Jas*_*son 20 networking wireless-networking port ieee802.1x 802.1x
我理解 802.1X 是某种端口身份验证控制。但是,当我检查无线的加密设置时,我在下拉列表中发现了 802.1X 以及 WPA2、WPA 和 WEP,但我不知道它如何成为这些的替代方案。
有人可以用外行的术语解释 802.1X 是如何适应的,也许也与 EAP 协议有关?我所知道的是 802.1X 为每个物理端口提供了两个逻辑端口实体,其中一个用于身份验证,我认为另一个用于实际的 EAP 消息流过?
Spi*_*iff 41
我能做到的最接近外行的术语,稍微过度简化,并且为了简单起见仅限于 WPA2:
802.1X 不是一种加密类型。它基本上只是一个每个用户(例如用户名和密码)的身份验证机制。
WPA2 是一种安全方案,它指定了无线安全的两个主要方面:
如果您在网络上使用 WPA2 安全性,您有两种身份验证选择:您必须对所有人都知道的整个网络使用一个密码(这称为预共享密钥或 PSK),或者您使用 802.1X强制每个用户使用他自己唯一的登录凭据(例如用户名和密码)。
无论您将网络设置为使用哪种身份验证类型,WPA2 始终使用称为 AES-CCMP 的方案对您的数据进行无线加密,以确保机密性,并阻止各种其他类型的攻击。
802.1X 是“EAP over LAN”或 EAPoL。EAP 代表“可扩展身份验证协议”,这意味着它是一种用于各种身份验证方法的插件方案。一些例子:
如果您将无线路由器设置为使用 802.1X,则需要通过某种 EAP 类型对您的用户进行身份验证。某些路由器可能能够让您直接在路由器上输入用户名和密码列表,并且路由器知道如何自行完成整个身份验证。但大多数可能需要您配置 RADIUS。RADIUS 是一种协议,允许您将用户名和密码数据库保存在中央服务器上,因此您不必在每次添加或删除用户或用户更改其密码或其他内容时对每个单独的无线路由器进行更改。做 802.1X 的无线路由器通常不知道如何直接对用户进行身份验证,他们只知道如何在 802.1X 和 RADIUS 之间进行网关,以便无线客户端机器实际上由网络上的 RADIUS 服务器进行身份验证,
如果您的无线路由器的用户界面在加密类型列表中包含“802.1X” ,那么它可能意味着“802.1X with dynamic WEP”,这是一种旧方案,其中 802.1X 用于身份验证,每个用户每个会话WEP 密钥是作为身份验证过程的一部分动态生成的,因此 WEP 是最终使用的加密方法。
更新:两个逻辑端口
要回答有关两个逻辑端口实体的问题,您可能会参考 802.1X 规范中的两个独立概念。
首先,802.1X 规范为 802.1X 协议定义了客户端和服务器角色,但分别将它们称为请求者和验证者。在您的无线客户端或无线路由器中,您拥有执行 802.1X 请求方或验证方角色的软件。执行该角色的这个软件被规范称为端口访问实体或 PAE。
其次,规范提到,例如,在您的无线客户端机器中,您的 802.1X Supplicant 软件必须有一种方法可以访问您的无线接口,以便发送和接收 EAP 数据包以完成身份验证,即使没有其他网络软件您的系统还可以使用无线接口(因为网络接口在经过身份验证之前是不可信的)。因此,在 IEEE 规范文档的奇怪工程法律术语中,它说 802.1X 客户端软件连接到一个逻辑“不受控制的端口”,以及网络堆栈其余部分连接到的“受控端口”。当您第一次尝试连接到 802.1X 网络时,只有不受控制的端口被启用,而 802.1X 客户端会做它的事情。一旦连接通过身份验证(并且,比如说,
长答案,不是通俗的说法:
IEEE 802.1X 是一种对有线或无线以太网 LAN(以及 IEEE 802 系列中可能的其他网络方案)进行每用户或每设备身份验证的方法。它最初是为有线以太网设计和部署的,后来被 IEEE 802.11(无线局域网)工作组采用,作为 802.11i 安全附录的一部分,作为 802.11 的一部分,作为每用户或每设备的身份验证方法适用于 802.11 网络。
当您在 WPA 或 WPA2 网络上使用 802.1X 身份验证时,您仍在使用 WPA 或 WPA2 的机密性密码和消息完整性算法。也就是说,在 WPA 的情况下,您仍然使用 TKIP 作为您的机密密码和 MIChael 作为您的消息完整性检查。在 WPA2 的情况下,您使用的是 AES-CCMP,它既是保密密码又是消息完整性检查。
使用 802.1X 时的不同之处在于,您不再使用网络范围的预共享密钥 (PSK)。因为您没有对所有设备使用单个 PSK,所以每个设备的流量都更加安全。使用 PSK,如果您知道 PSK 并在设备加入网络时捕获密钥握手,则可以解密该设备的所有流量。但是对于 802.1X,身份验证过程会安全地生成密钥材料,用于为连接创建唯一的成对主密钥 (PMK),因此一个用户无法解密另一个用户的流量。
802.1X 基于 EAP,这是最初为 PPP 开发的可扩展身份验证协议,现在仍然广泛用于在加密隧道内使用 PPP 的 VPN 解决方案(LT2P-over-IPSec、PPTP 等)。事实上,802.1X 通常被称为“EAP over LANs”或“EAPoL”。
EAP 提供了一种用于传输身份验证消息(身份验证请求、质询、响应、成功通知等)的通用机制,而 EAP 层不必知道正在使用的特定身份验证方法的详细信息。有许多不同的“EAP 类型”(旨在插入 EAP 的身份验证机制)用于通过用户名和密码、证书、令牌卡等进行身份验证。
由于 EAP 在 PPP 和 VPN 方面的历史,它一直很容易连接到 RADIUS。因此,支持 802.1X 的 802.11 AP 包含 RADIUS 客户端是典型的(但不是技术要求)。因此,AP 通常不知道任何人的用户名或密码,甚至不知道如何处理各种 EAP 身份验证类型,他们只知道如何从 802.1X 接收通用 EAP 消息,并将其转换为 RADIUS 消息并转发给 RADIUS 服务器. 因此,AP 只是身份验证的管道,而不是身份验证的一方。身份验证的真正端点通常是无线客户端和 RADIUS 服务器(或 RADIUS 服务器网关到的某些上游身份验证服务器)。
比您想知道的更多的历史: 当 802.11 首次创建时,它支持的唯一身份验证方法是使用 40 位或 104 位 WEP 密钥的共享密钥身份验证形式,而 WEP 被限制为每个网络 4 个密钥。连接到您的网络的所有用户或设备都必须知道网络的 4 个快捷键之一才能继续使用。标准中没有办法单独验证每个用户或设备。此外,共享密钥身份验证的方式允许简单的“离线预言机”快速暴力密钥猜测攻击。
许多企业级 802.11 设备供应商意识到,要使 802.11 在企业市场上取得成功,必须对每个用户(即用户名和密码或用户证书)或每个设备(机器证书)进行身份验证。尽管 802.1X 还没有完全完成,思科还是采用了 802.1X 的草案版本,将其限制为一种 EAP 类型(EAP-MSCHAPv2 的一种形式),使其生成每个设备每个会话的动态 WEP 密钥,并创建他们称之为“轻量级 EAP”或 LEAP。其他供应商也做了类似的事情,但名称更笨拙,例如“802.1X with dynamic WEP”。
Wi-Fi 联盟(前身为无线以太网兼容性联盟,或“WECA”)看到了 WEP 当之无愧的糟糕代表,并看到了行业中正在发生的安全方案碎片化,但迫不及待地等待 IEEE 802.11 工作组完成在 802.11i 中采用 802.1X,因此 Wi-Fi 联盟创建了 Wi-Fi 保护访问 (WPA) 来定义一个可互操作的跨供应商标准,用于修复 WEP 中作为机密密码的缺陷(创建 TKIP 来替换它),缺陷在基于 WEP 的共享密钥身份验证中(创建 WPA-PSK 来替换它),并提供一种使用 802.1X 进行每用户或每设备身份验证的方法。
然后 IEEE 802.11i 任务组完成了他们的工作,选择 AES-CCMP 作为未来的机密密码,并采用 802.1X,但有一定的限制以确保其在无线网络上的安全,用于 802.11 的每用户和每设备身份验证无线局域网。反过来,Wi-Fi 联盟创建了 WPA2 来证明 802.11i 实现之间的互操作性。(Wi-Fi 联盟实际上是一个互操作性认证和营销组织,通常更愿意让 IEEE 成为真正的 WLAN 标准机构。但如果 IEEE 过于隐蔽并且对行业而言行动不够快,Wi- Fi 联盟将介入并在 IEEE 之前进行类似标准机构的工作,通常一旦相关 IEEE 标准出来后就会服从。)
| 归档时间: |
|
| 查看次数: |
38738 次 |
| 最近记录: |