解析802.1x网络安全机制

安全
作为管理员,你应当理解IEEE 802.1x标准是什么以及关注它的原因,这意味着理解三个独立的概念:PPP、EAP和802.1X自身。

本篇文章为企业系统管理员从PPP、EAP和802.1X三方面解析IEEE 802.X标准为何物,并进一步探寻IEEE 802.X网络的安全机制。使得企业管理人员进一步提升安全意识,为保护企业安全提供更好的保证。

多数人都熟悉PPP(点到点的协议)。该协议多用于拨号上网,它还被一些ISP以PPPoE的形式用于DSL和cable modem的认证。PPP是第二层隧道协议的一部分,它是微软的Windows 2000及以后的各个Windows版本的安全的远程访问解决方案的核心部分。

PPP的发展超过了其最初作为拨号访问方法的应用领域,现在已经被全面用于互联网中。PPP的一部分定义了一种身份验证机制。对于拨号访问,这种认证就是用户名和口令。PPP认证用于这种场合:在给与PPP用户访问权限之前,先对其进行确认。

多数企业都想做得更安全些,而不是仅仅靠用户名和口令进行访问控制,所以一种新的认证协议称为扩展认证协议(EAP)应运而生。EAP隶属于PPP的认证协议,它提供了几种不同认证方法的概括化的框架。EAP的目的是阻止私有的认证系统,并使得从口令到公钥基础架构证书的一切都能够顺畅运行。

借助于标准化的EAP,认证方法的协同性和兼容性就变得更为简单了。例如,在用户拨号访问一台远程访问服务器并使用EAP作为PPP连接的一部分时,远程访问服务器就没有必要了解用户认证系统的任何细节。唯一需要的是用户和认证服务器之间的协调。通过支持EAP认证,远程访问服务器将不再充当中间人,而是包装和重新包装数据包,并将其转交给RADIUS服务器,以执行实际的认证。

这又把我们带到了IEEE 802.X标准,这是一个可以在有线或无线局域网上传递EAP的标准。借助于802.1x,用户用以太网帧的形式对EAP消息进行打包,并不使用PPP。它用于认证而不是其它方面。在并不需要PPP的其余部分的情况下,这样做很值得的,在这里你使用的不是TCP/IP协议,或者说,使用PPP的成本和复杂性太高了。

802.1x使用三个重要的概念。需要验证的用户或客户端称为请求者。真正的服务器执行认证,这种服务器一般就是RADIUS服务器,称为认证服务器。而介于它们之间的设备,如一个无线接入点,称为认证者。如下图所示:
 

解析802.1x网络安全机制

802.1x的一个关键点是认证者可以很简单,所有的“聪明才智”都得位于请求者和认证服务器中。这就使得802.1x适合于无线访问点AP,一般来说,无线AP的内存和处理能力都非常有限。

802.1x中的这个协议称为LAN上的EAP封装(EAPOL)。目前,它是为以太网之类的局域网而定义的,包括802.11无线网以及令牌环网等。EAPOL并不十分复杂。有很多操作模式,但最常使用的情况是如下的方式:

1、请求者向认证者发送一个“EAP-响应/身份”数据包,并由认证者传递给认证服务器(RADIUS)。

2、身份认证服务器向认证者返回一个挑战回应,例如,用一个令牌口令系统。认证者从IP中解开它,然后将它重新包装成EAPOL,并将其发送给请求者。EAP仅支持客户端的认证和强健的双向认证。通常认为只有强健的双向认证才适合于无线网络。

3、请求者通过认证者对挑战作出响应,并将响应传递给认证服务器。

4、如果请求者提供了正确的身份,认证服务器就用一个成功消息作出响应,然后再将消息传递给认证者。认证者准许其访问LAN,其根据就是由认证服务器返回的属性。例如,认证者有可能将请求者转交给一个特别的虚拟局域网(VLAN)中或者是安装一套防火墙规则。

许多无线局域网厂商都坚持采用802.1x标准,以有助于实施认证并且保障有线和无线网络的安全。
 

【编辑推荐】

  1. Web专用网站服务器的安全设置
  2. 怎样进行路由器的安全设置
  3. 安全设置策略及自带防火墙介绍
  4. 安全技巧:交换机应用中的六种安全设置介绍
  5. 美国虚拟主机linux系统下的安全设置

 

责任编辑:张启峰 来源: IT专家网
相关推荐

2020-10-09 09:04:16

802.1x远端认证网络

2010-10-19 09:44:34

802.1X验证最佳实践

2010-06-25 14:34:11

IEEE 802.1x

2010-06-13 12:53:41

2010-01-06 14:40:01

2010-06-13 10:18:11

IEEE 802.1x

2013-10-09 10:44:14

交换机配置802.1X认证

2011-05-20 14:23:59

WLANWEPWPA

2010-06-13 12:56:40

IEEE 802.1x

2009-11-17 12:33:55

2010-01-05 14:24:58

2012-12-25 10:27:55

2011-10-24 14:22:05

2012-06-15 10:14:22

2009-12-24 15:26:14

2010-08-04 13:13:48

路由器配置

2010-01-12 13:47:57

2015-09-02 11:52:03

802.1xEAPPEAP

2021-01-18 10:35:18

网络安全Windows代码

2012-05-08 19:15:42

点赞
收藏

51CTO技术栈公众号