一陣子,沒寫文章了,今天來講一下區域網路中的802.1x 吧!
802.1x主要可以分成兩段, EAP 為前半段,Raduis 為後半段
802.1X簡單說:
-
- 用途: NAC (network access control)
-
角色: supplicants, authenticator, authentication server
-
情境: LAN and Wi-FI
802.1X主要用在區域網路(LAN)的網路存取控制(NAC, Network Access Control),也就是在連接AP基地台或Switch Hub前要通過身份驗證才能完成連網。很多人會把802.1X跟VPN搞混,VPN是屬於WAN的機制,身份驗證不適用802.1X (LAN的驗證)。
802.1X的身份驗證使用EAP系列的身份驗證協議(如EAP-ELS, EAP-TTLS及PEAP等),因此又稱為EA over LAN(EAPoL)。要特別留意EAP-TLS的Mutual Authentication對於PKI及憑證的需求;所有使用EAP-TLS的Supplicants及Authenticators都要安裝憑證,因此會造成系統管理上的負擔。
802.1X的角色包含Supplicant, Authenticator及Authentication Server(但別把Authentication Server別跟RADIUS Server搞混了)。802.1X主要是處理Supplicant(用戶端)跟Authenticator (AP基地台或Switch)間的溝通,而Authenticator跟Authentication Server之間多半是以RADIUS溝通。但除了RADIUS外,還有TACACS或DIAMETER可以用。考試的時候,主要重點放在RADIUS即可。
一般來說在架設802.1X環境時,主要目的是增強網絡的存取控制也就是前面所提到的NAC,從而提升資安水平。802.1X是一種網絡存取控制和認證協議,它能夠提供基於端口的網絡存取控制。然而,在部署和維護過程中,仍然存在一些資安風險需要注意:
-
認證信息的攔截與竊取:儘管802.1X提供了較強的認證機制,但是如果網絡中的資料傳輸未加密,或者加密措施被破解,則用戶的認證信息(如密碼)可能會被攔截。
-
配置錯誤:不正確的配置可能導致未授權的訪問或服務拒絕(DoS)攻擊。例如,若RADIUS伺服器配置不當,可能會允許未授權訪問或使網絡容易受到攻擊。
-
RADIUS伺服器的安全性:802.1X認證依賴於RADIUS伺服器,若RADIUS伺服器遭到入侵,整個網絡的安全性將受到嚴重威脅。因此,確保RADIUS伺服器的安全性至關重要。
-
內部威脅:即使有802.1X,內部網絡的用戶或設備也可能成為安全威脅的源頭。例如,一個已認證的內部攻擊者可能會嘗試訪問不應該訪問的資源。
-
系統兼容性問題:某些舊的或特殊的客戶端設備可能不支持802.1X,這可能需要部署額外的解決方案或允許某些安全策略的例外,從而可能降低整體安全性。
-
憑證管理:如果使用基於憑證的認證,則需要有效管理憑證的發行、更新和撤銷。憑證管理不當可能會導致安全漏洞。
-
DoS攻擊:802.1X環境可能會受到DoS攻擊,特別是在認證階段。攻擊者可能通過發送大量的認證請求來耗盡網絡資源。
為了降低風險,一般來說會使用IP-Sec來做點對點的連接。
下面就來簡單的見紹一下何謂IP-Sec
IPSec (Internet Protocol Security) VPN是一種用於保障網際網路上數據傳輸安全的通信協議。它在網絡層提供加密和認證服務,能夠保護在不同網絡設備間傳輸的資料。IPSec VPN是一種廣泛使用的虛擬私人網絡(VPN)技術,特別適用於需要高安全性的企業環境。
主要特點和功能
-
資料加密:IPSec通過加密技術保護資料不被未經授權的第三方讀取,即使資料被攔截,攻擊者也無法解讀資料內容。
-
資料完整性:它確保資料在傳輸過程中未被修改,通過使用雜湊函數來驗證資料的完整性。
-
認證:IPSec使用數字證書或預共享密鑰等方法對通信雙方進行身份認證,確保資料只能在授權的設備之間傳輸。
-
反重放保護:IPSec提供反重放機制,防止攻擊者捕獲並重新發送資料包以進行攻擊。