802.1 x 概述和 EAP 類型

802.1 x 概述
要使用？
可擴展身份驗證協定 (EAP) 身份驗證類型


802.1 x 概述
它 是一種用於保護通過身份驗證的網路埠訪問協定。其結果是，這種類型的身份驗證方法是由於性質介質的 wi-fi 無線上網環境中非常有用的。如果 wi-fi 無線上網的使用者通過網路訪問的 802.1 x 身份驗證，虛擬埠打開，允許進行通訊的存取點上。如果不成功獲得授權，虛擬埠不是可用並且通信將被阻止。

有 802.1 x 身份驗證的三個基本部分：

1. 要求者-Wi-fi 工作站上運行的軟體用戶端
2. 身份驗證器-Wi-fi 存取點
3. 身份驗證服務器的身份驗證資料庫，通常是一個 radius 伺服器 （如 Cisco ＊ ACS ＊、 Funk Steel-Belted 半徑 ＊，或 Microsoft ＊ IAS ＊

可擴展身份驗證協定 (EAP) 用於要求者 （Wi-fi 工作站） 和驗證服務器 （微軟 IAS 或其它） 之間傳遞身份驗證資訊。定義實際的身份並將其處理的 EAP 類型。存取點代理身份驗證器是僅允許要求者和身份驗證服務器進行通信的代理。

要使用？
對實施，或是否在所有執行 802.1 x 的 EAP 類型取決於本組織需要的安全以及所需的行政開銷/功能級別。我希望此處的說明和比較圖表將緩解瞭解 EAP 類型可用的各種困難。

可擴展身份驗證協定 (EAP) 身份驗證類型
EAP 身份驗證類型提供可能會更好的方法，就是保證安全的無線局域網連接和 Wi-fi 局域網 (LAN) 安全至關重要，因為供應商迅速開發並添加到他們的無線局域網存取點的 EAP 身份驗證類型。一些最常見的部署的 EAP 身份驗證類型包括 EAP-MD-5、 EAP-TLS、 EAP PEAP、 EAP TTLS、 EAP-快速、 和思科的飛躍。

• EAP-MD-5 (消息摘要) 面臨的挑戰是提供基本級別 EAP 支援的 EAP 身份驗證類型。EAP-MD-5 通常不推薦的 Wi-fi 局域網實現因為它可能允許該使用者的密碼派生。它只有一種方式驗證-提供 wi-fi 無線上網用戶端和網路沒有相互身份驗證。非常重要的是它不提供衍生動態、 每個會話有線等位私密 (WEP) 金鑰的手段。
• EAP-TLS （傳輸層安全性） 提供了基於證書和相互身份驗證的用戶端和網路。它依賴于用戶端和伺服器端來執行身份驗證的證書，並可用於動態生成基於使用者和基於會話的 WEP 金鑰，以確保隨後 WLAN 用戶端和存取點之間的通信。EAP-TLS 的一個缺點是必須在用戶端和伺服器端上管理證書。對於大型的 WLAN 安裝，這可能是一個非常繁瑣的任務。
• EAP TTLS （隧道傳輸層安全性） 是由 Funk 軟體 ＊ 和 Certicom ＊ 開發作為 EAP-TLS 的延伸。這種防偽方法提供基於證書、 相互身份驗證的用戶端和網路通過加密通道 （或"隧道"），以及衍生動態的手段，每個使用者，每個會話的 WEP 金鑰。與 EAP-TLS，不同的 EAP TTLS 要求只有伺服器端證書。
• 由 思科 ＊ 開發，EAP-FAST （通過安全隧道靈活身份驗證）。而不是使用證書，相互身份驗證是通過 PAC （保護訪問憑據），可以通過身份驗證服務器動態管理實現的。政府帳目委員會可以向用戶端是資源調配 （分散式一次），通過手動或自動。手動調配是傳遞到用戶端通過磁片或安全的網路的分配方法。自動資源調配是帶內，包括空氣，分佈。
• 飛 躍 （羽量級可擴展身份驗證協定），一種 EAP 身份驗證類型主要用於 Cisco Aironet ＊ Wlan。它對使用動態生成的 WEP 金鑰，資料傳輸進行加密，並支援相互身份驗證。迄今為止專有，Cisco 已領牌到各種其他製造商通過他們的 Cisco 相容性擴展程式的飛躍。
• PEAP （保護可擴展身份驗證協定） 提供安全傳輸包括舊式基於密碼的協定，通過 802.11 Wi-fi 網路的身份驗證資料的方法。PEAP 實現此目的的使用隧道 PEAP 用戶端和身份驗證服務器之間。像競爭標準隧道傳輸層安全 (TTLS)，PEAP 驗證 Wi-fi LAN 用戶端使用伺服器端證書，從而簡化的執行和安全的無線局域網的管理。微軟、 思科和 RSA Security 開發 PEAP。

802.1 x EAP 類型 功能 / 優點 MD5 --- 消息摘要 5 TLS --- 傳輸層安全性 TTLS --- 隧道的傳輸層安全性 PEAP --- 受保護的傳輸層安全性 快速---通過安全隧道靈活身份驗證 飛躍 --- 羽量級可擴展身份驗證協定 需要用戶端憑證 沒有 是 沒有 沒有 沒有 (PAC) 沒有 需要伺服器憑證 沒有 是 沒有 是 沒有 (PAC) 沒有 WEP 金鑰管理 沒有 是 是 是 是 是 流氓 AP 檢測 沒有 沒有 沒有 沒有 是 是 供應商 MS MS 芬克 MS 思科 思科 身份驗證的屬性 一種方法 相互 相互 相互 相互 相互 部署難易程度 很容易 困難 （因為用戶端憑證部署） 中度 中度 中度 中度 Wi-fi 安全 可憐 很高 高 高 高 使用強式密碼時高。

檢討上述討論和表通常會提供了以下結論：

• MD5 通常不使用它只能做單向的身份驗證，以及或許更重要的是不會不支援自動分配和轉動 WEP 金鑰所以不能減輕手動 WEP 金鑰維護的行政負擔。
• TLS，非常安全，但要求用戶端憑證，必須在每個 Wi-fi 工作站上安裝。PKI 基礎設施的維修需要額外的管理專門知識和在維護 WLAN 本身的時間。
• TTLS 通過隧道 TLS，並從而消除需要在用戶端上的證書來解決證書問題。這使得經常首選的選項。TTLS 主要推動的恐慌，懇請者和身份驗證服務器軟體的費用。
• 跨越了時間最長的歷史，和以前思科專有 （與思科 Wi-fi 配接器僅工務），同時 Cisco 已領牌到各種其他製造商通過他們的 Cisco 相容性擴展程式的飛躍。飛躍用於身份驗證時，應執行強密碼原則。
• 現在的企業，不能強制使用強密碼原則，不想部署用於身份驗證的證書 EAP 快速。
• 更近的 PEAP 工程 EAP TTLS 類似，它不需要在用戶端上的證書。PEAP 思科和微軟的後盾，並可在無需額外的成本，從微軟。如果需要轉到 PEAP 飛躍從，思科的 ACS 身份驗證服務器將運行兩個。

另一個選項-VPN
而不是依靠無線區域網路 進行驗證和保密 （加密），許多企業執行 VPN。這是通過放置在公司防火牆外部訪問點，並讓使用者隧道通過 VPN 閘道-就好像它們是遠端使用者。實施 VPN 解決方案的缺點是成本、 初始安裝的複雜性和正在進行的管理開銷。
這適用于：

Intel® Centrino® Advanced-N + WiMAX 6250 Intel® Centrino® Advanced-N 6200 Intel® Centrino® Advanced-N 6205 桌上型 Intel® Centrino® Advanced-N 6205 Intel® Centrino® Advanced-N 6230 Intel® Centrino® Advanced-N 6235 Intel® Centrino®Ultimate-N 6300 Intel® Centrino®Ultimate-N 6300 and Intel® Centrino® Advanced-N 6200 products Intel® Centrino® Wireless-N + WiMAX 6150 Intel® Centrino® Wireless-N 100 Intel® Centrino® Wireless-N 1030 Intel® Centrino® Wireless-N 105 Intel® Centrino® Wireless-N 130 Intel® Centrino® Wireless-N 135 Intel® Centrino® Wireless-N 2200 桌上型 Intel® Centrino® Wireless-N 2200 Intel® Centrino® Wireless-N 2230 Intel® PRO/Wireless 2000 LAN Access Point Intel® PRO/Wireless 2011 LAN Access Point Intel® PRO/Wireless 2011 LAN PC Card Intel® PRO/Wireless 2011B LAN Access Point

Intel® PRO/Wireless 2011B LAN PC Card Intel® PRO/Wireless 2011B LAN PCI Adapter Intel® PRO/Wireless 2100 網路連線 Intel® PRO/Wireless 2100A 網路連線 Intel® PRO/Wireless 2200BG Network Connection Intel® PRO/Wireless 2915ABG 網路連線 Intel® PRO/Wireless 3945ABG 網路連線 Intel® PRO/Wireless 5000 LAN Access Point Intel® PRO/Wireless 5000 LAN CardBus Adapter Intel® PRO/Wireless 5000 LAN Dual Access Point Intel® PRO/Wireless 5000 LAN PCI Adapter Intel® WiFi Link 5300 and Intel® WiFi Link 5100 products Intel® WiMAX/WiFi Link 5350 and Intel® WiMAX/WiFi Link 5150 products Intel® Wireless Gateway Intel® Wireless WiFi Link 4965AGN Xircom® CreditCard Wireless Ethernet Adapter (CWE-1120) Xircom® CreditCard Wireless Ethernet Adapter (CWE-1130) Xircom® SpringPort Wireless Ethernet Adapter (SWE1130) Xircom® Wireless Ethernet Access Point (APWE1120) Xircom® Wireless LAN Module for Palm* Handhelds (PWE1130)