揭密無線網(wǎng)絡(luò)訪問和802.1x安全性的疑惑

　　無線網(wǎng)絡(luò)的開放性為網(wǎng)絡(luò)管理員和用戶增加了不確定性。網(wǎng)絡(luò)管理員希望只允許授權(quán)用戶訪問其網(wǎng)絡(luò)，而用戶則需要確保自己訪問的是恰當(dāng)?shù)木W(wǎng)絡(luò)。本文深入討論了典型的無線 局域網(wǎng)客戶登錄過程以及 802.1x 和 EAP 驗(yàn)證過程。網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)用戶都關(guān)心網(wǎng)絡(luò)訪問權(quán)限和安全性。網(wǎng)絡(luò)管理員希望確保請求訪問網(wǎng)絡(luò)的客戶端確實(shí)是其本身——是已授權(quán)用戶而非冒名頂替的用戶。而網(wǎng)絡(luò)用戶所希望的是當(dāng)筆記本電腦連接到無線網(wǎng)絡(luò)時(shí)，他確實(shí)連接到了自己的網(wǎng)絡(luò)——而不是由黑客建成，用于收集用戶信息的假冒網(wǎng)絡(luò)。對網(wǎng)絡(luò)管理員和用戶來說，他們最基本的需要是對網(wǎng)絡(luò)的信任。

　　事實(shí)證明，初期開發(fā)的一些安全和保密性方案所提供的信任，對于黑客的攻擊是脆弱的。例如：802.11 的有線等效保密協(xié)議(WEP)。今天的網(wǎng)絡(luò)管理員正在體現(xiàn) 802.1X，希望它可以提供一個(gè)可靠的安全環(huán)境。到目前為止，802.1X還能滿足這個(gè)諾言。

　　在2004 年12月 13 日，IEEE 發(fā)布了 802.1X 標(biāo)準(zhǔn)“基于端口的網(wǎng)絡(luò)訪問控制”。 可以訪問http://standards.ieee.org /getieee802/802.1.html 獲取相關(guān)信息。802.1X 標(biāo)準(zhǔn)對于嘗試連接到局域網(wǎng)的設(shè)備，提供了認(rèn)證和授權(quán)的方法。防止認(rèn)證和授權(quán)失敗的用戶訪問局域網(wǎng)。

　　由于無法將 WLAN 像有線網(wǎng)一樣從物理上放到墻后或用門鎖上，這使他們更加容易受到攻擊。無線局域網(wǎng)的管理員是第一批實(shí)施 802.1X 的人。現(xiàn)在 802.1X 的應(yīng)用，已經(jīng)擴(kuò)展到有線網(wǎng)絡(luò)，作為補(bǔ)充的安全措施。

　　IEEE 802.1X 是從點(diǎn)對點(diǎn)協(xié)議 (PPP) 和擴(kuò)展的認(rèn)證協(xié)議 (EAP) 演變而來。PPP 通常用于因特網(wǎng) (Internet） 撥號訪問。它包括認(rèn)證機(jī)制，含有用戶名和密碼。EAP 的出現(xiàn)，提供了更豐富的安全機(jī)制。EAP 駐留在 PPP 認(rèn)證協(xié)議中，為幾個(gè)不同的認(rèn)證方法提供廣義的框架。EAP 在 IETF's RFC 3748 中定義 EAP，可以從http://www.ietf.org/rfc 獲取相關(guān)信息。IEEE 802.1X 是在有線或無線局域網(wǎng)上傳遞 EAP 的標(biāo)準(zhǔn)。802.1X 不使用 PPP；而是把 EAP 消息被封裝在以太網(wǎng)幀中。封裝的 EAP 包被稱為局域網(wǎng)上的 EAP 或 EAPOL (EAP Over LAN)。

　　IEEE 802.1X 定義三個(gè)必要的角色完成認(rèn)證交換。1. 認(rèn)證者是網(wǎng)絡(luò)設(shè)備（例如：接入點(diǎn)、交換機(jī)）希望在允許訪問前增強(qiáng)認(rèn)證。2. 請求者是網(wǎng)絡(luò)設(shè)備（例如客戶端 PC、PDA）正在請求訪問。3. 認(rèn)證服務(wù)器，典型的是 RADIUS 服務(wù)器，執(zhí)行必要的認(rèn)證功能，代替認(rèn)證者檢查請求者的認(rèn)證證書，指示是否請求者已被授權(quán)訪問認(rèn)證者的服務(wù)。僅管一臺(tái)設(shè)備可能既是認(rèn)證者又是認(rèn)證服務(wù)器，但通常情況下，它們都是獨(dú)立的設(shè)備。獨(dú)立的認(rèn)證服務(wù)器最有效是當(dāng)大多數(shù)的認(rèn)證工作可以在被請求者（無線筆記本電腦）上實(shí)現(xiàn)時(shí)，認(rèn)證服務(wù)器可以具有較小的處理能力和內(nèi)存，節(jié)省成本。


圖1：802.1X 角色

　　揭密無線網(wǎng)絡(luò)訪問和802.1x安全性的疑惑　　

　　以下是通過 802.1x 成功認(rèn)證的典型過程。一旦請求者檢測到以激活的鏈接，則啟動(dòng)本過程（例如筆記本電腦和接入點(diǎn)關(guān)聯(lián)）。




　　現(xiàn)在存在許多版本的 EAP。他們的差別在于論證(challenge)過程的復(fù)雜性和安全性的不同。一些論證過程僅認(rèn)證客戶端，而其他論證則需要客戶端和網(wǎng)絡(luò)互相認(rèn)證。一些論證要求對請求和響應(yīng)加密。最常見的 EAP 類型是建立在交換機(jī)、路由器和操作系統(tǒng)上的，因?yàn)樵谶@些環(huán)境中通常最容易實(shí)現(xiàn)。以下表格列出了與 802.1x 共同使用的一些常見的 EAP 類型。




　　以下是幾個(gè)最常用 EAP 類型的認(rèn)證過程舉例：EAP-TLS、LEAP 和 PEAP-MSCHAP-V2。在第一個(gè)例子中，我們將添加無線局域網(wǎng)關(guān)聯(lián)過程和 IP 地址解析過程，因?yàn)檫@些過程與認(rèn)證過程都是最典型的客戶端登錄過程。


圖 2：典型的 WLAN 客戶端登錄過程

例 1：包含 EAP TLS 認(rèn)證的 WLAN 登錄過程
802.11 關(guān)聯(lián)過程


802.1X EAP-TLS 認(rèn)證過程


DHCP IP 地址解析過程


例 2：802.1X LEAP 認(rèn)證
本例中，僅描述了 LEAP 認(rèn)證過程。WLAN 關(guān)聯(lián)和 DCHP 過程不變。


例 3：802.1X PEAP-MS-CHAP-V2 認(rèn)證過程
本例中，僅描述了PEAP-MS-CHAP-V2 認(rèn)證過程。WLAN 關(guān)聯(lián)和 DCHP 過程不變。


總結(jié)

　　了解關(guān)聯(lián)、認(rèn)證和 IP 地址解析過程有助于對客戶端登錄問題進(jìn)行故障診斷�，F(xiàn)在有網(wǎng)絡(luò)分析工具可以監(jiān)測和記錄整個(gè)客戶端到網(wǎng)絡(luò)的登錄過程。如果有無線筆記本電腦用戶無法訪問網(wǎng)絡(luò)，可以連接網(wǎng)絡(luò)分析儀到您的網(wǎng)絡(luò)中，觀察整個(gè)登錄過程。您將能夠知道登錄過程失敗在哪里。一旦通過觀察這些過程分離出問題，您就能夠知道什么地方出現(xiàn)了問題，需要如何解決或修復(fù)此過程。

　　認(rèn)證，證明身份的過程，是網(wǎng)絡(luò)安全的基本途徑。通過執(zhí)行 IEEE 802.1X 認(rèn)證，網(wǎng)絡(luò)管理員能夠有效控制對網(wǎng)絡(luò)的訪問。選擇 EAP 類型時(shí)要考慮；有些 EAP 視為無線和有線局域網(wǎng)開發(fā)的，另一些只能用于其中一種網(wǎng)絡(luò)。在對類型進(jìn)行選擇前，事先做一些研究，因?yàn)樗鼈兏髯杂凶约旱膬?yōu)勢和不足。理解認(rèn)證和登錄相關(guān)的過程，將幫助您對用戶訪問問題進(jìn)行故障診斷。同時(shí)，對新出現(xiàn)的安全問題保持關(guān)注——是維持網(wǎng)絡(luò)的信譽(yù)最好的方法。

參考
IEEE Std 802.1X-2004, 局域網(wǎng)和城域網(wǎng) IEEE 標(biāo)準(zhǔn)，基于端口的網(wǎng)絡(luò)訪問控制。
IETF RFC 3748, 擴(kuò)展認(rèn)證協(xié)議 (EAP), Blunk, L., Vollbrecht, J., Aboba, B., Carlson, J., Levkowetz, H., June 2004
Geier, Jim. “802.1X Offers Authentication and Key Management.” Wi-Fi Planet 7 May 2002. Snyder, Joel. “What is 802.1X?” Network
World Fusion 6 May 2002
“802.1X Port Access Control for WLANs.” Wi-Fi Planet.com 5 September 2003
“Deploying 802.1X for WLANs: EAP Types.” Wi-Fi Planet.com 10 September 2003