EAP 方法比較：PEAP、EAP-TLS、EAP-TTLS 與 EAP-FAST

執行摘要

對於企業 IT 經理和網路架構師而言，選擇正確的可擴展驗證通訊協定 (EAP) 方法是一項關鍵決策，需要在安全態勢、部署複雜性和使用者體驗之間取得平衡。隨著組織從易受攻擊的預先共用金鑰 (PSK) 移轉至 802.1X 驗證，選擇通常會縮小到四種主要方法：PEAP、EAP-TLS、EAP-TTLS 和 EAP-FAST。本指南提供了這些方法的直接技術比較，協助您為 訪客 WiFi 和內部企業網路做出明智的架構決策。我們將探討基於密碼的通道方法和相互憑證驗證之間的安全性差異，評估特定方法適用的情境，並為現代企業環境提供可行的實作指導。

技術深入探討：EAP 方法比較

PEAP (受保護的 EAP)

PEAP 被廣泛認為是 802.1X 驗證的企業主力。由 Cisco、Microsoft 和 RSA Security 共同開發，它使用伺服器端憑證建立加密的 TLS 通道。在此安全通道內，用戶端使用舊式方法進行驗證，最常見的是 MSCHAPv2。

PEAP 的主要優點是它在現代作業系統（包括 Windows、macOS、iOS 和 Android）中幾乎無所不在的原生支援。因為它僅需要在 RADIUS 伺服器上安裝憑證，而不需要在用戶端裝置上，所以部署比基於憑證的替代方案簡單得多。這使得 PEAP 非常適合自攜裝置 (BYOD) 環境，或像 運輸 樞紐這樣管理用戶端憑證不切實際的大型公共場所。

然而，PEAP 依賴密碼（透過 MSCHAPv2）引入了安全風險。如果用戶端裝置未嚴格設定為驗證伺服器憑證，使用者就可能被誘騙連線到惡意存取點（「邪惡孿生」攻擊）。惡意 AP 接著可以捕獲 MSCHAPv2 挑戰回應，這些資料可離線破解以還原使用者的密碼。因此，在部署 PEAP 時，透過群組原則或 MDM 強制執行嚴格的伺服器憑證驗證是一項強制性安全控制。

EAP-TLS (EAP-傳輸層安全)

EAP-TLS 代表了企業無線安全的黃金標準。與 PEAP 不同，EAP-TLS 需要相互憑證驗證。RADIUS 伺服器和用戶端裝置都必須提供有效的數位憑證，才能授予任何網路存取權。

這種相互驗證完全消除了對密碼的需求，使憑證盜竊、字典攻擊和惡意 AP 攻擊變得無效。如果裝置缺少正確的用戶端憑證，它就根本無法連線到網路。對於受到嚴格法規要求約束的組織，例如 零售 業的 PCI DSS 或 醫療保健 業的 HIPAA，強烈建議採用 EAP-TLS。

這種增強安全性的權衡是部署的複雜性。實施 EAP-TLS 需要一個健全的公開金鑰基礎設施 (PKI) 來發行、更新和撤銷憑證。它還需要一個行動裝置管理 (MDM) 解決方案，例如 Microsoft Intune 或 Jamf，以安全地將這些憑證散發到端點。有關 Apple 環境的指導，請參閱我們關於 Jamf 與 RADIUS：針對 Apple 裝置的憑證式 WiFi 驗證 的指南。EAP-TLS 是對於安全性至關重要的企業自有、受管裝置機群的最佳選擇。

EAP-TTLS (EAP 通道式 TLS)

EAP-TTLS 由 Funk Software 和 Certicom 共同開發，其運作方式與 PEAP 類似，都是使用伺服器端憑證建立加密的 TLS 通道。關鍵差異在於其內部驗證方法的靈活性。雖然 PEAP 與 MSCHAPv2 緊密相關，但 EAP-TTLS 可以將幾乎任何驗證通訊協定（包括 PAP、CHAP 或 MSCHAP）安全地封裝在通道內。

這種靈活性使得 EAP-TTLS 在需要針對較舊的 LDAP 目錄、RADIUS 代理或不原生支援 MSCHAPv2 的非 Microsoft 身分識別存放區進行驗證的環境中極具價值。它正是全球研究和教育社群所使用的國際漫遊存取服務 eduroam 的底層通訊協定。過去，EAP-TTLS 的原生用戶端支援不如 PEAP 普及，通常需要在較舊的 Windows 版本上安裝第三方請求者，但現代作業系統現在已提供健全的原生支援。

EAP-FAST (透過安全通道的彈性驗證)

由 Cisco 開發，旨在快速取代高度易受攻擊的 LEAP 通訊協定，EAP-FAST 的設計目的是提供安全驗證，而不需要嚴格部署數位憑證。EAP-FAST 不使用伺服器憑證來建立安全通道，而是依賴受保護的存取憑證 (PAC)——由驗證伺服器動態提供給用戶端的不透明資料區塊。

EAP-FAST 的特點是其快速的交談恢復能力。雖然它提供了一個安全的加密通道，但依賴 PAC 而不是標準的 X.509 憑證，這使其有點專有，且不太符合現代、供應商中立零信任架構。如今，EAP-FAST 主要用於舊式以 Cisco 為中心的環境、特定 IoT 部署或專業的強固型裝置。對於大多數新的企業部署，首選 PEAP 或 EAP-TLS。

實作指南

部署 802.1X 驗證需要仔細規劃整個網路堆疊，從無線存取點到 RADIUS 基礎設施和身分識別提供者。與 Purple 平台整合時，我們的 RADIUS 伺服器支援所有主要的 EAP 方法，確保使用者在與 導航 或 WiFi 分析 等功能互動之前即可進行安全的無縫驗證。

步驟 1：定義驗證策略

評估您的端點機群。如果裝置為企業所有並透過 MDM 管理，則目標為 EAP-TLS。如果您支援 BYOD，PEAP 是務實的選擇。確保您的身分識別提供者 (Active Directory、Google Workspace、Okta) 支援所需的通訊協定（例如，PEAP 的 MSCHAPv2）。

步驟 2：憑證管理

對於 EAP-FAST 之外的所有方法，您必須為 RADIUS 伺服器部署伺服器憑證。理想情況下，此憑證應由受信任的公開憑證授權單位 (CA) 發行，以最大限度地減少用戶端的信任警告，但如果您控制所有端點，則可以使用內部的企業 CA。對於 EAP-TLS，建立您的 PKI 並設定您的 MDM，以自動提供具有正確主體別名 (SAN) 對應的用戶端憑證。

步驟 3：RADIUS 和存取點組態

設定您的無線存取點使用 WPA2-Enterprise 或 WPA3-Enterprise，並將其指向您的 RADIUS 伺服器 IP 位址，並使用正確的共用密碼。在 RADIUS 伺服器上，定義您的網路原則，指定允許的 EAP 方法，並根據使用者或裝置群組成員資格將成功的驗證對應到適當的 VLAN。

步驟 4：端點請求者組態

這是最關鍵的安全步驟。對於 PEAP，使用 MDM 或群組原則將預先設定的 WiFi 設定檔推送至裝置。此設定檔必須明確指定受信任的 RADIUS 伺服器名稱，以及發行伺服器憑證的受信任根 CA。至關重要的是，停用提示使用者信任新伺服器或憑證的選項。

最佳實務

1. 切勿依賴使用者對憑證的判斷：部署 PEAP 或 EAP-TTLS 時，務必預先設定端點請求者以信任特定的伺服器憑證。依賴使用者點擊憑證警告上的「接受」會破壞整個安全模型，並使網路暴露於惡意 AP 攻擊。
2. 自動化憑證生命週期管理：憑證到期是 802.1X 中斷的主要原因。對 EAP-TLS 部署中的 RADIUS 伺服器憑證和用戶端憑證，實施自動化的監控和更新流程。
3. 實施 WPA3-Enterprise：在用戶端支援允許的情況下，轉換到 WPA3-Enterprise。它強制使用受保護的管理訊框 (PMF)，並提供 192 位元安全套件選項，提供比 WPA2 更強健的加密保護。
4. 隔離網路：使用 RADIUS 屬性（如 Filter-Id 或 Tunnel-Private-Group-Id），根據已驗證使用者的角色動態將其分配到特定的 VLAN，將訪客流量與企業資產隔離開來。有關現代網路設計的更多資訊，請參閱 現代企業的核心 SD WAN 優勢 。

疑難排解和風險緩解

EAP 部署中常見的故障模式通常圍繞著憑證驗證和身分識別提供者整合。

• 徵狀：用戶端在 RADIUS 伺服器更新後無法連線。
  • 風險：新的伺服器憑證不是由用戶端信任的根 CA 發行，或伺服器名稱已變更。
  • 緩解措施：務必在預備環境中測試憑證輪替。在將新憑證鏈套用至生產環境之前，確保所有端點設定檔都完全信任它。
• 徵狀：iOS 裝置連線正常，但 Windows 裝置失敗。
  • 風險：Windows 請求者通常對伺服器憑證上的伺服器名稱指示 (SNI) 或特定 EKU (擴展金鑰使用方法) 屬性有更嚴格的驗證。
  • 緩解措施：驗證伺服器憑證包含「伺服器驗證」EKU，且 SAN 符合 Windows WiFi 設定檔中設定的名稱。

ROI 與業務影響

轉換到健全的 EAP 方法除了原始安全性之外，還能帶來顯著的業務價值。透過消除共用密碼，IT 團隊減少了與密碼重設或 PSK 遭破解相關的服務台工單作業開銷。在像 餐旅業 這樣的環境中，員工流動率可能很高，基於憑證的驗證 (EAP-TLS) 確保當裝置被抹除或憑證到期時，存取權會自動被撤銷，無需變更全域密碼。

此外，強式驗證是遵循 PCI DSS 和 GDPR 等法規框架的先決條件。透過展示健全的存取控制，組織可以降低與資料外洩相關的法規罰款和聲譽受損風險。有關升級場地基礎設施的更廣泛討論，請參閱 您的客人應得的現代飯店 WiFi 解決方案 。

播客簡報

收聽我們 10 分鐘的 EAP 方法技術簡報，涵蓋實作策略和常見陷阱：