隨著越來越多裝置加入公共 WiFi 網路,圍繞安全性和使用者驗證的疑慮持續成為討論焦點。在討論適用於每天載入數百、數千甚至數百萬名使用者的「大型顧客 WiFi 網路」的安全協定時,這一點尤其重要。如果沒有採取必要的安全措施,共享網路上的使用者將面臨風險。操作該網路的人員也可能會發現網路變得難以管理。
作為基本的安全性標準,高流量的公共 WiFi 應設定 WPA-Enterprise 協定,該協定使用 802.1X 驗證機制。802.1X 與兩種安全網路協定結合運行:EAPoL(區域網路上可延伸驗證協定)和 RADIUS(遠端驗證撥入使用者服務)伺服器。這使得 802.1x 本質上比標準的 WPA-PSK 或 WPA2-PSK 更安全,後者需要所有使用者共用密碼才能存取網路。
何時應考慮 802.1x 驗證
當網際網路使用者登入 WPA-PSK 或 WPA2-PSK 網路(PSK 代表「預先共享金鑰」)時,使用者輸入正確的網路密碼 / 安全金鑰即完成驗證。這允許使用者的機器或裝置加入、在網路上運行,並在沒有任何識別憑證的情況下控制網路。當企業(擁有連網電腦、收銀機和物聯網裝置)與客戶共享其主要網路時,這會變得尤其棘手。隨著越來越多使用者登入您的顧客 WiFi,要確切知道誰在使用您的網路(或誰知道密碼)幾乎是不可能的。頻繁變更密碼以將不速之客從網路中移除也相當費時且效率低下,對於擁有大量使用者的大型網路而言並不理想。
如果您是提供連接埠安全性(根據裝置的 MAC 位址決定哪些機器可以加入網路)的企業或機構,安全疑慮依然存在。雖然未經授權的使用者無法在自己的裝置上加入網路,但在有機會的情況下(例如:授權的裝置被盜,此時無法確定是否由正確的使用者操作該機器),沒有什麼能阻止他們冒充該裝置上的個人。
802.1x 驗證透過要求對使用者進行驗證(不論使用何種裝置),解決了圍繞密碼或連接埠安全性網路協定的問題。因此,我們建議商業和專業環境將這些 AAA(驗證、授權和計費)框架作為標準措施。
802.1x 驗證流程說明
802.1x 驗證的運作包含三個協同工作的部分,以允許使用者登入特定網路:請求端(supplicant)、驗證器(authenticator)和驗證伺服器(authentication server)。
嘗試加入 SSID 網路的請求端(或終端使用者)首先會被驗證器阻止存取。請求端與驗證器之間進行的通訊是 EAPoL 協定的一部分,其中包含攜帶該請求端特定網路專屬登入憑證的乙太網路影格(ethernet frames)。根據所需的安全性層級,驗證器可以提示請求端提供進一步的詳細資訊或進行互動(例如:需要 PIN 碼或填寫驗證碼)。
在驗證器將 EAPoL 資料識別為嘗試登入後,驗證器會為驗證伺服器準備資料,該伺服器最終將允許或拒絕終端使用者存取網路。這涉及將 EAPoL 資料轉換為 RADIUS 封包,以便伺服器將登入憑證解讀為存取請求。
運行於 RADIUS 安全協定上的伺服器使用 驗證、授權與計費 (AAA 或 Triple A)系統,這是一種更智慧、更安全地控制網路、伺服器、電腦等存取權的方法。此類伺服器要求將驗證器提供的資料與後端基礎架構(例如包含使用者詳細資訊及驗證所需相應憑證的目錄或資料庫)進行交叉比對(或驗證)。一旦 RADIUS 封包中的資訊獲得伺服器批准,批准請求就會發回給驗證器,從而授予請求端相應的存取權限和許可。
讓一切變得更輕鬆
由於 802.1x 驗證運作於啟用 RADIUS 協定的伺服器上,因此 WPA 保護網路的使用者管理和擴充性方面的難題將不復存在。透過 802.1x 驗證加入網路的使用者會經過兩層資料加密,且其在特定網路內的安全工作階段會受到 RADIUS 伺服器的監控。與受密碼保護的 (WPA) 網路不同,已驗證的使用者可以被單獨追蹤,並在他們構成任何威脅時將其從網路中移除。在沒有密碼的情況下,擴充使用者數量也變得更加容易,因為使用者可以在背景自動進行驗證。對於與他人共享連線的企業而言,也可以在 RADIUS 伺服器上限制對網路特定區域的存取,這比使用容易被入侵的開放式存取網路要安全得多。
終究而言,大規模的 WiFi 營運能透過實施驗證網路獲得巨大優勢。如果他們忽視運作具備公開存取權限的 WPA-PSK 或 WPA2-PSK 網路所涉及的安全風險,也將面臨巨大的損失。




