跳至主要內容

EAP-TLS 對決 EAP-TTLS:您應該選擇哪種基於憑證的 WiFi 協定?

本指南針對 IEEE 802.1X 底下用於企業級 WiFi 驗證的 EAP-TLS 與 EAP-TTLS 進行了決定性的正面比較。它解釋了雙向憑證驗證與僅限伺服器端憑證通道之間的架構差異,並為 IT 經理、網路架構師和 CISO 提供了一個基於裝置管理能力和合規要求的明確決策框架。Purple 針對員工 WiFi 同時支援 EAP-TLS 與 EAP-TTLS 驗證路徑,本指南可協助企業在決定採用哪種方法之前,先瞭解基礎設施的權衡取捨。

📖 9 分鐘閱讀📝 2,090 字數🔧 2 範例4 練習題📚 10 關鍵定義

收聽此指南

查看播客逐字稿
簡介與背景說明 (0:00 - 2:00) 哈囉,歡迎收看 Purple 的技術簡報。我是今天的主持人,我們今天要來深入剖析企業 WiFi 認證中,EAP-TLS 與 EAP-TTLS 之間的重要差異。如果您是網路架構師、IT 總監,或是負責管理零售連鎖店、醫院或體育館等大型場館的基礎架構,這份簡報就是專為您設計的。我們將直奔主題,探討安全架構、部署時的權衡取捨,以及如何為您的環境選擇合適的協定。讓我們直接進入正題。 在深入探討協定本身之前,我們先來瞭解一下背景。現今大多數的企業 WiFi 部署仍然依賴單一共享密碼 - 即預共用金鑰(PSK)。網路上的每台裝置都使用相同的憑證。當員工離職或裝置遺失時,您有兩種選擇:為所有人變更密碼,或是承擔前員工或竊賊仍擁有有效憑證的風險。對於嚴謹的企業來說,這兩種做法都是無法接受的。 解決方案是 802.1X,這是用於基於連接埠之網路存取控制的 IEEE 標準。802.1X 賦予每台裝置專屬的獨立驗證憑證。當裝置連線時,存取點不會直接授予存取權限。它會將驗證請求轉發到集中式的 RADIUS 伺服器,由該伺服器驗證憑證並通知存取點是否開放連接埠。其結果是可審計、可撤銷且針對每台裝置的存取控制。這就是 EAP-TLS 和 EAP-TTLS 賴以建立的基礎。 這兩種協定都是可延伸驗證協定方法(即 EAP 方法),在 802.1X 架構內運作。問題不在於是否使用 802.1X。問題在於要在其中使用哪種 EAP 方法。這就是我們今天要解答的問題。 EAP-TLS 技術深入探討 (2:00 - 5:30) 讓我們從 EAP-TLS 開始,它代表傳輸層安全性。EAP-TLS 在 RFC 5216 中定義,被廣泛視為無線認證的金科玉律。其核心原則是雙向驗證。用戶端裝置和 RADIUS 伺服器都必須出示有效的 X.509 數位憑證來證明其身分,然後才會被授予網路存取權限。在整個過程中不涉及任何密碼。完全沒有。 從安全角度來看,這非常重要。密碼可能會被釣魚。它們可能會透過暴力破解被猜出。它們可能會因為員工在第三方服務重複使用相同密碼而從該服務的資料外洩中被盜取。憑證無法被釣魚、無法被猜測,並且與特定裝置綁定。如果惡意人士想要進入您的網路,他們需要實體裝置及其內嵌的密碼編譯私鑰。這是一個截然不同的威脅模型。 讓我為您詳細說明 EAP-TLS 握手程序,因為理解它能清楚解釋為何該協定如此安全。當裝置嘗試連接到 WiFi 網路時,存取點(Access Point)會發送要求裝置識別身份的 EAP-Request。裝置回應後,存取點會將此資訊轉發給 RADIUS 伺服器。RADIUS 伺服器接著發送 Server Hello 訊息及其 X.509 憑證,藉此啟動 TLS 握手。用戶端會對照其信任的根憑證授權單位(CA)儲存庫來驗證此伺服器憑證。如果驗證失敗,握手會立即終止,裝置也會拒絕連線。這正是防範「邪惡雙胞胎」(Evil Twin)攻擊的關鍵機制 - 避免駭客架設偽裝成您網路的流氓存取點。 如果伺服器憑證有效,用戶端接著會向 RADIUS 伺服器出示其自身的 X.509 憑證。RADIUS 伺服器隨即驗證用戶端憑證:檢查簽章鏈結是否可追溯至信任的根 CA、驗證憑證是否過期,並檢查憑證撤銷清單(CRL)以確保憑證未被撤銷。只有在雙方都確認無誤後,才會建立 TLS 通道並發送 EAP-Success 訊息,從而授予網路存取權限。整個交換過程使用 TLS 1.2 或 1.3,提供完美的前向安全(Perfect Forward Secrecy)。 然而,這種層級的安全防護伴隨著營運上的要求:您需要一個公開金鑰基礎建設(PKI)。您至少需要一個離線的根憑證授權單位以及一個線上的發行憑證授權單位。根 CA 應該進行實體隔離(Air-gap),因為其私鑰是您整個憑證階層架構的根源信任錨。發行 CA 則負責處理日常的憑證簽發並發布憑證撤銷清單。最關鍵的是,您需要一種將用戶端憑證部署到網路上每部裝置的機制。對於擁有數千部裝置的設備群,這意味著需要使用 SCEP - 簡單憑證註冊協定,將您的 PKI 與行動裝置管理(MDM)平台整合。當公司裝置註冊到您的 MDM 時,它會自動要求並接收其憑證,無需任何使用者互動。 實作情境 (5:30 - 8:00) 那麼,您應該部署哪種協定?這項決策幾乎完全取決於您的裝置管理能力和合規性要求。讓我為您提供一個實用的決策框架。 問自己三個問題。第一:所有連接到此網路的裝置是否都透過 Microsoft Intune 或 Jamf 等 MDM 平台由公司統一管理?如果是,您就具備部署用戶端憑證的基礎架構,而 EAP-TLS 就是正確的選擇。第二:此網路是否需要符合 PCI-DSS 4.0、HIPAA 或 WPA3 Enterprise 192 位元的要求?如果是,EAP-TLS 是必要的選擇。第三:您的網路中是否存有高比例的非託管或 BYOD(員工自攜裝置)裝置?如果是,對於該網路區段而言,EAP-TTLS 是更具務實性的選擇。 讓我給您兩個具體的真實世界情境。情境一:擁有四百家分店的國家級零售連鎖店。每個 POS 終端機和員工手持掃描器都已註冊到 Microsoft Intune 中。該網路在 PCI-DSS 4.0 的範圍內。在這種環境下,您部署 EAP-TLS。您建立私有 PKI,使用 Intune 透過 SCEP 將唯一的用戶端憑證推送到每台裝置,並設定您的 RADIUS 伺服器來檢查憑證撤銷清單。如果裝置被盜,您只需撤銷其憑證,它就會在幾分鐘內斷開網路。無需重設密碼,也無需在四百個站點之間輪換共用金鑰。 情境二:擁有兩萬名學生使用個人筆記型電腦、智慧型手機和平板電腦的大型大學校園。IT 團隊無法在個人裝置上安裝憑證。在這種環境下,EAP-TTLS 是務實的選擇。您在 RADIUS 伺服器上安裝受信任的憑證,與大學的目錄服務進行整合,學生便能在安全通道內使用其現有憑證進行驗證。它支援 Windows、macOS、Linux、Android 和 iOS,且用戶端無需安裝任何額外軟體。 在許多大型企業中,答案實際上是兩者兼備。您為託管的企業裝置部署 EAP-TLS,並為承包商、訪客和 BYOD 部署 EAP-TTLS 或獨立的安全網路。這是飯店餐飲集團中常見的模式,其中員工裝置受到管理並獲發憑證,而面向顧客的基礎設施則完全使用不同的驗證路徑。 快速問答 (8:00 - 9:00) 讓我針對我們經常從 CTO 和網路架構師那裡聽到的問題,提供一些快速解答。 問題一:WPA3 Enterprise 是否需要 EAP-TLS?如果您正在實作 WPA3 Enterprise 192 位元安全性套件,是的,EAP-TLS 是唯一允許的方法。它是唯一滿足 Wi-Fi Alliance 的 WPA3-Enterprise 192 位元要求的 EAP 方法。 問題二:我們可以使用 EAP-TTLS 於 IoT 裝置嗎?通常不行。無螢幕的 IoT 裝置(如輸液幫浦或環境感測器)通常缺乏處理複雜內部驗證方法的介面。EAP-TLS 實際上更適合 IoT,因為您可以在裝置預配置階段提供憑證。裝置會自動進行驗證,無需使用者互動。 問題三:在 EAP-TLS 網路上使用 BYOD 的情況如何?對於非託管的個人裝置,EAP-TLS 在營運上相當困難。您可以使用引導入口網站來提供臨時憑證,但這會增加摩擦。對於 BYOD,EAP-TTLS 或具有適當隔離的專用訪客網路通常是正確的答案。 問題四:這與硬體廠商有何關係?EAP-TLS 和 EAP-TTLS 在所有主要的企業級 WiFi 硬體平台(Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 和 Ubiquiti UniFi)上都得到支援。設定細節因平台而異,但底層標準是與廠商無關的。 摘要與後續步驟 (9:00 - 10:00) 最後,以下是您的關鍵重點。EAP-TLS 透過雙向憑證驗證提供最高的安全性。它完全消除了密碼風險,是託管裝置群和受管制環境的正確選擇。EAP-TTLS 透過伺服器端憑證和加密認證通道提供強大的安全性。它是混合或 BYOD 環境的正確選擇。這兩種協定都要求您在每個用戶端上強制執行伺服器憑證驗證。如果沒有它,這兩種協定都無法保護您免受惡意存取點的侵害。而憑證生命週期管理是 EAP-TLS 的主要維運挑戰 - 從第一天起就透過 MDM 和 SCEP 實現自動化。 您的下一步?稽核您目前的 802.1X 部署。如果您仍依賴共享密碼,請規劃您的遷移。檢查您的用戶端 supplicant 是否正在驗證伺服器憑證。如果您要在多個場域或分散式資產中進行部署,請考慮使用雲端託管的 RADIUS 服務以減輕維運負擔。感謝您收聽 Purple 的本次技術簡報。Purple 在我們超過 80,000 個實地場域中,為 Staff WiFi 同時支援 EAP-TLS 和 EAP-TTLS 驗證路徑。如需更詳細的部署指南,並瞭解我們的分析和身分平台如何與您的安全網路整合,請造訪 purple dot ai。

header_image.png

執行摘要

為您的 802.1X 部署選擇正確的 EAP 方法,決定了您的企業級 WiFi 是真正安全,還僅僅是紙面上合規。在 RFC 5216 中定義的 EAP-TLS (Extensible Authentication Protocol - Transport Layer Security) 需要雙向憑證驗證:在授予網路存取權限之前,用戶端裝置和 RADIUS 伺服器都必須出示有效的 X.509 憑證。過程中完全不交換密碼。在 RFC 5281 中定義的 EAP-TTLS (Tunneled Transport Layer Security) 則僅需要伺服器端憑證來建立加密的 TLS 通道,用戶端在此通道內使用現有的目錄認證資料進行驗證。

對於管理零售連鎖、餐旅場所和公共部門組織基礎設施的 CTO 和網路架構師來說,這個決定歸結為一個問題:您是否管理這些裝置?如果您透過 MDM 控制裝置群,EAP-TLS 是明確的首選。如果您支援多元的 BYOD 環境或缺乏健全的公開金鑰基礎建設 (PKI),EAP-TTLS 則提供了一個務實且高度安全的替代方案。Purple 支援這兩種驗證路徑,適用於超過 80,000 個實體場所的 員工 WiFi

comparison_chart.png


技術深度剖析

EAP-TLS 的架構

EAP-TLS 在 IEEE 802.1X 基於連接埠的存取控制框架內,以雙向驗證模型運作。每次驗證交換都包含三個核心元件:要求端 (用戶端裝置)、驗證端 (無線基地台) 以及驗證伺服器 (RADIUS 伺服器)。基地台本身不做出驗證決定。它扮演透明中繼的角色,將 EAP 訊息封裝到 RADIUS 封包中,並將其轉發給驗證伺服器。 EAP-TLS 握手程序如下。無線存取點向連線裝置發送 EAP-Request/Identity。裝置隨即回應其身分。RADIUS 伺服器以 EAP-TLS/Start 訊息啟動 TLS 握手。用戶端發送 ClientHello,宣告其支援的 TLS 加密套件。RADIUS 伺服器以 ServerHello、其 X.509 伺服器憑證以及憑證請求進行回應。用戶端會根據其信任的根 CA 存放區驗證伺服器憑證。若驗證失敗,握手即告終止 - 從而提供防範惡意無線存取點的保護。用戶端接著出示自己的 X.509 憑證。RADIUS 伺服器驗證用戶端憑證,檢查簽章鏈直至信任的根 CA,確認憑證未過期,並檢查憑證撤銷清單 (CRL) 或查詢 OCSP。只有在雙方都滿意時,才會建立 TLS 通道並授予網路存取權限。

由於不交換密碼,EAP-TLS 可以免受離線字典攻擊、認證資料填充和網路釣魚的威脅。它是唯一滿足 WPA3-Enterprise 192位元 (Suite B) 要求的 EAP 方法,且 PCI DSS 4.0 針對持卡人資料環境以及 NIST SP 800-120 針對高安全性無線部署,均強制要求或強烈推薦使用此方法。

**EAP-TLS 需要 PKI。**您至少需要一個離線根 CA 和一個線上發行 CA。根 CA 必須實施實體隔離,因為其私鑰是您整個憑證階層的主信任錨點。發行 CA 處理日常憑證發行並發佈 CRL。用戶端憑證是發給個別裝置而非使用者 - 這是一種裝置身分模型。這種區別對於 IoT 裝置、共享終端機和無螢幕系統至關重要。

EAP-TTLS 的結構

EAP-TTLS 旨在提供強大的 802.1X 安全性,而無需在每個用戶端裝置上部署憑證的維運負擔。它分兩個階段工作。在第一階段,RADIUS 伺服器出示其憑證並建立安全的 TLS 通道。只有伺服器需要憑證。在第二階段,用戶端在該加密通道內使用內部驗證方法進行授權。常見的內部方法包括 PAP (Password Authentication Protocol)、CHAP 和 MS-CHAPv2。用戶端發送其使用者名稱和密碼,但由於此交換發生在 TLS 通道內,認證資料在傳輸中會被加密,絕不會暴露在空中。

EAP-TTLS 在 macOS、Linux、Android 和 iOS 跨平台提供了極佳的支援。唯一需要注意的是 Windows:內建的 Windows 請求者 (supplicant) 原生不支援將 EAP-TTLS 用於無線 802.1X。擁有大量 Windows 裝置的環境可能需要第三方請求者,這會增加維運複雜性。對於以 Windows 為主的環境,使用 MS-CHAPv2 的 PEAP 通常是更實際的選擇。

EAP-TTLS 的最大限制在於它無法消除密碼固有的風險。如果使用者選擇了強度不足的密碼,它仍然容易受到離線暴力破解攻擊。如果內部驗證使用 PAP,密碼會以明文形式在通道內傳送 - 雖然如果您信任您的 RADIUS 基礎架構,這是可以接受的,但這仍然是一個必須瞭解的重要信任模型。

逐項比較

功能 EAP-TLS EAP-TTLS
RFC 標準 RFC 5216 RFC 5281
需要用戶端憑證
需要伺服器憑證
驗證模型 雙向(雙方) 僅伺服器
密碼風險 無 - 免密碼 加密通道中的密碼
PKI 需求 完整 PKI (Root CA + Issuing CA + MDM) 僅伺服器憑證
WPA3-Enterprise 192-bit 必要方法 不支援
PCI DSS 4.0 合規相符性 強烈建議 搭配強大內部驗證時可接受
BYOD 適用性 低(需要用戶端憑證) 高(僅需憑證資訊)
IoT 裝置適用性 高(在預配時安裝憑證) 低(無輸入憑證資訊的 UI)
Windows 原生支援 部分(通常需要第三方 Supplicant)
macOS/Linux/Android 支援
部署複雜度

實作指南

為託管裝置部署 EAP-TLS

部署 EAP-TLS 需要運作正常的 PKI 與 MDM 平台。在企業規模下,手動安裝憑證是不可行的。您必須使用 SCEP (Simple Certificate Enrolment Protocol) 或 EST (Enrolment over Secure Transport) 將您的 PKI 與 MDM 整合。當公司裝置進行註冊時,它會自動請求並接收其憑證,無需使用者介入。

在身分識別管理方面,Purple 在 Connect 授權下可作為 OpenRoaming 等服務的免費身分識別提供者,利用底層憑證與身分識別框架,促進不同地點之間的安全漫遊。

在 RADIUS 方面,請設定您的伺服器以根據內部 CA 驗證用戶端憑證,並檢查 CRL 或使用 OCSP 進行即時撤銷檢查。支援的 RADIUS 平台包括 FreeRADIUS、Microsoft NPS 和 Cisco ISE。Purple 的雲端覆蓋整合了 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 與 Fortinet 硬體。

針對混合環境部署 EAP-TTLS

對於包含非託管裝置的環境,EAP-TTLS 是最佳選擇。您只需要在 RADIUS 伺服器上部署受信任的憑證即可。請確保您的 RADIUS 伺服器直接與您的目錄服務(Microsoft Entra ID、Okta 或 Google Workspace)整合,以驗證內部驗證憑證。請設定透過 MDM 部署的 WiFi 設定檔,以針對您特定的受信任 CA 強制執行伺服器憑證驗證。如果缺少此步驟,TLS 通道將無法防範惡意存取點(Rogue AP)。

decision_framework.png


最佳實踐

在每台用戶端強制執行伺服器憑證驗證

對於 EAP-TLS 和 EAP-TTLS 而言,最關鍵的設定步驟是在用戶端裝置上強制執行伺服器憑證驗證。如果裝置沒有針對特定的信任 CA 驗證 RADIUS 伺服器的憑證,它將會連線到呈現任何憑證的任何伺服器 - 包括惡意存取點。請務必在 MDM 部署的 WiFi 設定檔中指定信任的 CA 和預期的伺服器名稱。這項單一設定檢查是您目前可以實施的最有效安全性改進。

自動化憑證生命週期管理

憑證會過期。如果您沒有自動更新流程,當憑證同時過期時,您將面臨大規模的驗證失敗。使用 SCEP 或 EST 來自動進行更新,並在到期日之前提前設定監控警報。如果裝置遺失或員工離職,請立即撤銷憑證。設定您的 RADIUS 伺服器以檢查 CRL 或使用 OCSP 進行即時驗證。

按驗證方法進行網路分段

在大型或分散式環境中,考慮在不同的 SSID 上執行這兩種協定。企業託管裝置在專用的員工 WiFi SSID 上透過 EAP-TLS 進行驗證。承包商和 BYOD 裝置則在具有適當 VLAN 分段的獨立 SSID 上透過 EAP-TTLS 進行驗證。這種模式在 Premier Inn 和 Whitbread 等酒店集團中非常常見,其員工裝置受到管理並獲發憑證,而訪客基礎設施則使用獨立的驗證路徑。有關 SSID 架構的更多詳細資訊,請參閱我們的指南 三個 SSID 搞定一切:訪客、員工和物聯網的 WiFi 設計

同步所有基礎設施的時間

憑證驗證依賴於準確的系統時間。用戶端裝置或 RADIUS 伺服器上的時鐘偏差會產生「尚未生效」或「已過期」的憑證錯誤,這些錯誤很難診斷。確保所有基礎設施元件都與可靠的 NTP 伺服器保持同步。


故障排除與風險緩釋

未知的 CA 錯誤

如果 RADIUS 記錄顯示「未知的 CA」,則表示用戶端裝置不信任簽發 RADIUS 伺服器憑證的 CA。驗證您的 MDM 設定檔是否包含根 CA 憑證,且用戶端已設定為信任它。在 CA 輪替或憑證更新後,請重新將更新後的 CA 憑證套件推送至所有裝置。

EAP 方法不匹配

如果裝置連接到存取點但驗證失敗,請檢查用戶端上設定的 EAP 方法是否與 RADIUS 伺服器接受的方法一致。設定為 EAP-TLS 的裝置設定檔在僅設定 PEAP 的 RADIUS 伺服器上將會驗證失敗。

憑證過期導致的大規模失敗

如果大量裝置同時驗證失敗,請先檢查憑證的到期日。這是 EAP-TLS 部署中導致大規模 802.1X 失敗最常見的原因。請實施監控系統,在到期前 60 天、30 天和 7 天發送警報。

RADIUS 用戶端設定錯誤

每個存取點或無線控制器都必須定義為 RADIUS 用戶端,並設定正確的 IP 地址和共用金鑰。不匹配會導致驗證逾時,這通常會被誤歸因於 EAP 方法。請從第一天起就啟用詳細的 RADIUS 記錄。如需進一步的 WiFi 疑難排解指南,請參閱我們的指南 疑難排解公共 WiFi:修復「已連線但無網際網路」與快顯視窗重新導向失敗


合規性與法規接軌

對於資訊安全長(CISO)和網路架構師而言,在決定使用 EAP-TLS 還是 EAP-TTLS 時,了解法規環境至關重要。EAP 方法的選擇會直接影響您在多個關鍵架構中的合規狀態。

PCI DSS 4.0 (支付卡產業資料安全標準) 要求在持卡人資料環境中的無線網路實施強式加密驗證。要求 8.3 規定所有對 CDE 的存取都必須進行多因素驗證,且在範圍內的無線網路必須利用強驗證機制。採用憑證型雙向驗證的 EAP-TLS 絕對符合這項要求。如果內部驗證得到妥善保護,且強制執行伺服器憑證驗證,則採用 MS-CHAPv2 的 EAP-TTLS 是可接受的,但 EAP-TLS 是更穩健且更易於通過稽核的選擇。 HIPAA (醫療保險可攜性與責任法案) 要求涵蓋實體實施技術安全保護措施,以保護在電子通訊網路上傳輸的電子保護健康資訊 (ePHI)。HIPAA 安全規則並未強制規定特定協定,但對於傳輸 ePHI 的無線網路,其對加密和存取控制的期望顯著偏向於為託管醫療裝置群部署 EAP-TLS,並為員工裝置部署強制執行伺服器憑證驗證的 EAP-TTLS。

WPA3-Enterprise 192-bit (亦稱為 Suite B 或 CNSA 模式) 是 Wi-Fi Alliance WPA3 認證中的最高安全層級。它規定將 EAP-TLS 作為唯一允許的驗證方法,要求使用 TLS 1.2 或更高版本並搭配特定的加密套件 (ECDHE 搭配 P-384、AES-256-GCM),且需要 ECDSA 或 RSA-3072 憑證。針對政府、國防或關鍵基礎設施應用部署 WPA3-Enterprise 192-bit 的企業組織必須使用 EAP-TLS。 ISO 27001 並未強制規定特定協定,但要求組織針對網路資源實施適當的存取控制。使用 EAP-TLS 或 EAP-TTLS (強制執行伺服器憑證驗證) 的 802.1X 部署可滿足附錄 A.9.1 與 A.13.1 的網路存取控制要求。


投資報酬率與企業影響

遷移至 EAP-TLS 需要在 PKI 和 MDM 整合方面進行初始投資,但它消除了密碼重設的營運開銷,以及因憑證遭破解而導致網路遭入侵的財務風險。對於擁有 400 家分店的零售連鎖店而言,在共用 PSK 網路上單一個被破解的密碼就可能危及整個資產。EAP-TLS 完全消除了該攻擊途徑。

對於多租戶環境和交通樞紐,安全驗證可確保只有授權使用者才能存取網路頻寬,進而最佳化基礎設施利用率。透過 RADIUS 憑證屬性進行的動態 VLAN 分配可實現加密強制執行的網路分段,確保裝置根據憑證屬性放置在正確的網路分段上,而不是依賴 SSID 選擇或 MAC 地址過濾。

Purple 的 WiFi Analytics 平台與這兩種驗證路徑整合,可讓您掌握整個資產中的裝置數量、工作階段持續時間和網路利用率。如需特定行業的部署指南,請探索我們針對 HospitalityRetailHealthcare 以及 Transport 的資源。

關鍵定義

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

RFC 5216 中定義的 802.1X 驗證方法,要求用戶端設備和 RADIUS 伺服器均出示有效的 X.509 憑證。不交換任何密碼。驗證是雙向且具備加密綁定的。

企業無線安全的黃金標準。WPA3-Enterprise 192-bit 所必需,並強烈建議用於 PCI DSS 4.0 持卡人數據環境。

EAP-TTLS (Extensible Authentication Protocol - Tunneled Transport Layer Security)

RFC 5281 中定義的 802.1X 驗證方法,僅需要伺服器端憑證即可建立加密的 TLS 通道。用戶端在通道內使用次要的內部驗證方法(通常是使用者名稱和密碼)進行驗證。

BYOD 環境和混合作業系統網路的首選,在這些環境中部署用戶端憑證在營運上是不切實際的。

802.1X

一種用於基於連接埠之網路存取控制的 IEEE 標準,為連接到 LAN 或 WLAN 的設備提供驗證機制。它定義了申請者、驗證者和驗證伺服器的角色。

使企業網路能夠驗證個別設備而不是依賴單一共享密碼的基礎框架。EAP-TLS 和 EAP-TTLS 均在此框架內運作。

RADIUS (Remote Authentication Dial-In User Service)

一種網路協定,為連接到網路服務的使用者提供集中式的驗證、授權和計費管理。在 802.1X 部署中,RADIUS 伺服器是驗證憑證或認證資料的驗證伺服器。

用以驗證憑證或密碼並指示存取點是否授予或拒絕網路存取的伺服器組件。支援的平台包括 FreeRADIUS、Microsoft NPS 和 Cisco ISE。

PKI (Public Key Infrastructure)

建立、管理、分發、使用、存儲和撤銷數位憑證所需的一套角色、政策、硬體、軟體和程序。典型的企業 PKI 由離線根 CA 和線上發行 CA 組成。

簽發 EAP-TLS 驗證中所使用的用戶端和伺服器憑證所需的後端基礎架構。沒有 PKI,就無法部署 EAP-TLS。

MDM (Mobile Device Management)

IT 部門用於監控、管理和保護員工行動設備與筆記型電腦的軟體。Microsoft Intune 和 Jamf 等 MDM 平台可以自動向已註冊的設備部署憑證和 WiFi 設定檔。

對於大規模自動化部署 EAP-TLS 用戶端憑證至關重要。若不整合 MDM,在數千台設備上手動安裝憑證在營運上是不可能的。

SCEP (Simple Certificate Enrollment Protocol)

一種用於自動向網路設備簽發數位憑證的協定。MDM 平台使用 SCEP 在無使用者互動的情況下,靜默地向已註冊的企業設備要求並安裝憑證。

EAP-TLS 部署中免手動憑證佈署的標準機制。受 Microsoft Intune、Jamf 和大多數企業 MDM 平台支援。

CRL (Certificate Revocation List)

由發行憑證授權單位在其預定到期日之前撤銷的數位憑證清單。RADIUS 伺服器會檢查 CRL,以驗證連線裝置的憑證是否仍然有效。

一種可讓您透過撤銷其憑證,立即使遭竊或遭入侵的設備無法存取網路的機制。RADIUS 伺服器應配置為頻繁檢查 CRL,或使用 OCSP 進行即時驗證。

X.509

定義公鑰憑證格式的 ITU-T 標準。EAP-TLS 和 EAP-TTLS 都使用 X.509 憑證進行伺服器驗證。EAP-TLS 還需要在用戶端裝置上安裝 X.509 憑證。

所有企業 PKI 部署中使用的憑證格式。當 IT 團隊在 802.1X 的上下文中提到「數位憑證」時,他們指的是 X.509 憑證。

內部驗證方法

在由 EAP-TTLS 建立的加密 TLS 通道內使用的次要驗證協定。常見的內部方法包括 PAP(密碼驗證協定)、CHAP 和 MS-CHAPv2。

選擇內部驗證方法會影響 EAP-TTLS 部署的安全性。PAP 在通道內以純文字傳送密碼;MS-CHAPv2 使用查問回應機制。通道會加密所有內部驗證流量。

範例

一家擁有 400 家分店的連鎖零售商需要保護其銷售點(POS)終端機和員工手持掃描儀的安全。該環境屬於 PCI-DSS 4.0 的範圍。所有裝置均已註冊於 Microsoft Intune。他們應該部署哪種協定,關鍵的設定步驟是什麼?

部署 EAP-TLS。步驟 1:建立一個雙層 PKI,包含一個實體隔離的離線根 CA 和一個線上發行 CA。步驟 2:使用針對所有 POS 和掃描儀裝置的 SCEP 憑證設定檔來設定 Microsoft Intune。步驟 3:部署 RADIUS 伺服器(Microsoft NPS 或雲端 RADIUS),並將其設定為對照內部 CA 驗證用戶端憑證。步驟 4:在 RADIUS 伺服器上啟用 CRL 檢查或 OCSP。步驟 5:透過 Intune 推送 WiFi 設定檔,其中指定 SSID、EAP-TLS 作為驗證方法、受信任的根 CA 以及預期的 RADIUS 伺服器名稱。步驟 6:在推廣到所有 400 個站點之前,先以 10 台裝置的試點小組進行測試。步驟 7:建立憑證過期監控流程,並在過期前 60 天、30 天和 7 天發出警報。

考官評語: EAP-TLS 是正確的選擇,因為 PCI-DSS 4.0 強烈建議在持卡人數據環境中的無線網路採用雙向憑證驗證。對於 POS 裝置,若依賴密碼(EAP-TTLS)會引入無法接受的憑證被盜風險。透過 SCEP 進行 MDM 整合是不可或缺的 - 在 400 個站點上手動安裝憑證在營運上是不可能的。在此情境中,最常見的失敗點是忘記在 Intune WiFi 設定檔中強制執行伺服器憑證驗證,這將使裝置即便在部署了 EAP-TLS 的情況下,仍容易受到邪惡雙生仔(Evil Twin)攻擊。

一個大型大學校園需要為 20,000 名使用個人筆記型電腦、智慧型手機和平板電腦(BYOD)混合裝置的學生提供安全的 WiFi。IT 團隊無法在個人裝置上安裝憑證。該大學使用 Microsoft Entra ID 進行身分識別管理。他們應該部署哪種協定?

部署以 MS-CHAPv2 作為內部驗證方法的 EAP-TTLS,並透過 RADIUS 與 Microsoft Entra ID 進行整合。步驟 1:向所有主要作業系統都信任的公共 CA 取得伺服器憑證,或部署內部 CA 並透過大學的裝置管理工具為託管裝置分發根憑證。步驟 2:將 RADIUS 伺服器設定為使用 LDAP 或 RADIUS 代理對照 Microsoft Entra ID 進行驗證。步驟 3:為學生建立 WiFi 入網指南,其中指定 SSID、EAP-TTLS、MS-CHAPv2 以及受信任的 CA。步驟 4:在 Entra ID 層級強制執行強密碼策略,並考慮為初始註冊啟用多因素驗證。步驟 5:設定 WiFi 設定檔以強制執行伺服器憑證驗證,並指定受信任的 CA 和 RADIUS 伺服器名稱。

考官評語: EAP-TTLS 在此處是務實的選擇。為 20,000 台未託管的個人設備管理 PKI 在營運上是不可能的。EAP-TTLS 為憑證提供了安全通道,保護其免受空中攔截,同時支援包括 Windows、macOS、Linux、Android 和 iOS 在內的各種作業系統。在這種情況下,關鍵風險是學生錯誤配置其設備以跳過伺服器憑證驗證。發布包含確切設定步驟的清晰上網引導指南,並使用公開受信任的伺服器憑證,可顯著降低此風險。

練習題

Q1. 您正在為 50 個辦公室位置的 5,000 台公司筆記型電腦部署 EAP-TLS。透過 Microsoft Intune 推送 WiFi 設定檔後,裝置無法連線。RADIUS 伺服器記錄為每次失敗的驗證嘗試顯示「Unknown CA」。最可能的原因是什麼,以及您如何解決?

提示:請考慮用戶端側的憑證驗證鏈,以及 MDM 設定檔除了 EAP 方法設定之外,還必須包含哪些內容。

查看標準答案

用戶端裝置未設定為信任發行 RADIUS 伺服器憑證的內部憑證授權單位。MDM WiFi 設定檔必須包含根 CA 憑證(以及任何中間 CA 憑證),並設定 supplicant 信任它們以進行伺服器驗證。若沒有此設定,用戶端會拒絕 RADIUS 伺服器的憑證並終止交握。解決方案:更新 Intune WiFi 設定檔,在「用於伺服器驗證的根憑證」設定下包含受信任的根 CA 憑證,然後重新將設定檔推送至所有裝置。

Q2. 您的組織已為混合的 BYOD 環境部署 EAP-TTLS。在安全性審查期間,您的滲透測試團隊示範了他們可以透過使用自我簽署憑證設定 rogue 存取點來擷取使用者認證。在不遷移至 EAP-TLS 的情況下,您如何修補此漏洞?

提示:思考在內部驗證之前會發生什麼事,以及用戶端側的什麼設定可防止與不受信任的伺服器建立 TLS 通道。

查看標準答案

存在此漏洞是因為用戶端裝置未設定為驗證 RADIUS 伺服器的憑證。修補程式:更新所有 WiFi 設定檔(託管裝置透過 MDM,BYOD 則透過新的新手引導指南),以強制執行伺服器憑證驗證。在設定檔中指定受信任的 CA 和預期的 RADIUS 伺服器名稱。以此方式設定的用戶端將拒絕與任何無法出示由指定受信任 CA 簽署之憑證的伺服器建立 TLS 通道,從而消除 rogue 存取點攻擊媒介。

Q3. 一家醫院的 IT 主管希望為其醫療 IoT 裝置(輸液幫浦、病患監視器、環境感測器)部署 802.1X。他們正在考慮 EAP-TTLS,因為他們認為憑證管理過於複雜。為什麼這種推理是有缺陷的,正確的方法是什麼?

提示:考慮無螢幕的 IoT 裝置如何處理驗證提示,以及當裝置無法輸入認證時會發生什麼事。

查看標準答案

此推理存在兩個漏洞。首先,大多數無螢幕的醫療 IoT 設備沒有輸入憑據的整合式使用者介面,這使得使用使用者名稱/密碼進行內部驗證的 EAP-TTLS 在運作上無法執行。其次,在實際應用中,EAP-TLS 對於 IoT 設備反而更簡單:憑證可以在部署前的設備整備階段進行配置,隨後設備會自動進行驗證,無需任何使用者互動。正確的方法是使用 EAP-TLS,並透過整備階段所使用的設備管理系統來配置憑證。這也符合 HIPAA 對醫療保健環境中強效無線驗證的要求。

Q4. 您是一家擁有 200 家物業的酒店集團的網路架構師。您需要為 3,000 台託管員工設備(已註冊於 Intune)確保 Staff WiFi 的安全,同時也需要為攜帶個人筆記型電腦的承包商和第三方廠商提供安全的 WiFi。請設計其驗證架構。

提示:請考慮單一 SSID 搭配單一 EAP 方法是否能同時服務這兩類群體,以及這兩種使用者類型會帶來哪些網路分段影響。

查看標準答案

部署兩個獨立的 SSID,並配置不同的驗證方法與 VLAN 分配。SSID 1 (Staff WiFi):採用 EAP-TLS,憑證透過 Intune SCEP 推送,VLAN 分配至員工網路區段,可完全存取酒店管理系統。SSID 2 (承包商 WiFi):採用 EAP-TTLS 搭配 MS-CHAPv2,憑據透過獨立的目錄或 Microsoft Entra ID 中的限時承包商帳戶進行驗證,VLAN 分配至僅限網際網路的隔離區段,無法存取內部系統。兩個 SSID 都必須強制執行伺服器憑證驗證。此架構為員工提供最高的安全性,同時為承包商提供實用的驗證方法,且網路分段可確保受損的承包商憑據無法接觸到內部的酒店管理系統。