802.1X: Что именно это касается WPA и EAP?


19

Я понимаю, что 802.1X является своего рода управлением аутентификацией портов. Однако, когда я проверял настройки шифрования для моей беспроводной сети, я обнаружил 802.1X в выпадающем списке вместе с WPA2, WPA и WEP, но я не вижу, как это может быть альтернативой для них.

Может ли кто-нибудь объяснить, с точки зрения непрофессионала, как вписывается 802.1X, возможно, это касается и протокола EAP? Все, что я знаю, это то, что 802.1X предоставляет два объекта логического порта для каждого физического порта, один из которых предназначен для аутентификации, а я думаю, что другой предназначен для прохождения реальных сообщений EAP?

Ответы:


38

Для простоты я могу немного приблизиться к терминам непрофессионала, немного упрощенным и ограниченным только WPA2:

802.1X НЕ является типом шифрования. Это в основном просто механизм аутентификации для каждого пользователя (например, имя пользователя и пароль).

WPA2 - это схема безопасности, которая определяет два основных аспекта вашей беспроводной безопасности:

  • Аутентификация: ваш выбор PSK («Персональный») или 802.1X («Корпоративный»).
  • Шифрование: всегда AES-CCMP.

Если вы используете безопасность WPA2 в своей сети, у вас есть два варианта аутентификации: либо вы должны использовать один пароль для всей сети, который всем известен (это называется Pre-Shared Key или PSK), либо вы используете 802.1X заставить каждого пользователя использовать свои уникальные учетные данные (например, имя пользователя и пароль).

Независимо от того, какой тип аутентификации вы настроили для использования в своей сети, WPA2 всегда использует схему, называемую AES-CCMP, для шифрования ваших данных по радиоканалу ради конфиденциальности и для предотвращения различных других видов атак.

802.1X - это «EAP через LAN» или EAPoL. EAP расшифровывается как «Расширяемый протокол аутентификации», что означает своего рода подключаемую схему для различных методов аутентификации. Несколько примеров:

  • Вы хотите аутентифицировать своих пользователей с помощью имен пользователей и паролей? Тогда «PEAP» - это хороший тип EAP для использования.
  • Хотите аутентифицировать своих пользователей с помощью сертификатов? Тогда «EAP-TLS» - это хороший тип EAP для использования.
  • Все ли устройства в вашей сети - все смартфоны GSM с SIM-картами? Затем вы можете использовать «EAP-SIM» для аутентификации в стиле GSM SIM-карты, чтобы войти в вашу сеть. и т. д.

Если вы настроили свой беспроводной маршрутизатор на использование 802.1X, у него должен быть способ аутентификации ваших пользователей через некоторый тип EAP. Некоторые маршрутизаторы могут иметь возможность вводить список имен пользователей и паролей прямо на маршрутизаторе, и маршрутизатор знает, как выполнить полную аутентификацию самостоятельно. Но большинство, вероятно, потребует от вас настройки RADIUS. RADIUS - это протокол, который позволяет вам хранить базу данных имен пользователей и паролей на центральном сервере, поэтому вам не нужно вносить изменения на каждом отдельном беспроводном маршрутизаторе каждый раз, когда вы добавляете или удаляете пользователя, или пользователь меняет свой пароль или что-то в этом роде. Беспроводные маршрутизаторы, которые поддерживают 802.1X, обычно не знают, как аутентифицировать пользователей напрямую, они просто знают, как шлюз между 802.1X и RADIUS, чтобы на беспроводных клиентских компьютерах фактически проходил аутентификацию на сервере RADIUS в сети,

Если пользовательский интерфейс вашего беспроводного маршрутизатора имеет «802.1X» в списке типов шифрования , то это, вероятно, означает «802.1X с динамическим WEP», что является старой схемой, в которой 802.1X используется для аутентификации, и для каждого пользователя для сеанса Ключи WEP динамически генерируются как часть процесса аутентификации, и, таким образом, в конечном итоге WEP - это используемый метод шифрования.

Обновление: два логических порта

Чтобы ответить на ваш вопрос о двух логических объектах порта, в спецификации 802.1X есть две отдельные концепции, на которые вы, возможно, ссылаетесь.

Во-первых, спецификация 802.1X определяет роли клиента и сервера для протокола 802.1X, но называет их Supplicant и Authenticator, соответственно. В вашем беспроводном клиенте или беспроводном маршрутизаторе у вас есть программное обеспечение, выполняющее роль соискателя или аутентификатора 802.1X. Это программное обеспечение, которое выполняет эту роль, называется спецификацией объекта доступа к порту или PAE.

Во-вторых, в спецификации упоминается, что, например, на вашем беспроводном клиентском компьютере должно быть предусмотрено, что программное обеспечение соискателя 802.1X должно иметь доступ к вашему беспроводному интерфейсу для отправки и получения пакетов EAP для выполнения аутентификации, даже если никакое другое сетевое программное обеспечение на вашей системе разрешено использовать беспроводной интерфейс (поскольку сетевой интерфейс не является доверенным до тех пор, пока он не будет аутентифицирован). Таким образом, в странном техническом законодательстве спецификаций IEEE говорится, что есть логический «неуправляемый порт», к которому подключается клиентское программное обеспечение 802.1X, и «контролируемый порт», к которому подключается остальная часть сетевого стека. При первой попытке подключения к сети 802.1X включается только неконтролируемый порт, в то время как клиент 802.1X делает свое дело. Как только соединение было аутентифицировано (и, скажем,

Длинный ответ, не так много с точки зрения непрофессионала:
IEEE 802.1X - это способ аутентификации пользователя или устройства для проводных или беспроводных локальных сетей Ethernet (и, возможно, других сетевых схем в семействе IEEE 802). Первоначально он был спроектирован и развернут для проводных сетей Ethernet, а затем был принят рабочей группой IEEE 802.11 (беспроводная локальная сеть) в качестве дополнения по безопасности 802.11i к 802.11, чтобы служить методом аутентификации для каждого пользователя или для каждого устройства. для сетей 802.11.

Когда вы используете аутентификацию 802.1X в своей сети WPA или WPA2, вы все равно используете шифры конфиденциальности WPA или WPA2 и алгоритмы целостности сообщений. То есть в случае WPA вы все еще используете TKIP в качестве шифра конфиденциальности и MIChael в качестве проверки целостности сообщения. В случае WPA2 вы используете AES-CCMP, который является как шифром конфиденциальности, так и проверкой целостности сообщения.

Разница в том, что вы используете 802.1X, заключается в том, что вы больше не используете предварительный общий ключ (PSK) в сети. Поскольку вы не используете один PSK для всех устройств, трафик каждого устройства является более безопасным. С помощью PSK, если вы знаете PSK и захватываете рукопожатие, когда устройство подключается к сети, вы можете расшифровать весь трафик этого устройства. Но в 802.1X процесс аутентификации надежно генерирует материал ключей, который используется для создания уникального парного главного ключа (PMK) для соединения, поэтому один пользователь не может расшифровать трафик другого пользователя.

802.1X основан на EAP, расширяемом протоколе аутентификации, который изначально был разработан для PPP, и до сих пор широко используется в решениях VPN, которые используют PPP внутри зашифрованного туннеля (LT2P-over-IPSec, PPTP и т. Д.). Фактически, 802.1X обычно называют «EAP over LAN» или «EAPoL».

EAP предоставляет общий механизм для передачи сообщений аутентификации (запросов на аутентификацию, вызовов, ответов, уведомлений об успешном выполнении и т. Д.), При этом уровню EAP не требуется знать детали конкретного используемого метода аутентификации. Существует несколько различных «типов EAP» (механизмы аутентификации, разработанные для подключения к EAP) для выполнения аутентификации с помощью имени пользователя и пароля, сертификатов, карточек токенов и многого другого.

Из-за истории EAP с PPP и VPN, она всегда легко подключалась к RADIUS. По этой причине для точек доступа 802.11, поддерживающих 802.1X, типично (но технически не требуется) наличие клиента RADIUS. Таким образом, точки доступа, как правило, не знают ни чьего имени пользователя или пароля, ни даже того, как обрабатывать различные типы аутентификации EAP, они просто знают, как принять общее сообщение EAP из 802.1X, преобразовать его в сообщение RADIUS и переслать на сервер RADIUS. , Таким образом, точка доступа - это всего лишь канал для аутентификации, а не ее участник. Реальными конечными точками аутентификации обычно являются беспроводной клиент и сервер RADIUS (или некоторый вышестоящий сервер аутентификации, к которому подключается сервер RADIUS).

Больше истории, чем вы хотели знать: когда 802.11 был впервые создан, единственным методом аутентификации, который он поддерживал, была форма аутентификации с общим ключом с использованием 40- или 104-битных ключей WEP, а WEP был ограничен 4 ключами на сеть. Все пользователи или устройства, подключающиеся к вашей сети, должны были знать один из 4-х коротких ключей для сети, чтобы подключиться. В стандарте не было способа аутентификации каждого пользователя или устройства в отдельности. Кроме того, способ проверки подлинности с общим ключом позволял проводить легкие быстрые атаки с использованием подбора ключей.

Многие производители оборудования 802.11 корпоративного класса осознали, что для успеха 802.11 на корпоративном рынке необходима аутентификация для каждого пользователя (то есть имя пользователя и пароль или сертификат пользователя) или для каждого устройства (сертификат компьютера). Несмотря на то, что 802.1X еще не закончен, Cisco взяла черновую версию 802.1X, ограничив ее одним типом EAP (форма EAP-MSCHAPv2), заставив его генерировать динамические ключи WEP для каждого устройства и создавая то, что они называли «Легкий EAP» или LEAP. Другие производители делали подобные вещи, но с более громкими именами, такими как «802.1X с динамическим WEP».

Альянс Wi-Fi (ранее Альянс по совместимости беспроводных сетей или WECA) видел заслуженно плохого представителя WEP и видел фрагментацию схемы безопасности в отрасли, но не мог дождаться окончания работы рабочей группы IEEE 802.11 Принятие 802.1X в 802.11i, поэтому Wi-Fi Alliance создал Wi-Fi Protected Access (WPA) для определения совместимого стандарта кросс-вендоров для исправления недостатков в WEP в качестве шифра конфиденциальности (создание TKIP для его замены), недостатков в аутентификации на основе общего ключа на основе WEP (создание WPA-PSK для его замены) и для предоставления способа использования 802.1X для аутентификации для каждого пользователя или для каждого устройства.

Затем рабочая группа IEEE 802.11i завершила свою работу, выбрав AES-CCMP в качестве шифра конфиденциальности будущего и приняв 802.1X с некоторыми ограничениями для обеспечения его безопасности в беспроводных сетях, для аутентификации для каждого пользователя и для каждого устройства для 802.11 беспроводные локальные сети. В свою очередь, Wi-Fi Alliance создал WPA2 для сертификации совместимости между реализациями 802.11i. (Wi-Fi Alliance действительно является организацией, занимающейся сертификацией и маркетингом взаимодействия, и часто предпочитает, чтобы IEEE был реальным органом стандартизации WLAN. Но если IEEE слишком скрыт и не движется достаточно быстро для отрасли, Wi-Fi Fi Alliance вступит и выполнит работу, подобную стандартам, перед IEEE и, как правило, перейдет к соответствующему стандарту IEEE, как только он выйдет позже.)


Эй, спифф, не могли бы вы просто связать часть, которую я читал о 802.1x, о создании двух логических портов, с вашим ответом неспециалиста? Спасибо
Джейсон

3
@ Джейсон Хорошо, обновлено. Кстати, 802.1X - это отдельная спецификация (не дополнение к другой спецификации), поэтому в соглашениях об именах IEEE она получает заглавную букву. Так что это 802.1X, а не 802.1x. Каждый раз, когда вы видите документацию или статью, в которой это неправильно, воспринимайте это как признак небрежности и невнимательности к деталям, и это влияет на то, насколько вы доверяете этой документации или статье.
Spiff

Таким образом, WPA2 / Enterprise - это шифрование AES, а 802.1X - шифрование WEP. Хотя они оба используют 802.1X для аутентификации. Очень тщательно задокументировано с некоторой историей за всем этим. Спасибо @Spiff, я бы хотел дважды проголосовать.
Brain2000

@ Brain2000. Осторожно, ваша упрощенная формулировка очень вводит в заблуждение. Это может быть правдой, что некоторые точки доступа имеют дрянные пользовательские интерфейсы, которые вводят в заблуждение просто «802.1X», тогда как на самом деле они означают «802.1X с динамическим WEP». Но 802.1X - это расширяемый протокол аутентификации для локальных сетей, который не является специфичным для 802.11, а тем более WEP.
Spiff

@Spiff Вы правы, это дерьмовый пользовательский интерфейс, который показывает «WPA2 / Enterprise» и «802.1X» в одном и том же выпадающем меню. В конце концов, это тема всего этого вопроса. Так что да, я думаю, что я написал именно то, что хотел написать. Это не упрощение. Это дерьмовый интерфейс, как вы выразились.
Brain2000
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.