับรองการตลาดและการตลาดแบบ interop และมักจะต้องการให้ IEEE เป็นองค์กรมาตรฐาน WLAN จริง ๆ แต่ถ้า IEEE ซ่อนตัวอยู่และไม่เคลื่อนที่เร็วพอสำหรับอุตสาหกรรม Fi Alliance จะก้าวเข้ามาและทำงานเหมือนร่างมาตรฐานก่อน IEEE และจากนั้นจะข้ามไปสู่มาตรฐาน IEEE ที่เกี่ยวข้องเมื่อออกมาในภายหลัง)


เฮ้ spiff คุณสามารถผูกในส่วนที่ฉันอ่านเกี่ยวกับ 802.1x สร้างสองพอร์ตตรรกะด้วยคำตอบของคนธรรมดาของคุณ? ขอบคุณ
Jason

3
@ Jason Okay อัปเดตแล้ว โดยวิธีการที่ 802.1X เป็นสเป็คแบบสแตนด์อโลน (ไม่ใช่ภาคผนวกของสเป็คอื่น) ดังนั้นในการตั้งชื่อ IEEE ก็จะได้รับอักษรตัวใหญ่ ดังนั้นมันจึงเป็น 802.1X ไม่ใช่ 802.1x เมื่อใดก็ตามที่คุณเห็นเอกสารหรือบทความที่ทำให้เกิดความผิดพลาดให้ถือเป็นสัญลักษณ์ของความเลอะเทอะและการไม่ใส่ใจในรายละเอียดและปล่อยให้สิ่งนั้นมีอิทธิพลต่อความศรัทธาของคุณ
Spiff

ดังนั้น WPA2 / Enterprise คือการเข้ารหัส AES และ 802.1X เป็นการเข้ารหัส WEP แม้ว่าทั้งคู่จะใช้ 802.1X เพื่อตรวจสอบสิทธิ์ บันทึกไว้อย่างละเอียดพร้อมประวัติบางอย่างที่อยู่เบื้องหลังมันทั้งหมด ขอบคุณ @Spiff ฉันหวังว่าฉันจะสามารถโหวตได้สองครั้ง
Brain2000

@ Brain2000 ระวังการกล่าวซ้ำเกินจริงของคุณนั้นทำให้เข้าใจผิดมาก อาจเป็นเรื่องจริงที่ APs บางตัวมี UIs ที่เส็งเคร็งที่พูดไม่ถูกต้องเพียงแค่ "802.1X" เมื่อสิ่งที่พวกเขาหมายถึงคือ "802.1X with WEP แบบไดนามิก" แต่ 802.1X เป็นโปรโตคอลการตรวจสอบความถูกต้องแบบขยายได้สำหรับ LAN ที่ไม่เฉพาะ 802.11 ซึ่งน้อยกว่า WEP
Spiff

@Spiff คุณพูดถูกมันเป็น UI แบบเส็งเคร็งซึ่งแสดง "WPA2 / Enterprise" และ "802.1X" ในรายการแบบหล่นลง ท้ายที่สุดนั่นคือหัวข้อของคำถามทั้งหมดนี้ ใช่ฉันคิดว่าสิ่งที่ฉันเขียนคือสิ่งที่ฉันตั้งใจจะเขียน มันไม่ใช่เรื่องใหญ่เกินไป เป็น UI เส็งเคร็งตามที่คุณใส่
Brain2000
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.