802.1X: Chính xác thì nó liên quan gì đến WPA và EAP?


19

Tôi hiểu rằng 802.1X là một loại điều khiển xác thực cổng. Tuy nhiên, khi tôi kiểm tra các cài đặt mã hóa cho mạng không dây của mình, tôi đã tìm thấy 802.1X cùng với WPA2, WPA và WEP, nhưng tôi không thấy nó có thể thay thế cho những thứ này như thế nào.

Ai đó có thể vui lòng giải thích theo thuật ngữ của giáo dân về cách thức 802.1X phù hợp, có lẽ cũng liên quan đến giao thức EAP không? Tất cả những gì tôi biết là 802.1X cung cấp hai thực thể cổng logic cho mỗi cổng vật lý, một trong số đó là để xác thực và tôi nghĩ cái kia là dành cho các thông điệp EAP thực tế truyền qua?

Câu trả lời:


38

Gần nhất tôi có thể làm theo các điều khoản của giáo dân, hơi đơn giản hóa và chỉ giới hạn ở WPA2 vì đơn giản:

802.1X KHÔNG phải là loại mã hóa. Về cơ bản, nó chỉ là một cơ chế xác thực cho mỗi người dùng (ví dụ: tên người dùng và mật khẩu).

WPA2 là sơ đồ bảo mật chỉ định hai khía cạnh chính của bảo mật không dây của bạn:

  • Xác thực: Bạn chọn PSK ("Cá nhân") hoặc 802.1X ("Doanh nghiệp").
  • Mã hóa: Luôn luôn AES-CCMP.

Nếu bạn đang sử dụng bảo mật WPA2 trên mạng của mình, bạn có hai lựa chọn xác thực: Bạn phải sử dụng một mật khẩu duy nhất cho toàn bộ mạng mà mọi người đều biết (đây được gọi là Khóa chia sẻ trước hoặc PSK) hoặc bạn sử dụng 802.1X để buộc mỗi người dùng sử dụng thông tin đăng nhập duy nhất của riêng mình (ví dụ: tên người dùng và mật khẩu).

Bất kể loại xác thực nào bạn đã thiết lập mạng của mình sẽ sử dụng, WPA2 luôn sử dụng sơ đồ có tên AES-CCMP để mã hóa dữ liệu của bạn qua mạng để bảo mật và ngăn chặn các loại tấn công khác.

802.1X là "EAP qua mạng LAN" hoặc EAPoL. EAP là viết tắt của "Giao thức xác thực mở rộng", có nghĩa là loại chương trình bổ trợ cho các phương thức xác thực khác nhau. Vài ví dụ:

  • Bạn có muốn xác thực người dùng của mình bằng tên người dùng và mật khẩu không? Thì "PEAP" là một loại EAP tốt để sử dụng.
  • Bạn có muốn xác thực người dùng của mình thông qua các chứng chỉ? Thì "EAP-TLS" là loại EAP tốt để sử dụng.
  • Các thiết bị trên mạng của bạn có phải tất cả điện thoại thông minh GSM có thẻ SIM không? Sau đó, bạn có thể sử dụng "EAP-SIM" để thực hiện xác thực kiểu thẻ SIM GSM để truy cập mạng của mình. Vân vân.

Nếu bạn thiết lập bộ định tuyến không dây của mình để sử dụng 802.1X, thì nó cần phải có cách để xác thực người dùng của bạn thông qua một số loại EAP. Một số bộ định tuyến có thể có khả năng cho bạn nhập danh sách tên người dùng và mật khẩu ngay trên bộ định tuyến và bộ định tuyến biết cách tự mình thực hiện toàn bộ xác thực. Nhưng hầu hết có thể sẽ yêu cầu bạn cấu hình RADIUS. RADIUS là một giao thức cho phép bạn giữ cơ sở dữ liệu tên người dùng và mật khẩu của mình trên một máy chủ trung tâm, do đó bạn không phải thay đổi trên mỗi bộ định tuyến không dây riêng biệt mỗi khi bạn thêm hoặc xóa người dùng hoặc người dùng thay đổi mật khẩu hoặc thứ gì đó. Các bộ định tuyến không dây làm 802.1X thường không biết cách xác thực trực tiếp người dùng, họ chỉ biết cách kết nối giữa 802.1X và RADIUS để các máy khách không dây thực sự được xác thực bởi máy chủ RADIUS trên mạng,

Nếu giao diện người dùng của bộ định tuyến không dây của bạn có "802.1X" trong danh sách các loại mã hóa , thì đó có thể có nghĩa là "802.1X với WEP động", đây là một lược đồ cũ trong đó sử dụng 802.1X để xác thực và mỗi người dùng mỗi phiên Các khóa WEP được tạo động như một phần của quy trình xác thực và do đó, WEP cuối cùng là phương thức mã hóa được sử dụng.

Cập nhật lại: hai cổng logic

Để trả lời câu hỏi của bạn về hai thực thể cổng logic, có hai khái niệm riêng biệt trong thông số kỹ thuật 802.1X mà bạn có thể đề cập đến.

Đầu tiên, thông số kỹ thuật 802.1X xác định vai trò máy khách và máy chủ cho giao thức 802.1X, nhưng nó gọi chúng là Bộ cung cấp và Trình xác thực, tương ứng. Trong ứng dụng khách không dây hoặc bộ định tuyến không dây của bạn, bạn có phần mềm thực hiện vai trò của Người cung cấp hoặc Trình xác thực 802.1X. Phần mềm thực hiện vai trò đó được gọi là Thực thể truy cập cổng hoặc PAE theo thông số kỹ thuật.

Thứ hai, thông số kỹ thuật đề cập rằng, bên trong máy khách không dây của bạn, phải có cách để phần mềm Cung cấp 802.1X của bạn truy cập vào giao diện không dây của bạn để gửi và nhận các gói EAP để thực hiện xác thực, ngay cả khi không có phần mềm kết nối mạng nào khác hệ thống của bạn được phép sử dụng giao diện không dây (vì giao diện mạng không được tin cậy cho đến khi được xác thực). Vì vậy, trong các tài liệu kỹ thuật kỳ lạ của các tài liệu thông số kỹ thuật của IEEE, nó nói rằng có một "cổng không kiểm soát" logic mà phần mềm máy khách 802.1X nối với và một "cổng được kiểm soát" mà phần còn lại của ngăn xếp mạng nối với nhau. Khi bạn lần đầu tiên thử kết nối với mạng 802.1X, chỉ có cổng không được kiểm soát được bật trong khi máy khách 802.1X thực hiện việc đó. Khi kết nối đã được xác thực (và, giả sử,

Câu trả lời dài, không quá nhiều theo thuật ngữ của giáo dân:
IEEE 802.1X là một cách để xác thực theo người dùng hoặc mỗi thiết bị cho mạng LAN Ethernet có dây hoặc không dây (và có khả năng là các sơ đồ mạng khác trong gia đình IEEE 802). Ban đầu nó được thiết kế và triển khai cho các mạng Ethernet có dây và sau đó được nhóm làm việc của IEEE 802.11 (LAN không dây) chấp nhận, như một phần của phụ lục bảo mật 802.11i cho 802.11, để phục vụ như một phương thức xác thực cho mỗi người dùng hoặc mỗi thiết bị cho các mạng 802.11.

Khi bạn sử dụng xác thực 802.1X trên mạng WPA hoặc WPA2, bạn vẫn đang sử dụng thuật toán bảo mật và thuật toán bảo mật thông tin của WPA hoặc WPA2. Đó là, trong trường hợp của WPA, bạn vẫn đang sử dụng TKIP làm mật mã bảo mật và MIChael làm kiểm tra tính toàn vẹn tin nhắn của bạn. Trong trường hợp WPA2, bạn đang sử dụng AES-CCMP, đây vừa là mật mã bảo mật cũng như kiểm tra tính toàn vẹn của tin nhắn.

Sự khác biệt khi bạn đang sử dụng 802.1X là bạn không sử dụng Khóa chia sẻ trước toàn mạng (PSK) trên toàn mạng nữa. Vì bạn không sử dụng một PSK duy nhất cho tất cả các thiết bị, lưu lượng của mỗi thiết bị sẽ an toàn hơn. Với PSK, nếu bạn biết PSK và nắm bắt bắt tay khi thiết bị tham gia mạng, bạn có thể giải mã tất cả lưu lượng truy cập của thiết bị đó. Nhưng với 802.1X, quy trình xác thực sẽ tạo tài liệu khóa được sử dụng một cách an toàn để tạo Khóa cặp chính (PMK) duy nhất cho kết nối, do đó không có cách nào để một người dùng giải mã lưu lượng người dùng khác.

802.1X dựa trên EAP, Giao thức xác thực mở rộng ban đầu được phát triển cho PPP và vẫn được sử dụng rộng rãi trong các giải pháp VPN sử dụng PPP bên trong đường hầm được mã hóa (LT2P-over-IPSec, PPTP, v.v.). Trên thực tế, 802.1X thường được gọi là "EAP qua mạng LAN" hoặc "EAPoL".

EAP cung cấp một cơ chế chung để vận chuyển các thông điệp xác thực (yêu cầu xác thực, thách thức, phản hồi, thông báo thành công, v.v.) mà không cần lớp EAP phải biết chi tiết về phương thức xác thực cụ thể đang được sử dụng. Có một số "loại EAP" khác nhau (cơ chế xác thực được thiết kế để cắm vào EAP) để thực hiện xác thực thông qua tên người dùng và mật khẩu, chứng chỉ, thẻ mã thông báo, v.v.

Do lịch sử của EAP với PPP và VPN, nó luôn dễ dàng được chuyển đến RADIUS. Do đó, nó là điển hình (nhưng không bắt buộc về mặt kỹ thuật) đối với các AP 802.11 hỗ trợ 802.1X để chứa máy khách RADIUS. Do đó, các AP thường không biết tên người dùng hoặc mật khẩu của ai hoặc thậm chí cách xử lý các loại xác thực EAP khác nhau, họ chỉ biết cách nhận một tin nhắn EAP chung từ 802.1X và chuyển nó thành tin nhắn RADIUS và chuyển tiếp nó đến máy chủ RADIUS . Vì vậy, AP chỉ là một ống dẫn để xác thực, và không phải là một bên của nó. Các điểm cuối thực sự của xác thực thường là máy khách không dây và máy chủ RADIUS (hoặc một số máy chủ xác thực ngược dòng mà máy chủ RADIUS chuyển đến).

Nhiều lịch sử hơn bạn muốn biết: Khi 802.11 được tạo lần đầu tiên, phương thức xác thực duy nhất mà nó hỗ trợ là một hình thức xác thực khóa chia sẻ sử dụng các khóa WEP 40 hoặc 104 bit và WEP được giới hạn ở 4 khóa trên mỗi mạng. Tất cả người dùng hoặc thiết bị kết nối với mạng của bạn phải biết một trong 4 phím ngắn cho mạng để truy cập. Không có cách nào trong tiêu chuẩn để xác thực riêng biệt từng người dùng hoặc thiết bị. Ngoài ra, cách xác thực khóa chia sẻ đã được thực hiện cho phép thực hiện các cuộc tấn công đoán nhanh bằng vũ lực nhanh "tiên tri".

Nhiều nhà cung cấp thiết bị 802.11 cấp doanh nghiệp nhận ra rằng xác thực theo người dùng (tức là tên người dùng và mật khẩu hoặc chứng chỉ người dùng) hoặc xác thực trên mỗi thiết bị (chứng chỉ máy) là cần thiết để giúp 802.11 thành công trong thị trường doanh nghiệp. Mặc dù 802.1X chưa hoàn thành nhưng Cisco đã lấy phiên bản nháp của 802.1X, giới hạn ở một loại EAP (một dạng EAP-MSCHAPv2), tạo ra nó tạo các khóa WEP động trên mỗi thiết bị và tạo ra cái mà họ gọi là "Nhẹ EAP" hoặc LEAP. Các nhà cung cấp khác đã làm những điều tương tự, nhưng với những cái tên to hơn như "802.1X với WEP động".

Liên minh Wi-Fi (tránh Liên minh tương thích Ethernet không dây hoặc "WECA") đã thấy đại diện xấu đáng mong đợi mà WEP đang nhận được và thấy sự phân mảnh sơ đồ bảo mật xảy ra trong ngành, nhưng không thể chờ đợi nhóm làm việc của 802.11 802.11 kết thúc áp dụng 802.1X vào 802.11i, do đó, Liên minh Wi-Fi đã tạo Truy cập được bảo vệ Wi-Fi (WPA) để xác định tiêu chuẩn nhà cung cấp chéo có thể tương tác để sửa lỗi trong WEP làm mật mã bảo mật (tạo TKIP để thay thế), các lỗ hổng trong xác thực khóa chia sẻ dựa trên WEP (tạo WPA-PSK để thay thế nó) và để cung cấp cách sử dụng 802.1X cho xác thực theo người dùng hoặc mỗi thiết bị.

Sau đó, nhóm tác vụ IEEE 802.11i đã hoàn thành công việc của họ, chọn AES-CCMP làm mật mã bảo mật của tương lai và áp dụng 802.1X, với một số hạn chế nhất định để giữ an toàn trên mạng không dây, cho xác thực theo người dùng và mỗi thiết bị cho 802.11 mạng LAN không dây. Đổi lại, Liên minh Wi-Fi đã tạo WPA2 để chứng nhận khả năng tương tác giữa các triển khai 802.11i. (Liên minh Wi-Fi thực sự là một tổ chức tiếp thị và chứng nhận liên ngành và thường thích để cho IEEE trở thành cơ quan tiêu chuẩn của mạng WLAN thực sự. Nhưng nếu IEEE quá bị che giấu và không đủ nhanh cho ngành, Wi- Fi Alliance sẽ bước vào và thực hiện các công việc giống như cơ thể tiêu chuẩn trước IEEE, và sau đó thường tuân theo tiêu chuẩn IEEE liên quan một khi nó xuất hiện sau.)


Xin chào, bạn có thể kết nối phần tôi đã đọc về 802.1x để tạo hai cổng logic không, với câu trả lời của giáo dân? Cảm ơn
Jason

3
@Jason Được rồi, cập nhật. Nhân tiện, 802.1X là một thông số độc lập (không phải là phụ lục của thông số kỹ thuật khác), do đó, trong các quy ước đặt tên của IEEE, nó nhận được một chữ in hoa. Vì vậy, nó là 802.1X, không phải là 802.1x. Bất cứ khi nào bạn nhìn thấy tài liệu hoặc một bài viết sai, hãy coi đó là dấu hiệu của sự cẩu thả và thiếu chú ý đến chi tiết, và hãy để nó ảnh hưởng đến mức độ bạn đặt niềm tin vào tài liệu hoặc bài báo đó.
Spiff

Vì vậy, WPA2 / Enterprise là mã hóa AES và 802.1X là mã hóa WEP. Mặc dù cả hai đều sử dụng 802.1X để xác thực. Tài liệu rất kỹ lưỡng với một số lịch sử đằng sau tất cả. Cảm ơn bạn @Spiff, tôi ước tôi có thể upvote hai lần.
Brain2000

@ Brain2000. Cẩn thận, sự nghỉ ngơi quá mức của bạn là rất sai lệch. Có thể đúng là một số AP có giao diện người dùng xảo quyệt mà nói sai chỉ là "802.1X" khi ý nghĩa thực sự của chúng là "802.1X với WEP động". Nhưng 802.1X là một giao thức xác thực mở rộng cho các mạng LAN không dành riêng cho 802.11, ít WEP hơn nhiều.
Spiff

@Spiff Bạn nói đúng, đó là một giao diện người dùng xảo quyệt hiển thị "WPA2 / Enterprise" và "802.1X" trong cùng một danh sách thả xuống. Rốt cuộc, đó là chủ đề của toàn bộ câu hỏi này. Vì vậy, vâng, tôi nghĩ những gì tôi viết là chính xác những gì tôi muốn viết. Đó không phải là một sự đơn giản hóa. Đó là một giao diện người dùng xảo quyệt, như bạn nói.
Brain2000
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.