802.1X: WPA ve EAP ile ilgili TAM ne anlama geliyor?


19

802.1X'in bir çeşit port kimlik doğrulama kontrolü olduğunu anlıyorum. Ancak, kablosuz ağımın şifreleme ayarlarını kontrol ederken, WPA2, WPA ve WEP ile birlikte bir açılır menüde 802.1X buldum, ancak bunların nasıl alternatif olabileceğini göremiyorum.

Birisi, belki de EAP protokolüyle de ilgili olarak, 802.1X'in nasıl uyduğunu açıklayabilir mi? Tek bildiğim, 802.1X'in her fiziksel bağlantı noktası için iki mantıksal bağlantı noktası varlığı sağlaması, bunlardan biri kimlik doğrulama için ve diğerinin gerçek EAP mesajlarının akması için olduğunu mu düşünüyorum?

Yanıtlar:


38

Layman'ın şartlarına en yakın şekilde, biraz basitleştirilmiş ve basitlik uğruna sadece WPA2 ile sınırlı olabilirim:

802.1X bir şifreleme türü DEĞİLDİR. Temel olarak yalnızca kullanıcı başına (ör. Kullanıcı adı ve şifre) bir kimlik doğrulama mekanizmasıdır.

WPA2, kablosuz güvenliğinizin iki ana yönünü belirten bir güvenlik şemasıdır:

  • Kimlik Doğrulama: PSK ("Kişisel") veya 802.1X ("Kurumsal") seçiminiz.
  • Şifreleme: Her zaman AES-CCMP.

Ağınızda WPA2 güvenliği kullanıyorsanız, iki kimlik doğrulama seçeneğiniz vardır: Herkesin bildiği tüm ağ için tek bir şifre kullanmanız gerekir (buna Önceden Paylaşılan Anahtar veya PSK denir) veya 802.1X kullanırsınız her kullanıcıyı kendi benzersiz oturum açma kimlik bilgilerini kullanmaya zorlamak (ör. kullanıcı adı ve şifre).

Ağınızı kullanmak için hangi kimlik doğrulama türünü ayarladığınıza bakılmaksızın, WPA2, verilerinizi gizlilik amacıyla havadan şifrelemek ve diğer çeşitli saldırı türlerini engellemek için her zaman AES-CCMP adlı bir şema kullanır.

802.1X "LAN üzerinden EAP" veya EAPoL'dir. EAP, "Genişletilebilir Kimlik Doğrulama Protokolü" anlamına gelir; bu, çeşitli kimlik doğrulama yöntemleri için bir eklenti şeması anlamına gelir. Bazı örnekler:

  • Kullanıcılarınızın kullanıcı adları ve parolalarıyla kimliğini doğrulamak istiyor musunuz? O zaman "PEAP" kullanmak için iyi bir EAP türüdür.
  • Kullanıcılarınızın sertifikalarla kimliğini doğrulamak istiyor musunuz? O zaman "EAP-TLS" kullanmak için iyi bir EAP türüdür.
  • Ağınızdaki cihazların tümü SIM kartlı GSM akıllı telefonlar mı? Ardından, şebekenize erişmek için GSM SIM kart tarzı kimlik doğrulaması yapmak için "EAP-SIM" kullanabilirsiniz. vs vs.

Kablosuz yönlendiricinizi 802.1X kullanacak şekilde ayarladıysanız, bazı EAP türleriyle kullanıcılarınızın kimliğini doğrulamanın bir yolu olması gerekir. Bazı yönlendiriciler, doğrudan yönlendiriciye bir kullanıcı adı ve parola listesi girme yeteneğine sahip olabilir ve yönlendirici, tüm kimlik doğrulamasını tek başına nasıl yapacağını bilir. Ancak çoğu muhtemelen RADIUS'u yapılandırmanızı gerektirir. RADIUS, kullanıcı adınızı ve parola veritabanınızı merkezi bir sunucuda tutmanıza olanak tanıyan bir protokoldür, bu nedenle her kullanıcı eklediğinizde veya sildiğinizde veya kullanıcı parolasını veya başka bir şeyi her değiştirdiğinizde her bir kablosuz yönlendiricide her değişiklik yapmanız gerekmez. 802.1X yapan kablosuz yönlendiriciler genellikle kullanıcıların doğrudan nasıl doğrulanacağını bilmezler, 802.1X ve RADIUS arasında nasıl ağ geçeceklerini bilirler, böylece kablosuz istemci makinelerin aslında ağdaki bir RADIUS sunucusu tarafından kimlik doğrulaması yapılır,

Kablosuz yönlendiricinizin kullanıcı arayüzünde bir şifreleme türleri listesinde "802.1X" varsa, muhtemelen kimlik doğrulaması için 802.1X ve oturum başına kullanıcı başına kullanılan eski bir şema olan "Dinamik WEP ile 802.1X" anlamına gelir. WEP anahtarları, kimlik doğrulama işleminin bir parçası olarak dinamik olarak oluşturulur ve bu nedenle WEP, sonuçta kullanılan şifreleme yöntemidir.

Güncelleme yeniden: iki mantıksal bağlantı noktası

İki mantıksal bağlantı noktası varlığı hakkındaki sorunuzu yanıtlamak için, 802.1X spesifikasyonunda atıfta bulunabileceğiniz iki ayrı kavram vardır.

İlk olarak, 802.1X spesifikasyonu, 802.1X protokolü için istemci ve sunucu rollerini tanımlar, ancak bunları sırasıyla İstemci ve Kimlik Doğrulayıcı olarak adlandırır. Kablosuz istemcinizde veya kablosuz yönlendiricinizde 802.1X İstemci veya Kimlik Doğrulayıcı rolünü yerine getiren yazılımınız vardır. Bu rolü gerçekleştiren bu yazılıma, spesifikasyon tarafından Port Access Entity veya PAE denir.

İkincisi, teknik özellikler, örneğin, kablosuz istemci makineniz içinde, başka bir ağ yazılımı açık olmasa bile, kimlik doğrulaması gerçekleştirmek için EAP paketleri göndermek ve almak için 802.1X Supplicant yazılımınızın kablosuz arayüzünüze erişmesinin bir yolu olması gerektiğini belirtmektedir. sisteminizin henüz kablosuz arayüzü kullanmasına izin verilmiyor (çünkü ağ arayüzünün kimliği doğrulanana kadar güvenilir değil). Bu nedenle, IEEE spesifikasyon belgelerinin garip mühendislik yasal belgelerinde, 802.1X istemci yazılımının bağladığı mantıksal bir "kontrolsüz bağlantı noktası" ve ağ yığınının geri kalanının bağlandığı "kontrollü bir bağlantı noktası" olduğunu söylüyor. Bir 802.1X ağına ilk kez bağlanmaya çalıştığınızda, 802.1X istemcisi işini yaparken yalnızca kontrolsüz bağlantı noktası etkinleştirilir. Bağlantı doğrulandıktan sonra (ve diyelim ki,

Uzun Cevap, layman'ın terimleriyle çok fazla değil:
IEEE 802.1X, kablolu veya kablosuz Ethernet LAN'lar (ve IEEE 802 ailesindeki potansiyel olarak diğer ağ şemaları) için kullanıcı başına veya cihaz başına kimlik doğrulaması yapmanın bir yoludur. Başlangıçta kablolu Ethernet ağları için tasarlanmış ve dağıtılmıştır ve daha sonra IEEE 802.11 (kablosuz LAN) çalışma grubu tarafından 802.11i 802.11i güvenlik ekinin bir parçası olarak kullanıcı başına veya aygıt başına kimlik doğrulama yöntemi olarak benimsenmiştir. 802.11 ağları için.

WPA veya WPA2 ağınızda 802.1X kimlik doğrulaması kullandığınızda, WPA veya WPA2'nin gizlilik şifrelerini ve mesaj bütünlüğü algoritmalarını kullanmaya devam ediyorsunuz. Yani, WPA durumunda, gizlilik şifreniz olarak TKIP ve mesaj bütünlüğü kontrolü olarak MIChael kullanıyorsunuz. WPA2 durumunda, hem gizlilik şifresi hem de mesaj bütünlüğü kontrolü olan AES-CCMP kullanıyorsunuz.

802.1X'i kullanmanın farkı, artık ağ genelinde bir Ön Paylaşımlı Anahtar (PSK) kullanmamanızdır. Tüm cihazlar için tek bir PSK kullanmadığınızdan, her cihazın trafiği daha güvenlidir. PSK ile, PSK'ı biliyorsanız ve bir cihaz ağa katıldığında anahtar anlaşmasını yakalarsanız, o cihazın tüm trafiğinin şifresini çözebilirsiniz. Ancak 802.1X ile kimlik doğrulama işlemi, bağlantı için benzersiz bir Çift Ana Anahtar (PMK) oluşturmak için kullanılan anahtarlama malzemesini güvenli bir şekilde oluşturur, bu nedenle bir kullanıcının başka bir kullanıcının trafiğinin şifresini çözmesi mümkün değildir.

802.1X, ilk olarak PPP için geliştirilmiş olan Genişletilebilir Kimlik Doğrulama Protokolü olan EAP'yi temel alır ve şifreli tünelde (IPSec üzerinden LT2P, PPTP, vb.) PPP kullanan VPN çözümlerinde hala yaygın olarak kullanılmaktadır. Aslında, 802.1X'e genel olarak "LAN üzerinden EAP" veya "EAPoL" denir.

EAP, kullanılan belirli kimlik doğrulama yönteminin ayrıntılarını bilmek zorunda kalmadan kimlik doğrulama mesajlarını (kimlik doğrulama istekleri, zorluklar, yanıtlar, başarı bildirimleri vb.) Taşımak için genel bir mekanizma sağlar. Kullanıcı adı ve şifre, sertifikalar, token kartları ve daha fazlası ile kimlik doğrulaması yapmak için bir dizi farklı "EAP türü" (EAP'ye takılmak için tasarlanmış kimlik doğrulama mekanizmaları) vardır.

EAP'nin PPP ve VPN ile geçmişi nedeniyle, her zaman kolayca RADIUS'a geçmiştir. Bu nedenle, 802.1X'i destekleyen 802.11 AP'lerin bir RADIUS istemcisi içermesi tipiktir (ancak teknik olarak gerekli değildir). Bu nedenle AP'ler genellikle kimsenin kullanıcı adını veya şifresini veya çeşitli EAP kimlik doğrulama türlerinin nasıl işleneceğini bilmez, 802.1X'den genel bir EAP mesajını nasıl alacağını ve RADIUS mesajına dönüştürüp RADIUS sunucusuna ileteceğini bilirler. . Yani AP kimlik doğrulaması için sadece bir kanaldır ve ona taraf değildir. Kimlik doğrulamanın gerçek uç noktaları genellikle kablosuz istemci ve RADIUS sunucusudur (veya RADIUS sunucusunun ağ geçidinde bulunduğu bazı yukarı akış kimlik doğrulama sunucusudur).

Bilmek istediğinizden daha fazla geçmiş: 802.11 ilk kez oluşturulduğunda, desteklediği tek kimlik doğrulama yöntemi 40 veya 104 bit WEP anahtarları kullanan bir paylaşılan anahtar kimlik doğrulama biçimiydi ve WEP ağ başına 4 anahtarla sınırlıydı. Ağınıza bağlanan tüm kullanıcılar veya cihazlar, ağa erişmek için ağın 4 kısa anahtarından birini bilmek zorundaydı. Standartta her kullanıcının veya cihazın ayrı ayrı kimlik doğrulamasının bir yolu yoktu. Ayrıca, paylaşılan anahtar kimlik doğrulamasının yapılma şekli, kolay "çevrimdışı kâhin" hızlı kaba kuvvet anahtar tahmin saldırıları için izin verdi.

Kurumsal sınıf 802.11 donanımının birçok satıcısı, 802.11'in kurumsal pazarda başarılı olması için kullanıcı başına (yani kullanıcı adı ve parola veya kullanıcı sertifikası) veya cihaz başına (makine sertifikası) kimlik doğrulamasının gerekli olduğunu fark etti. 802.1X henüz tam olarak yapılmamasına rağmen, Cisco 802.1X'in taslak bir versiyonunu aldı, bir EAP türüyle (bir tür EAP-MSCHAPv2) sınırladı, oturum başına cihaz başına dinamik WEP anahtarları üretmesini sağladı ve "Hafif EAP" veya LEAP adını verdiler. Diğer satıcılar da benzer şeyler yaptı, ancak "dinamik WEP'li 802.1X" gibi clunkier adlarıyla.

Wi-Fi Alliance (Kablosuz Ethernet Uyumluluk İttifakı veya "WECA") WEP'in haklı olarak kötü temsilcisi olduğunu gördü ve sektörde güvenlik düzeni parçalanmasının olduğunu gördü, ancak IEEE 802.11 çalışma grubunun bitmesini bekleyemedi 802.1X'i 802.11i'ye kabul ederek Wi-Fi Alliance, WEP'teki kusurları bir gizlilik şifresi (sabitlemek için TKIP oluşturma) olarak düzeltmek için birlikte çalışabilir bir çapraz satıcı standardı tanımlamak için Wi-Fi Korumalı Erişim (WPA) oluşturdu. WEP tabanlı paylaşılan anahtar kimlik doğrulamasında (bunun yerine WPA-PSK oluşturma) ve kullanıcı başına veya aygıt başına kimlik doğrulaması için 802.1X kullanmanın bir yolunu sunar.

Daha sonra IEEE 802.11i görev grubu işlerini bitirdi, geleceğin gizlilik şifresi olarak AES-CCMP'yi seçti ve 802.11X'i 802.11 için kablosuz ağlarda, kullanıcı başına ve cihaz başına kimlik doğrulaması için güvenli tutmak için belirli kısıtlamalarla benimsedi kablosuz LAN'lar. Buna karşılık, Wi-Fi Alliance, 802.11i uygulamaları arasındaki birlikte çalışabilirliği onaylamak için WPA2 oluşturdu. (Wi-Fi Alliance gerçekten bir birlikte çalışma sertifikası ve pazarlama kuruluşudur ve genellikle IEEE'nin gerçek WLAN standartları kuruluşu olmasını sağlamayı tercih eder. Ancak IEEE çok gizlidir ve endüstri için yeterince hızlı hareket etmiyorsa, Fi Alliance devreye girecek ve IEEE'nin önünde standartlar gibi vücut benzeri işler yapacak ve daha sonra ortaya çıktıktan sonra genellikle ilgili IEEE standardını savunacaktır.)


Hey spiff, 802.1x hakkında okuduğum kısmı iki mantıksal bağlantı noktası oluşturabilir, layman cevabınızla bağlayabilir misiniz? Teşekkürler
Jason

3
@ Jason Okay, güncellendi. Bu arada, 802.1X bağımsız bir özelliktir (başka bir spesifikasyona ek değildir), bu nedenle IEEE adlandırma kurallarında büyük harf alır. Yani 802.1x değil, 802.1X. Belgeleri veya yanlış anlayan bir makaleyi her gördüğünüzde, bunu ayrıntılara dikkatsizlik ve dikkatsizlik işareti olarak kabul edin ve bu belgeye veya makaleye ne kadar inanç koyduğunuzu etkilemesine izin verin.
12'de Spiff

Bu nedenle WPA2 / Enterprise, AES şifrelemesidir ve 802.1X, WEP şifrelemesidir. Her ikisi de kimlik doğrulama için 802.1X kullansalar bile. Her şeyin arkasında bazı tarihlerle çok ayrıntılı bir şekilde belgelendi. @Spiff, keşke iki kez oy verebilsem.
Brain2000

Brain2000 @. Dikkatli olun, aşırı basitleştirilmiş yeniden düzenlemeniz çok yanıltıcıdır. Bazı AP'lerin, gerçekte ne anlama geldiklerini "dinamik WEP ile 802.1X" olduğunda yanıltıcı bir şekilde sadece "802.1X" diyen boktan kullanıcı arayüzlerine sahip oldukları doğru olabilir. Ancak 802.1X, 802.11'e özgü olmayan, çok daha az WEP olan LAN'lar için genişletilebilir bir kimlik doğrulama protokolüdür.
Spiff

@Spiff Haklısınız, aynı açılan menüde "WPA2 / Enterprise" ve "802.1X" i gösteren berbat bir kullanıcı arayüzüdür. Sonuçta, bu tüm sorunun konusu. Evet, bence yazdığım şey yazmak istediğim şey. Bu aşırı basitleştirme değil. Bildiğiniz gibi berbat bir kullanıcı arayüzü.
Brain2000
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.