802.1 X: что именно касается WPA и EAP?

Я понимаю, что 802.1 X является своего рода контролем аутентификации порта. Однако, когда я проверял настройки шифрования для моей беспроводной сети, я нашел 802.1 X в раскрывающемся списке вместе с WPA2, WPA и WEP, но я не вижу, как это может быть альтернативой для них.

не мог бы кто-нибудь объяснить непрофессионалу, как 802.1 X вписывается, возможно, связанные с протоколом EAP тоже? Все, что я знаю, это то, что 802.1 X предоставляет два логических порта для каждого физического порта, один из них предназначен для аутентификация и я думаю, что другое для фактических сообщений EAP течь через?

19
задан Spiff 2012-01-01 05:21:04
источник

1 ответов

ближе всего я могу сделать, чтобы непрофессионал, слегка упрощенно, и ограничивается только WPA2 для простоты:

802.1 X не является типом шифрования. Это в основном просто механизм аутентификации для каждого пользователя (например, имя пользователя и пароль).

WPA2-это схема безопасности, которая определяет два основных аспекта безопасности беспроводной сети:

  • аутентификация: ваш выбор PSK ("Personal") или 802.1 X ("Предприятие.)"
  • шифрование: всегда AES-CCMP.

Если вы используете безопасность WPA2 в своей сети, у вас есть два варианта аутентификации: вы либо должны использовать один пароль для всей сети, которую все знают (это называется предварительным общим ключом или PSK), либо вы используете 802.1 X, чтобы заставить каждого пользователя использовать свои собственные уникальные учетные данные для входа (например, имя пользователя и пароль).

независимо от того, какой тип аутентификации вы настроили для использования в сети, WPA2 всегда использует схему под названием AES-CCMP для шифрования ваших данных по воздуху в целях обеспечения конфиденциальности и предотвращения различных других видов атак.

802.1 x-это "ВП над Ланс" и EAPOL. EAP расшифровывается как "расширяемый протокол аутентификации", что означает, что это своего рода схема плагина для различных методов аутентификации. Некоторые примеры:

  • вы хотите, чтобы аутентифицировать пользователей с именами пользователей и паролями? Тогда "PEAP" является хорошим типом EAP для использования.
  • вы хотите аутентифицировать пользователей с помощью сертификатов? Тогда" EAP-TLS " является хорошим типом EAP для использования.
  • являются ли устройства в вашей сети все GSM смартфоны с SIM-картами? Затем вы можете использовать "EAP-SIM" для аутентификации GSM SIM-карты, чтобы попасть в вашу сеть. п. п.

Если вы настроили беспроводной маршрутизатор на использование 802.1 X, он должен иметь способ аутентификации пользователей через какой-либо тип EAP. Некоторые маршрутизаторы могут иметь возможность введите список имен пользователей и паролей прямо на маршрутизаторе, и маршрутизатор знает, как сделать всю аутентификацию самостоятельно. Но большинство, вероятно, потребует от вас настройки RADIUS. RADIUS-это протокол, который позволяет хранить имя пользователя и пароль базы данных на центральном сервере, так что вам не придется вносить изменения на каждом отдельном беспроводном маршрутизаторе каждый раз, когда вы добавляете или удаляете пользователя или пользователь меняет свой пароль или что-то. Беспроводные маршрутизаторы которые делают 802.1 X вообще не умеют как к аутентифицируйте пользователей непосредственно, они просто знают, как к шлюзу между 802.1 X и RADIUS так, чтобы беспроводные клиентские машины фактически аутентифицировались сервером RADIUS в сети, и это-сервер RADIUS, который знает, как иметь дело с различными типами EAP.

если пользовательский интерфейс беспроводного маршрутизатора имеет "802.1 X" в списке безопасность типы, тогда это, вероятно, означает "802.1 X с динамическим WEP", который является старой схемой, где 802.1 X используется для аутентификация и ключи WEP для каждого пользователя на сеанс динамически генерируются как часть процесса аутентификации, и таким образом WEP является в конечном счете используемым методом шифрования.

обновить re: два логических порта

чтобы ответить на ваш вопрос о двух сущностях логического порта, в спецификации 802.1 X есть два отдельных понятия, на которые вы можете ссылаться.

во-первых, спецификация 802.1 X определяет роли клиента и сервера для протокола 802.1 X, но вызывает они проситель и Аутентификатор, соответственно. В беспроводном клиенте или маршрутизаторе беспроводной сети имеется программное обеспечение, выполняющее роль соискателя 802.1 X или средства проверки подлинности. Это программное обеспечение, которое выполняет эту роль, называется объектом доступа к порту или PAE спецификацией.

во-вторых, в спецификации упоминается, что, скажем, на вашем беспроводном клиентском компьютере должен быть способ для вашего программного обеспечения 802.1 X Supplicant получить доступ к беспроводному интерфейсу для отправки и получения EAP пакеты для выполнения проверки подлинности, даже если другие сетевые программы в системе еще не разрешены для использования беспроводного интерфейса (поскольку сетевой интерфейс не является доверенным, пока он не прошел проверку подлинности). Поэтому в странных технических юридическим языком документов, спецификаций стандарта IEEE, он говорит, что нет логического "неконтролируемый Порт" о том, что программное обеспечение клиента 802.1 x крючки и "контролируемой порт", что остальная часть сетевого стека крючки до. При первой попытке подключения к сети 802.1 x , включен в то время как 802.1 x клиент делает свое дело только неконтролируемый порт. Как только соединение было аутентифицировано (и, скажем, шифрование WPA2 AES-CCMP было настроено для защиты остальной части ваших сетевых передач), тогда управляемый порт включен так, чтобы остальная часть системы видела то сетевое соединение как "up".

длинный ответ, не так много с точки зрения непрофессионала:

IEEE 802.1 X - это способ аутентификации каждого пользователя или устройства для беспроводные локальные сети (и потенциально другие сетевые схемы семейства IEEE 802). Он был первоначально разработан и развернут для проводных сетей Ethernet, а затем был принят рабочей группой IEEE 802.11 (wireless LAN) в рамках 802.11 i Security addendum to 802.11, чтобы служить в качестве метода аутентификации для каждого пользователя или устройства для сетей 802.11.

при использовании проверки подлинности 802.1 X в сети WPA или WPA2 по-прежнему используются шифры конфиденциальности WPA или WPA2 и алгоритмы целостности сообщений. То есть, в случае WPA, вы все еще используете TKIP в качестве шифра конфиденциальности и MIChael в качестве проверки целостности сообщений. В случае WPA2 вы используете AES-CCMP, который является как шифром конфиденциальности, так и проверкой целостности сообщений.

разница при использовании 802.1 X заключается в том, что вы больше не используете общий сетевой ключ (PSK). Поскольку вы не используете один PSK для всех устройств, трафик каждого устройства больше безопасный. С PSK, если вы знаете PSK и перехватываете ключевое квитирование, когда устройство присоединяется к сети, можно расшифровать весь трафик того устройства. Но с 802.1 X процесс аутентификации безопасно генерирует материал для создания ключей, который используется, чтобы создать уникальный Попарный главный ключ (PMK) для соединения, таким образом, нет никакого способа для одного пользователя расшифровать трафик другого пользователя.

802.1 X основан на EAP, расширяемом протоколе аутентификации, который был первоначально разработан для PPP, и до сих пор широко используется в VPN решениях, использующих PPP внутри зашифрованного туннеля (LT2P-over-IPSec, PPTP и др.). На самом деле, 802.1 X используется, как правило, называют "ВП над Ланс" или "EAPOL с".

ВП обеспечивает универсальный механизм для транспортировки сообщений, аутентификации (проверки подлинности запросов, задачи, ответы, успех, уведомления и т. д.) без уровня EAP, который должен знать детали конкретного используемого метода аутентификации. Существует несколько различных типов EAP" (механизмы аутентификации, разработанные для подключения к EAP) для выполнения аутентификации через имя пользователя и пароль, сертификаты, маркерные карты и многое другое.

из-за истории EAP с PPP и VPN, он всегда был легко gatewayed к RADIUS. Из-за этого это типично (но технически не требуется) для 802.11 AP, которые поддерживают 802.1 X для содержания клиента RADIUS. Таким образом AP обычно не знают чье-либо имя пользователя или пароль или даже как обработать различные типы аутентификации EAP, они просто знаю, как в обычное сообщение ВП с 802.1 х, и превратить его в сообщении Radius и RADIUS-сервер. Таким образом, AP является просто каналом для аутентификации, а не стороной к нему. Реальные оконечные точки аутентификации обычно являются беспроводным клиентом и сервером RADIUS (или некоторый вышестоящий сервер аутентификации, к которому шлюзы сервера RADIUS к).

больше истории, чем вы хотели знать: При первом создании стандарта 802.11 метод аутентификации, который он поддерживал, был формой аутентификации с общим ключом, используя 40-или 104-разрядные ключи WEP, и WEP был ограничен 4 ключами в сети. Все пользователи или устройства, подключающиеся к вашей сети, должны были знать один из 4 коротких ключей для сети, чтобы войти. В стандарте не было способа аутентификации каждого пользователя или устройства отдельно. Кроме того, способ проверки подлинности с общим ключом позволил легко" автономный oracle " быстрый грубой силы ключа угадывания атаки.

многие поставщики корпоративного класса 802.11 передач понял, что для каждого пользователя (т. е. логин и пароль, или сертификат пользователя) или устройств (проверка подлинности сертификата компьютера) для 802.11 успех на корпоративном рынке. Хотя 802.1 х не закончил, компания Cisco приняла проект 802.1 х, ограничил его одним ВП тип (форма протокола EAP-MSCHAPv2), сделали его создания ТВ-устройства для каждого сеанса динамические ключи WEP, и создали то, что они называют "легкая ВП" или прыжок. Другие производители делали аналогичные вещи, но с более неуклюжими именами, такими как"802.1 X с динамическим WEP".

сеть Wi-Fi Альянс (урожденная беспроводных сетей Ethernet совместимость Альянс, или "WECA") увидел заслуженно плохая репутация WEP был и видел безопасности схема фрагментации происходит в отрасли, но не могла дождаться, когда стандарт IEEE 802.11 рабочая группа внедрение 802.1 X в 802.11 мне, так на созданной сети Wi-Fi защищенный доступ (WPA) для определения взаимодействия кросс-поставщиком стандарт для фиксации дефектов в WEP как конфиденциальность шифр (создание ТКИП заменить его), недостатки в WEP на основе общего ключа аутентификации (создание ВПА-ПСК заменить его), и предоставляют возможность использовать 802.1 X для каждого пользователя или на каждое устройство проверки подлинности.

затем целевая группа IEEE 802.11 i завершила свою работу, выбрав AES-CCMP в качестве шифра конфиденциальности будущего и приняв 802.1 X с определенными ограничениями для обеспечения его безопасности в беспроводных сетях, для проверка подлинности каждого пользователя и устройства для беспроводных локальных сетей 802.11. В свою очередь, Wi-Fi Alliance создал WPA2 для сертификации совместимости между реализациями 802.11 i. (Wi-Fi Alliance действительно является организацией по сертификации и маркетингу взаимодействия, и часто предпочитает, чтобы IEEE был реальным органом по стандартам WLAN. Но если IEEE слишком скрыт и не движется достаточно быстро для отрасли, Wi-Fi Alliance вмешается и сделает работу, подобную стандартам, впереди IEEE, и обычно затем откладывает соответствующий стандарт IEEE, как только он выйдет позже.)

36
отвечен Spiff 2012-01-01 23:26:53
источник

Другие вопросы networking wireless-networking port ieee802.1x 802.1x

X