选择合适的802.1X

日期: 2008-09-21 作者:Lisa Phifer翻译:Tina Guo 来源:TechTarget中国 英文

802.1X为控制WLAN的使用提供可扩展的架构。但是802.1X不仅仅是包含几种类型的扩展认证协议(EAP)的封套。在这将近50个详细的EAP类型中,哪一个在WLAN上工作最合适?在本文中,TechTarget中国的特约专家将把大部分受欢迎的EAP类型和802.1X,以及每个所支持的认证方法、已知的漏洞以及适合的使用环境的做一下比较。  EAP-MD5 (Message Digest #5) LEAP (轻量级EAP, Lightweight EAP) EAP-TLS (传输层安全,Transport Layer Security)  EAP-TTLS……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

802.1X为控制WLAN的使用提供可扩展的架构。但是802.1X不仅仅是包含几种类型的扩展认证协议(EAP)的封套。在这将近50个详细的EAP类型中,哪一个在WLAN上工作最合适?在本文中,TechTarget中国的特约专家将把大部分受欢迎的EAP类型和802.1X,以及每个所支持的认证方法、已知的漏洞以及适合的使用环境的做一下比较。

 EAP-MD5 (Message Digest #5)
 LEAP (轻量级EAP, Lightweight EAP)
 EAP-TLS (传输层安全,Transport Layer Security)
 EAP-TTLS ((隧道TLS ,Tunneled TLS)
 PEAP (受保护的EAP, Protected EAP)
 EAP-MSCHAPv2 (Microsoft Challenge握手协议,Microsoft Challenge Handshake Protocol)
 EAP-GTC ((一 般标记卡,Generic Token Card)
 EAP-SIM (用户识别,Subscriber Identity Module)
 EAP-AKA (Authentication and Key Agreement)
 EAP-FAST (Flexible Authentication via Secure Tunneling)
 Wi-Fi Alliance Certification
 EAP-MD5 (Message Digest #5)

  EAP-MD5 (Message Digest #5)

  这种EAP类型提供了单向客户认证。服务器向客户发送随机问题。客户通过使用MD5列出问题和它的。因为人在中间的攻击可以看到问题和回应,EAP-MD5在开放的媒体上使用时,很容易受到字典式攻击。因为没有服务器认证,它也很容易受到欺骗攻击。最后,EAP-MD5不可以发送密钥。结果,EAP-MD5可能用于以太网上,但是永远也不能用到无线局域网上。

  LEAP(轻量级EAP)

  也叫做EAP-Cisco Wireless。这种EAP类型在Cisco无线局域网上提供了客户端和服务器的相互认证。和EAP-MD5一样,轻量级的服务器向客户端发送随机问题,客户会返回一个哈希密码。认证的客户会向服务器发出问题,需要密码,接着是密钥交换。因为LEAP是所有权协议,它只能和思科接入点和思科的兼容卡一起用于企业无线局域网。目前,有很多攻击工具可以用于破解LEAP认证密码。因此,新的无线局域网应该避免LEAP。如果你的无线局域网已经使用了LEAP,确保每一个客户端和服务器使用较长的随机密码,并且尽快更新到更强大的EAP类型。

  EAP-TLS(传输层安全)

  这种EAP类型通常被认为是现有的最强大的、配置最广泛的。它使用标准的TLS协议(用于保护大部分Web传输的SSL协议的子协议)在客户端和服务器提供手动认证证明。这个服务器使用TLS证明它持有数字证书,向客户端的请求是一样的。客户端使用它的证书证明他的身份,发送的材料也是互换的。一旦认证完成,TLS通道就终止了,但是EAP-TLS发送的密钥可以用于加密AES、TKIP或者WEP数据。EAP-TLS在WLAN中很合适,在WLAN中,客户端已经有了数字证书或者在这里,需要再公共密钥架构中投入高度的安全,来管理这些证书。

  EAP-TTLS(隧道TLS)

  EAP类型通过在客户端放置合法密码认证方法的证书,在安全和配置成本之间平衡,这些合法密码的认证方法例如PAP、CHAP、MSCHAPv2。EAP-TTLS要求服务器通过验证并建立TLS隧道来自我认证。通过这些TLS隧道对客户端发出挑战。甚至当返回明文密码,客户回应就被模糊了。为了避免暴露客户的名称,EAP-TTLS应该配置为当启动802.1X时,可以发送“匿名”认证,然后通过TLS隧道,发送实际认证。但认证完成,并且密钥已经发送时,隧道就终止了。EAP-TTLS适合于WLAN,而WLAN希望可以以安全的方式,重新使用合法的用户认证数据库(例如,LDAP,Active Directory)。

  PEAP(受保护的EAP)

  PEAP和EAP-TTLS很相似,但是使用不同客户认证协议。和EAP-TTLS一样,PEAP使用服务器证书,就是TLS隧道提供手动认证,并通过加密的隧道提供客户认证。和EAP-TTLS,PEAP要求客户使用另外一种EAP类型,例如EAP-MSCHAPv2和 EAP-GTC(请看下面)。虽然相同的用户信任状都可以用于EAP-TTLS,但是PEAP认证服务器必须可以分析EAP-TTLS和所包含的合法认证协议。

  注意:很重要的一点是,在客户端和服务器上要使用相同版本的PEAP。PEAPv0/EAP-MSCHAPv2要求802.1X supplicant(客户端)软件,包括Windows XP SP2和2000 SP4。PEAPv1/EAP-GTC要求另外的802.1X supplicant,例如和思科的Aironet Client Utility一起安装的那一种。这些supplicant是互相排斥的——安装一个PEAPv1客户端要替换已经存在的PEAPv0的客户端。

  EAP-MSCHAPv2 (Microsoft Challenge握手协议)

  这种EAP类型可以用于在TLS隧道,而TLS隧道是由受保护的EAP创建的。EAP-MSCHAPv2在扩展认证协议包装Microsoft Challenge握手协议。它适合于那些想要重新使用无线认证的微软用户信任状和服务器(例如,NT域名控制器和Windows Active Directories)的公司。EAP-TTLS/MSCHAPv2也可以完成相同的目标。

  EAP-GTC (一般标记卡)

  这种EAP类型可以用于由受保护的EAP创建的TLS的内部。EAP-GTC决定EAP的外封带有“旧有密码”,这个密码是由RSA SecurID等可携带卡产生的。它适合于使用双因素认证来避免通常的密码攻击(例如,与人共享的密码、写在便笺纸上的密码、存储在被盗笔记本上的密码)的公司——特别是在这些可携带密码已经被远程访问VPN使用的公司。这些从混乱中开始的WLAN必须决定可携带配制的成本是否合理。

  EAP-SIM (用户识别)

  这种EAP类型提供了手动认证,这是基于GSM载体出售的移动电话中发现的SIM卡的。SIM卡可能是插入到双模式的手机中的薄片。执行认证算法的智能卡通常是手机等装置用于认证GSM电话网络的。要求携带EAP-SIM的802.11X是依赖于载体的上通向GSM认证服务器的网关的。这种EAP类型可以用于智能手机等认证设备,这些智能手机在商用802.11X热点和GSM网络之间进行信息往来的。

  EAP-AKA (认证和密钥协议)

  EAp-AKA和EAp-SIM类似,但是可以通过使用用户服务认证模式(USIM)满足非GSM载体,而USIM是全球移动电讯系统(UMIS)网络上是用的。通过你的载体的网络决定智能手机必须使用的类型,而且EAP-AKA使用的永久认证密钥被认为是比EAP-SIM使用的导出认证密钥更加强大。

  EAP-FAST (通过安全隧道的灵活认证)

  这种EAP类型是由思科创建的,它是LEAP的一种替代类型。 它存在于在先在德思科的接入点和思科兼容无线网卡中。和PEAP和EAP-TTLS一样,FAST提供 了隧道手动认证。尽管如此,EAP-FAST并不要求服务器对自己景象数字认证。与之相反,原来供应的交换创建了共享的秘密,就在受保护的访问信任状(PAC)蜜月。这种PAC密钥可以用于所有的后发认证。EAP-FAST可以满足小型的指纹客户,例如VoWiFi手机,它很显然是被数字认证特征查证减缓的。目前,EAP-FAST仅限于用于基于思科的无线局域网。

  Wi-Fi联合证书

  Wi-Fi联合证书目前可以测试以下的EAP类型:EAP-TLS、EAP-TTLS、PEAPv0、PEAPv1和EAP-SIM。为了确定你的产品支持哪种类型的EAP,可以查看Wi-Fi联合证书的鉴定产品页。没有经过鉴定的产品可能仍然是  ,但是在多厂商的无线局域网上配置802.1X时,明智的做法是要检查EAP类型的兼容性。

作者

Lisa Phifer
Lisa Phifer

Lisa Phifer owns Core Competence Inc., a consultancy specializing in safe business use of emerging Internet technologies.

翻译

Tina Guo
Tina Guo

相关推荐