Найбільш близьким, що я можу зробити, мирянські умови, трохи спрощені і обмежені лише WPA2 заради простоти:
802.1X НЕ є типом шифрування. Це в основному лише механізм аутентифікації для користувача (наприклад, ім'я користувача та пароль).
WPA2 - схема безпеки, яка визначає два основні аспекти бездротової безпеки:
- Автентифікація: ваш вибір PSK ("Особистий") або 802.1X ("Підприємство").
- Шифрування: Завжди AES-CCMP.
Якщо ви використовуєте захист WPA2 у своїй мережі, у вас є два варіанти аутентифікації: або потрібно використовувати один пароль для всієї мережі, про яку всі знають (це називається попередньо спільним ключем або PSK), або ви використовуєте 802.1X змусити кожного користувача використовувати власні унікальні облікові дані для входу (наприклад, ім’я користувача та пароль).
Незалежно від того, для якого типу аутентифікації ви налаштували вашу мережу для використання, WPA2 завжди використовує схему під назвою AES-CCMP для шифрування ваших даних в ефірі задля конфіденційності та для запобігання різних інших видів атак.
802.1X - це "EAP over LAN" або EAPoL. EAP означає "протокол розширюваної автентифікації", що означає, що це свого роду схема підключення для різних методів аутентифікації. Деякі приклади:
- Ви хочете автентифікувати своїх користувачів іменами користувачів та паролями? Тоді "PEAP" - хороший тип використання EAP.
- Ви хочете автентифікувати своїх користувачів за допомогою сертифікатів? Тоді "EAP-TLS" є хорошим типом EAP для використання.
- Чи є пристрої у вашій мережі всі смартфони GSM із SIM-картками? Потім ви можете використовувати "EAP-SIM", щоб зробити автентифікацію стилю GSM SIM-картки, щоб потрапити у вашу мережу. тощо.
Якщо ви налаштували бездротовий маршрутизатор для використання 802.1X, він повинен мати спосіб аутентифікувати користувачів через певний тип EAP. Деякі маршрутизатори можуть мати можливість вводити список імен користувачів та паролів прямо на маршрутизаторі, і маршрутизатор знає, як зробити всю аутентифікацію все самостійно. Але більшість, ймовірно, вимагатиме налаштування RADIUS. RADIUS - це протокол, який дозволяє зберігати базу даних вашого імені користувача та паролів на центральному сервері, тому вам не доведеться вносити зміни на кожен окремий бездротовий маршрутизатор щоразу, коли ви додаєте або видаляєте користувача або користувач змінює свій пароль або щось інше. Бездротові маршрутизатори з 802.1X зазвичай не знають, як аутентифікувати користувачів безпосередньо, вони просто знають, як здійснювати шлюз між 802.1X та RADIUS, щоб бездротові клієнтські машини фактично отримали автентифікацію на сервері RADIUS в мережі,
Якщо в інтерфейсі користувача вашого бездротового маршрутизатора в списку типів шифрування є "802.1X" , це, ймовірно, означає "802.1X з динамічним WEP", що є старою схемою, де 802.1X використовується для аутентифікації, та кожного користувача за сеанс Ключі WEP динамічно генеруються в рамках процесу аутентифікації, і, таким чином, WEP є в кінцевому рахунку використовуваним методом шифрування.
Оновлення re: два логічних порта
Щоб відповісти на ваше запитання щодо двох об'єктів логічного порту, у специфікації 802.1X є два окремих поняття, на які ви можете посилатися.
По-перше, специфікація 802.1X визначає клієнтські та серверні ролі для протоколу 802.1X, але він називає їх відповідно Supplicant і Authenticator. У вашому бездротовому клієнті або бездротовому маршрутизаторі у вас є програмне забезпечення, яке виконує роль 802.1X Supplicant або Authenticator. Це програмне забезпечення, яке виконує цю роль, називається специфікацією доступу до порту або PAE.
По-друге, специфікація зазначає, що в, скажімо, вашому бездротовому клієнтському апараті, повинен бути спосіб для вашого програмного забезпечення 802.1X Supplicant отримати доступ до вашого бездротового інтерфейсу для того, щоб надсилати та отримувати пакети EAP для аутентифікації, навіть коли жодне інше мережеве програмне забезпечення на вашій системі дозволено використовувати бездротовий інтерфейс (оскільки мережевий інтерфейс не довіряється до його автентифікації). Таким чином, у дивному легальному документі специфікацій IEEE, він говорить, що існує логічний "неконтрольований порт", до якого підключається клієнтське програмне забезпечення 802.1X, і "контрольований порт", до якого підключається решта мережевого стека. Коли ви вперше намагаєтеся підключитися до мережі 802.1X, увімкнено лише неконтрольований порт, тоді як клієнт 802.1X робить це. Після того, як з'єднання буде аутентифіковано (і, скажімо,
Довга відповідь, не стільки з точки зору непростої людини:
IEEE 802.1X - це спосіб зробити аутентифікацію користувача або пристрою для дротових або бездротових Ethernet LAN (і, можливо, інших мережевих схем у сімействі IEEE 802). Спочатку він був розроблений та розгорнутий для дротових мереж Ethernet, а пізніше був прийнятий робочою групою IEEE 802.11 (бездротової локальної мережі), як частина додатку щодо безпеки 802.11i до 802.11, щоб слугувати методом аутентифікації користувача або пристрою для мереж 802.11.
Коли ви використовуєте аутентифікацію 802.1X у мережі WPA або WPA2, ви все ще використовуєте кодекси конфіденційності WPA або WPA2 та алгоритми цілісності повідомлень. Тобто, у випадку з WPA ви все ще використовуєте TKIP як шифр конфіденційності, а MIChael - як перевірку цілісності повідомлення. У випадку з WPA2 ви використовуєте AES-CCMP, який є одночасно шифром конфіденційності, а також перевіркою цілісності повідомлення.
Різниця, коли ви використовуєте 802.1X, полягає в тому, що ви більше не використовуєте загальномережевий загальнодоступний ключ (PSK). Оскільки ви не використовуєте єдиний PSK для всіх пристроїв, трафік кожного пристрою є більш безпечним. Якщо PSK знає PSK і захоплює рукостискання ключа, коли пристрій приєднується до мережі, ви можете розшифрувати весь трафік цього пристрою. Але з 802.1X процес аутентифікації надійно генерує матеріал клавіатури, який використовується для створення унікального Pairwise Master Key (PMK) для з'єднання, тому один користувач не може розшифрувати трафік іншого користувача.
802.1X заснований на EAP, протоколі розширюваної автентифікації, який був спочатку розроблений для PPP, і досі широко використовується в рішеннях VPN, які використовують PPP всередині зашифрованого тунелю (LT2P-over-IPSec, PPTP тощо). Насправді 802.1X взагалі називають "EAP через локальні мережі" або "EAPoL".
EAP забезпечує загальний механізм транспортування повідомлень про аутентифікацію (запити автентифікації, виклики, відповіді, повідомлення про успіх тощо), без шару EAP не потрібно знати деталей конкретного використовуваного методу аутентифікації. Існує ряд різних "типів EAP" (механізми аутентифікації, розроблені для підключення до EAP) для аутентифікації за допомогою імені користувача та пароля, сертифікатів, токенових карток тощо.
Через історію EAP з PPP та VPN, він завжди легко переходив на RADIUS. Через це типово (але технічно не потрібно) для 802.11 AP, які підтримують 802.1X, містити клієнт RADIUS. Таким чином, AP зазвичай не знають нікого імені користувача або пароля або навіть як обробляти різні типи автентифікації EAP, вони просто знають, як прийняти загальне повідомлення EAP від 802.1X і перетворити його у повідомлення RADIUS та переслати його на сервер RADIUS . Тож AP є лише каналом для аутентифікації, а не його учасником. Реальними кінцевими точками аутентифікації є, як правило, бездротовий клієнт та сервер RADIUS (або якийсь сервер аутентифікації вище, до якого входить шлюз сервера RADIUS).
Більше історії, ніж ви хотіли знати:
Коли вперше створено 802.11, єдиним підтримуваним ним способом аутентифікації була форма автентифікації з розділеними ключами з використанням 40- або 104-бітних ключів WEP, а WEP сортувався обмеженням на 4 ключі в мережі. Усі користувачі або пристрої, що підключаються до вашої мережі, повинні знати одну з 4 коротких клавіш для того, щоб увійти. У стандарті не було можливості аутентифікувати кожного користувача чи пристрою окремо. Крім того, спосіб автентифікації спільних ключів дозволяв здійснювати легкі "офлайн-оракули" швидкі атаки грубої відгадки ключів.
Багато постачальників передач 802.11 корпоративного обладнання зрозуміли, що для того, щоб 802.11 досягти успіху на корпоративному ринку, потрібна автентифікація для кожного користувача (тобто імені користувача та пароля, або сертифікат користувача) або для пристрою (машинного сертифіката). Незважаючи на те, що 802.1X ще не був зроблений, Cisco взяв чернетку 802.1X, обмежив її одним типом EAP (форма EAP-MSCHAPv2), змусив її генерувати динамічні ключі WEP за сеанс за сеанс за кожний пристрій. що вони називали "Легкий EAP" або LEAP. Інші постачальники робили подібні речі, але з незграбними назвами на кшталт "802.1X з динамічним WEP".
Wi-Fi Alliance (Альянс сумісності з бездротовою мережею Ethernet, або "WECA") побачив, як WEP отримує заслужено поганий представник, і побачив, що в промисловості відбувається фрагментація схеми безпеки, але не могла чекати, коли робоча група IEEE 802.11 закінчиться прийнявши 802.1X в 802.11i, тому Wi-Fi Alliance створив захищений доступ Wi-Fi (WPA), щоб визначити сумісний стандарт міжповерхового постачальника для виправлення недоліків у WEP як шифр конфіденційності (створюючи TKIP для його заміни), недоліки в аутентифікації на базі WEP (автентифікація WPA-PSK для його заміни) та надання способу використання 802.1X для аутентифікації на користувача або на один пристрій.
Тоді група завдань IEEE 802.11i закінчила свою роботу, вибравши AES-CCMP як шифр конфіденційності майбутнього та прийнявши 802.1X, з певними обмеженнями для забезпечення безпеки в бездротових мережах, для аутентифікації користувача та пристрою для 802.11 бездротові локальні мережі. У свою чергу, Wi-Fi Alliance створив WPA2 для підтвердження сумісності між реалізаціями 802.11i. (Альянс Wi-Fi насправді є організацією сертифікації та маркетингу, яка часто працює в Інтерропі, і часто вважає за краще IEEE бути справжнім органом стандартів WLAN. Але якщо IEEE є занадто прихованим і не рухається досить швидко для галузі, Wi- Fi Alliance вступить і виконуватиме стандартизовані роботи напередодні IEEE, і зазвичай потім відкладається на відповідний стандарт IEEE, як тільки він з’явиться пізніше.)