ฉันเข้าใจ 802.1X ว่าเป็นพอร์ตควบคุมการรับรองความถูกต้อง อย่างไรก็ตามเมื่อฉันตรวจสอบการตั้งค่าการเข้ารหัสสำหรับไร้สายของฉันฉันพบ 802.1X ในแบบหล่นลงพร้อมกับ WPA2, WPA และ WEP แต่ฉันไม่เห็นว่ามันจะเป็นทางเลือกสำหรับสิ่งเหล่านี้ได้อย่างไร
มีคนช่วยอธิบายในแง่ของคนธรรมดาได้อย่างไรว่า 802.1X เหมาะสมอย่างไรกับบางทีอาจเกี่ยวข้องกับโปรโตคอล EAP ด้วย? ทั้งหมดที่ฉันรู้คือ 802.1X มีสองพอร์ตโลจิคัลพอร์ตสำหรับทุกพอร์ตจริงหนึ่งในนั้นคือการรับรองความถูกต้องและฉันคิดว่าอีกอันสำหรับข้อความ EAP จริง ๆ ที่ไหลผ่าน?
คำตอบ:
ที่ใกล้ที่สุดที่ฉันสามารถทำได้เพื่อข้อกำหนดของคนธรรมดา, oversimplified เล็กน้อยและ จำกัด เพียง WPA2 เพียงเพราะความเรียบง่าย:
802.1X ไม่ใช่ประเภทการเข้ารหัส มันเป็นเพียงกลไกการตรวจสอบต่อผู้ใช้ (เช่นชื่อผู้ใช้และรหัสผ่าน)
WPA2 เป็นรูปแบบความปลอดภัยที่ระบุสองประเด็นหลักของความปลอดภัยแบบไร้สายของคุณ:
หากคุณใช้การรักษาความปลอดภัย WPA2 บนเครือข่ายของคุณคุณมีสองตัวเลือกการรับรองความถูกต้อง: คุณต้องใช้รหัสผ่านเดียวสำหรับเครือข่ายทั้งหมดที่ทุกคนรู้จัก (ซึ่งเรียกว่าคีย์ที่แชร์ล่วงหน้าหรือ PSK) หรือคุณใช้ 802.1X เพื่อบังคับให้ผู้ใช้แต่ละคนใช้ข้อมูลรับรองการเข้าสู่ระบบที่เป็นเอกลักษณ์ของตนเอง (เช่นชื่อผู้ใช้และรหัสผ่าน)
ไม่ว่าคุณจะตั้งค่าประเภทการรับรองความถูกต้องแบบใด WPA2 จะใช้รูปแบบที่เรียกว่า AES-CCMP เพื่อเข้ารหัสข้อมูลของคุณผ่านทางอากาศเพื่อความลับและเพื่อป้องกันการโจมตีประเภทอื่น ๆ
802.1X คือ "EAP over LANs" หรือ EAPoL EAP ย่อมาจาก "Extensible Authentication Protocol" ซึ่งหมายความว่าเป็นรูปแบบปลั๊กอินสำหรับวิธีการรับรองความถูกต้องต่างๆ ตัวอย่างบางส่วน:
หากคุณตั้งค่าเราเตอร์ไร้สายให้ใช้ 802.1X จำเป็นต้องมีวิธีตรวจสอบสิทธิ์ผู้ใช้ของคุณผ่าน EAP บางประเภท เราเตอร์บางตัวอาจมีความสามารถให้คุณป้อนรายการชื่อผู้ใช้และรหัสผ่านที่ถูกต้องบนเราเตอร์และเราเตอร์รู้วิธีทำการรับรองความถูกต้องทั้งหมดด้วยตัวเอง แต่ส่วนใหญ่อาจต้องการให้คุณกำหนดค่า RADIUS RADIUS เป็นโปรโตคอลที่ให้คุณเก็บชื่อผู้ใช้และฐานข้อมูลรหัสผ่านของคุณบนเซิร์ฟเวอร์ส่วนกลางดังนั้นคุณไม่จำเป็นต้องทำการเปลี่ยนแปลงเราเตอร์ไร้สายแต่ละตัวแยกกันในแต่ละครั้งที่คุณเพิ่มหรือลบผู้ใช้หรือผู้ใช้เปลี่ยนรหัสผ่านหรือบางสิ่ง เราเตอร์ไร้สายที่ใช้ 802.1X โดยทั่วไปไม่รู้วิธีรับรองความถูกต้องของผู้ใช้โดยตรงพวกเขารู้วิธีเกตเวย์ระหว่าง 802.1X และ RADIUS เพื่อให้เครื่องไคลเอนต์ไร้สายได้รับการรับรองความถูกต้องโดยเซิร์ฟเวอร์ RADIUS บนเครือข่าย
หากอินเทอร์เฟซผู้ใช้เราเตอร์ไร้สายของคุณมี "802.1X" ในรายการประเภทการเข้ารหัสก็อาจหมายถึง "802.1X พร้อม Dynamic WEP" ซึ่งเป็นโครงร่างแบบเก่าที่ใช้ 802.1X สำหรับการตรวจสอบความถูกต้องและต่อผู้ใช้หนึ่งครั้งต่อเซสชัน คีย์ WEP ถูกสร้างขึ้นแบบไดนามิกซึ่งเป็นส่วนหนึ่งของกระบวนการตรวจสอบความถูกต้องและดังนั้น WEP จึงเป็นวิธีการเข้ารหัสที่ใช้ในท้ายที่สุด
อัปเดตอีกครั้ง: พอร์ตโลจิคัลสองพอร์ต
เพื่อตอบคำถามของคุณเกี่ยวกับสองพอร์ตโลจิคัลพอร์ตมีแนวคิดที่แยกกันสองประการในข้อมูลจำเพาะ 802.1X ที่คุณอาจอ้างถึง
ขั้นแรกข้อมูลจำเพาะ 802.1X จะกำหนดบทบาทของไคลเอ็นต์และเซิร์ฟเวอร์สำหรับโปรโตคอล 802.1X แต่จะเรียกพวกเขาว่า Supplicant และ Authenticator ตามลำดับ ภายในไคลเอนต์ไร้สายหรือเราเตอร์ไร้สายของคุณคุณมีซอฟต์แวร์ที่ทำงานตามบทบาทของ 802.1X Supplicant หรือ Authenticator ซอฟต์แวร์ที่มีบทบาทนี้เรียกว่า Port Access Entity หรือ PAE โดยสเป็ค
ประการที่สองสเป็คระบุว่าภายในเครื่องไคลเอนต์ไร้สายของคุณจะต้องมีวิธีสำหรับซอฟต์แวร์ 802.1X Supplicant ของคุณเพื่อเข้าถึงอินเทอร์เฟซไร้สายของคุณเพื่อส่งและรับแพ็กเก็ต EAP เพื่อรับรองความถูกต้องแม้ว่าจะไม่มีซอฟต์แวร์เครือข่ายอื่น ๆ ระบบของคุณได้รับอนุญาตให้ใช้ส่วนต่อประสานไร้สาย (เนื่องจากส่วนต่อประสานเครือข่ายไม่น่าเชื่อถือจนกว่าจะได้รับการรับรองความถูกต้อง) ดังนั้นในทางวิศวกรรมที่แปลกประหลาดของเอกสารข้อมูลจำเพาะ IEEE มันมีตรรกะ "พอร์ตที่ไม่สามารถควบคุมได้" ที่ไคลเอ็นต์ซอฟต์แวร์ 802.1X เชื่อมต่อและตรรกะ "พอร์ตควบคุม" ที่ส่วนที่เหลือของสแต็กเครือข่ายเชื่อมโยงถึง เมื่อคุณพยายามเชื่อมต่อกับเครือข่าย 802.1X เป็นครั้งแรกเฉพาะพอร์ตที่ไม่มีการควบคุมเท่านั้นที่เปิดใช้งานในขณะที่ไคลเอ็นต์ 802.1X ทำสิ่งนั้น เมื่อการเชื่อมต่อได้รับการรับรองความถูกต้องแล้ว (และพูดว่า
คำตอบยาวไม่มากนักในแง่ของคนธรรมดา:
IEEE 802.1X เป็นวิธีที่จะทำการตรวจสอบต่อผู้ใช้หรือต่ออุปกรณ์สำหรับ LAN Ethernet แบบใช้สายหรือไร้สาย (และโครงร่างเครือข่ายอื่น ๆ ในตระกูล IEEE 802) เดิมได้รับการออกแบบและปรับใช้สำหรับเครือข่าย Ethernet แบบมีสายและต่อมาได้รับการรับรองโดย IEEE 802.11 (wireless LAN) คณะทำงานซึ่งเป็นส่วนหนึ่งของการรักษาความปลอดภัย 802.11i ภาคผนวก 802.11 เพื่อทำหน้าที่เป็นวิธีการรับรองความถูกต้องต่อผู้ใช้หรือต่ออุปกรณ์ สำหรับเครือข่าย 802.11
เมื่อคุณใช้การตรวจสอบความถูกต้อง 802.1X บนเครือข่าย WPA หรือ WPA2 ของคุณคุณยังคงใช้รหัสลับการรักษาความลับของ WPA หรือ WPA2 และอัลกอริธึมความสมบูรณ์ของข้อความ นั่นคือในกรณีของ WPA คุณยังคงใช้ TKIP เป็นรหัสลับของคุณและ MIChael เป็นการตรวจสอบความสมบูรณ์ของข้อความ ในกรณีของ WPA2 คุณกำลังใช้ AES-CCMP ซึ่งเป็นทั้งรหัสลับและการตรวจสอบความสมบูรณ์ของข้อความ
ความแตกต่างเมื่อคุณใช้ 802.1X คือคุณไม่ได้ใช้คีย์ที่แชร์ล่วงหน้าทั่วทั้งเครือข่าย (PSK) อีกต่อไป เนื่องจากคุณไม่ได้ใช้ PSK เดียวสำหรับอุปกรณ์ทั้งหมดการรับส่งข้อมูลของอุปกรณ์แต่ละรายการจึงปลอดภัยยิ่งขึ้น ด้วย PSK หากคุณรู้จัก PSK และจับการจับมือคีย์เมื่ออุปกรณ์เข้าร่วมเครือข่ายคุณสามารถถอดรหัสการรับส่งข้อมูลทั้งหมดของอุปกรณ์นั้นได้ แต่ด้วย 802.1X กระบวนการตรวจสอบความถูกต้องจะสร้างเนื้อหาสำคัญที่ใช้ในการสร้าง Pairwise Master Key (PMK) ที่ไม่ซ้ำกันสำหรับการเชื่อมต่อดังนั้นจึงไม่มีวิธีใดที่ผู้ใช้รายหนึ่งจะถอดรหัสการรับส่งข้อมูลของผู้ใช้รายอื่น
802.1X ขึ้นอยู่กับ EAP ซึ่งเป็นโปรโตคอลการตรวจสอบสิทธิ์แบบขยายได้ที่พัฒนาขึ้นสำหรับ PPP และยังคงใช้อย่างกว้างขวางในโซลูชัน VPN ที่ใช้ PPP ภายในอุโมงค์ที่เข้ารหัส (LT2P-over-IPSec, PPTP, ฯลฯ ) ในความเป็นจริง 802.1X โดยทั่วไปเรียกว่า "EAP over LANs" หรือ "EAPoL"
EAP จัดเตรียมกลไกทั่วไปสำหรับการส่งข้อความการตรวจสอบสิทธิ์ (คำขอการตรวจสอบสิทธิ์ความท้าทายการตอบกลับการแจ้งเตือนความสำเร็จ ฯลฯ ) โดยที่ชั้น EAP ไม่จำเป็นต้องทราบรายละเอียดของวิธีการรับรองความถูกต้องเฉพาะที่ใช้ มี "ประเภท EAP" ที่แตกต่างกันจำนวนหนึ่ง (กลไกการตรวจสอบความถูกต้องที่ออกแบบมาเพื่อเสียบเข้ากับ EAP) สำหรับทำการตรวจสอบความถูกต้องผ่านชื่อผู้ใช้และรหัสผ่านใบรับรองบัตรโทเค็นและอื่น ๆ
เนื่องจากประวัติของ EAP ด้วย PPP และ VPN มันจึงถูกส่งไปยัง RADIUS เสมอ ด้วยเหตุนี้จึงเป็นเรื่องปกติ (แต่ไม่จำเป็นทางเทคนิค) สำหรับ 802.11 APs ที่สนับสนุน 802.1X เพื่อให้มีไคลเอ็นต์ RADIUS ดังนั้นโดยทั่วไปแล้ว AP ไม่รู้จักชื่อผู้ใช้หรือรหัสผ่านของใครก็ตามหรือแม้แต่วิธีการประมวลผลการรับรองความถูกต้อง EAP ประเภทต่าง ๆ พวกเขารู้วิธีที่จะใช้ในข้อความ EAP ทั่วไปจาก 802.1X และเปลี่ยนเป็นข้อความ RADIUS และส่งต่อไปยังเซิร์ฟเวอร์ RADIUS . ดังนั้น AP จึงเป็นเพียงสื่อกลางสำหรับการรับรองความถูกต้องไม่ใช่งานปาร์ตี้ จุดสิ้นสุดที่แท้จริงของการรับรองความถูกต้องโดยทั่วไปแล้วจะเป็นไคลเอนต์ไร้สายและเซิร์ฟเวอร์ RADIUS (หรือเซิร์ฟเวอร์การตรวจสอบความถูกต้องต้นน้ำบางส่วนที่เซิร์ฟเวอร์ RADIUS เกตเวย์ไป)
ประวัติที่มากกว่าที่คุณต้องการทราบ: เมื่อสร้าง 802.11 เป็นครั้งแรกวิธีการรับรองความถูกต้องเท่านั้นที่ได้รับการสนับสนุนคือรูปแบบของการรับรองความถูกต้องของคีย์ที่ใช้ร่วมกันโดยใช้คีย์ WEP 40- หรือ 104 บิตบิตและ WEP ถูก จำกัด ผู้ใช้หรืออุปกรณ์ทั้งหมดที่เชื่อมต่อกับเครือข่ายของคุณต้องรู้จักหนึ่งในสี่ปุ่มลัดสำหรับเครือข่ายเพื่อให้สามารถใช้งานได้ ไม่มีวิธีในมาตรฐานในการรับรองความถูกต้องของผู้ใช้หรืออุปกรณ์แยกกัน นอกจากนี้ยังอนุญาตให้ใช้วิธีการรับรองความถูกต้องของคีย์ที่ใช้ร่วมกันเพื่อการโจมตีที่คาดเดาได้ง่าย "oracle ออฟไลน์" อย่างรวดเร็ว
ผู้จำหน่าย 802.11 อุปกรณ์ระดับองค์กรหลายรายตระหนักว่าการรับรองความถูกต้องต่อผู้ใช้ (เช่นชื่อผู้ใช้และรหัสผ่านหรือใบรับรองผู้ใช้) หรือต่ออุปกรณ์ (ใบรับรองเครื่อง) นั้นจำเป็นต่อการทำให้ 802.11 ประสบความสำเร็จในตลาดองค์กร แม้ว่า 802.1X นั้นยังไม่เสร็จ แต่ Cisco ก็ใช้ร่าง 802.1X ฉบับร่าง จำกัด ประเภท EAP หนึ่งประเภท (รูปแบบของ EAP-MSCHAPv2) ทำให้มันสร้างคีย์ WEP แบบไดนามิกต่ออุปกรณ์ต่อเซสชันและสร้าง สิ่งที่พวกเขาเรียกว่า "Lightweight EAP" หรือ LEAP ผู้ค้ารายอื่นทำสิ่งที่คล้ายกัน แต่มีชื่อ clunkier เช่น "802.1X with dynamic WEP"
Wi-Fi Alliance (néeพันธมิตร Wireless Ethernet Compatibility Alliance หรือ "WECA") เห็น WEP ตัวแทนเลวร้ายที่สมควรได้รับและเห็นการกระจายตัวของรูปแบบความปลอดภัยที่เกิดขึ้นในอุตสาหกรรม แต่ไม่สามารถรอให้คณะทำงาน IEEE 802.11 เสร็จสิ้น การใช้ 802.1X เข้ากับ 802.11i ดังนั้น Wi-Fi Alliance จึงสร้าง Wi-Fi Protected Access (WPA) เพื่อกำหนดมาตรฐานผู้ค้าข้ามที่ทำงานร่วมกันเพื่อแก้ไขข้อบกพร่องใน WEP เป็นรหัสลับ (สร้าง TKIP เพื่อแทนที่) ข้อบกพร่อง ในการรับรองความถูกต้องของคีย์ที่ใช้ร่วมกันของ WEP (การสร้าง WPA-PSK เพื่อแทนที่) และเพื่อให้วิธีการใช้ 802.1X สำหรับการรับรองความถูกต้องต่อผู้ใช้หรือต่ออุปกรณ์
จากนั้นกลุ่มงาน IEEE 802.11i ทำงานให้เสร็จโดยเลือก AES-CCMP เป็นรหัสลับของอนาคตและใช้ 802.1X โดยมีข้อ จำกัด บางประการเพื่อให้ปลอดภัยบนเครือข่ายไร้สายสำหรับการรับรองความถูกต้องต่อผู้ใช้และต่ออุปกรณ์สำหรับ 802.11 LAN ไร้สาย ในทางกลับกัน Wi-Fi Alliance สร้าง WPA2 เพื่อรับรองการทำงานร่วมกันระหว่างการใช้งาน 802.11i (พันธมิตร Wi-Fi เป็นองค์กรรับรองการตลาดและการตลาดแบบ interop และมักจะต้องการให้ IEEE เป็นองค์กรมาตรฐาน WLAN จริง ๆ แต่ถ้า IEEE ซ่อนตัวอยู่และไม่เคลื่อนที่เร็วพอสำหรับอุตสาหกรรม Fi Alliance จะก้าวเข้ามาและทำงานเหมือนร่างมาตรฐานก่อน IEEE และจากนั้นจะข้ามไปสู่มาตรฐาน IEEE ที่เกี่ยวข้องเมื่อออกมาในภายหลัง)