随着越来越多的设备接入公共WiFi网络,围绕安全性和用户认证的担忧继续主导话题。尤其在讨论适合大规模、 访客WiFi 网络(每天承载数百、数千甚至数百万用户)的适当安全协议时更是如此。若没有必要的安全措施,共享网络上的用户将面临风险。网络运营者也可能会发现网络难以管理。
作为基本的安全标准,高流量的公共WiFi应配置使用 802.1X 认证机制的WPA企业级协议。802.1X与两个安全网络协议配合使用:基于局域网的扩展认证协议(EAPoL)和远程认证拨号用户服务(RADIUS)服务器。这使得802.1x本质上比标准的WPA-PSK或WPA2-PSK更安全,后者需要所有用户共享一个密码才能访问网络。
何时考虑802.1x认证
当互联网用户登录WPA-PSK或WPA2-PSK网络(PSK代表“预共享密钥”)时,认证发生在用户输入正确的网络密码/安全密钥时。这允许用户的机器或设备加入、在网络上操作并可能控制网络,而无需任何识别凭证。当企业(拥有连接的计算机、收银机和物联网设备)与客户共享其主网络时,这尤其成问题。随着越来越多的用户登录您的访客WiFi,精确知道谁在使用您的网络(或谁知道密码)变得几乎不可能。频繁更改密码以从网络中移除不需要的用户也是费力且低效的,对于拥有大量用户的大型网络来说并不理想。
如果您是提供端口安全(根据设备的MAC地址确定哪些机器可以加入网络)的企业或机构,安全问题仍然存在。虽然未经请求的用户将无法在自己的设备上加入网络,但如果给予机会(即:如果授权设备被盗,则无法确定是正确用户在使用该机器),Keith Bogart也无法阻止他们冒充该设备上的个人。
802.1x认证通过要求用户进行认证(无论设备如何)解决了密码或端口安全网络协议的问题。因此,我们建议商业和专业环境使用这些AAA(认证、授权和计费)框架作为标准措施。
802.1x认证过程解释
802.1x认证分为三个部分,它们协同工作以允许用户登录给定网络:请求者、认证器和认证服务器。
尝试加入SSID网络的请求者(或最终用户)首先被认证器阻止访问。请求者与认证器之间发生的通信是EAPoL协议的一部分,包含携带请求者特定网络唯一登录凭证的以太网帧。根据所需的安全级别,认证器可以提示请求者提供更多详细信息或交互(例如,要求输入pin码或填写验证码)。
认证器将EAPoL数据识别为登录尝试后,会为认证服务器准备数据,认证服务器最终将允许或拒绝最终用户的网络访问。这涉及将EAPoL数据转换为RADIUS数据包,使服务器能够将登录凭证解释为访问请求。
基于RADIUS安全协议运行的服务器使用 认证、授权和计费 (AAA或Triple A)系统,这是一种控制网络/服务器/计算机等访问权限的更为智能和安全的方法。此类服务器要求认证器提供的数据与后端基础设施(如包含用户详细信息及认证所需相应凭证的目录或数据库)进行交叉引用(或认证)。一旦RADIUS数据包中的信息获得服务器批准,批准请求将发回认证器,授予请求者适当的访问权限和许可。
让生活更轻松
由于802.1x认证在支持RADIUS协议的服务器上运行,对于WPA保护的网络,用户管理和可扩展性方面的困难不复存在。通过802.1x认证加入网络的用户经过两级数据加密,并且在特定网络内的安全会话由RADIUS服务器监控。与密码保护(WPA)网络不同,认证用户可以被单独跟踪,并在构成任何威胁时从网络中移除。在没有密码的情况下,扩展用户数量也容易得多,因为用户可以在后台自动认证。对于与其他方共享连接的企业,访问权限还可以限制在RADIUS服务器上网络的某些区域,这比拥有一个容易被渗透的开放访问网络要安全得多。
最终,大规模的WiFi运营通过实施认证网络可以获益良多。如果忽视运营具有公共访问权限的WPA-PSK或WPA2-PSK网络所涉及的安全风险,它们也将损失惨重。
