802.1x是如何工作的
802.1x實施基於端口的訪問控制。在WLAN中,端口就是訪問點(AP)和工作站之間的連接。在802.1x中擁有兩種類型的端口:非控制的和控制的。您現在正在使用的可能就是非控制端口:它允許設備連接到端口,與其他任何網絡設備進行通訊。相反,控制端口限制了連接設備所能夠通訊的網絡地址。您可能已經能夠了解到接下來是什麼情況了:802.1x允許所有的客戶端連接到控制端口,但是這些端口僅將流量發送給身份驗證服務器。在客戶端通過身份驗證以後,才被允許開始使用非控制端口。802.1x的奧秘在於非控制和控制端口是並存於同一個物理網絡端口上的邏輯設備。
針對身份驗證,802.1x進一步為網絡設備定義了兩種角色:申請者(supplicant) 和認證者(authenticator)。申請者是一個請求訪問網絡資源的設備(例如配備了802.11b網卡的膝上型計算機)。認證者是對申請者進行身份驗證的設備,由它來決定是否授予申請者訪問權限。無線 AP 可以作為認證者;但是使用行業標准的遠程身份驗證撥入用戶服務(RADIUS) 協議更靈活一些。這個協議包含在 Windows 2000 中;通過 RADIUS,AP 接收身份驗證請求,並將請求轉發給 RADIUS 服務器,由這台服務器來根據 Active Directory 對用戶進行身份驗證。
802.1x 在身份驗證時並不使用有線等效隱私(Wired Equivalent Privacy,WEP);作為替代,它使用行業標准的可擴展身份驗證協議(Extensible Authentication Protocol,EAP)或更新的版本。在任何一種情況下,EAP/PEAP 都擁有其獨特的優勢:它們允許選擇身份驗證方法。在默認情況下,802.1x 使用EAP-TLS (EAP-傳輸層安全性),此時所有EAP保護的流量都由TLS協議(非常類似於SSL)進行加密。整個身份驗證的過程是這樣的:
1.無線工作站嘗試通過非控制端口連接到AP。(由於此時該工作站還沒有通過身份驗證,因此它無法使用控制端口)。該AP向工作站發送一個純文本質詢。
2.作為響應,工作站提供自己的身份證明。
3.AP 將來自工作站的身份信息通過有線 LAN 轉發給使用 RADIUS 的認證者。
4.RADIUS服務器查詢指定帳戶,確定需要何種憑證(例如,您可能將您的RADIUS服務器配置為僅接受數字證書)。該信息轉換成憑證請求,返回到工作站。
5.工作站通過AP上的非控制端口發送它的憑證。
6.RADIUS 服務器對憑證進行驗證;如果通過驗證,則將身份驗證密鑰發送給AP。這個密鑰是加密的,因此只有AP能夠對其進行解密。
7.AP 對密鑰進行解密,並用它來為工作站創建一個新的密鑰。這個新的密鑰將被發送給工作站,它被用來加密工作站的主全局身份驗證密鑰。
定期的,AP 會生成新的主全局身份驗證密鑰,並將其發送給客戶端。這很好地解決了802.11中長壽命固定密鑰的問題,攻擊者能夠很容易地通過暴力破解來攻擊固定密鑰。
在客戶端配置802.1x
在Windows XP中配置802.1x客戶端非常簡單;在這裡我將簡單扼要地介紹一些基本步驟。
1.打開網絡連接文件夾,然後在您希望使用802.1x的連接上點擊右鍵,選擇屬性命令。
2.切換到無線網絡選項卡,然後選擇您希望使用802.1x的WLAN連接。點擊配置按鈕。
3.在無線網絡屬性對話框中,切換到身份驗證選項卡。
4.確信已經選中了"為這個網絡啟用IEEE 802.1x身份驗證"復選框,然後選擇合適的EAP類型。通常,企業網絡將使用具有智能卡或本地存儲證書的EAP-TLS,小型網絡則可以使用PEAP(只有您已經安裝了Windows XP Service Pack 1以後才可以選擇。)
為小型網絡部署802.1x
如果您擁有一個小型網絡,那麼您可能認為802.1x是如此的深奧難懂。好消息是,即使您沒有一個完整的公共密鑰基礎構架,也不需要很多工作,您就可以部署802.1x。這篇文章介紹了您所需要完成的步驟。簡單的說,您需要設置您的 Windows XP SP 1或更新版本的客戶端來使用 PEAP,然後設置至少一台計算機運行Windows Internet身份驗證服務 (IAS),該服務將提供 RADIUS 連接性。每個IAS服務都必須擁有一個由您簽署或從第三方證書頒發機構(CA)購買的數字證書。您所需要做的就這麼多了————當然,您還需要首先安裝IAS,但這個過程很簡單。
為大型企業部署 802.1x
如果您使用至少擁有一個域控制器的Windows 2000網絡,那麼您可以設置一個更靈活有力的802.1x基礎構架,充分利用Active Directory和Windows 2000對遠程訪問策略的支持。首先是為您的客戶端獲得數字證書。幸運的是,您可以很方便地通過創建組策略來獲得這些證書,組策略能夠自動地為域中的計算機請求機器證書。在完成這個步驟後,您可以部署所需基礎結構(包括IAS)的剩余部分,將您的無線AP配置為使用 RADIUS 來與 IAS 服務器進行通訊。然後就可以安心休息了,您的 WLAN 流量已經被安全地保護起來。