802.1X: Apa sebenarnya tentang WPA dan EAP?

19

Saya mengerti 802.1X menjadi semacam kontrol otentikasi port. Namun, ketika saya memeriksa pengaturan enkripsi untuk nirkabel saya, saya menemukan 802.1X dalam drop-down bersama dengan WPA2, WPA dan WEP, tapi saya tidak melihat bagaimana itu bisa menjadi alternatif untuk ini.

Bisakah seseorang tolong jelaskan dalam istilah awam bagaimana 802.1X cocok, mungkin terkait dengan protokol EAP juga? Yang saya tahu adalah bahwa 802.1X menyediakan dua entitas port logis untuk setiap port fisik, salah satunya adalah untuk otentikasi dan saya pikir yang lain adalah untuk pesan EAP aktual mengalir melalui?

Jason
sumber

Jawaban:

36

Paling dekat yang bisa saya lakukan untuk persyaratan awam, sedikit terlalu disederhanakan, dan terbatas hanya WPA2 demi kesederhanaan:

802.1X BUKAN merupakan tipe enkripsi. Ini pada dasarnya hanya mekanisme otentikasi per pengguna (mis. Nama pengguna dan kata sandi).

WPA2 adalah skema keamanan yang menetapkan dua aspek utama keamanan nirkabel Anda:

  • Otentikasi: Pilihan Anda atas PSK ("Pribadi") atau 802.1X ("Perusahaan").
  • Enkripsi: Selalu AES-CCMP.

Jika Anda menggunakan keamanan WPA2 di jaringan Anda, Anda memiliki dua pilihan otentikasi: Anda juga harus menggunakan satu kata sandi untuk seluruh jaringan yang diketahui semua orang (ini disebut Pre-Shared Key atau PSK), atau Anda menggunakan 802.1X untuk memaksa setiap pengguna menggunakan kredensial loginnya sendiri yang unik (mis. nama pengguna dan kata sandi).

Apa pun tipe otentikasi yang Anda gunakan untuk mengatur jaringan Anda, WPA2 selalu menggunakan skema yang disebut AES-CCMP untuk mengenkripsi data Anda melalui udara demi kerahasiaan, dan untuk menggagalkan berbagai jenis serangan lainnya.

802.1X adalah "EAP over LANs" atau EAPoL. EAP adalah singkatan dari "Extensible Authentication Protocol", yang berarti itu semacam skema plug-in untuk berbagai metode otentikasi. Beberapa contoh:

  • Apakah Anda ingin mengautentikasi pengguna Anda dengan nama pengguna dan kata sandi? Maka "PEAP" adalah tipe EAP yang baik untuk digunakan.
  • Apakah Anda ingin mengautentikasi pengguna Anda melalui sertifikat? Maka "EAP-TLS" adalah tipe EAP yang baik untuk digunakan.
  • Apakah perangkat di jaringan Anda semuanya ponsel cerdas GSM dengan kartu SIM? Kemudian Anda dapat menggunakan "EAP-SIM" untuk melakukan otentikasi gaya kartu SIM GSM untuk masuk ke jaringan Anda. dll. dll

Jika Anda mengatur router nirkabel Anda untuk menggunakan 802.1X, itu perlu memiliki cara untuk mengautentikasi pengguna Anda melalui beberapa tipe EAP. Beberapa router mungkin memiliki kemampuan bagi Anda untuk memasukkan daftar nama pengguna dan kata sandi tepat di router, dan router tahu bagaimana melakukan keseluruhan otentikasi dengan sendirinya. Tetapi sebagian besar mungkin akan mengharuskan Anda mengkonfigurasi RADIUS. RADIUS adalah protokol yang memungkinkan Anda menyimpan basis data nama pengguna dan kata sandi di server pusat, sehingga Anda tidak perlu membuat perubahan pada setiap router nirkabel terpisah setiap kali Anda menambah atau menghapus pengguna atau pengguna mengubah kata sandi atau sesuatu. Router nirkabel yang melakukan 802.1X umumnya tidak tahu cara mengotentikasi pengguna secara langsung, mereka hanya tahu cara gateway antara 802.1X dan RADIUS sehingga mesin klien nirkabel benar-benar mendapatkan otentikasi oleh server RADIUS pada jaringan, dan itu adalah RADIUS server yang tahu cara menangani berbagai jenis EAP.

Jika antarmuka pengguna router nirkabel Anda memiliki "802.1X" pada daftar enkripsi jenis, maka itu mungkin berarti "802.1X dengan WEP dinamis", yang merupakan skema lama di mana 802.1X digunakan untuk otentikasi, dan kunci WEP per-sesi per-pengguna secara dinamis dihasilkan sebagai bagian dari proses otentikasi, dan karenanya WEP akhirnya metode enkripsi yang digunakan.

Perbarui ulang: dua port logis

Untuk menjawab pertanyaan Anda tentang dua entitas port logis, ada dua konsep terpisah dalam spesifikasi 802.1X yang mungkin Anda maksud.

Pertama, spesifikasi 802.1X mendefinisikan peran klien dan server untuk protokol 802.1X, tetapi masing-masing memanggil mereka Supplicant dan Authenticator. Di dalam klien nirkabel atau router nirkabel Anda, Anda memiliki perangkat lunak yang menjalankan peran Pemasok atau Otentator 802.1X. Perangkat lunak ini yang melakukan peran itu disebut Entitas Akses Port atau PAE oleh spec.

Kedua, spesifikasi menyebutkan bahwa di dalam, katakanlah, mesin klien nirkabel Anda, harus ada cara untuk perangkat lunak 802.1X Supplicant Anda untuk mengakses antarmuka nirkabel Anda untuk mengirim dan menerima paket EAP untuk mencapai otentikasi, bahkan ketika tidak ada perangkat lunak jaringan lain pada sistem Anda diizinkan untuk menggunakan antarmuka nirkabel (karena antarmuka jaringan tidak tepercaya hingga dikonfirmasi). Jadi dalam legalitas aneh dokumen spesifikasi IEEE, dikatakan ada "port yang tidak terkontrol" yang logis yang dihubungkan oleh perangkat lunak klien 802.1X, dan "port terkontrol" yang disambungkan oleh sisa tumpukan jaringan. Ketika Anda pertama kali mencoba koneksi ke jaringan 802.1X, hanya port yang tidak terkontrol yang diaktifkan ketika klien 802.1X melakukan hal tersebut. Setelah koneksi telah diautentikasi (dan, katakanlah, enkripsi WPA2 AES-CCMP telah diatur untuk melindungi sisa transmisi jaringan Anda), maka port yang dikontrol diaktifkan sehingga bagian lain dari sistem melihat bahwa tautan jaringan sebagai "up" ".

Jawaban Panjang, tidak banyak dalam istilah awam:
IEEE 802.1X adalah cara untuk melakukan otentikasi per-pengguna atau per-perangkat untuk LAN Ethernet berkabel atau nirkabel (dan berpotensi skema jaringan lain dalam keluarga IEEE 802). Awalnya dirancang dan digunakan untuk jaringan kabel Ethernet, dan kemudian diadopsi oleh kelompok kerja IEEE 802.11 (LAN nirkabel), sebagai bagian dari tambahan keamanan 802.11i untuk 802.11, untuk melayani sebagai metode otentikasi per-pengguna atau per-perangkat untuk jaringan 802.11.

Saat Anda menggunakan otentikasi 802.1X pada jaringan WPA atau WPA2 Anda, Anda masih menggunakan cipher kerahasiaan WPA2 dan algoritma integritas pesan. Artinya, dalam kasus WPA, Anda masih menggunakan TKIP sebagai sandi kerahasiaan Anda dan MIChael sebagai pengecekan integritas pesan Anda. Dalam kasus WPA2, Anda menggunakan AES-CCMP yang merupakan cipher kerahasiaan serta pemeriksaan integritas pesan.

Perbedaannya ketika Anda menggunakan 802.1X adalah bahwa Anda tidak lagi menggunakan Pra-Shared Key (PSK). Karena Anda tidak menggunakan PSK tunggal untuk semua perangkat, lalu lintas setiap perangkat lebih aman. Dengan PSK, jika Anda mengetahui PSK dan menangkap jabat tangan kunci saat perangkat bergabung dengan jaringan, Anda dapat mendekripsi semua lalu lintas perangkat itu. Tetapi dengan 802.1X, proses otentikasi secara aman menghasilkan material kunci yang digunakan untuk membuat Kunci Master Pairwise (PMK) yang unik untuk koneksi, jadi tidak ada cara bagi satu pengguna untuk mendekripsi lalu lintas pengguna lain.

802.1X didasarkan pada EAP, Protokol Otentikasi yang Diperluas yang awalnya dikembangkan untuk PPP, dan masih digunakan secara luas dalam solusi VPN yang menggunakan PPP di dalam terowongan terenkripsi (LT2P-over-IPSec, PPTP, dll.). Bahkan, 802.1X umumnya disebut sebagai "EAP over LAN" atau "EAPoL".

EAP menyediakan mekanisme umum untuk mengangkut pesan otentikasi (permintaan otentikasi, tantangan, tanggapan, pemberitahuan keberhasilan, dll.) Tanpa lapisan EAP harus mengetahui rincian metode otentikasi tertentu yang digunakan. Ada sejumlah "tipe EAP" yang berbeda (mekanisme otentikasi yang dirancang untuk dihubungkan ke EAP) untuk melakukan otentikasi melalui nama pengguna dan kata sandi, sertifikat, kartu token, dan banyak lagi.

Karena sejarah EAP dengan PPP dan VPN, selalu mudah untuk gateway ke RADIUS. Karena itu, tipikal (tetapi tidak diperlukan secara teknis) untuk 802.11 AP yang mendukung 802.1X mengandung klien RADIUS. Jadi AP biasanya tidak tahu nama pengguna atau kata sandi siapa pun atau bahkan bagaimana memproses berbagai jenis otentikasi EAP, mereka hanya tahu cara menerima pesan EAP umum dari 802.1X, dan mengubahnya menjadi pesan RADIUS dan meneruskannya ke server RADIUS . Jadi AP hanyalah saluran untuk otentikasi, dan bukan pihak untuk itu. Titik akhir sebenarnya dari otentikasi biasanya klien nirkabel dan server RADIUS (atau beberapa server otentikasi hulu yang menjadi tujuan gerbang server RADIUS).

Lebih banyak sejarah daripada yang ingin Anda ketahui: Ketika 802.11 pertama kali dibuat, satu-satunya metode otentikasi yang didukungnya adalah bentuk otentikasi kunci-bersama yang menggunakan kunci WEP 40- atau 104-bit, dan WEP agak terbatas pada 4 kunci per jaringan. Semua pengguna atau perangkat yang terhubung ke jaringan Anda harus mengetahui salah satu dari 4 tombol pendek untuk jaringan agar dapat melanjutkan. Tidak ada cara dalam standar untuk mengotentikasi setiap pengguna atau perangkat secara terpisah. Selain itu, cara otentikasi kunci-bersama dilakukan memungkinkan untuk serangan menebak-nebak dengan cepat dan cepat.

Banyak vendor dari perangkat 802.11 kelas perusahaan menyadari bahwa otentikasi per-pengguna (mis. Nama pengguna dan kata sandi, atau sertifikat pengguna) atau per-perangkat (sertifikat mesin) diperlukan untuk menjadikan 802.11 sukses di pasar perusahaan. Meskipun 802.1X belum selesai, Cisco mengambil versi konsep 802.1X, terbatas pada satu jenis EAP (bentuk EAP-MSCHAPv2), membuatnya menghasilkan per-perangkat per-sesi kunci WEP dinamis, dan dibuat apa yang mereka sebut "EAP Ringan" atau LEAP. Vendor lain melakukan hal serupa, tetapi dengan nama clunkier seperti "802.1X dengan WEP dinamis".

Wi-Fi Alliance (née Wireless Ethernet Compatibility Alliance, atau "WECA") melihat reputasi WEP yang buruk dan melihat fragmentasi skema keamanan terjadi di industri, tetapi tidak bisa menunggu kelompok kerja IEEE 802.11 selesai. mengadopsi 802.1X ke 802.11i, sehingga Wi-Fi Alliance menciptakan Wi-Fi Protected Access (WPA) untuk mendefinisikan standar lintas-vendor yang dapat dioperasionalkan untuk memperbaiki kekurangan di WEP sebagai sandi rahasia (membuat TKIP untuk menggantikannya), kekurangan dalam otentikasi kunci bersama berbasis WEP (membuat WPA-PSK untuk menggantinya), dan untuk menyediakan cara untuk menggunakan 802.1X untuk otentikasi per-pengguna atau per-perangkat.

Kemudian kelompok tugas IEEE 802.11i menyelesaikan pekerjaan mereka, memilih AES-CCMP sebagai cipher kerahasiaan masa depan, dan mengadopsi 802.1X, dengan batasan tertentu agar tetap aman di jaringan nirkabel, untuk otentikasi per-pengguna dan per-perangkat untuk 802.11 LAN nirkabel. Pada gilirannya, Wi-Fi Alliance menciptakan WPA2 untuk mengesahkan interoperabilitas antara implementasi 802.11i. (Wi-Fi Alliance benar-benar sebuah organisasi sertifikasi dan pemasaran interop, dan seringkali lebih suka membiarkan IEEE menjadi badan standar WLAN yang sebenarnya. Tetapi jika IEEE terlalu terikat-persembunyian dan tidak bergerak cukup cepat untuk industri, Wi- Fi Alliance akan turun tangan dan melakukan pekerjaan yang menyerupai tubuh standar di depan IEEE, dan biasanya kemudian menolak standar IEEE terkait begitu keluar nanti.)

Spiff
sumber
Hei spiff, bisakah Anda mengikat bagian yang saya baca tentang 802.1x membuat dua port logis, dengan jawaban awam Anda? Terima kasih
Jason
3
@ Jason Oke, diperbarui. Omong-omong, 802.1X adalah spec mandiri (bukan addendum untuk spec lain), jadi dalam konvensi penamaan IEEE, ia mendapat huruf kapital. Jadi 802.1X, bukan 802.1x. Setiap kali Anda melihat dokumentasi atau artikel yang keliru, anggap sebagai tanda kelalaian dan ketidakpedulian terhadap detail, dan biarkan hal itu memengaruhi seberapa banyak keyakinan yang Anda berikan pada dokumentasi atau artikel itu.
Spiff
Jadi WPA2 / Enterprise adalah enkripsi AES, dan 802.1X adalah enkripsi WEP. Meskipun mereka berdua menggunakan 802.1X untuk otentikasi. Sangat lengkap didokumentasikan dengan beberapa sejarah di balik itu semua. Terima kasih @Spiff, saya berharap saya bisa dua kali memilih.
Brain2000
@ Brain2000. Hati-hati, pernyataan ulang Anda yang terlalu disederhanakan sangat menyesatkan. Mungkin benar bahwa beberapa AP memiliki UI jelek yang secara keliru mengatakan "802.1X" ketika apa yang sebenarnya mereka maksud adalah "802.1X dengan WEP dinamis". Tapi 802.1X adalah protokol otentikasi yang diperluas untuk LAN yang tidak spesifik untuk 802.11, apalagi WEP.
Spiff
@Spiff Anda benar, ini adalah UI jelek yang menunjukkan "WPA2 / Enterprise" dan "802.1X" dalam dropdown yang sama. Lagipula, itulah topik dari seluruh pertanyaan ini. Jadi, ya, saya pikir apa yang saya tulis adalah apa yang saya maksud untuk dituliskan. Ini bukan penyederhanaan yang berlebihan. Itu UI jelek, seperti yang Anda katakan.
Brain2000