| 注意 |
该数据不适用于家庭或小型办公室用户,他们通常不使用高级安全功能(如本页中讨论。 不过这些用户可能会用于参考目的。 | |
802.1x概述
使用什么?
可扩展验证协议(EAP)验证类型
802.1x概述
它是一个通过验证来保护网络的端口访问协议。 根据测试结果,这种类型的验证方法中非常有用的WiFi环境中因的性质,媒体。 如果一个WiFi用户通过802.1x网络访问验证,一个虚拟端口接入点上会打开允许进行通信。 如果验证不成功,则不会提供虚拟端口,并将阻断通信。
802.1x验证分为3个基本部分:
- 请求者-上运行的软件客户端工作站的WiFi
- 验证者-WiFi接入点
- 验证服务器-一个验证数据库,通常是一个Radius服务器(例如Cisco*ACS*、Funk Steel-Belted RADIUS*或Microsoft*IAS*
可扩展身份验证协议(EAP)是用于之间传输验证信息请求方(WiFi工作站)和验证服务器((Microsoft IAS或其它)。 实际验证有EAP类型定义和处理。 作为验证者的接入点只是一个允许请求者和验证服务器之间进行通信的代理。
使用哪一?
执行哪类EAP或是否执行802.1x取决于机构所需的安全级别和所需的额外管理和功能。 此处的说明和比较表将帮助减少了解各种可用EAP类型的困难。
可扩展验证协议(EAP)验证类型
由于WiFi局域网(LAN)安全性是非常必要,EAP验证类型提供了一种更好地保障WLAN连接的方式,经销商正在迅速开发和添加EAP验证类型至他们的WLAN接入点。 部分最常部署的EAP验证类型包括EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-TTLS、EAP-Fast和Cisco LEAP。
- EAP-MD-5(消息摘要)质询是一种提供基本级别EAP支持的EAP验证类型。 EAP-MD-5通常不建议用于WiFi LAN执行,因为它可能衍生用户密码。 它仅提供单向验证-没有相互验证的WiFi客户端和网络。 更为重要的是,它不提供衍生动态、按对话有限对等保密(WEP)密钥的方法。
- EAP-TLS(传输层安全性)提供基于证书的和相互验证客户端和网络。 它依赖客户断和服务器方面的证书进行验证,可用于动态生成基于用户和通话的WEP密钥以保障WLAN客户端和接入点之间的通信。 EAP-TLS的不足之处在于必须由客户端和服务器端双方管理证书。 对于较大的WLAN安装,则是比较重任务。
- EAP-TTLS(隧道传输层安全)是由Funk Software and Certicom开发**,作为EAP-TLS的扩展。 此安全方法提供基于证书的相互验证,客户端和网络通过加密通道(或"隧道"),以及衍生动态、每一用户、每次会话WEP密钥。 与EAP-TLS、EAP-TTLS仅需要服务器方面的证书。
- EAP-FAST(通过安全隧道灵活认证)是由Cisco开发*。 而不是使用证书,相互认证是通过PAC(保护性接入身分凭证),可通过验证服务器进行动态管理。 PAC可以配备(一次性分发)到客户端手动或自动。 手动提供送到客户端通过磁盘或可靠的网络分发方法。 自动提供是指带内,通过空气、发布。
- LEAP(轻型可扩展验证协议)是一种EAP验证类型,主要用于Cisco Aironet WLAN。 它使用动态生成的WEP密钥对数据传输进行加密,并支持相互验证。 至于其所有权,Cisco已LEAP授权给其它制造商通过Cisco Compatible Extensions计划。
- PEAP(受保护的可扩展验证协议)提供了一种安全传输验证数据的方法,包括传统的密码协议,通过802.11WiFi网络。 PEAP来实现通过使用隧道PEAP客户端和验证服务器之间。 希望同竞争对手标准隧道传输层安全性(TTLS)、PEAP验证WiFi LAN客户端使用服务器单边证书,从而简化了的执行和管理安全WiFi局域网。 Microsoft、Cisco和RSA Security都开发了PEAP。
|
802.1x EAP类型
功能/优点 |
MD5
---
消息摘要5 |
TLS
---
传输层安全性 |
TTLS
---
隧道传输层安全性 |
PEAP
---
受保护的传输层安全 |
快速
---
通过安全隧道灵活认证 |
LEAP
---
轻量级可扩展身份验证协议 |
| 需要客户端证书 |
无 |
是 |
无 |
无 |
无
(PAC) |
无 |
| 需要服务器证书 |
无 |
是 |
无 |
是 |
无
(PAC) |
无 |
| WEP密钥管理 |
无 |
是 |
是 |
是 |
是 |
是 |
| 欺诈AP检测 |
无 |
无 |
无 |
无 |
是 |
是 |
| 供应商 |
MS |
MS |
Funk |
MS |
Cisco |
Cisco |
| 验证属性 |
单向 |
相互 |
相互 |
相互 |
相互 |
相互 |
| 部署难易程度 |
易于 |
难(因为客户端证书部署) |
中等 |
中等 |
中等 |
中等 |
| WiFi安全性 |
差 |
很高 |
高 |
高 |
高 |
在使用强密码时,高。 | |
阅读上述讨论和表格,不难得出以下结论:
- MD5不常用,因为它只执行单向验证,更重要的是它不支持自动分配和转动WEP密钥,无法减轻手动WEP密钥维护的管理负担。
- TLS非常安全,但需要安装客户端证书上每个WiFi工作站。 维护PKI基础结构需要其它管理方面和时间除了维护WLAN本身以外,。
- TTLS地址的证书问题由隧道TLS和除去了客户端证书。 因此,此类型通常是首选项。 TTLS主要由Funk销售,而且需为请求者和验证服务器软件付费。
- LEAP历史悠久,但先前由Cisco专有(适用于Cisco WiFi适配器),Cisco已LEAP授权给其它制造商通过Cisco Compatible Extensions计划。 应执行强密码政策在LEAP用于验证。
- EAP-FAST现在可用于企业不能实行强密码政策和不想配置验证证书的。
- 最新的PEAP与EAP-TTLS的工作原理类似,不需要客户端证书。 PEAP由Cisco和Microsoft提供支持,可以从Microsoft免费获得。 如果想要从LEAP转换为PEAP,Cisco的ACS验证服务器可以运行这两种类型。
另一个选项-VPN
而不依靠WiFi LAN进行验证和保密(加密),许多企业采用VPN。 这是只要将接入点放置到公司防火墙通过VPN网关进入用户通道-把他们当作远程用户。 后续管理成本已减少的执行VPN解决方案费用、初始安装和开销。
适用于:
|
机器翻译的免责申明
