作者:美國福祿克網絡公司
無線網絡的開放性為網絡治理員和用戶增加了不確定性。
網絡治理員希望只答應授權用戶訪問其網絡�,而用戶則需要確保自己訪問的是恰當的網絡。本文深入討論了典型的無線局域網客戶登錄過程以及802.1x和 EAP 驗證過程����。網絡治理員和網絡用戶都關心網絡訪問權限和安全性。網絡治理員希望確保請求訪問網絡的客戶端確實是其本身——是已授權用戶而非冒名頂替的用戶。而網絡用戶所希望的是當筆記本電腦連接到無線網絡時�����,他確實連接到了自己的網絡——而不是由黑客建成�����,用于收集用戶信息的假冒網絡���。對網絡治理員和用戶來說�,他們最基本的需要是對網絡的信任���。
事實證實���,初期開發的一些安全和保密性方案所提供的信任���,對于黑客的攻擊是脆弱的。例如:802.11的有線等效保密協議(WEP)���。今天的網絡治理員正在體現802.1X���,希望它可以提供一個可靠的安全環境��。到目前為止�����,802.1X還能滿足這個諾言�。
在2004年12月13日��,IEEE 發布了 802.1X 標準“基于端口的網絡訪問控制”��。 可以訪問http://standards.ieee.org /getieee802/802.1.Html 獲取相關信息�。802.1X 標準對于嘗試連接到局域網的設備,提供了認證和授權的方法�。防止認證和授權失敗的用戶訪問局域網����。
由于無法將WLAN像有線網一樣從物理上放到墻后或用門鎖上,這使他們更加輕易受到攻擊�。無線局域網的治理員是第一批實施802.1X 的人。現在 802.1X 的應用�,已經擴展到有線網絡,作為補充的安全措施���。
IEEE802.1X是從點對點協議(PPP) 和擴展的認證協議 (EAP) 演變而來�。PPP 通常用于因特網 (Internet) 撥號訪問。它包括認證機制�����,含有用戶名和密碼���。EAP 的出現���,提供了更豐富的安全機制。EAP 駐留在 PPP 認證協議中�,為幾個不同的認證方法提供廣義的框架。EAP 在 IETF's RFC 3748 中定義 EAP�,可以從http://www.ietf.org/rfc 獲取相關信息。IEEE 802.1X 是在有線或無線局域網上傳遞 EAP 的標準�。802.1X 不使用 PPP;而是把 EAP 消息被封裝在以太網幀中�����。封裝的 EAP 包被稱為局域網上的 EAP 或 EAPOL (EAP Over LAN)�。
IEEE802.1X定義三個必要的角色完成認證交換。1.認證者是網絡設備(例如:接入點�、交換機)希望在答應訪問前增強認證���。2. 請求者是網絡設備(例如客戶端 PC��、PDA)正在請求訪問����。3. 認證服務器��,典型的是 RADIUS 服務器�����,執行必要的認證功能�����,代替認證者檢查請求者的認證證書���,指示是否請求者已被授權訪問認證者的服務���。僅管一臺設備可能既是認證者又是認證服務器,但通常情況下�,它們都是獨立的設備�。獨立的認證服務器最有效是當大多數的認證工作可以在被請求者(無線筆記本電腦)上實現時����,認證服務器可以具有較小的處理能力和內存,節省成本��。
圖1:802.1X角色
揭密無線網絡訪問和802.1x安全性的迷惑
以下是通過802.1x成功認證的典型過程�。一旦請求者檢測到以激活的鏈接,則啟動本過程(例如筆記本電腦和接入點關聯)����。
現在存在許多版本的EAP����。他們的差別在于論證(challenge)過程的復雜性和安全性的不同。一些論證過程僅認證客戶端����,而其他論證則需要客戶端和網絡互相認證。一些論證要求對請求和響應加密�����。最常見的EAP類型是建立在交換機���、路由器和操作系統上的�,因為在這些環境中通常最輕易實現。以下表格列出了與 802.1x 共同使用的一些常見的 EAP 類型。
以下是幾個最常用EAP類型的認證過程舉例:EAP-TLS���、LEAP和 PEAP-MSCHAP-V2�。在第一個例子中�,我們將添加無線局域網關聯過程和 ip 地址解析過程,因為這些過程與認證過程都是最典型的客戶端登錄過程����。
圖2:典型的WLAN客戶端登錄過程
例1:包含EAPTLS 認證的 WLAN 登錄過程
802.11關聯過程
802.1XEAP-TLS認證過程
DHCPIP地址解析過程
例2:802.1XLEAP認證
本例中����,僅描述了LEAP認證過程。WLAN關聯和 DCHP 過程不變���。
例3:802.1XPEAP-MS-CHAP-V2認證過程
本例中����,僅描述了PEAP-MS-CHAP-V2認證過程���。WLAN關聯和DCHP 過程不變�����。
總結
了解關聯�����、認證和IP地址解析過程有助于對客戶端登錄問題進行故障診斷?,F在有網絡分析工具可以監測和記錄整個客戶端到網絡的登錄過程。假如有無線筆記本電腦用戶無法訪問網絡��,可以連接網絡分析儀到您的網絡中���,觀察整個登錄過程����。您將能夠知道登錄過程失敗在哪里��。一旦通過觀察這些過程分離出問題�����,您就能夠知道什么地方出現了問題��,需要如何解決或修復此過程��。
認證���,證實身份的過程����,是網絡安全的基本途徑�。通過執行IEEE802.1X認證����,網絡治理員能夠有效控制對網絡的訪問。選擇 EAP 類型時要考慮�����;有些 EAP 視為無線和有線局域網開發的��,另一些只能用于其中一種網絡�����。在對類型進行選擇前,事先做一些研究����,因為它們各自有自己的優勢和不足。理解認證和登錄相關的過程��,將幫助您對用戶訪問問題進行故障診斷�����。同時����,對新出現的安全問題保持關注——是維持網絡的信譽最好的方法。
參考
IEEEStd802.1X-2004,局域網和城域網 IEEE 標準��,基于端口的網絡訪問控制���。
IETFRFC3748,擴展認證協議 (EAP), Blunk, L., Vollbrecht, J., Aboba, B., Carlson, J., Levkowetz, H., June 2004
Geier,Jim.“802.1XOffers Authentication and Key Management.” Wi-Fi Planet 7 May 2002. Snyder, Joel. “What is 802.1X?” Network
WorldFusion6May 2002
“802.1XPortaccessControl for WLANs.” Wi-Fi Planet.com 5 September 2003
“Deploying802.1XforWLANs: EAP Types.” Wi-Fi Planet.com 10 September 2003
