19

Я понимаю, что 802.1X является своего рода управлением аутентификацией портов. Однако, когда я проверял настройки шифрования для моей беспроводной сети, я обнаружил 802.1X в выпадающем списке вместе с WPA2, WPA и WEP, но я не вижу, как это может быть альтернативой для них.

Может ли кто-нибудь объяснить, с точки зрения непрофессионала, как вписывается 802.1X, возможно, также касающийся протокола EAP? Все, что я знаю, это то, что 802.1X предоставляет два объекта логического порта для каждого физического порта, один из которых предназначен для аутентификации, и я думаю, что другой предназначен для прохождения реальных сообщений EAP?

1 ответ1

37

Для простоты я могу приблизиться к терминам непрофессионала, немного упрощенным и ограниченным только WPA2:

802.1X НЕ является типом шифрования. По сути, это просто механизм аутентификации для каждого пользователя (например, имя пользователя и пароль).

WPA2 - это схема безопасности, которая определяет два основных аспекта вашей беспроводной безопасности:

  • Аутентификация: ваш выбор PSK ("Персональный") или 802.1X ("Корпоративный").
  • Шифрование: всегда AES-CCMP.

Если вы используете безопасность WPA2 в своей сети, у вас есть два варианта аутентификации: вы должны либо использовать один пароль для всей сети, который всем известен (это называется Pre-Shared Key или PSK), либо вы используете 802.1X заставить каждого пользователя использовать свои уникальные учетные данные (например, имя пользователя и пароль).

Независимо от того, какой тип аутентификации вы настроили для использования в своей сети, WPA2 всегда использует схему, называемую AES-CCMP, для шифрования ваших данных в эфире ради конфиденциальности и для предотвращения различных других видов атак.

802.1X - это "EAP через локальные сети" или EAPoL. EAP расшифровывается как "Расширяемый протокол аутентификации", что означает своего рода подключаемую схему для различных методов аутентификации. Некоторые примеры:

  • Вы хотите аутентифицировать своих пользователей с помощью имен пользователей и паролей? Тогда "PEAP" - это хороший тип EAP для использования.
  • Вы хотите аутентифицировать своих пользователей с помощью сертификатов? Тогда «EAP-TLS» - это хороший тип EAP для использования.
  • Все ли устройства в вашей сети - все смартфоны GSM с SIM-картами? Затем вы можете использовать «EAP-SIM» для аутентификации в стиле GSM SIM-карты, чтобы войти в вашу сеть. и т. д.

Если вы настроили свой беспроводной маршрутизатор на использование 802.1X, у него должен быть способ аутентификации ваших пользователей через некоторый тип EAP. Некоторые маршрутизаторы могут иметь возможность вводить список имен пользователей и паролей прямо на маршрутизаторе, и маршрутизатор знает, как выполнить полную аутентификацию самостоятельно. Но большинство, вероятно, потребует от вас настройки RADIUS. RADIUS - это протокол, который позволяет вам хранить базу данных имен пользователей и паролей на центральном сервере, поэтому вам не нужно вносить изменения на каждом отдельном беспроводном маршрутизаторе каждый раз, когда вы добавляете или удаляете пользователя, или пользователь меняет свой пароль или что-то в этом роде. Беспроводные маршрутизаторы, поддерживающие 802.1X, обычно не знают, как аутентифицировать пользователей напрямую, они просто знают, как шлюз между 802.1X и RADIUS, чтобы на беспроводных клиентских компьютерах фактически проходил проверку подлинности сервер RADIUS в сети, и это RADIUS. сервер, который знает, как работать с различными типами EAP.

Если пользовательский интерфейс вашего беспроводного маршрутизатора имеет «802.1X» в списке типов шифрования , то это, вероятно, означает «802.1X с динамическим WEP», что является старой схемой, где 802.1X используется для аутентификации, и для каждого пользователя для сеанса Ключи WEP динамически генерируются как часть процесса аутентификации, и, таким образом, в конечном итоге WEP - это используемый метод шифрования.

Обновление: два логических порта

Чтобы ответить на ваш вопрос о двух логических объектах порта, в спецификации 802.1X есть две отдельные концепции, на которые вы, возможно, ссылаетесь.

Во-первых, спецификация 802.1X определяет роли клиента и сервера для протокола 802.1X, но она называет их соискателем и аутентификатором соответственно. В вашем беспроводном клиенте или беспроводном маршрутизаторе у вас есть программное обеспечение, выполняющее роль соискателя или аутентификатора 802.1X. Это программное обеспечение, которое выполняет эту роль, называется спецификацией объекта доступа к порту или PAE.

Во-вторых, в спецификации указывается, что, например, на вашем беспроводном клиентском компьютере должно быть предусмотрено, что программное обеспечение соискателя 802.1X должно иметь доступ к вашему беспроводному интерфейсу для отправки и получения пакетов EAP для выполнения аутентификации, даже если никакое другое сетевое программное обеспечение не включено. вашей системе разрешено использовать беспроводной интерфейс (поскольку сетевой интерфейс не является доверенным до тех пор, пока он не будет аутентифицирован). Таким образом, в странном техническом законодательстве спецификаций IEEE говорится, что есть логический "неконтролируемый порт", к которому подключается клиентское программное обеспечение 802.1X, и "контролируемый порт", к которому подключается остальная часть сетевого стека. При первой попытке подключения к сети 802.1X включается только неконтролируемый порт, в то время как клиент 802.1X делает свое дело. Как только соединение было аутентифицировано (и, скажем, шифрование AES-CCMP WPA2 было настроено для защиты остальной части ваших сетевых передач), тогда управляемый порт включается, так что остальная система видит этот сетевой канал как "работающий". ».

Длинный ответ, не так много с точки зрения непрофессионала:
IEEE 802.1X - это способ аутентификации пользователя или устройства для проводных или беспроводных локальных сетей Ethernet (и, возможно, других сетевых схем в семействе IEEE 802). Первоначально он был разработан и развернут для проводных сетей Ethernet, а затем был принят рабочей группой IEEE 802.11 (беспроводная локальная сеть) в качестве дополнения по безопасности 802.11i к 802.11, чтобы служить в качестве метода аутентификации для каждого пользователя или для каждого устройства. для сетей 802.11.

Когда вы используете аутентификацию 802.1X в своей сети WPA или WPA2, вы все равно используете шифры конфиденциальности WPA или WPA2 и алгоритмы целостности сообщений. То есть в случае WPA вы все еще используете TKIP в качестве шифра конфиденциальности и MIChael в качестве проверки целостности сообщения. В случае WPA2 вы используете AES-CCMP, который является как шифром конфиденциальности, так и проверкой целостности сообщения.

Разница в использовании 802.1X заключается в том, что вы больше не используете общесетевой Pre-Shared Key (PSK). Поскольку вы не используете один PSK для всех устройств, трафик каждого устройства является более безопасным. С помощью PSK, если вы знаете PSK и захватываете рукопожатие, когда устройство подключается к сети, вы можете расшифровать весь трафик этого устройства. Но в 802.1X процесс аутентификации надежно генерирует материал ключей, который используется для создания уникального парного мастер-ключа (PMK) для соединения, поэтому один пользователь не сможет расшифровать трафик другого пользователя.

802.1X основан на EAP, расширяемом протоколе аутентификации, который изначально был разработан для PPP, и до сих пор широко используется в решениях VPN, которые используют PPP внутри зашифрованного туннеля (LT2P-over-IPSec, PPTP и т.д.). Фактически, 802.1X обычно упоминается как "EAP через LAN" или "EAPoL".

EAP предоставляет общий механизм для передачи сообщений аутентификации (запросов на аутентификацию, вызовов, ответов, уведомлений об успешном выполнении и т.д.), При этом уровень EAP не должен знать подробности конкретного используемого метода аутентификации. Существует несколько различных "типов EAP" (механизмы аутентификации, разработанные для подключения к EAP) для выполнения аутентификации с помощью имени пользователя и пароля, сертификатов, карточек токенов и многого другого.

Из-за истории EAP с PPP и VPN, она всегда легко подключалась к RADIUS. По этой причине для точек доступа 802.11, поддерживающих 802.1X, типично (но технически не требуется) наличие клиента RADIUS. Таким образом, точки доступа, как правило, не знают ни чьего имени пользователя или пароля, ни даже того, как обрабатывать различные типы аутентификации EAP, они просто знают, как принять общее сообщение EAP из 802.1X, преобразовать его в сообщение RADIUS и переслать на сервер RADIUS. , Таким образом, точка доступа - это всего лишь канал для аутентификации, а не ее участник. Реальными конечными точками аутентификации обычно являются беспроводной клиент и сервер RADIUS (или некоторый вышестоящий сервер аутентификации, к которому подключается сервер RADIUS).

Больше истории, чем вы хотели знать: когда 802.11 был впервые создан, единственным поддерживаемым методом аутентификации была форма аутентификации с общим ключом с использованием 40- или 104-битных ключей WEP, а WEP был ограничен 4 ключами на сеть. Все пользователи или устройства, подключающиеся к вашей сети, должны были знать один из 4-х коротких ключей для сети, чтобы подключиться. В стандарте не было способа аутентификации каждого пользователя или устройства в отдельности. Кроме того, способ проверки подлинности с общим ключом позволял проводить легкие быстрые атаки с использованием подбора ключей.

Многие производители оборудования 802.11 корпоративного класса поняли, что для успеха 802.11 на корпоративном рынке необходима аутентификация для каждого пользователя (то есть имя пользователя и пароль или сертификат пользователя) или для каждого устройства (сертификат компьютера). Несмотря на то, что 802.1X еще не закончен, Cisco взяла черновую версию 802.1X, ограничив ее одним типом EAP (форма EAP-MSCHAPv2), заставив его генерировать динамические ключи WEP для каждого устройства и создавая то, что они называли "Легкий EAP" или LEAP. Другие производители делали подобные вещи, но с более громкими именами, такими как «802.1X с динамическим WEP».

Альянс Wi-Fi (ранее Альянс по совместимости беспроводных сетей или WECA) видел заслуженно плохого представителя WEP и видел фрагментацию схемы безопасности в отрасли, но не мог дождаться окончания работы рабочей группы IEEE 802.11 Принятие 802.1X в 802.11i, поэтому Wi-Fi Alliance создал Wi-Fi Protected Access (WPA) для определения совместимого стандарта кросс-вендоров для исправления недостатков в WEP в качестве шифра конфиденциальности (создавая TKIP для его замены), недостатки в аутентификации на основе общего ключа на основе WEP (создание WPA-PSK для его замены) и для предоставления способа использования 802.1X для аутентификации для каждого пользователя или для каждого устройства.

Затем рабочая группа IEEE 802.11i завершила свою работу, выбрав AES-CCMP в качестве шифра конфиденциальности будущего и приняв 802.1X с некоторыми ограничениями для обеспечения его безопасности в беспроводных сетях, для аутентификации для каждого пользователя и для каждого устройства для 802.11 беспроводные локальные сети. В свою очередь, Wi-Fi Alliance создал WPA2 для сертификации совместимости между реализациями 802.11i. (Wi-Fi Alliance действительно является организацией, занимающейся сертификацией и маркетингом взаимодействия, и часто предпочитает, чтобы IEEE был реальным органом по стандартизации WLAN. Но если IEEE слишком скрыт и не движется достаточно быстро для отрасли, Wi-Fi Alliance вступит и выполнит работу, аналогичную стандартам, перед IEEE и, как правило, перейдет к соответствующему стандарту IEEE, как только выходит позже.)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .