EAP-TLS 与 PEAP：哪种认证协议适合您的网络？

EAP-TLS 与 PEAP：哪种认证协议适合您的网络？ Purple 技术简报 [引言 — 约 1 分钟] 欢迎收听 Purple 技术简报。我是主持人，今天我们探讨在设计或升级企业无线基础设施时最重大的决策之一：为您的 802.1X 认证框架选择 EAP-TLS 还是 PEAP。 如果您是负责酒店集团、零售地产、体育场馆或公共部门组织的 IT 经理、网络架构师或 CTO，此决策会影响您的安全态势、合规地位以及团队承担的日常运营开销。所以让我们直接切入主题。 EAP-TLS 和 PEAP 都是 802.1X 认证方法。它们都依赖 RADIUS 服务器处理认证请求，并且都提供比共享 WPA2 密语强得多的安全性。但它们验证身份的方式本质上不同——这种差异对如何部署、管理和扩展网络有重大影响。 [技术深入探讨 — 约 5 分钟] 我们先来看 EAP-TLS——可扩展认证协议传输层安全。 EAP-TLS 是企业 WiFi 认证的黄金标准。其定义性特征是相互证书认证。在实践中，这意味着：当设备尝试连接到您的网络时，RADIUS 服务器向设备出示数字证书。设备根据其受信任的证书颁发机构检查该证书。但与 PEAP 的关键区别是——设备然后向服务器出示自己的证书。服务器验证该客户端证书，只有两个证书都有效且受信任，网络才授予访问权限。 这里完全不涉及密码。完全没有。认证完全基于证书。这使得 EAP-TLS 异常抵抗凭据盗窃、字典攻击和中间人攻击。您根本无法窃取认证流中不存在的密码。 现在，权衡是部署复杂性。要大规模运行 EAP-TLS，您需要公钥基础设施（PKI）来为网络上的每台设备颁发、管理和吊销证书。您还需要移动设备管理解决方案将证书静默推送到端点。如果您的企业拥有 Microsoft Intune 或 Jamf，这完全可行。如果没有，EAP-TLS 将成为一项重大任务。 另一个运营考虑是证书生命周期管理。证书会到期。如果您的 RADIUS 服务器证书到期，网络上的每台设备都将同时认证失败。这是一场灾难性的中断。证书监控和续订过程是必不可少的。 现在我们来看 PEAP——受保护的可扩展认证协议。 PEAP 旨在解决 EAP-TLS 的部署复杂性，同时仍提供强大的安全性。PEAP 背后的关键洞察是：只需要服务器拥有证书，客户端不需要。 以下是它的工作原理：RADIUS 服务器向客户端设备出示其证书。客户端验证服务器——就像在 EAP-TLS 中一样。这建立了一个加密的 TLS 隧道。在该隧道内，客户端然后执行标准的基于密码的认证，通常使用 MSCHAPv2，针对您的身份存储——Active Directory、LDAP、Google Workspace，无论您使用什么。 密码从不以明文传输。它始终在加密隧道内得到保护。因此 PEAP 确实是安全的——只要配置正确。 这时我们需要谈谈 PEAP 部署中最常见和最危险的配置错误。如果客户端设备未配置为严格验证 RADIUS 服务器的证书，攻击者可以设置一个具有相同网络名称的恶意接入点，出示伪造的证书，设备会愉快地连接。攻击者然后捕获 MSCHAPv2 认证交换，可以离线破解。这不是理论上的攻击——这是在实际渗透测试中使用的有案可查的技术。 修复很简单：使用组策略、MDM 配置文件或入门工具在每台客户端设备上强制执行严格的服务器证书验证。但运营现实是，在 BYOD 环境中，确保这种配置在成千上万台非托管个人设备上一致应用确实困难。 让我给您一个具体的比较。考虑一个拥有 500 个网点的零售连锁店。他们有企业自有的平板电脑和手持扫描器，全部通过 Microsoft Intune 管理。EAP-TLS 是正确的选择。Intune 自动推送证书。如果扫描器丢失，IT 吊销其证书，几分钟内它就断开网络——无需重置密码，无需在 500 个商店中更改共享密语。安全是绝对的。 现在考虑一个为 3,000 名员工提供个人设备 WiFi 的大型会议中心。没有 MDM。员工使用 Google Workspace。与 Google Secure LDAP 集成的 PEAP 是实际选择。员工使用标准凭据进行认证。IT 团队提供入门文档以配置证书验证。几天内即可部署，而不是几个月。 支撑两种协议的架构是相同的 802.1X 三组件模型：请求者——即客户端设备，认证器——即您的接入点或交换机，以及 RADIUS 服务器。认证器充当守门人，阻止所有流量，直到 RADIUS 服务器发出认证成功的信号。 [实施建议和陷阱 — 约 2 分钟] 那么实际建议是什么？ 第一：如果您有 MDM 解决方案和企业自有设备，请部署 EAP-TLS。在 PKI 和证书管理上的初始投资通过降低风险和简化合规审计带来回报。对于受监管的环境——医疗保健、金融、公共部门——这不是可选项。它是审计员期望看到的架构。 第二：如果您运行 BYOD 环境或没有 MDM 基础设施，请部署 PEAP。但不要跳过服务器证书验证配置。使用入门工具、网络访问控制门户或 MDM 配置文件（如可能）来强制执行此操作。将其视为强制性部署步骤，而不是可选的安全加固措施。 第三：无论选择哪种协议，都要在架构中构建 RADIUS 冗余。认证是关键路径。单个 RADIUS 服务器故障意味着无人能登录网络。云托管的 RADIUS 解决方案可以提供弹性，而无管理冗余本地基础设施的开销。 第四：认证后对网络进行分段。成功的 802.1X 认证不应授予对整个企业网络的无限制访问。使用 VLAN 分配策略将用户置于具有适当访问控制的适当网段中。 要避免的常见陷阱：证书到期导致 EAP-TLS 部署中的大规模认证失败；客户端设备在 PEAP 部署中不验证服务器证书；以及由于无线控制器和认证服务器之间的高延迟导致的 RADIUS 超时问题——在分布式地理分布中尤其重要。 [快速问答 — 约 1 分钟] 让我快速回答几个我常听到的问题。 我能在同一网络上同时运行 EAP-TLS 和 PEAP 吗？可以。许多组织在一个 SSID 上为企业设备运行 EAP-TLS，在另一个 SSID 上为 BYOD 或访客访问运行 PEAP，并在它们之间进行适当的网络分段。 WPA3 会改变这个决策吗？WPA3 Enterprise 对高安全部署要求 192 位安全模式，这与 EAP-TLS 一致。WPA3 Personal 使用 SAE 而不是 PSK，但对于企业 802.1X 部署，EAP 方法的选择仍然相关。 PEAP 是否符合 PCI DSS？是的，当正确配置并强制执行服务器证书验证时。然而，对于处理持卡人数据的环境，在安全评估中 EAP-TLS 越来越成为推荐方法。 OpenRoaming 呢？OpenRoaming 底层使用基于证书的认证，与 EAP-TLS 原则一致。像 Purple 这样的平台可以作为 OpenRoaming 的身份提供者，实现跨场所的无缝、安全漫游，无需重新认证。 [总结和下一步 — 约 1 分钟] 总结一下：EAP-TLS 是最高安全选项，通过相互证书认证完全消除密码。它需要 PKI 和 MDM 基础设施，但提供最强的合规态势和最细粒度的设备级访问控制。PEAP 是 BYOD 和没有证书管理基础设施的环境的实际选择，使用现有凭据提供强大的加密认证——但仅当服务器证书验证被严格强制执行时。 决策框架很简单：如果您管理设备，使用 EAP-TLS。如果用户自带设备，使用 PEAP——但要正确配置。 下一步：审计您当前的认证配置，评估您的 PKI 和 MDM 准备情况，并检查 RADIUS 基础设施的冗余和延迟。如果您在部署或升级企业网络的同时部署访客 WiFi，请考虑像 Purple 这样的平台如何与您的认证框架集成，以从您的网络中同时提供安全性和可操作的分析。 感谢收听 Purple 技术简报。下次再见。