ภาพรวม 802.1X
802.1X เป็นโปรโตคอลการเข้าถึงพอร์ตสําหรับปกป้องเครือข่ายผ่านการตรวจสอบความถูกต้อง ส่งผลให้วิธีการตรวจสอบความถูกต้องประเภทนี้มีประโยชน์อย่างมากในสภาพแวดล้อม Wi-Fi เนื่องจากธรรมชาติของสื่อ หากผู้ใช้ Wi-Fi ได้รับการรับรองความถูกต้องผ่าน 802.1X สําหรับการเข้าถึงเครือข่าย พอร์ตเสมือนจะเปิดขึ้นบนจุดเชื่อมต่อที่อนุญาตให้มีการสื่อสาร หากไม่ได้รับอนุญาตสําเร็จ พอร์ตเสมือนจะไม่สามารถใช้งานได้ และการสื่อสารจะถูกบล็อก
มีชิ้นส่วนพื้นฐานสามชิ้นไปยังการตรวจสอบความถูกต้อง 802.1X:
- คงทน ไคลเอ็นต์ซอฟต์แวร์ที่ทํางานบนเวิร์คสเตชัน Wi-Fi
- ตัวรับรองความถูกต้อง จุดเชื่อมต่อ Wi-Fi
- เซิร์ฟเวอร์การตรวจสอบความถูกต้อง ฐานข้อมูลการตรวจสอบความถูกต้องมักจะเป็นเซิร์ฟเวอร์ที่มีรัศมี เช่น Cisco ACS*, Funk Steel-Belted RADIUS* หรือ Microsoft IAS*
Extensible Authentication Protocol (EAP) จะถูกใช้เพื่อส่งผ่านข้อมูลการตรวจสอบความถูกต้องระหว่าง supplicant (Wi-Fi workstation) และเซิร์ฟเวอร์การตรวจสอบความถูกต้อง (Microsoft IAS หรืออื่นๆ) ประเภท EAP จะจัดการและกําหนดการตรวจสอบความถูกต้องจริง จุดเชื่อมต่อที่ทําหน้าที่เป็นผู้รับรองความถูกต้องเป็นเพียงพร็อกซี่ที่อนุญาตให้เซิร์ฟเวอร์ยืนยันตัวตนและเซิร์ฟเวอร์ตรวจสอบความถูกต้องสามารถสื่อสารได้
ฉันควรใช้แบบใด
EAP ประเภทใดที่จะนําไปใช้ หรือต้องการใช้ 802.1X หรือไม่ ขึ้นอยู่กับระดับความปลอดภัยที่องค์กรต้องการ โอเวอร์เฮดการบริหารและคุณสมบัติที่ต้องการ หวังว่าคําอธิบายที่นี่และแผนภูมิเปรียบเทียบจะช่วยลดความยุ่งยากในการทําความเข้าใจประเภท EAP ที่หลากหลาย
ประเภทการตรวจสอบความถูกต้อง Extensible Authentication Protocol (EAP)
เนื่องจากความปลอดภัยของ Wi-Fi Local Area Network (WLAN) เป็นสิ่งจําเป็น และประเภทการตรวจสอบความถูกต้อง EAP จึงเป็นวิธีรักษาความปลอดภัยการเชื่อมต่อ WLAN ที่ดีขึ้นอย่างรวดเร็ว ผู้จัดจําหน่ายจึงพัฒนาและเพิ่มประเภทการตรวจสอบความถูกต้อง EAP ไปยังจุดเชื่อมต่อ WLAN อย่างรวดเร็ว บางประเภทการตรวจสอบความถูกต้อง EAP ที่ใช้บ่อยที่สุดได้แก่ EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast และ Cisco LEAP
- ความท้าทายของ EAP-MD-5 (Message Digest) เป็นประเภทการตรวจสอบความถูกต้อง EAP ที่ให้การสนับสนุน EAP ระดับพื้นฐาน โดยทั่วไปแล้ว ไม่แนะนําให้ใช้ EAP-MD-5 สําหรับการใช้งาน Wi-Fi LAN เนื่องจากอาจอนุญาตให้สืบทอดรหัสผ่านของผู้ใช้ได้ ซึ่งให้การตรวจสอบความถูกต้องแบบทิศทางเดียวเท่านั้น - ไม่มีการตรวจสอบความถูกต้องร่วมกันของไคลเอนต์ Wi-Fi และเครือข่าย และที่สําคัญมากก็คือไม่มีวิธีสืบทอดคีย์ความเป็นส่วนตัวที่เทียบเท่า (WEP) แบบใช้สายต่อเซสชันแบบไดนามิก
- EAP-TLS (Transport Layer Security) จัดหาให้สําหรับการตรวจสอบความถูกต้องแบบอิงตามใบรับรองและร่วมกันของไคลเอ็นต์และเครือข่าย โดยอาศัยใบรับรองฝั่งไคลเอ็นต์และฝั่งเซิร์ฟเวอร์เพื่อทําการตรวจสอบความถูกต้อง และสามารถใช้เพื่อสร้างคีย์ WEP ที่อิงกับผู้ใช้และตามเซสชันแบบไดนามิกเพื่อรักษาความปลอดภัยการสื่อสารในภายหลังระหว่างไคลเอ็นต์ WLAN และจุดเข้าใช้งาน ข้อหนึ่งของ EAP-TLS คือใบรับรองต้องได้รับการจัดการทั้งบนฝั่งไคลเอนต์และเซิร์ฟเวอร์ สําหรับการติดตั้ง WLAN ขนาดใหญ่ นี่อาจเป็นงานที่ยุ่งยากมาก
- EAP-TTLS (Tunneled Transport Layer Security) ได้รับการพัฒนาโดย Funk Software* และ Certicom* ซึ่งเป็นส่วนขยายของ EAP-TLS วิธีการรักษาความปลอดภัยนี้มีไว้สําหรับการตรวจสอบความถูกต้องร่วมกันแบบอิงใบรับรองของไคลเอ็นต์และเครือข่ายผ่านช่องสัญญาณที่เข้ารหัส (หรืออุโมงค์) รวมทั้งวิธีการสืบทอดคีย์ WEP แบบไดนามิกต่อผู้ใช้ต่อเซสชัน ไม่เหมือน EAP-TLS EAP-TTLS ต้องใช้ใบรับรองฝั่งเซิร์ฟเวอร์เท่านั้น
- EAP-FAST (การตรวจสอบความถูกต้องแบบยืดหยุ่นผ่าน Secure Tunneling) ได้รับการพัฒนาโดย Cisco* แทนที่จะใช้ใบรับรองเพื่อรับรองความถูกต้องซึ่งกันและกัน EAP-FAST รับรองความถูกต้องด้วย PAC (Protected Access Credential) ซึ่งสามารถจัดการได้แบบไดนามิกโดยเซิร์ฟเวอร์ตรวจสอบความถูกต้อง PAC สามารถจัดสรร (กระจายครั้งเดียว) ให้กับไคลเอ็นต์ได้ด้วยตนเองหรือโดยอัตโนมัติ การจัดสรรด้วยตนเองคือการส่งไปยังไคลเอนต์ผ่านดิสก์หรือวิธีการกระจายเครือข่ายที่ปลอดภัย การจัดหาอัตโนมัติเป็นแบบ In-Band เหนืออากาศ การกระจาย
- Extensible Authentication Protocol Method สําหรับ GSM Subscriber Identity (EAP-SIM) เป็นกลไกสําหรับการรับรองความถูกต้องและการกระจายคีย์เซสชัน โดยจะใช้ Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM) EAP-SIM ใช้คีย์ WEP ที่ใช้เซสชันแบบไดนามิก ซึ่งได้มาจากอะแดปเตอร์ไคลเอนต์และเซิร์ฟเวอร์ RADIUS ในการเข้ารหัสข้อมูล EAP-SIM กําหนดให้คุณต้องป้อนรหัสการตรวจสอบผู้ใช้หรือ PIN เพื่อสื่อสารกับการ์ด Subscriber Identity Module (SIM) ซิมการ์ดเป็นสมาร์ทการ์ดพิเศษที่ใช้โดย Global System for Mobile Communications (GSM) ที่ใช้เครือข่ายเซลลูลาร์ดิจิทัลที่ใช้ Global System
- EAP-NIC (Extensible Authentication Protocol Method สําหรับการรับรองความถูกต้องของ UMTS และข้อตกลงคีย์) เป็นกลไก EAP สําหรับการรับรองความถูกต้องและการกระจายคีย์เซสชัน โดยใช้ Universal Mobile Telecommunications System (UMTS) Subscriber Identity Module (USIM) การ์ด USIM เป็นสมาร์ทการ์ดพิเศษที่ใช้กับเครือข่ายเซลลูลาร์เพื่อตรวจสอบผู้ใช้ดังกล่าวกับเครือข่าย
- LEAP (น้ําหนักเบา Extensible Authentication Protocol) เป็นประเภทการตรวจสอบความถูกต้อง EAP ที่ใช้ใน Cisco Aironet* WLANs เป็นหลัก โดยเข้ารหัสการส่งข้อมูลโดยใช้คีย์ WEP ที่สร้างขึ้นแบบไดนามิก และรองรับการตรวจสอบความถูกต้องร่วมกัน ในที่นี้ Cisco ได้ให้สิทธิ์ LEAP กับผู้ผลิตรายอื่นๆ ผ่านโปรแกรม Cisco Compatible Extensions ของพวกเขา
- PEAP (Protected Extensible Authentication Protocol) นําเสนอวิธีการส่งผ่านข้อมูลการตรวจสอบความถูกต้องอย่างปลอดภัย รวมถึงโปรโตคอลที่ใช้รหัสผ่านแบบเดิม ผ่านเครือข่าย 802.11 Wi-Fi PEAP บรรลุเป้าหมายนี้โดยใช้การอุโมงค์ระหว่างไคลเอ็นต์ PEAP และเซิร์ฟเวอร์การตรวจสอบความถูกต้อง PEAP เช่นเดียวกับ Tunneled Transport Layer Security (TTLS) ที่แข่งขันกัน PEAP จะรับรองความถูกต้องของไคลเอนต์ Wi-Fi LAN โดยใช้ใบรับรองฝั่งเซิร์ฟเวอร์เท่านั้น จึงช่วยให้การใช้งานและการดูแลระบบ LAN Wi-Fi ที่ปลอดภัยง่ายขึ้น Microsoft, Cisco และ RSA Security ได้พัฒนา PEAP
โดยปกติแล้ว การตรวจสอบการสนทนาและตารางด้านบนจะให้ข้อสรุปดังต่อไปนี้:
- โดยทั่วไป MD5 ไม่ได้ใช้งานเนื่องจากจะทําการตรวจสอบความถูกต้องแบบทิศทางเดียวเท่านั้น และที่สําคัญยิ่งกว่านั้นคือไม่รองรับการเผยแพร่และการหมุนคีย์ WEP โดยอัตโนมัติ เพื่อบรรเทาภาระการดูแลระบบของการบํารุงรักษาคีย์ WEP ด้วยตนเอง
- TLS ในขณะที่มีความปลอดภัยสูงจําเป็นต้องติดตั้งใบรับรองไคลเอนต์บนเวิร์คสเตชัน Wi-Fi แต่ละเครื่อง การบํารุงรักษาโครงสร้างพื้นฐาน PKI ต้องใช้ความเชี่ยวชาญด้านการบริหารและเวลาเพิ่มเติมนอกเหนือจากการรักษา WLAN เอง
- TTLS จัดการกับปัญหาใบรับรองโดยการปรับแต่ง TLS และทําให้ไม่จําเป็นต้องมีใบรับรองในฝั่งไคลเอ็นต์ การทําให้เป็นตัวเลือกที่มักเป็นที่ต้องการ Funk Software* เป็นผู้โปรโมทหลักของ TTLS โดยมีค่าใช้จ่ายสําหรับซอฟต์แวร์เซิร์ฟเวอร์ที่ฉ้อโกงและรับรองความถูกต้อง
- LEAP มีประวัติที่ยาวนานที่สุดและในขณะที่เจ้าของ Cisco ก่อนหน้านี้ (ใช้งานกับอะแดปเตอร์ Cisco Wi-Fi เท่านั้น) Cisco ได้อนุญาตให้ LEAP กับผู้ผลิตรายอื่นๆ ผ่านโปรแกรม Cisco Compatible Extensions ของพวกเขา ควรบังคับใช้นโยบายรหัสผ่านที่รัดกุมเมื่อใช้ LEAP สําหรับการรับรองความถูกต้อง
- ตอนนี้ EAP-FAST มีให้สําหรับองค์กรที่ไม่สามารถบังคับใช้นโยบายรหัสผ่านที่แข็งแกร่งได้และไม่ต้องการปรับใช้ใบรับรองสําหรับการรับรองความถูกต้อง
- PEAP ล่าสุดทํางานคล้ายกับ EAP-TTLS ที่ไม่จําเป็นต้องมีใบรับรองในฝั่งไคลเอ็นต์ PEAP ได้รับการสนับสนุนโดย Cisco และ Microsoft และไม่มีค่าใช้จ่ายเพิ่มเติมจาก Microsoft หากต้องการเปลี่ยนจาก LEAP เป็น PEAP เซิร์ฟเวอร์ตรวจสอบความถูกต้อง ACS ของ Cisco จะรันทั้งสองอย่าง
อีกทางเลือกหนึ่งคือ VPN
แทนที่จะพึ่งพา Wi-Fi LAN สําหรับการตรวจสอบความถูกต้องและความเป็นส่วนตัว (การเข้ารหัส) องค์กรจํานวนมากใช้ VPN ซึ่งทําได้โดยการวางจุดเชื่อมต่อภายนอกไฟร์วอลล์ขององค์กรและมีอุโมงค์ผู้ใช้ผ่านเกตเวย์ VPN เหมือนกับว่าพวกเขาเป็นผู้ใช้ระยะไกล ข้อเสียของการปรับใช้โซลูชัน VPN คือค่าใช้จ่าย ความซับซ้อนในการติดตั้งเบื้องต้น และโอเวอร์เฮดการบริหารที่ดําเนินอยู่