跳至主要內容
繁體中文

eduroam 與 802.1X:高等教育的安全 WiFi 驗證

本權威技術參考指南說明了 eduroam 與 802.1X 驗證的架構、部署與安全性。專為 IT 經理和網路架構師設計,內容涵蓋實際執行步驟、EAP 方法選擇,以及場地營運商如何安全地支援學術漫遊。

📖 6 分鐘閱讀📝 1,343 字數🔧 3 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
PODCAST SCRIPT: eduroam and 802.1X — Secure WiFi Authentication for Higher Education Runtime: approximately 10 minutes Voice: UK English, male, senior consultant tone — confident, conversational, authoritative --- [INTRO — 1 minute] 歡迎回來。在接下來的十分鐘內,我將帶您深入了解 eduroam 和 802.1X — 它們是什麼、在後台是如何運作的,以及您的團隊在部署或整合這兩者之前需要了解哪些資訊。 如果您是大學、大專院校或研究機構的 IT 經理、網路架構師或 CTO,又或者您是需要了解學術訪客對您的無線基礎設施有何期望的場域營運商,那麼這份簡報正是為您準備的。 讓我們從大局開始。eduroam 代表「教育漫遊(education roaming)」。它是一項全球 WiFi 漫遊服務,讓來自會員機構的學生、研究人員和教職員能夠在任何參與該計劃的場域自動、安全地連接到網際網路,且使用的是他們母校機構的憑證。無需 Captive Portal。無需憑證代碼。無需向櫃檯詢問密碼。 它自 2003 年開始運行,目前已覆蓋 100 多個國家的 10,000 多家機構,是全球高等教育校園無線網路的業界標準。如果您的組織與大學有交集 — 無論您是校園附近的飯店、舉辦學術活動的會議中心,還是大學城裡的公共圖書館 — 了解 eduroam 都與您的網路策略直接相關。 --- [TECHNICAL DEEP-DIVE — 5 minutes] 好的。讓我們進入技術細節。 eduroam 是建立在 IEEE 802.1X(基於連接埠的網路存取控制標準)之上的。802.1X 定義了一個在裝置獲准存取網路之前對其進行驗證的框架。它最初是為有線乙太網路設計的,但可以完美地對應到無線網路上,並且是我們所說的 WPA2-Enterprise 或 WPA3-Enterprise 安全性的基礎。 802.1X 模型有三個組成部分。第一,Supplicant(用戶端)— 也就是嘗試連線的裝置。例如學生的筆記型電腦、研究人員的手機。第二,Authenticator(驗證器)— 也就是您的網路存取點(AP)或網管型交換器。它介於用戶端和網路的其他部分之間,扮演守門人的角色。第三,Authentication Server(驗證伺服器)— 幾乎都是 RADIUS 伺服器。RADIUS 代表遠端使用者撥入驗證服務(Remote Authentication Dial-In User Service)。它是實際驗證憑證的組件。 以下是交握機制的運作方式。學生的裝置與無線存取點建立關聯。存取點此時尚未授予完整的網路存取權限,而是僅針對 EAP 流量開啟所謂的受控連接埠。EAP 即為可延伸驗證協定(Extensible Authentication Protocol)。存取點會在裝置與 RADIUS 伺服器之間代理 EAP 對話。RADIUS 伺服器向裝置發出挑戰,裝置則回應憑證(通常是使用者名稱與密碼,或是憑證)。若 RADIUS 伺服器驗證無誤,便會傳回 Access-Accept 訊息。接著,存取點才會開啟完整的網路連接埠。在配置完善的部署中,整個交換過程不超過兩秒。 那麼,eduroam 是如何疊加在此機制之上的?eduroam 採用階層式的 RADIUS 代理基礎架構。每個參與的機構都運行自己的 RADIUS 伺服器,稱為身分識別提供者(IdP)。當來自例如曼徹斯特大學(University of Manchester)的學生造訪倫敦帝國學院(Imperial College London)並連線至 eduroam SSID 時,其裝置會以 username@manchester.ac.uk 的格式傳送憑證。帝國學院的 RADIUS 伺服器會識別領域(即 @ 符號後面的部分),並將驗證請求向上代理至國家級 RADIUS 伺服器(在英國由國家研究與教育網路 Jisc 營運)。Jisc 接著將請求路由至曼徹斯特大學的 RADIUS 伺服器,由其驗證憑證並傳回 Accept 或 Reject。整個鏈結在毫秒內即可完成解析。 正是這種代理鏈結,讓 eduroam 能夠跨越機構邊界運作,而無需在機構之間預先共享任何金鑰。鏈結中的每個節點僅與其直接相鄰的節點共享 RADIUS 金鑰。學生的實際密碼絕不會離開其母校機構的 RADIUS 伺服器,因為它受到 EAP 通道的端到端保護。 談到 EAP 方法,這正是許多部署出錯的地方,請務必注意。eduroam 中最常用的 EAP 方法是 PEAP(受保護的 EAP)和 EAP-TLS。PEAP 在 TLS 通道內封裝了內部驗證方法(通常是 MSCHAPv2)。它需要在 RADIUS 伺服器端安裝伺服器端憑證,但用戶端只需要使用者名稱和密碼。EAP-TLS 是更安全的選擇,它採用雙向憑證驗證,意即伺服器和用戶端雙方都必須出示憑證。由於需要 PKI 來核發用戶端憑證,因此在大規模部署上較具挑戰性,但它基本上能完全免疫憑證網路釣魚。 許多機構容易出錯的關鍵安全性要求是用戶端憑證驗證。當裝置使用 PEAP 連線到 eduroam 時,該裝置必須在提交憑證之前驗證 RADIUS 伺服器的憑證。如果裝置設定錯誤而接受任何憑證,攻擊者就可以架設廣播 eduroam SSID 的惡意存取點、提供自我簽署憑證並竊取憑證。這是一個已知的攻擊媒介。解決方法是設定您的 supplicant 設定檔(針對受管理裝置透過 MDM,或針對個人裝置透過名為 CAT 的 eduroam 設定助理工具),以綁定預期的憑證授權單位和伺服器名稱。 從標準的角度來看,eduroam 部署預期要符合 eduroam 服務原則定義,該定義強制要求所有 RADIUS over TLS 連線使用 TLS 1.2 或更高版本、禁止使用 EAP-MD5 或 LEAP 等弱 EAP 方法,並要求所有 RADIUS 代理連線在可能的情況下使用 RadSec(RADIUS over TLS),而非純 UDP RADIUS。這符合英國 NCSC 指引和美國 NIST SP 800-120 的規範。 還有一個值得注意的技術點:VLAN 分配。在架構完善的 eduroam 部署中,RADIUS Access-Accept 回應包含 VLAN 屬性,這些屬性會告知存取點要將連線裝置分配到哪個 VLAN。這能讓您進行流量區隔——將來訪的學生放在僅限網際網路存取的受限 VLAN 中,而您自己的員工則被路由到內部網路。這對於合規性至關重要,特別是當您受到 PCI DSS 規範,或需要維持研究數據網路與一般網際網路流量之間的隔離時。 --- [實作建議與常見陷阱 — 2 分鐘] 讓我為您提供實用的指引。 如果您是首次部署 eduroam,您首先應該聯絡您的國家級 NREN——在英國是 Jisc,在愛爾蘭是 HEAnet,在美國是 Internet2。他們負責處理聯盟成員資格,並會為您分配一個 RADIUS 領域。若不成為您國家聯盟的成員,您就無法參與 eduroam。 您的基礎設施清單:您需要支援 802.1X 的存取點——任何來自 Cisco、Aruba、Juniper、Ruckus 或 Ubiquiti UniFi 的企業級設備都可以。您需要一台 RADIUS 伺服器——FreeRADIUS 是開源標準,或者您也可以使用 Microsoft NPS、Cisco ISE 或 Aruba ClearPass。您需要為您的 RADIUS 伺服器取得一張有效的 TLS 憑證,該憑證必須來自受 eduroam 社群信任的憑證授權單位(CA)——通常是來自您機構的 PKI 或 eduroam 認可清單上的商業 CA。 我最常遇到的三種部署失敗原因包括:第一,憑證設定錯誤——不是 RADIUS 憑證已過期,就是用戶端 supplicant 設定檔未正確釘選。第二,RADIUS 代理逾時——如果您的上游 NREN 連線有延遲問題,驗證將會逾時,使用者會看到看似憑證錯誤的連線失敗。第三,VLAN 設定錯誤——來訪使用者最終進入錯誤的網路區段,導致無法存取網際網路,或者更糟的是,存取了他們不應看到的內部資源。 在用戶端方面,請透過您的 MDM 平台將 eduroam CAT 設定檔部署到所有受管理裝置。對於個人裝置,請在顯眼處發佈 CAT 安裝程式連結。光是這一個步驟就能消除大部分的支援工單。 對於非高等教育機構但希望提供 eduroam 存取服務的場所(例如會議中心、飯店等),此流程稱為 eduroam Visitor Access(簡稱 eVA)。它允許非會員組織託管 eduroam SSID 並將驗證代理至聯盟,而無需成為正式會員。如果您經常舉辦學術會議或大學活動,這非常值得研究。 --- [快速問答 — 1 分鐘] 我經常被問到的常見問題。 「eduroam 可以完全取代我們的訪客 WiFi 嗎?」不行。eduroam 僅適用於在會員機構擁有憑證的使用者。您仍然需要為其他所有人(訪客、承包商、一般大眾)提供獨立的訪客 WiFi 解決方案。 「eduroam 符合 GDPR 規範嗎?」符合,但有注意事項。聯盟架構意味著您的機構會處理驗證資料,但您需要確保您的隱私權聲明涵蓋此內容,且您的 RADIUS 記錄已得到妥善處理。 「我們可以在 eduroam 中使用 WPA3 嗎?」可以。WPA3-Enterprise 與 802.1X 完全相容,是新部署的推薦標準。它為高安全性環境增加了 192 位元模式加密。 「eduroam 和 OpenRoaming 有什麼區別?」OpenRoaming 是來自無線寬頻聯盟(Wireless Broadband Alliance)更廣泛的產業倡議,它使用相同的 802.1X 和 RADIUS 代理架構,但將漫遊服務從教育領域擴展到商業場所。包括 Purple 在內的一些平台,皆支援將 OpenRoaming 作為其訪客 WiFi 方案的一部分。 --- [總結與後續步驟 — 1 分鐘] 總結來說,eduroam 是一個成熟、管理完善且在全球部署的 WiFi 漫遊服務,建立在 802.1X 和分層 RADIUS 代理基礎架構之上。它提供單一使用者驗證、強大加密以及在 10,000 多個機構之間的無縫漫遊——無需共用密碼或 Captive Portal。 對於部署或升級校園無線網路的 IT 團隊:在您的 PKI 可以支援的情況下,優先選擇 EAP-TLS 而非 PEAP;在所有用戶端設定檔上強制執行憑證驗證;對所有 RADIUS 代理連線使用 RadSec;並將來訪使用者隔離到專用的 VLAN 中。 對於場域營運商而言:如果您經常接待學術訪客,請研究 eduroam Visitor Access。無論您是否部署 eduroam,您的訪客 WiFi 基礎架構都應該建立在企業級的 802.1X 原則上,而非共享的 PSK。 如果您想深入了解其中的任何內容——包括 RADIUS 架構、適用於 EAP-TLS 的 PKI 設計,或是像 Purple 這樣的平台如何與 eduroam 和 OpenRoaming 整合——完整版的書面指南已連結在節目資訊欄中。 感謝您的收聽。我們下次見。 --- 腳本結束

header_image.png

執行摘要

對於高等教育機構以及接待其學生和教職員的場所而言,提供安全、無縫的無線網路連線已不再是奢侈品,而是一項營運上的必要任務。此連線的標準是 eduroam,這是一項建立在 IEEE 802.1X 架構上的全球漫遊服務。

本指南為 IT 經理、網路架構師和場所營運總監提供了一個全面且不綁定特定廠商的參考,以協助理解、部署和排除 802.1X 與 eduroam 的故障。我們超越了基本的理論模型,以解決企業校園 WiFi 的實際狀況,包括憑證管理、RADIUS 代理伺服器架構,以及與更廣泛的訪客網路策略的整合。

無論您是升級老舊的大學網路,還是配置會議中心以支援學術訪客,正確實施 802.1X 都能顯著降低安全風險(特別是憑證竊取),同時大幅減少支援開銷。對於傳統高等教育以外的場所,理解這些標準對於評估像 OpenRoaming 這樣共享相同底層架構的商業漫遊聯盟至關重要。

技術深入探討:802.1X 與 eduroam 架構

eduroam 的核心是 IEEE 802.1X 的實作,這是基於連接埠的網路存取控制標準。雖然 802.1X 最初是為有線網路設計的,但它構成了 WPA2-EnterpriseWPA3-Enterprise 安全性的基礎。

802.1X 三角關係

802.1X 架構依賴三個不同的元件相互作用來授權存取:

  1. Supplicant(用戶端): 請求網路存取的用戶端裝置(例如:學生的筆記型電腦或智慧型手機)。
  2. Authenticator(認證器): 網路存取裝置(例如:無線存取點或網管型交換器)。它扮演看門人的角色,在裝置獲得授權之前,阻擋除認證訊息之外的所有流量。
  3. Authentication Server(認證伺服器): 驗證憑證的後端系統,幾乎普遍為 RADIUS(遠端用戶撥入驗證服務)伺服器。

當裝置連線時,Authenticator 會建立一個受控連接埠。它在 Supplicant 與 Authentication Server 之間傳遞可延伸驗證協定(EAP)訊息。如果憑證有效,伺服器會傳回 RADIUS Access-Accept 訊息,然後 Authenticator 會開啟該連接埠以進行標準 IP 流量傳輸。

architecture_overview.png

eduroam RADIUS 代理階層架構

eduroam 的獨特之處在於其聯邦式架構。它允許使用者在任何參與計劃的機構中使用其母機構的憑證進行驗證,而託管機構無需擁有這些憑證的複本。

這是透過階層式 RADIUS 代理鏈實現的。當來自 username@university.ac.uk 的使用者在託管場地連線到 eduroam SSID 時:

  1. 使用者的裝置會以 username@university.ac.uk 的格式傳送驗證請求。
  2. 託管場地的 RADIUS 伺服器會檢查領域(@ 後面的部分)。在識別其為外部網域後,它會將請求代理傳送到國家級頂層 RADIUS 伺服器(由國家學術研究網路,即 NREN 營運)。
  3. 國家級伺服器會將請求路由至該使用者的母機構 RADIUS 伺服器(university.ac.uk)。
  4. 母機構驗證憑證,並沿著代理鏈回傳 Access-AcceptAccess-Reject 訊息。

這整個過程通常在兩秒內完成。至關重要的是,使用者的密碼絕不會暴露給託管機構或中間代理;它在用戶端與母機構 RADIUS 伺服器之間直接建立的加密 EAP 通道中受到保護。

EAP 方法:安全性與部署便利性的權衡

EAP 方法的選擇決定了加密通道的形成方式以及憑證的交換方式。eduroam 政策服務定義嚴格限制了允許使用的方法,以確保安全性。

  • PEAP (Protected EAP): 最常見的部署方式。它在 RADIUS 伺服器上使用伺服器端憑證建立 TLS 通道。然後,用戶端在此通道內進行驗證,通常使用 MSCHAPv2(使用者名稱和密碼)。它相對容易部署,但如果用戶端未設定為嚴格驗證伺服器憑證,則容易受到惡意存取點(Rogue AP)攻擊。
  • EAP-TLS 安全性的黃金標準。它需要雙向驗證,這意味著 RADIUS 伺服器和用戶端裝置都必須出示有效的憑證。雖然它能免疫憑證網路釣魚,但需要強大的公開金鑰基礎建設 (PKI) 來核發和管理用戶端憑證,這使得大規模部署更為複雜。

實作指南

部署 802.1X 和 eduroam 需要網路基礎建設、身分識別管理和用戶端設定之間的密切配合。

1. 基礎建設準備

確保您的無線存取點和控制器支援 WPA2-Enterprise/WPA3-Enterprise 和 802.1X。任何現代企業級硬體(Cisco、Aruba、Juniper 等)都能滿足此要求。您還必須部署強大的 RADIUS 基礎建設(例如 FreeRADIUS、Cisco ISE、Aruba ClearPass),以處理預期的驗證負載和代理請求。

2. 憑證管理

對於 PEAP 部署,您的 RADIUS 伺服器需要由用戶端信任的憑證授權單位 (CA) 核發的 TLS 憑證。請勿在生產環境的 eduroam 部署中使用自我簽署憑證。憑證必須定期更新,以防止驗證中斷。

3. 用戶端設定 (CAT 工具)

eduroam 部署中最常見的失敗點是用戶端設定錯誤。手動連線的使用者通常無法正確設定憑證驗證,這會使他們容易受到憑證竊取的攻擊。

為了解決這個問題,機構必須使用 eduroam Configuration Assistant Tool (CAT) 或 MDM 解決方案來分發預先設定好的設定檔。這些設定檔會自動設定正確的 EAP 方法、鎖定預期的 RADIUS 伺服器憑證,並設定適當的內部驗證協定。

4. VLAN 分配與區隔

成熟的部署會利用 RADIUS 屬性,根據使用者的身分動態分配 VLAN。

  • 本地使用者: 分配到內部 VLAN,並具有存取校園資源的適當權限。
  • 訪客使用者: 分配到受限的訪客 VLAN,僅能存取網際網路。

這種區隔對於安全性和合規性至關重要,可確保訪客裝置無法存取敏感的內部網路。

comparison_chart.png

最佳實踐與第三方中立建議

  • 優先使用 WPA3: 對於新部署,請啟用 WPA3-Enterprise,以受益於強制的 192 位元加密以及針對離線字典攻擊的改進防護。
  • 強制執行憑證驗證: 強制使用設定檔(透過 CAT 或 MDM),以確保用戶端在傳送憑證之前嚴格驗證 RADIUS 伺服器憑證。
  • 使用 RadSec: 在設定到國家聯盟的 RADIUS 代理連線時,請使用 RadSec (RADIUS over TLS) 而非純 UDP。這可以加密代理流量並提高廣域網路 (WAN) 連結的可靠性。
  • 與訪客解決方案整合: eduroam 僅服務擁有學術憑證的使用者。您必須為承包商、公眾訪客和活動參與者維護一個獨立且安全的 Guest WiFi 解決方案。
  • 審查相關基礎設施: 確保您的底層網路安全。閱讀我們的指南 Protect Your Network with Strong DNS and Security 以了解更多詳細資訊。如果為大學活動部署臨時基礎設施,請參考 Event WiFi: Planning and Deploying Temporary Wireless Networks 或葡萄牙語版本 Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias

疑難排解與風險緩釋

當驗證失敗時,系統化的疑難排解至關重要。

  1. 隔離故障網域: 確定故障是本機(影響您自己網路上的使用者)、遠端(影響其他地方的您的使用者),還是入站(影響您網路上的訪客)。
  2. 檢查 RADIUS 記錄: RADIUS 伺服器記錄是最終的真實來源。尋找 Access-Reject 訊息(表示憑證錯誤或違反原則)或逾時(表示 Proxy 連線問題)。
  3. 驗證憑證有效性: 確保 RADIUS 伺服器憑證尚未過期,且已向用戶端呈現完整的憑證鏈結。
  4. 監控上游延遲: 連線到國家 RADIUS Proxy 的高延遲可能會導致用戶端逾時,進而導致即使憑證正確也連線失敗。

投資報酬率與商業影響

對於高等教育機構而言,妥善部署 eduroam 的投資報酬率體現在支援工單的大幅減少。透過消除 Captive Portal 和手動輸入密碼,IT 服務台在連線相關呼叫方面看到了顯著下降。(Purple 對該領域的承諾顯而易見;請參閱 Purple Signals Higher Education Ambitions with Appointment of VP Education Tim Peers )。

對於商業場所——例如 餐飲旅宿零售醫療保健交通運輸 領域的場所——支援 eduroam 訪客存取 (eVA) 或類似的 OpenRoaming 聯盟,可為高價值客群提供無縫體驗。它能確保學術訪客自動且安全地連線,在提高滿意度的同時,讓場所能夠維持嚴格的網路區隔。如果您的場所需要專用頻寬來支援此功能,請考慮閱讀 什麼是專線?專用企業網際網路

在規劃網路升級時,整合 802.1X 功能可確保基礎架構為現代身分驅動型網路做好準備,為進階的 WiFi Analytics 和定位服務奠定基礎。

關鍵定義

802.1X

一項用於基於連接埠的網路存取控制 (PNAC) 的 IEEE 標準。它為希望連接到 LAN 或 WLAN 的裝置提供驗證機制。

企業級 WiFi 安全性的基礎協定,以個人化驗證取代共享密碼 (PSK)。

RADIUS (Remote Authentication Dial-In User Service)

一種網路協定,為連接和使用網路服務的使用者提供集中式的驗證、授權和計費 (AAA) 管理。

802.1X 部署中的後端伺服器,實際負責根據目錄(如 Active Directory)檢查使用者的憑證。

EAP (Extensible Authentication Protocol)

一種常用於無線網路和點對點連接的驗證框架。它提供各種驗證機制的傳輸和使用。

在 802.1X 握手期間,用戶端裝置與 RADIUS 伺服器之間進行通訊的語言。

Supplicant

嘗試使用 802.1X 向網路進行驗證的用戶端裝置(例如筆記型電腦、智慧型手機)或該裝置上的軟體。

請求存取的實體。其設定(特別是關於憑證驗證)對於安全性至關重要。

Authenticator

透過在 Supplicant 與驗證伺服器之間傳遞訊息,來促進 802.1X 驗證程序的網路裝置(例如無線存取點、乙太網路交換器)。

在 RADIUS 伺服器發出綠燈訊號之前,阻止網路流量的守門者。

PEAP (Protected Extensible Authentication Protocol)

一種 EAP 方法,它將 EAP 交易封裝在利用伺服器端憑證建立的 TLS 通道中,以保護內部驗證(通常是密碼)。

eduroam 最常用的驗證方法,在安全性與部署便利性之間取得平衡。

RadSec

一種透過 TCP 和 TLS(而非傳統 UDP)傳輸 RADIUS 資料的協定。

建議用於保護機構與國家 eduroam 聯盟之間的代理連線,防止驗證流量被攔截。

Realm

使用者身分中位於 "@" 符號之後的部分(例如 "user@university.ac.uk" 中的 "university.ac.uk")。

RADIUS 代理伺服器在 eduroam 等聯盟環境中,用來決定將驗證請求路由至何處的依據。

範例

一間鄰近知名大學、擁有 400 間客房的會議酒店經常舉辦學術研討會。其 IT 總監希望讓來訪的學者能夠自動連線,而無需使用酒店標準的 Captive Portal,但必須確保這些訪客無法存取酒店的企業網路或標準訪客網路 VLAN。

該酒店應導入 eduroam Visitor Access (eVA) 或加入 OpenRoaming 等商業聯盟。

  1. 酒店在其企業級無線基地台(AP)上設定一個新的 SSID(「eduroam」或「OpenRoaming」)。
  2. AP 設定為使用 WPA2-Enterprise/802.1X
  3. 酒店部署一台本地 RADIUS 伺服器,設定為將外部領域的驗證請求代理(Proxy)至國家聯盟(針對 eduroam)或 OpenRoaming 樞紐。
  4. 至關重要的是,本地 RADIUS 伺服器設定為在所有代理驗證的 Access-Accept 訊息中傳回特定的 VLAN ID 屬性。
  5. 無線基地台將這些已驗證的使用者分配到一個隔離的、僅限網際網路的 VLAN,與酒店的企業和標準訪客流量完全區隔。
考官評語: 此方法正確利用了 RADIUS 代理架構,將驗證工作分流至訪客的母機構。透過 RADIUS 屬性進行動態 VLAN 分配,酒店能維持嚴格的網路區隔,在滿足安全需求的同時,提供無摩擦的使用者體驗。

某大學 IT 團隊發現學生帳戶遭到破解的次數激增。調查顯示,學生在當地一家咖啡店連線到了廣播「eduroam」SSID 的惡意無線基地台。該惡意 AP 正使用自我簽署憑證,透過 PEAP 收集憑證資訊。

IT 團隊必須立即在所有用戶端裝置上強制執行嚴格的憑證驗證。

  1. 他們必須停止建議學生手動連線至 SSID 並「接受憑證警告」。
  2. 他們針對 BYOD 裝置部署 eduroam Configuration Assistant Tool (CAT),並針對受管理裝置更新 MDM 設定檔。
  3. 這些設定檔將 supplicant 設定為僅信任核發該大學 RADIUS 伺服器憑證的特定憑證授權單位 (CA),並驗證伺服器的一般名稱 (CN)。
  4. 設定完成後,如果學生的裝置遇到惡意 AP,EAP 通道建立將會失敗,因為惡意憑證與固定的 CA/CN 不符,從而阻止憑證資訊的傳送。
考官評語: 此情境突顯了 PEAP 部署中最關鍵的安全漏洞。該解決方案正確指出解決辦法在於用戶端設定。依賴使用者教育來識別偽造憑證是無效的;強制執行技術控制(設定檔固定)是必須的。

某零售連鎖店希望利用其現有的客用 WiFi 基礎設施(目前依賴帶有 Captive Portal 的開放式 SSID),在 50 個據點提供 OpenRoaming 服務。

該零售連鎖店必須升級其網路以支援 802.1X 和 RADIUS 代理。

  1. 網路團隊啟用一個廣播 OpenRoaming 聯盟 OI(組織識別碼)的新 SSID。
  2. 他們將無線基地台設定為透過 802.1X 進行驗證。
  3. 他們將其中央 RADIUS 伺服器設定為將請求代理至 OpenRoaming 聯盟樞紐。
  4. 他們確保其網際網路後端連線能夠支援預期增加的自動連線,必要時可升級至專線。
考官評語: 這突顯了從 Captive Portal 轉移到同盟 802.1X 模式需要根本性的架構變更,特別是 RADIUS 代理的實作以及處理增加的自動連線的能力。

練習題

Q1. 您的大學正在部署一個新的無線網路。資訊安全長(CISO)要求必須在數學上完全不可能透過惡意存取點進行憑證網路釣魚。您必須選擇哪種 EAP 方法?

提示:考慮哪種方法依賴密碼,而哪種方法完全依賴密碼學金鑰。

查看標準答案

您必須選擇 EAP-TLS。與依賴 TLS 通道內密碼的 PEAP 不同,EAP-TLS 需要雙向憑證驗證。由於用戶端裝置是使用密碼學憑證而非密碼進行驗證,因此惡意存取點無法竊取任何憑證。

Q2. 一位來自其他大學的訪問學者抱怨無法連線到您的 eduroam 網路。您的本地使用者連線完全正常。您檢查了本地 RADIUS 伺服器記錄,發現請求已到達,但在收到 Access-Accept 之前就逾時了。最可能的起因是什麼?

提示:思考來訪使用者與本地使用者在驗證請求路徑上的差異。

查看標準答案

最可能的起因是您的本地 RADIUS 伺服器與國家級 NREN RADIUS 代理伺服器之間的連線或延遲問題。因為本地使用者是直接向您的伺服器進行驗證,所以不受影響。訪問學者的請求必須向上傳遞代理,而逾時表示來自其母校機構的回應未能在規定時間內傳回。

Q3. 您是一家鄰近大型大學的連鎖零售商的網路架構師。您希望使用 eduroam Visitor Access (eVA) 為學生提供無縫的 WiFi,但您的銷售點(POS)終端機必須符合 PCI DSS 規範。您該如何安全地整合 eVA?

提示:802.1X 如何讓網路存取點在驗證後區分流量?

查看標準答案

您可透過設定 RADIUS 伺服器將所有成功的 eVA 驗證指派到專用的、僅限網際網路的訪客 VLAN 來整合 eVA。來自 RADIUS 伺服器的 Access-Accept 訊息必須包含特定的 VLAN ID。這可確保學生的裝置與 POS 終端機所使用的符合 PCI 規範的 VLAN 完全隔離,從而滿足合規性要求。

繼續閱讀本系列

各大廠商的 Per-Device PSK 比較:iPSK、DPSK、MPSK 與 PPSK(以及 WPA3 支援)

針對 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Extreme、Fortinet 和 Ubiquiti UniFi 的 per-device PSK 實作進行全面比較。了解 WPA3-SAE 如何影響 per-device 金鑰策略,以及何時該部署過渡模式或轉移至 802.1X。

閱讀指南 →

Captive Portal 驗證方式比較

本權威技術參考指南評估了五種核心 Captive Portal 驗證方式在架構、營運及合規性方面的權衡。它為網路架構師、IT 總監和行銷經理提供了所需的量化數據與決策框架,以在企業場域中平衡訪客登入摩擦與數據收集需求。

閱讀指南 →

什麼是 MAC 位址驗證?何時該使用以及何時該避免使用

本權威技術參考指南涵蓋企業 WiFi 環境中的 MAC 位址驗證 — 說明基於 RADIUS 的 MAC 驗證在 Layer 2 的運作方式、其固有的安全性漏洞(包括 MAC 欺騙以及作業系統層級 MAC 隨機化的影響),以及其作為管理 IoT 和無螢幕(headless)裝置有效工具的具體營運情境。本指南為餐飲旅宿、零售、醫療保健和公共場所的 IT 經理與網路架構師提供具體可行的部署指引,並包含實際案例、決策框架,以及與 Purple 的顧客 WiFi 和分析平台的整合情境。

閱讀指南 →