精要理解802.1x网络的安全机制
内容提示:作为管理员,你应当理解IEEE 802.1x标准是什么以及关注它的原因,这意味着理解三个独立的概念:PPP、EAP和802.1X自身。
多数人都熟悉PPP(点到点的协议)。该协议多用于拨号上网,它还被一些ISP以PPPoE的形式用于DSL和cable modem的认证。PPP是第二层隧道协议的一部分,它是微软的Windows 2000及以后的各个Windows版本的安全的远程访问解决方案的核心部分。
PPP的发展超过了其最初作为拨号访问方法的应用领域,现在已经被全面用于互联网中。PPP的一部分定义了一种身份验证机制。对于拨号访问,这种认证就是用户名和口令。PPP认证用于这种场合:在给与PPP用户访问权限之前,先对其进行确认。
多数企业都想做得更安全些,而不是仅仅靠用户名和口令进行访问控制,所以一种新的认证协议称为扩展认证协议(EAP)应运而生。EAP隶属于PPP的认证协议,它提供了几种不同认证方法的概括化的框架。EAP的目的是阻止私有的认证系统,并使得从口令到公钥基础架构证书的一切都能够顺畅运行。
借助于标准化的EAP,认证方法的协同性和兼容性就变得更为简单了。例如,在用户拨号访问一台远程访问服务器并使用EAP作为PPP连接的一部分时,远程访问服务器就没有必要了解用户认证系统的任何细节。唯一需要的是用户和认证服务器之间的协调。通过支持EAP认证,远程访问服务器将不再充当中间人,而是包装和重新包装数据包,并将其转交给RADIUS服务器,以执行实际的认证。
这又把我们带到了IEEE 802.X标准,这是一个可以在有线或无线局域网上传递EAP的标准。借助于802.1x,用户用以太网帧的形式对EAP消息进行打包,并不使用PPP。它用于认证而不是其它方面。在并不需要PPP的其余部分的情况下,这样做很值得的,在这里你使用的不是TCP/IP协议,或者说,使用PPP的成本和复杂性太高了。
802.1x使用三个重要的概念。需要验证的用户或客户端称为请求者。真正的服务器执行认证,这种服务器一般就是RADIUS服务器,称为认证服务器。而介于它们之间的设备,如一个无线接入点,称为认证者。如下图所示:
802.1x的一个关键点是认证者可以很简单,所有的“聪明才智”都得位于请求者和认证服务器中。这就使得802.1x适合于无线访问点AP,一般来说,无线AP的内存和处理能力都非常有限。
802.1x中的这个协议称为LAN上的EAP封装(EAPOL)。目前,它是为以太网之类的局域网而定义的,包括802.11无线网以及令牌环网等。EAPOL并不十分复杂。有很多操作模式,但最常使用的情况是如下的方式:
1、请求者向认证者发送一个“EAP-响应/身份”数据包,并由认证者传递给认证服务器(RADIUS)。
2、身份认证服务器向认证者返回一个挑战回应,例如,用一个令牌口令系统。认证者从IP中解开它,然后将它重新包装成EAPOL,并将其发送给请求者。EAP仅支持客户端的认证和强健的双向认证。通常认为只有强健的双向认证才适合于无线网络。
3、请求者通过认证者对挑战作出响应,并将响应传递给认证服务器。
4、如果请求者提供了正确的身份,认证服务器就用一个成功消息作出响应,然后再将消息传递给认证者。认证者准许其访问LAN,其根据就是由认证服务器返回的属性。例如,认证者有可能将请求者转交给一个特别的虚拟局域网(VLAN)中或者是安装一套防火墙规则。
许多无线局域网厂商都坚持采用802.1x标准,以有助于实施认证并且保障有线和无线网络的安全。