802.1Xは何らかのポート認証制御であると理解しています。ただし、ワイヤレスの暗号化設定をチェックアウトしているときに、WPA2、WPA、およびWEPとともに802.1Xがドロップダウンに表示されていましたが、これらの代替手段になる方法がわかりません。
802.1Xがどのように適合するか、おそらくEAPプロトコルに関連することについて、誰かが素人の言葉で説明してもらえますか?私が知っているのは、802.1Xがすべての物理ポートに2つの論理ポートエンティティを提供することです。これらの1つは認証用であり、もう1つは実際のEAPメッセージが通過するためのものだと思いますか?
回答:
素人の用語にできる限り近づけて、少し単純化しすぎて、単純にするためにWPA2に限定しています。
802.1Xは暗号化タイプではありません。基本的には、ユーザー(たとえばユーザー名とパスワード)ごとの認証メカニズムです。
WPA2は、ワイヤレスセキュリティの2つの主な側面を指定するセキュリティスキームです。
ネットワークでWPA2セキュリティを使用している場合、2つの認証の選択肢があります:誰もが知っているネットワーク全体に単一のパスワードを使用する必要があります(これは事前共有キーまたはPSKと呼ばれます)、または802.1Xを使用します各ユーザーに独自のログイン資格情報(ユーザー名とパスワードなど)の使用を強制する。
ネットワークで使用するように設定した認証タイプに関係なく、WPA2は常にAES-CCMPと呼ばれるスキームを使用して、機密性のために無線でデータを暗号化し、他のさまざまな種類の攻撃を阻止します。
802.1Xは「EAP over LAN」またはEAPoLです。EAPは「拡張認証プロトコル」の略で、さまざまな認証方法の一種のプラグインスキームです。いくつかの例:
802.1Xを使用するようにワイヤレスルーターをセットアップする場合、何らかのEAPタイプを介してユーザーを認証する方法が必要です。ルーターによっては、ユーザーがユーザー名とパスワードのリストを入力できるようになっている場合があり、ルーターは認証自体をすべて行う方法を知っています。ただし、ほとんどの場合、RADIUSを構成する必要があります。RADIUSは、ユーザー名とパスワードのデータベースを中央サーバーに保持できるようにするプロトコルです。そのため、ユーザーを追加または削除したり、ユーザーがパスワードなどを変更したりするたびに、個別のワイヤレスルーターを変更する必要はありません。802.1Xを実行するワイヤレスルーターは通常、ユーザーを直接認証する方法を知らず、802.1XとRADIUSの間をゲートウェイする方法を知っているだけなので、ワイヤレスクライアントマシンは実際にネットワーク上のRADIUSサーバーによって認証されます。
ワイヤレスルーターのユーザーインターフェイスに暗号化タイプのリストに「802.1X」がある場合、おそらく「802.1X with dynamic WEP」を意味します。これは、802.1Xが認証に使用され、ユーザーごと、セッションごとに使用される古いスキームですWEPキーは認証プロセスの一部として動的に生成されるため、最終的にWEPは使用される暗号化方法です。
再更新:2つの論理ポート
2つの論理ポートエンティティに関する質問に答えるために、802.1X仕様には2つの異なる概念があります。
最初に、802.1X仕様は802.1Xプロトコルのクライアントとサーバーの役割を定義しますが、それぞれサプリカントとオーセンティケーターと呼びます。ワイヤレスクライアントまたはワイヤレスルーター内には、802.1Xサプリカントまたはオーセンティケーターの役割を実行するソフトウェアがあります。その役割を実行するこのソフトウェアは、仕様ではポートアクセスエンティティまたはPAEと呼ばれます。
第二に、仕様では、たとえばワイヤレスクライアントマシン内で、802.1Xサプリカントソフトウェアがワイヤレスインターフェイスにアクセスして、EAPパケットを送受信して認証を達成する方法が必要であり、他のネットワークソフトウェアが存在しない場合でも、システムはワイヤレスインターフェイスの使用を許可されています(ネットワークインターフェイスは認証されるまで信頼されないため)。IEEE仕様文書の奇妙なエンジニアリング法では、802.1Xクライアントソフトウェアが接続する論理的な「制御されていないポート」と、ネットワークスタックの残りが接続する「制御されたポート」があると述べています。802.1Xネットワークへの最初の接続を試みたとき、802.1Xクライアントがその処理を行っている間、制御されていないポートのみが有効になります。接続が認証されたら(そして、
長い答えは、平凡な用語で
はありません。IEEE802.1Xは、有線または無線のイーサネットLAN(および潜在的にIEEE 802ファミリの他のネットワークスキーム)のユーザーごとまたはデバイスごとの認証を行う方法です。当初は有線イーサネットネットワーク用に設計および展開され、その後、802.11の802.11iセキュリティ補遺の一部としてIEEE 802.11(ワイヤレスLAN)ワーキンググループに採用され、ユーザーまたはデバイスごとの認証方法として機能しました。 802.11ネットワーク用。
WPAまたはWPA2ネットワークで802.1X認証を使用する場合、引き続きWPAまたはWPA2の機密性暗号とメッセージ整合性アルゴリズムを使用しています。つまり、WPAの場合、TKIPを機密性の暗号として使用し、MIChaelをメッセージの整合性チェックとして使用しています。WPA2の場合、AES-CCMPを使用しています。これは、機密性暗号であると同時にメッセージの整合性チェックでもあります。
802.1Xを使用している場合の違いは、ネットワーク全体の事前共有キー(PSK)を使用していないことです。すべてのデバイスに単一のPSKを使用しているわけではないため、各デバイスのトラフィックはより安全です。PSKを使用すると、PSKを知っていて、デバイスがネットワークに参加するときにキーハンドシェイクをキャプチャすると、そのデバイスのトラフィックをすべて解読できます。しかし、802.1Xでは、認証プロセスにより、接続用の一意のペアワイズマスターキー(PMK)を作成するために使用されるキー情報が安全に生成されるため、あるユーザーが別のユーザーのトラフィックを解読する方法はありません。
802.1Xは、元々PPP用に開発された拡張認証プロトコルであるEAPに基づいており、暗号化トンネル内でPPPを使用するVPNソリューション(LT2P-over-IPSec、PPTPなど)で広く使用されています。実際、802.1Xは一般に「EAP over LAN」または「EAPoL」と呼ばれます。
EAPは、EAP層が使用されている特定の認証方法の詳細を知る必要なく、認証メッセージ(認証要求、チャレンジ、応答、成功通知など)を転送するための汎用メカニズムを提供します。ユーザー名とパスワード、証明書、トークンカードなどを介して認証を行うためのさまざまな「EAPタイプ」(EAPにプラグインするように設計された認証メカニズム)があります。
PPPとVPNを使用したEAPの歴史のため、RADIUSへのゲートウェイは常に簡単です。そのため、802.1Xをサポートする802.11 APがRADIUSクライアントを含むのは一般的です(技術的には必須ではありません)。したがって、APは通常、だれのユーザー名やパスワードも、さまざまなEAP認証タイプの処理方法さえも知らず、802.1Xから汎用EAPメッセージを取り込み、RADIUSメッセージに変換してRADIUSサーバーに転送する方法を知っているだけです。 。そのため、APは認証の単なる導管であり、その当事者ではありません。認証の実際のエンドポイントは、通常、ワイヤレスクライアントとRADIUSサーバー(またはRADIUSサーバーがゲートウェイするアップストリーム認証サーバー)です。
あなたが知りたいよりも多くの歴史: 802.11が最初に作成されたとき、サポートされた唯一の認証方法は、40ビットまたは104ビットのWEPキーを使用した共有キー認証の形式であり、WEPはネットワークごとに4つのキーに制限されていました。ネットワークに接続するすべてのユーザーまたはデバイスは、ネットワークに接続するために、4つの短いキーのいずれかを知っている必要がありました。標準では、各ユーザーまたはデバイスを個別に認証する方法はありませんでした。また、共有キー認証の方法により、簡単な「オフラインオラクル」高速ブルートフォースキー推測攻撃が可能になりました。
エンタープライズクラスの802.11機器の多くのベンダーは、802.11をエンタープライズ市場で成功させるには、ユーザーごと(つまり、ユーザー名とパスワード、またはユーザー証明書)またはデバイスごと(マシン証明書)の認証が必要であることに気付きました。802.1Xはまだ完成していませんが、Ciscoは802.1Xのドラフトバージョンを採用し、1つのEAPタイプ(EAP-MSCHAPv2の形式)に制限し、デバイスごと、セッションごとの動的WEPキーを生成し、作成しました「ライトウェイトEAP」またはLEAPと呼ばれるもの。他のベンダーも同様のことを行いましたが、「802.1X with dynamic WEP」のような不格好な名前を付けました。
Wi-Fi Alliance(ワイヤレスイーサネット互換性アライアンス、または「WECA」)は、WEPが当然の悪い評判を得ており、業界でセキュリティスキームの断片化が発生しているのを見ましたが、IEEE 802.11ワーキンググループが終了するのを待つことができませんでした802.11xに802.1Xを採用したため、Wi-Fi AllianceはWi-Fi Protected Access(WPA)を作成し、WEPの欠陥を機密性の暗号として修正するための相互運用可能なクロスベンダー標準を定義しました(TKIPを作成して置換します)。 WEPベースの共有キー認証(WPA-PSKを作成して置き換える)、およびユーザーごとまたはデバイスごとの認証に802.1Xを使用する方法を提供します。
その後、IEEE 802.11iタスクグループは作業を終了し、AES-CCMPを将来の機密暗号として選択し、802.1Xを採用し、802.11のユーザーごとおよびデバイスごとの認証のために、ワイヤレスネットワークで安全に保つための特定の制限を設けましたワイヤレスLAN。次に、Wi-Fi Allianceは、802.11i実装間の相互運用性を証明するためにWPA2を作成しました。(Wi-Fi Allianceは、実際には相互運用の認証およびマーケティング組織であり、IEEEを実際のWLAN標準化団体とすることを好むことがよくあります。しかし、IEEEが隠れすぎて、業界に十分に対応できない場合、Wi- Fi Allianceは、IEEEに先んじて標準ボディのような作業を開始し、通常、後で出てくると関連するIEEE標準に従います。)