802.1x是一個IEEE的標準--port-based的network acces control,提供一種讓device attach到LAN/WLAN的認證機制這個機制於下方的EAPOL中說明。

802.1x定義了EAP (Extensible Authentication Protocol) over LAN 的封裝方式,也稱為EAPOL。EAPOL原本是給802.3 Ethernet用的,但後來也可適合於802網路,如802.11/FDDI。

PPP

大部分的人都用過的PPP是用來撥接上網。而提供ADSL和cable modem的ISP業者也透過PPPoE完成一些身份認證(username+pwd)及帳戶管理等工作,認證過後即可取得internet access。

 

EAP

而企業要的security不止是username+pwd,因此產生了EAP (Extensible Authentication Protocol)。EAP提供了一個framework讓各家廠商開發proprietary的authentication system,包括username+pwd,challenge-response,PKI, etc。中間則是由一台RADIUS server以及EAP packet來做真正的認證。

EAP是認證機制,其方法有:  MD5, TLS,Smart Card,PEAP,TTLS等。

 

802.1x

802.1x則提供了一個標準,規範在wired/wireless LAN上傳送EAP packets。802.1x定義了3種角色:

1. supplicant (SP): 提出認證要求的client

2. authentication server (AS): 真正做認證的server,通常是一個RADIUS server

3. authenticator(AP): 中間人,如AP。主要用來???。

802.1x的一個特色是authenticator不需要做什麼事,適合沒什麼CPU及memory resource的AP。

 

EAPOL

802.1x的protocol為EAPOL,用在ethernet-like的網路,包括802.11 WLAN。其認證步驟一般為:

1. 當supplicant associate到authenticator,authenticator立刻發EAP-Request/Identity的packet給supplicant

2. supplicant送EAP-Response/Identity給authenticator,然後被轉送至authentication server

3. authentication server送一個challenge給authenticator。authenticator repackage成EAPOL packet,再送給supplicant。此時,不同的認證方式會產生差異。

4. supplicant 回應這個challenge,透過authenticator回傳identity給authentication server

5. 若identity正確,authentication server回應success,並傳給supplicant。authenticator允許supplicant access

EAPOL是IP layer以下的protocol (MAC layer,所以沒有retransmit)。在EAP認證前的packet,透過EAPOL,經authenticator與authentication server認證。通過認證後,才可取得IP。

 

802.1x如何提升wireless security?

1。WEP其中一個大問題就是key的life time,以及在users間是shared。在802.1x每個station的每個session都可以有不同的key。authenticator也可頻繁的換key

2。802.1x讓network manager可以開發新的證證方式。

3. 透過特定的認證方式,可以知道是誰真正在使用網路

 

802.1x的問題

1. 更新週期。過長的話,不夠安全。過短的話,因無handshaking機制,當使用者多時,有可能掉key,導致斷線。

2. supplicant,authentication server需要軟體升級,支援EAP才可成為supplicant (XP已內建部分EAP method,linux需另外裝supplicant軟體)。而authenticator也需要一些設定。

 

Reference

無線網路安全機制剖析

What is 802.1X?

淺談IEEE 802.1X/EAP架構

kezeodsnx 發表在 痞客邦 PIXNET 留言(0) 人氣()