無線安全 802.1x 和 EAP 類型

按字母表示的 EAP 類型 - MD5、LEAP、PEAP、FAST、TLS 和 TTLS

注： 該數據不適用於家庭或小型辦公室用戶，他們通常不使用高級安全功能（如本頁中討論的功能）。不過這些用戶可能會發現它很有參考價值。


802.1x 概述
它是一種通過認證保護網絡的端口訪問協議。 此類型的驗證方法在無線環境中因該媒體的性質而特別有用。 如果無線用戶通過 802.1x 網絡訪問驗證，接入點上會打開一個用於通信的虛擬端口。 如果驗證不成功，則不會提供虛擬端口，並將阻斷通信。

802.1x 驗證分爲 3 個基本部分：

1. 請求者 - 在無線工作站上運行的軟件客戶端
2. 驗證者 - 無線接入點
3. 認證服務器 - 一個認證數據庫，通常是一個 Radius 服務器（例如 Cisco ACS*、Funk Steel-Belted RADIUS* 或 Microsoft* IAS*）

EAP (可擴展驗證協議) 用於在請求者（無線工作站）和驗證服務器（(Microsoft IAS 或其它）之間傳輸驗證信息。 實際驗證有 EAP 類型定義和處理。 作爲驗證者的接入點只是一個允許請求者和驗證服務器之間進行通信的代理。

使用哪一個？
應用哪一類 EAP 或是否應用 802.1x 取決於機構所需的安全級別和期望的管理開支/功能。 此處的說明和比較表將幫助減少了解各種可用 EAP 類型的困難。

可擴展驗證協議 (EAP) 驗證類型
由於 WLAN 安全是非常必要，EAP 驗證類型提供了一種更好地保障 WLAN 連接的方式，經銷商正在迅速開發和添加 EAP 驗證類型至他們的 WLAN 接入點。 部分最常部署的 EAP 驗證類型包括 EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-Fast 和 Cisco LEAP。

• EAP-MD-5 (消息摘要) 質詢是一種提供基本級別 EAP 支持的 EAP 驗證類型。 EAP-MD-5 通常不建議用於無線 LAN 執行，因爲它可能衍生用戶密碼。 它僅提供單向驗證 - 無法進行無線客戶端和網絡之間的互相驗證。 更爲重要的是，它不提供衍生動態、按對話有限對等保密 (WEP)密鑰的方法。
• EAP-TLS (傳輸層安全) 提供爲客戶端和網絡提供基於證書及相互的驗證。 它依賴客戶斷和服務器方面的證書進行驗證，可用於動態生成基於用戶和通話的 WEP 密鑰以保障 WLAN 客戶端和接入點之間的通信。 EAP-TLS 的不足之處在於必須由客戶端和服務器端雙方管理證書。 對於較大的 WLAN 安裝，則是比較重的任務。
• EAP-TTLS (隧道傳輸層安全）是由 Funk Software and Certicom 開發的，作爲 EAP-TLS 的擴展。 此安全方法通過加密通道（或“隧道”）爲客戶端和網絡之間提供基於證書的相互驗證，同時作爲衍生動態及按用戶和對話的 WEP 密鑰。 與 EAP-TLS 不同，EAP-TTLS 僅需要服務器方面的證書。
• EAP-FAST (通過安全隧道靈活認證) 是由 Cisco 開發的。相互認證是通過 PAC （保護訪問資格）而不是使用證書實現的，PAC 可以由認證服務器動態管理，既可手動也可自動配備（一次性分發）給客戶端。手動配備是通過磁盤或可靠的網絡分發方法配送到客戶端。自動配備是指帶內以無線方式分發。
• LEAP (輕型可擴展驗證協議) 是一種 EAP 驗證類型，主要用於 Cisco Aironet WLAN。 它使用動態生成的 WEP 密鑰對數據傳輸進行加密，並支持相互驗證。 至於其所有權，Cisco 已通過 Cisco Compatible Extensions 計劃，將 LEAP 授權給其它製造商許可使用。
• PEAP (受保護的可擴展驗證協議)通過 802.11 無線網絡提供了一種安全傳輸驗證數據的方法，包括傳統的密碼保護協議。 PEAP 通過使用 PEAP 客戶端和驗證服務器之間的“隧道”來實現。 同競爭對手標準“隧道傳輸層安全”(TTLS) 一樣，PEAP 使用服務器單邊證書來驗證無線 LAN 客戶端，從而簡化了安全無線 LAN 的執行和管理。 Microsoft、Cisco 和 RSA Security 都開發了 PEAP。

802.1x EAP 類型 功能/優點	MD5 --- 信息摘要 5	TLS --- 傳輸層安全	TTLS --- 隧道傳輸層安全	PEAP --- 受保護的傳輸層安全	快速 --- 通過安全隧道靈活驗證	LEAP --- 輕型可擴展認證協議
需要客戶端證書	否	是	否	否	不 (PAC)	否
需要服務器證書	否	是	否	是	不 (PAC)	否
WEP 密鑰管理	否	是	是	是	是	是
Rouge AP 檢測	否	否	否	否	是	是
提供商	MS	MS	Funk	MS	Cisco	Cisco
驗證屬性	單向	相互	相互	相互	相互	相互
部署難易程度	容易	難（因爲客戶端證書配置的緣故）	一般	一般	一般	一般
無線安全	差	很高	高	高	高	在使用強密碼時，高。

閱讀上述討論和表格，不難得出以下結論：

• MD5 不常用，因爲它只執行單向驗證，更重要的是它不支持自動分配和轉動 WEP 密鑰，無法減輕手動 WEP 密鑰維護的管理負擔。
• TLS 非常安全，但需要在各個無線工作站上安裝客戶端證書。 維護 PKI 基礎結構時，除了維護 WLAN 本身以外，還需要其它管理方面的專門技術和時間。
• TTLS 通過與 TLS 建立通道來解決證書問題，除去了在客戶端安裝證書的麻煩。 因此，此類型通常是首選項。 TTLS 主要由 Funk 銷售，而且需爲請求者和驗證服務器軟件付費。
• LEAP 歷史悠久，但先前由 Cisco 專有（僅與 Cisco 無線適配器一起使用），Cisco 已通過 Cisco Compatible Extensions 計劃，將 LEAP 授權給其它製造商許可使用。 在 LEAP 用於驗證時，應執行強密碼政策。
• EAP-FAST 現在可用於不能實行強密碼政策和不想配置驗證證書的企業。
• 最新的 PEAP 與 EAP-TTLS 的工作原理類似，不需要客戶端證書。 PEAP 由 Cisco 和 Microsoft 提供支持，可以從 Microsoft 免費獲得。 如果想要從 LEAP 轉換爲 PEAP，Cisco 的 ACS 驗證服務器可以運行這兩種類型。

數據保密
數據保密是通過在傳輸前使用保密鍵對數據進行加密，然後在接收端再進行解密 (恢復普通數據)而實現的。 有線對等加密（WEP）提供的安全性較弱；因此，目前已開發出其他更好的保護無線數據的方法（如 WPA 和 WPA2）。

WPA*（Wi-Fi* 保護訪問）
Wi-Fi 聯盟在 2003 年下半年引入了此基於標準的解決方案，用來開發更穩健的無線局域網安全解決方案以滿足 802。11i 修訂後的要求。 WPA 包括 802.1x 認證和 TKIP 加密(更先進且更安全的 WEP 加密）。

WPA2*（Wi-Fi 保護訪問 2）
Wi-Fi 聯盟在 2004 年下半年發佈了這一第二代 WPA 安全方案。像 WPA 一樣，WPA2 也包含 802.1x 認證。 根據 802.11i 修訂，WPA2 使用高級加密標準（AES）保護數據保密。

WPA 個人版和 WPA2 個人版
對於無認證服務器的小辦公室和家庭用戶而言，訪問權限是使用預共享的密鑰（PSK）決定的。預共享密鑰是十六進制字符串或口令，接入點和所有客戶端間的預共享密鑰必須匹配。 使用 WPA 個人或 WPA2 個人方法時，沒有可用的 802.1x 安全類型。

其他安全選項

VPN
許多企業不依賴無線局域網認證和保密（加密），而是採用 VPN。 只要將接入點放置到公司防火牆外面，並通過 VPN 網關進入用戶通道 - 把他們當作遠程用戶。 執行 VPN 解決方案的費用、初始安裝和後續管理成本已減少。