EAP-TLS 與 PEAP：哪種驗證通訊協定適合您的網路？

EAP-TLS 與 PEAP：哪種驗證通訊協定適合您的網路？ Purple 技術簡報 [引言 — 約 1 分鐘] 歡迎收聽 Purple 技術簡報。我是主持人，今天我們將深入探討在設計或升級企業無線基礎架構時，您將做出的最重要的決策之一：為您的 802.1X 驗證框架選擇 EAP-TLS 與 PEAP。 如果您是負責飯店集團、零售據點、體育場館或公部門組織的 IT 經理、網路架構師或技術長，這項決策影響您的安全態勢、合規地位以及您的團隊日常營運開銷。讓我們直接切入主題。 EAP-TLS 和 PEAP 都是 802.1X 驗證方法。它們都依賴 RADIUS 伺服器處理驗證請求，且均提供比共享 WPA2 密碼更強大的安全性。但它們驗證身分的方式根本不同——這種差異對您部署、管理和擴展網路的方式有重大影響。 [技術深入探討 — 約 5 分鐘] 我們從 EAP-TLS——可延伸驗證通訊協定傳輸層安全性開始。 EAP-TLS 是企業 WiFi 驗證的黃金標準。其定義特徵是相互憑證驗證。實務上這意味著：當裝置嘗試連線到您的網路時，RADIUS 伺服器向裝置提供數位憑證。裝置根據其信任的憑證授權單位檢查該憑證。但這裡是與 PEAP 的關鍵區別——裝置隨後將自己的憑證回傳給伺服器。伺服器驗證該用戶端憑證，只有在兩個憑證均有效且受信任時，網路才授予存取權。 過程中完全不涉及密碼。完全沒有。驗證完全基於憑證。這使得 EAP-TLS 極其抵抗憑證盜用、字典攻擊和中間人攻擊。您根本無法竊取不存在於驗證流程中的密碼。 現在，取捨是部署複雜性。要在大規模上運行 EAP-TLS，您需要一個公開金鑰基礎架構——PKI——來發行、管理和撤銷網路上每個裝置的憑證。您還需要一個行動裝置管理解決方案，將這些憑證無提示地推送至端點。如果您正運營一個使用 Microsoft Intune 或 Jamf 的企業資產，這完全可管理。如果不是，EAP-TLS 將成為一項重大任務。 另一項營運考量是憑證生命週期管理。憑證會到期。如果您的 RADIUS 伺服器憑證到期，網路上的每個裝置將同時無法驗證。這是一場災難性的中斷。憑證監控和續約流程是不可妥協的。 現在來看看 PEAP——受保護的可延伸驗證通訊協定。 PEAP 被設計為解決 EAP-TLS 的部署複雜性，同時仍提供強大的安全性。PEAP 背後的關鍵洞見是：您只需要伺服器擁有憑證。用戶端不需要。 以下是其運作方式。RADIUS 伺服器向用戶端裝置提供其憑證。用戶端驗證伺服器——如同 EAP-TLS。這建立了一個加密的 TLS 通道。在該通道內，用戶端隨後執行標準的密碼驗證，通常使用 MSCHAPv2，針對您的身分存放區——Active Directory、LDAP、Google Workspace，無論您使用什麼。 密碼永遠不會以明文傳輸。它始終在加密通道內受保護。所以 PEAP 確實是安全的——前提是設定正確。 而這正是我們需要談論 PEAP 部署中最常見且最危險的設定錯誤之處。如果用戶端裝置未設定為嚴格驗證 RADIUS 伺服器的憑證，攻擊者可以架設一個具有相同網路名稱的偽造存取點，提供詐欺憑證，裝置就會欣然連線。攻擊者接著捕獲 MSCHAPv2 驗證交換，該交換可離線破解。這不是理論攻擊——這是在真實世界滲透測試中使用的有據可查的技術。 解決方案很直接：使用群組原則、MDM 設定檔或入門工具，在每個用戶端裝置上強制執行嚴格的伺服器憑證驗證。但營運現實是，在 BYOD 環境中，確保此設定在數千個未受管的個人裝置上一致套用，確實困難。 讓我給出一個具體比較。考量一個 500 據點的零售連鎖店。他們擁有企業自有平板電腦和手持掃描器，全部透過 Microsoft Intune 管理。EAP-TLS 是正確的選擇。Intune 自動推送憑證。如果掃描器遺失，IT 撤銷其憑證，它在幾分鐘內就從網路中移除——無需密碼重設，無需跨 500 個據點更改共享密碼。安全性是絕對的。 現在考量一個大型會議中心，為 3,000 名員工在其個人裝置上運行 WiFi。沒有 MDM。員工使用 Google Workspace。整合 Google Secure LDAP 的 PEAP 是務實選擇。員工使用其標準憑證進行驗證。IT 團隊提供入門文件來設定憑證驗證。這在幾天內就能部署，而非幾個月。 支撐兩種通訊協定的架構是相同的三組件 802.1X 模型：請求者——即用戶端裝置，認證者，即您的存取點或交換器，以及 RADIUS 伺服器。認證者充當守門員，封鎖所有流量，直到 RADIUS 伺服器發出驗證成功的訊號。 [實作建議與陷阱 — 約 2 分鐘] 那麼，務實建議是什麼？ 第一：如果您有 MDM 解決方案和企業自有裝置，部署 EAP-TLS。在 PKI 和憑證管理上的初始投資，透過降低風險和簡化合規稽核來回收。對於受監管環境——醫療保健、金融、公部門——這不是選項。這是您的稽核員期望看到的架構。 第二：如果您運行 BYOD 環境或沒有 MDM 基礎架構，部署 PEAP。但不要跳過伺服器憑證驗證設定。使用入門工具、網路存取控制入口網站或可能的 MDM 設定檔來強制執行這一點。將其視為強制部署步驟，而非選購的強化措施。 第三：不論您選擇哪種通訊協定，都在架構中建立 RADIUS 備援。驗證是關鍵路徑。單一 RADIUS 伺服器故障意味著沒有人可以連上網路。雲端託管的 RADIUS 解決方案可以在沒有管理備援地端基礎架構開銷的情況下提供韌性。 第四：驗證後對您的網路進行分段。成功的 802.1X 驗證不應授予對整個企業網路的無限制存取。使用 VLAN 指派原則將使用者置於適當的網路區段，並搭配適當的存取控制。 要避免的常見陷阱：EAP-TLS 部署中憑證到期導致的集體驗證失敗；PEAP 部署中用戶端裝置未驗證伺服器憑證；以及因無線控制器和驗證伺服器之間延遲過高導致的 RADIUS 逾時問題——特別相關於地理分散的據點。 [快速 Q&A — 約 1 分鐘] 讓我快速回答一些常見問題。 我可以在同一網路上同時運行 EAP-TLS 和 PEAP 嗎？可以。許多組織在一個 SSID 上為企業裝置運行 EAP-TLS，並在另一個 SSID 上為 BYOD 或訪客存取運行 PEAP，兩者之間有適當的網路分段。 WPA3 是否改變這項決策？WPA3 Enterprise 為高安全部署強制使用 192 位元安全模式，這與 EAP-TLS 一致。WPA3 Personal 使用 SAE 而非 PSK，但對於企業 802.1X 部署，EAP 方法的選擇仍然相關。 PEAP 是否符合 PCI DSS？是的，當正確設定並強制執行伺服器憑證驗證時符合。然而，對於處理持卡人資料的環境，EAP-TLS 在安全評估中越來越被推薦。 OpenRoaming 呢？OpenRoaming 在底層使用基於憑證的驗證，與 EAP-TLS 原則一致。像 Purple 這樣的平台可以作為 OpenRoaming 的身分提供者，實現跨場館的無縫、安全漫遊，無需重新驗證。 [摘要與後續步驟 — 約 1 分鐘] 總結而言：EAP-TLS 是最高安全選項，透過相互憑證驗證完全消除密碼。它需要 PKI 和 MDM 基礎架構，但提供最強的合規態勢和最細緻的裝置級存取控制。PEAP 是 BYOD 和沒有憑證管理基礎架構的環境的務實選擇，使用現有憑證提供強大的加密驗證——但僅在嚴格強制執行伺服器憑證驗證時。 決策框架很簡單：如果您管理裝置，使用 EAP-TLS。如果您的使用者自帶裝置，使用 PEAP——但正確設定。 您的後續步驟：稽核您目前的驗證設定、評估您的 PKI 和 MDM 準備情況，並檢視您的 RADIUS 基礎架構的備援和延遲。如果您正在部署或升級與企業網路並行的訪客 WiFi，請考慮像 Purple 這樣的平台如何與您的驗證框架整合，以提供來自網路的安全性和可行分析。 感謝收聽 Purple 技術簡報。下次見。