2024年6月2日发(作者:)

802.1x概述和EAP类型

802.1x概述

使用什么?

可扩展验证协议(EAP)验证类型

802.1x概述

它是一个通过验证来保护网络的端口访问协议。 根据测试结果,这种类型的验证方法

中非常有用的WiFi环境中因的性质,媒体。 如果一个WiFi用户通过802.1x网络访问验证,

一个虚拟端口接入点上会打开允许进行通信。 如果验证不成功,则不会提供虚拟端口,并将

阻断通信。

802.1x验证分为3个基本部分:

1. 请求者-上运行的软件客户端工作站的WiFi

2. 验证者-WiFi接入点

3. 验证服务器-一个验证数据库,通常是一个Radius服务器(例如Cisco*ACS*、Funk

Steel-Belted RADIUS*或Microsoft*IAS*

可扩展身份验证协议(EAP)是用于之间传输验证信息请求方(WiFi工作站)和验证服务

器((Microsoft IAS或其它)。 实际验证有EAP类型定义和处理。 作为验证者的接入点只

是一个允许请求者和验证服务器之间进行通信的代理。

使用哪一?

执行哪类EAP或是否执行802.1x取决于机构所需的安全级别和所需的额外管理和功

能。 此处的说明和比较表将帮助减少了解各种可用EAP类型的困难。

可扩展验证协议(EAP)验证类型

由于WiFi局域网(LAN)安全性是非常必要,EAP验证类型提供了一种更好地保障

WLAN连接的方式,经销商正在迅速开发和添加EAP验证类型至他们的WLAN接入点。 部

分最常部署的EAP验证类型包括EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-TTLS、EAP-Fast

和Cisco LEAP。

EAP-MD-5(消息摘要)质询是一种提供基本级别EAP支持的EAP验证类型。

EAP-MD-5通常不建议用于WiFi LAN执行,因为它可能衍生用户密码。 它仅提供单向验

证-没有相互验证的WiFi客户端和网络。 更为重要的是,它不提供衍生动态、按对话有限

对等保密(WEP)密钥的方法。

EAP-TLS(传输层安全性)提供基于证书的和相互验证客户端和网络。 它依赖客户断

和服务器方面的证书进行验证,可用于动态生成基于用户和通话的WEP密钥以保障WLAN

客户端和接入点之间的通信。 EAP-TLS的不足之处在于必须由客户端和服务器端双方管

理证书。 对于较大的WLAN安装,则是比较重任务。

EAP-TTLS(隧道传输层安全)是由Funk Software and Certicom开发**,作为

EAP-TLS的扩展。 此安全方法提供基于证书的相互验证,客户端和网络通过加密通道(或"

隧道"),以及衍生动态、每一用户、每次会话WEP密钥。 与EAP-TLS、EAP-TTLS仅需要

服务器方面的证书。

EAP-FAST(通过安全隧道灵活认证)是由Cisco开发*。 而不是使用证书,相互认证是

通过PAC(保护性接入身分凭证),可通过验证服务器进行动态管理。 PAC可以配备(一次性

分发)到客户端手动或自动。 手动提供送到客户端通过磁盘或可靠的网络分发方法。 自动

提供是指带内,通过空气、发布。

LEAP(轻型可扩展验证协议)是一种EAP验证类型,主要用于Cisco Aironet WLAN。

它使用动态生成的WEP密钥对数据传输进行加密,并支持相互验证。 至于其所有权,Cisco

已LEAP授权给其它制造商通过Cisco Compatible Extensions计划。

PEAP(受保护的可扩展验证协议)提供了一种安全传输验证数据的方法,包括传统的密

码协议,通过802.11WiFi网络。 PEAP来实现通过使用隧道PEAP客户端和验证服务器之

间。 希望同竞争对手标准隧道传输层安全性(TTLS)、PEAP验证WiFi LAN客户端使用服

务器单边证书,从而简化了的执行和管理安全WiFi局域网。 Microsoft、Cisco和RSA

Security都开发了PEAP。

阅读上述讨论和表格,不难得出以下结论:

MD5不常用,因为它只执行单向验证,更重要的是它不支持自动分配和转动WEP密钥,

无法减轻手动WEP密钥维护的管理负担。

TLS非常安全,但需要安装客户端证书上每个WiFi工作站。 维护PKI基础结构需要

其它管理方面和时间除了维护WLAN本身以外,。

TTLS地址的证书问题由隧道TLS和除去了客户端证书。 因此,此类型通常是首选项。

TTLS主要由Funk销售,而且需为请求者和验证服务器软件付费。

LEAP历史悠久,但先前由Cisco专有(适用于Cisco WiFi适配器),Cisco已LEAP授权

给其它制造商通过Cisco Compatible Extensions计划。 应执行强密码政策在LEAP用于

验证。

EAP-FAST现在可用于企业不能实行强密码政策和不想配置验证证书的。

最新的PEAP与EAP-TTLS的工作原理类似,不需要客户端证书。 PEAP由Cisco和

Microsoft提供支持,可以从Microsoft免费获得。 如果想要从LEAP转换为PEAP,Cisco

的ACS验证服务器可以运行这两种类型。

另一个选项-VPN

而不依靠WiFi LAN进行验证和保密(加密),许多企业采用VPN。 这是只要将接入点

放置到公司防火墙通过VPN网关进入用户通道-把他们当作远程用户。 后续管理成本已减

少的执行VPN解决方案费用、初始安装和开销。