802.1x是一個IEEE的標準--port-based的network acces control,提供一種讓device attach到LAN/WLAN的認證機制。這個機制於下方的EAPOL中說明。
802.1x定義了EAP (Extensible Authentication Protocol) over LAN 的封裝方式,也稱為EAPOL。EAPOL原本是給802.3 Ethernet用的,但後來也可適合於802網路,如802.11/FDDI。
PPP
大部分的人都用過的PPP是用來撥接上網。而提供ADSL和cable modem的ISP業者也透過PPPoE完成一些身份認證(username+pwd)及帳戶管理等工作,認證過後即可取得internet access。
EAP
而企業要的security不止是username+pwd,因此產生了EAP (Extensible Authentication Protocol)。EAP提供了一個framework讓各家廠商開發proprietary的authentication system,包括username+pwd,challenge-response,PKI, etc。中間則是由一台RADIUS server以及EAP packet來做真正的認證。
EAP是認證機制,其方法有: MD5, TLS,Smart Card,PEAP,TTLS等。
802.1x
802.1x則提供了一個標準,規範在wired/wireless LAN上傳送EAP packets。802.1x定義了3種角色:
1. supplicant (SP): 提出認證要求的client
2. authentication server (AS): 真正做認證的server,通常是一個RADIUS server
3. authenticator(AP): 中間人,如AP。主要用來???。
802.1x的一個特色是authenticator不需要做什麼事,適合沒什麼CPU及memory resource的AP。
EAPOL
802.1x的protocol為EAPOL,用在ethernet-like的網路,包括802.11 WLAN。其認證步驟一般為:
1. 當supplicant associate到authenticator,authenticator立刻發EAP-Request/Identity的packet給supplicant
2. supplicant送EAP-Response/Identity給authenticator,然後被轉送至authentication server
3. authentication server送一個challenge給authenticator。authenticator repackage成EAPOL packet,再送給supplicant。此時,不同的認證方式會產生差異。
4. supplicant 回應這個challenge,透過authenticator回傳identity給authentication server
5. 若identity正確,authentication server回應success,並傳給supplicant。authenticator允許supplicant access
EAPOL是IP layer以下的protocol (MAC layer,所以沒有retransmit)。在EAP認證前的packet,透過EAPOL,經authenticator與authentication server認證。通過認證後,才可取得IP。
802.1x如何提升wireless security?
1。WEP其中一個大問題就是key的life time,以及在users間是shared。在802.1x每個station的每個session都可以有不同的key。authenticator也可頻繁的換key
2。802.1x讓network manager可以開發新的證證方式。
3. 透過特定的認證方式,可以知道是誰真正在使用網路
802.1x的問題
1. 更新週期。過長的話,不夠安全。過短的話,因無handshaking機制,當使用者多時,有可能掉key,導致斷線。
2. supplicant,authentication server需要軟體升級,支援EAP才可成為supplicant (XP已內建部分EAP method,linux需另外裝supplicant軟體)。而authenticator也需要一些設定。
Reference
留言列表
生活 (4)