作者:美国福禄克网络公司
无线网络的开放性为网络治理员和用户增加了不确定性。
网络治理员希望只答应授权用户访问其网络,而用户则需要确保自己访问的是恰当的网络。本文深入讨论了典型的无线局域网客户登录过程以及802.1x和 EAP 验证过程。网络治理员和网络用户都关心网络访问权限和安全性。网络治理员希望确保请求访问网络的客户端确实是其本身——是已授权用户而非冒名顶替的用户。而网络用户所希望的是当笔记本电脑连接到无线网络时,他确实连接到了自己的网络——而不是由黑客建成,用于收集用户信息的假冒网络。对网络治理员和用户来说,他们最基本的需要是对网络的信任。
事实证实,初期开发的一些安全和保密性方案所提供的信任,对于黑客的攻击是脆弱的。例如:802.11的有线等效保密协议(WEP)。今天的网络治理员正在体现802.1X,希望它可以提供一个可靠的安全环境。到目前为止,802.1X还能满足这个诺言。
在2004年12月13日,IEEE 发布了 802.1X 标准“基于端口的网络访问控制”。 可以访问http://standards.ieee.org /getieee802/802.1.Html 获取相关信息。802.1X 标准对于尝试连接到局域网的设备,提供了认证和授权的方法。防止认证和授权失败的用户访问局域网。
由于无法将WLAN像有线网一样从物理上放到墙后或用门锁上,这使他们更加轻易受到攻击。无线局域网的治理员是第一批实施802.1X 的人。现在 802.1X 的应用,已经扩展到有线网络,作为补充的安全措施。
IEEE802.1X是从点对点协议(PPP) 和扩展的认证协议 (EAP) 演变而来。PPP 通常用于因特网 (Internet) 拨号访问。它包括认证机制,含有用户名和密码。EAP 的出现,提供了更丰富的安全机制。EAP 驻留在 PPP 认证协议中,为几个不同的认证方法提供广义的框架。EAP 在 IETF's RFC 3748 中定义 EAP,可以从http://www.ietf.org/rfc 获取相关信息。IEEE 802.1X 是在有线或无线局域网上传递 EAP 的标准。802.1X 不使用 PPP;而是把 EAP 消息被封装在以太网帧中。封装的 EAP 包被称为局域网上的 EAP 或 EAPOL (EAP Over LAN)。
IEEE802.1X定义三个必要的角色完成认证交换。1.认证者是网络设备(例如:接入点、交换机)希望在答应访问前增强认证。2. 请求者是网络设备(例如客户端 PC、PDA)正在请求访问。3. 认证服务器,典型的是 RADIUS 服务器,执行必要的认证功能,代替认证者检查请求者的认证证书,指示是否请求者已被授权访问认证者的服务。仅管一台设备可能既是认证者又是认证服务器,但通常情况下,它们都是独立的设备。独立的认证服务器最有效是当大多数的认证工作可以在被请求者(无线笔记本电脑)上实现时,认证服务器可以具有较小的处理能力和内存,节省成本。
图1:802.1X角色
揭密无线网络访问和802.1x安全性的迷惑
以下是通过802.1x成功认证的典型过程。一旦请求者检测到以激活的链接,则启动本过程(例如笔记本电脑和接入点关联)。
现在存在许多版本的EAP。他们的差别在于论证(challenge)过程的复杂性和安全性的不同。一些论证过程仅认证客户端,而其他论证则需要客户端和网络互相认证。一些论证要求对请求和响应加密。最常见的EAP类型是建立在交换机、路由器和操作系统上的,因为在这些环境中通常最轻易实现。以下表格列出了与 802.1x 共同使用的一些常见的 EAP 类型。
以下是几个最常用EAP类型的认证过程举例:EAP-TLS、LEAP和 PEAP-MSCHAP-V2。在第一个例子中,我们将添加无线局域网关联过程和 ip 地址解析过程,因为这些过程与认证过程都是最典型的客户端登录过程。
图2:典型的WLAN客户端登录过程
例1:包含EAPTLS 认证的 WLAN 登录过程
802.11关联过程
802.1XEAP-TLS认证过程
DHCPIP地址解析过程
例2:802.1XLEAP认证
本例中,仅描述了LEAP认证过程。WLAN关联和 DCHP 过程不变。
例3:802.1XPEAP-MS-CHAP-V2认证过程
本例中,仅描述了PEAP-MS-CHAP-V2认证过程。WLAN关联和DCHP 过程不变。
总结
了解关联、认证和IP地址解析过程有助于对客户端登录问题进行故障诊断。现在有网络分析工具可以监测和记录整个客户端到网络的登录过程。假如有无线笔记本电脑用户无法访问网络,可以连接网络分析仪到您的网络中,观察整个登录过程。您将能够知道登录过程失败在哪里。一旦通过观察这些过程分离出问题,您就能够知道什么地方出现了问题,需要如何解决或修复此过程。
认证,证实身份的过程,是网络安全的基本途径。通过执行IEEE802.1X认证,网络治理员能够有效控制对网络的访问。选择 EAP 类型时要考虑;有些 EAP 视为无线和有线局域网开发的,另一些只能用于其中一种网络。在对类型进行选择前,事先做一些研究,因为它们各自有自己的优势和不足。理解认证和登录相关的过程,将帮助您对用户访问问题进行故障诊断。同时,对新出现的安全问题保持关注——是维持网络的信誉最好的方法。
参考
IEEEStd802.1X-2004,局域网和城域网 IEEE 标准,基于端口的网络访问控制。
IETFRFC3748,扩展认证协议 (EAP), Blunk, L., Vollbrecht, J., Aboba, B., Carlson, J., Levkowetz, H., June 2004
Geier,Jim.“802.1XOffers Authentication and Key Management.” Wi-Fi Planet 7 May 2002. Snyder, Joel. “What is 802.1X?” Network
WorldFusion6May 2002
“802.1XPortaccessControl for WLANs.” Wi-Fi Planet.com 5 September 2003
“Deploying802.1XforWLANs: EAP Types.” Wi-Fi Planet.com 10 September 2003
