web-dev-qa-db-ja.com

802.1X:WPAとEAPに関して正確には何ですか?

802.1Xはある種のポート認証制御であると理解しています。ただし、ワイヤレスの暗号化設定をチェックアウトしているときに、ドロップダウンにWPA2、WPAおよびWEPと一緒に、802.1Xが見つかりましたが、それがどのように代替できるかわかりませんこれらのために。

誰かが、おそらくEAPプロトコルに関連して、802.1Xがどのように適合するかを簡単な言葉で説明できますか? 802.1Xはすべての物理ポートに対して2つの論理ポートエンティティを提供することを知っています。これらの1つは認証用で、もう1つは実際のEAPメッセージが通過するためのものだと思いますか?

19
Jason

私が素人の言葉にできる最も近い、少し単純化しすぎて、単純化のためにWPA2のみに制限されています:

802.1Xは暗号化タイプではありません。これは基本的に、ユーザーごと(ユーザー名とパスワードなど)の認証メカニズムにすぎません。

WPA2は、ワイヤレスセキュリティの2つの主要な側面を指定するセキュリティスキームです。

  • 認証:PSK(「パーソナル」)または802.1X(「エンタープライズ」)の選択。
  • 暗号化:常にAES-CCMP。

ネットワークでWPA2セキュリティを使用している場合、認証には2つの選択肢があります。誰もが知っているネットワーク全体に単一のパスワードを使用する必要があります(これは事前共有キーまたはPSKと呼ばれます)、または802.1Xを使用します各ユーザーに自分の一意のログイン資格情報(ユーザー名とパスワードなど)を使用するように強制する。

どの認証タイプを使用するようにネットワークを設定したかに関係なく、WPA2は常にAES-CCMPと呼ばれるスキームを使用して、機密性のために無線でデータを暗号化し、その他のさまざまな種類の攻撃を阻止します。

802.1Xは「EAP over LAN」またはEAPoLです。 EAPは「Extensible Authentication Protocol」の略です。これは、さまざまな認証方法のためのプラグイン方式の一種であることを意味します。いくつかの例:

  • ユーザー名とパスワードを使用してユーザーを認証しますか?その場合、「PEAP」は適切なEAPタイプです。
  • 証明書を介してユーザーを認証しますか?その場合、「EAP-TLS」は使用するのに適したEAPタイプです。
  • ネットワーク上のデバイスはすべて、SIMカードを備えたGSMスマートフォンですか?次に、「EAP-SIM」を使用してGSM SIMカードスタイルの認証を行い、ネットワークに接続できます。などなど.

802.1Xを使用するようにワイヤレスルーターを設定する場合は、何らかのEAPタイプを介してユーザーを認証する方法が必要です。一部のルーターには、ユーザー名とパスワードのリストをルーターに直接入力する機能があり、ルーターはそれ自体で認証全体を実行する方法を知っています。ただし、ほとんどの場合、RADIUSを構成する必要があります。 RADIUSは、ユーザー名とパスワードのデータベースを中央サーバーに保持できるようにするプロトコルです。そのため、ユーザーを追加または削除するたびに個別のワイヤレスルーターに変更を加える必要はありません。またはユーザーが自分のパスワードなどを変更します。802.1Xを実行するワイヤレスルーターは、通常、ユーザーを直接認証する方法を知りません。802.1XとRADIUS=クライアントマシンは実際にはネットワーク上のRADIUSサーバーによって認証されています。さまざまなEAPタイプの処理方法を知っているのはRADIUSサーバーです。

ワイヤレスルーターのユーザーインターフェイスの暗号化タイプのリストに「802.1X」がある場合、802.1Xが古いスキームである「802.1X with dynamic WEP」を意味する可能性があります。は認証に使用され、ユーザーごと、セッションごとのWEPキーは認証プロセスの一部として動的に生成されるため、最終的にはWEPが使用される暗号化方法です。

更新:2つの論理ポート

2つの論理ポートエンティティに関する質問に答えるために、802.1X仕様には、参照している可能性のある2つの異なる概念があります。

まず、802.1X仕様では、802.1Xプロトコルのクライアントとサーバーの役割を定義していますが、それぞれSupplicantとAuthenticatorと呼んでいます。ワイヤレスクライアントまたはワイヤレスルーター内には、802.1Xサプリカントまたはオーセンティケーターの役割を果たすソフトウェアがあります。この役割を実行するこのソフトウェアは、仕様ではポートアクセスエンティティまたはPAEと呼ばれています。

第2に、仕様では、たとえば、ワイヤレスクライアントマシン内で、他のネットワークソフトウェアがオンになっていない場合でも、EAPパケットを送受信して認証を行うために、802.1Xサプリカントソフトウェアがワイヤレスインターフェイスにアクセスする方法が必要であると述べていますシステムはまだワイヤレスインターフェイスの使用を許可されています(ネットワークインターフェイスは認証されるまで信頼されないため)。したがって、IEEE仕様ドキュメントの奇妙なエンジニアリング法的規定では、802.1Xクライアントソフトウェアが接続する論理的な「非制御ポート」と、ネットワークスタックの残りが接続する「制御ポート」があると述べています。最初に802.1Xネットワークへの接続を試みると、802.1Xクライアントが動作している間、非制御ポートのみが有効になります。接続が認証されると(そして、たとえば、WPA2 AES-CCMP暗号化が残りのネットワーク伝送を保護するように設定されていると)、制御されたポートが有効になり、システムの残りの部分がそのネットワークリンクを「アップ」と認識します。 」.

長い答え、素人の言葉ではあまりありません:
IEEE 802.1Xは、有線または無線のイーサネットLAN(および場合によってはIEEE 802ファミリの他のネットワークスキーム)のユーザーごとまたはデバイスごとの認証を行う方法です。もともとは有線イーサネットネットワーク用に設計および導入され、802.11iの802.11iセキュリティ補遺の一部としてIEEE 802.11(無線LAN)ワーキンググループによって採用され、ユーザーごとまたはデバイスごとの認証方法として機能しました。 802.11ネットワーク用。

WPAまたはWPA2ネットワークで802.1X認証を使用する場合でも、WPAまたはWPA2の機密性暗号とメッセージ整合性アルゴリズムを使用しています。 WPAの場合、機密性の暗号としてTKIPを使用し、メッセージの整合性チェックとしてMIChaelを使用しています。WPA2の場合、機密性の暗号とメッセージの整合性チェックの両方であるAES-CCMPを使用しています。

802.1Xを使用している場合の違いは、ネットワーク全体の事前共有キー(PSK)を使用しなくなったことです。すべてのデバイスで単一のPSKを使用していないため、各デバイスのトラフィックはより安全です。 PSKを使用すると、PSKがわかっていて、デバイスがネットワークに参加したときにキーハンドシェイクをキャプチャすると、そのデバイスのすべてのトラフィックを復号化できます。ただし、802.1Xでは、認証プロセスにより、接続用の一意のペアワイズマスターキー(PMK)を作成するために使用されるキー情報が安全に生成されるため、あるユーザーが別のユーザーのトラフィックを解読する方法はありません。

802.1Xは、もともとPPP用に開発された拡張認証プロトコルであるEAPに基づいており、暗号化されたトンネル(LT2P-over-IPSec、PPTP)内でPPPを使用するVPNソリューションで引き続き広く使用されていますなど)実際、802.1Xは一般に「EAP over LAN」または「EAPoL」と呼ばれています。

EAPは、認証メッセージ(認証要求、チャレンジ、応答、成功通知など)を転送するための一般的なメカニズムを提供します。EAP層は、使用されている特定の認証方法の詳細を知る必要はありません。ユーザー名とパスワード、証明書、トークンカードなどを介して認証を行うには、さまざまな「EAPタイプ」(EAPにプラグインするように設計された認証メカニズム)があります。

PPPとVPNを使用したEAPの履歴があるため、常に簡単にRADIUSにゲートウェイ処理されます。そのため、802.1Xをサポートする802.11 APが=を含むのは一般的です(ただし、技術的には必要ありません)。 RADIUSクライアント。したがって、APは通常、誰のユーザー名またはパスワードも、さまざまなEAP認証タイプの処理方法も知りません。802.1Xから一般的なEAPメッセージを受け取り、変換する方法を知っています。 RADIUSメッセージに入れて、RADIUSサーバーに転送します。したがって、APは認証のための導管であり、その当事者ではありません。認証のエンドポイントは通常、ワイヤレスクライアントとRADIUSサーバー(またはRADIUSサーバーゲートウェイが接続する上流の認証サーバー)です。

知りたい以上の履歴: 802.11が最初に作成されたとき、サポートされていた唯一の認証方法は、40ビットまたは104ビットのWEPキーを使用した共有キー認証の形式であり、WEPはある程度制限されていましたネットワークごとに4つのキーに。ネットワークに接続するすべてのユーザーまたはデバイスは、ネットワークに接続するために、ネットワークの4つの短いキーの1つを知っている必要がありました。標準では、各ユーザーまたはデバイスを個別に認証する方法がありませんでした。また、共有キー認証の実行方法により、簡単な「オフラインOracle」高速ブルートフォースキー推測攻撃が可能になりました。

エンタープライズクラスの802.11ギアの多くのベンダーは、802.11をエンタープライズ市場で成功させるためには、ユーザーごと(ユーザー名とパスワード、またはユーザー証明書)またはデバイスごと(マシン証明書)の認証が必要であることに気づきました。 802.1Xはまだ完全には完了していませんが、シスコは802.1Xのドラフトバージョンを採用し、それを1つのEAPタイプ(EAP-MSCHAPv2の形式)に制限し、デバイスごとのセッションごとの動的WEPキーを生成し、作成しました彼らが「軽量EAP」またはLEAPと呼んだもの。他のベンダーも同様のことを行いましたが、「802.1X with dynamic WEP」のような不格好な名前でした。

Wi-Fi Alliance(Wireless Ethernet Compatibility Alliance、または「WECA」)は、WEPが相応に悪い結果を出しており、業界でセキュリティスキームの断片化が発生しているのを確認しましたが、IEEE 802.11ワーキンググループが終了するのを待つことができませんでした。 802.1Xを802.11iに採用することで、Wi-Fi AllianceはWi-Fi Protected Access(WPA)を作成し、WEPの欠陥を機密性の高い暗号として修正するための相互運用可能なクロスベンダー標準を定義しました(TKIPを作成して置換)。 WEPベースの共有キー認証(WPA-PSKを作成してそれを置き換える)で、ユーザーごとまたはデバイスごとの認証に802.1Xを使用する方法を提供します。

その後、IEEE 802.11iタスクグループは作業を終了し、AES-CCMPを将来の機密性暗号として選択し、802.11Xを採用しました。802.11のユーザーごとおよびデバイスごとの認証のために、ワイヤレスネットワーク上でセキュアに保つために一定の制限があります。無線LAN。次に、Wi-Fi Allianceは、802.11i実装間の相互運用性を証明するWPA2を作成しました。 (Wi-Fi Allianceは実際には相互運用性の認定およびマーケティング組織であり、IEEEを実際のWLAN標準化団体にすることを好むことがよくあります。しかし、IEEEがあまりにも行き届いておらず、業界にとって十分な速度で動いていない場合、Wi-Fi Fiアライアンスは、IEEEより先に標準化団体のような作業に介入し、実行します。通常、後で発表されると、関連するIEEE標準に従います。)

38
Spiff