跳至主要內容

eduroam 與 802.1X:高等教育的安全 WiFi 驗證

本具權威性的技術參考指南詳細說明了 eduroam 與 802.1X 驗證的架構、部署與安全性。專為 IT 經理和網路架構師設計,內容涵蓋實際導入步驟、EAP 方法選擇,以及場域營運商如何安全地支援學術漫遊。

📖 6 分鐘閱讀📝 1,343 字數🔧 3 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
播客腳本:eduroam 與 802.1X - 高等教育的安全 WiFi 驗證 播放時間:約 10 分鐘 配音:英式英文、男性、資深顧問語氣 - 自信、口語、具權威性 --- [引言 - 1 分鐘] 歡迎回來。在接下來的十分鐘內,我將帶您深入了解 eduroam 與 802.1X - 它們是什麼、實際的運作原理,以及您的團隊在部署或整合這兩者之前需要了解的事情。 如果您是大學、大專院校或研究機構的 IT 經理、網路架構師或 CTO - 或者如果您是場地營運商,需要了解學術訪客對您的無線基礎設施有何期望 - 本簡報非常適合您。 讓我們從大局開始。eduroam 代表「教育漫遊」。它是一項全球性的 WiFi 漫遊服務,讓來自成員機構的學生、研究人員和教職員能夠在任何參與的場地連線到網際網路 - 自動且安全地使用其所屬機構的憑證。無需訪客入口網頁。無需憑證代碼。無需向櫃檯詢問密碼。 它自 2003 年起開始運作,目前已覆蓋 100 多個國家、超過 10,000 家機構,是全球高等教育校園無線網路的實質標準。如果您的組織與大學有交集 - 無論您是校園附近的飯店、舉辦學術活動的會議中心,還是大學城內的公共圖書館 - 了解 eduroam 都與您的網路策略直接相關。 --- [技術深入探討 - 5 分鐘] 好的。讓我們進入運作機制。 eduroam 是建立在 IEEE 802.1X 之上 - 這是一項基於連接埠的網路存取控制標準。802.1X 定義了一個在裝置獲准存取網路之前進行驗證的框架。它最初是為有線乙太網路設計的,但可以無縫對接到無線網路,並且是我們所稱的 WPA2-Enterprise 或 WPA3-Enterprise 安全性的基礎。 802.1X 模型有三個元件。第一是 Supplicant(用戶端) - 也就是嘗試連線的裝置。例如學生的筆記型電腦、研究人員的手機。第二是 Authenticator(驗證器) - 也就是您的網路存取點或託管交換器。它介於用戶端與網路的其他部分之間,充當守門人。第三是 Authentication Server(驗證伺服器) - 幾乎總是 RADIUS 伺服器。RADIUS 代表遠端驗證撥號使用者服務。它是實際驗證憑證的元件。 握手過程的運作方式如下:學生的裝置與無線存取點建立關聯。存取點此時尚未授予完整的網路存取權限 - 它會開啟一個所謂的受控埠,但僅允許 EAP 流量。EAP 代表可延伸驗證協定。存取點會在裝置與 RADIUS 伺服器之間代理 EAP 對話。RADIUS 伺服器會向裝置發送挑戰,裝置則回應憑證 - 通常是使用者名稱和密碼,或是一張憑證 - 如果 RADIUS 伺服器驗證通過,就會回傳 Access-Accept 訊息。接著,存取點會開啟完整的網路埠。在配置完善的部署中,整個交換過程不到兩秒鐘即可完成。 那麼,eduroam 是如何疊加在此之上的?eduroam 使用階層式的 RADIUS 代理架構。每個參與的機構都運行自己的 RADIUS 伺服器 - 稱為身分識別提供者(IdP)。例如,當來自曼徹斯特大學(University of Manchester)的學生造訪倫敦帝國學院(Imperial College London)並連接到 eduroam SSID 時,其裝置會以 username@manchester.ac.uk 的格式發送憑證。倫敦帝國學院的 RADIUS 伺服器會識別網域(即 @ 符號後面的部分),並將驗證請求向上代理至國家級 RADIUS 伺服器(在英國由國家科研教育網路 Jisc 營運)。Jisc 隨後將請求路由至曼徹斯特大學的 RADIUS 伺服器,由其驗證憑證並回傳 Accept 或 Reject。整個鏈結在毫秒內即可完成解析。 這種代理鏈使 eduroam 能夠跨越機構邊界運作,且機構之間無需任何預先共享金鑰。鏈結中的每個躍點僅與其直接鄰近的節點共享 RADIUS 金鑰。學生的實際密碼絕不會離開母機構的 RADIUS 伺服器 - 它受到 EAP 通道的端到端保護。 提到 EAP 方法 - 這是許多部署容易出錯的地方,請務必注意。eduroam 中最常用的 EAP 方法是 PEAP(受保護的 EAP)和 EAP-TLS。PEAP 將內部驗證方法(通常是 MSCHAPv2)封裝在 TLS 通道內。它需要在 RADIUS 伺服器端安裝伺服器憑證,但用戶端只需要使用者名稱和密碼。EAP-TLS 是更安全的選擇 - 它使用雙向憑證驗證,意味著伺服器和用戶端都需要出示憑證。由於需要 PKI 來核發用戶端憑證,因此大規模部署難度較高,但它基本上能免疫憑證釣魚攻擊。 許多機構容易出錯的關鍵安全性需求,在於用戶端裝置的憑證驗證。當裝置使用 PEAP 連線至 eduroam 時,必須先驗證 RADIUS 伺服器的憑證,然後才能提交登入憑證。如果裝置設定錯誤而接受任何憑證,攻擊者就可以架設廣播 eduroam SSID 的惡意無線存取點、提供自我簽署憑證,藉此竊取憑證。這是一個已知的攻擊媒介。解決方法是設定您的 supplicant 設定檔(針對受控裝置透過 MDM,針對個人裝置則透過名為 CAT 的 eduroam 設定助理工具),以綁定預期的憑證授權單位與伺服器名稱。 從標準的角度來看,eduroam 部署必須符合 eduroam 策略服務定義,該定義強制要求所有 RADIUS over TLS 連線必須使用 TLS 1.2 或更高版本,禁止使用弱 EAP 方法(如 EAP-MD5 或 LEAP),並要求所有 RADIUS 代理連線在可能的情況下,應使用 RadSec - 即 RADIUS over TLS - 而非明文 UDP RADIUS。這與英國的 NCSC 指南及美國的 NIST SP 800-120 一致。 還有一個值得注意的技術重點:VLAN 指派。在架構完善的 eduroam 部署中,RADIUS Access-Accept 回應會包含 VLAN 屬性,用以指示無線存取點將連線裝置指派到哪一個 VLAN。這讓您可以對流量進行區段劃分 - 將訪客學生置於僅具備網際網路存取權限的受限 VLAN 中,同時將您自己的員工路由到內部網路。這對於合規性至關重要,特別是當您適用於 PCI-DSS 或需要維持研究數據網路與一般網際網路流量之間的隔離時。 - [實作建議與常見陷阱 - 2 分鐘] 讓我為您提供實用的指導。 如果您是首次部署 eduroam,您的首要任務應該是聯絡您當地的國家學術研究網路(NREN) - 在英國為 Jisc,在愛爾蘭為 HEAnet,在美國為 Internet2。他們負責處理聯邦會員資格,並會為您指派一個 RADIUS 領域。若非您國家聯邦的成員,您將無法加入 eduroam。 您的基礎設施檢查清單:您需要支援 802.1X 的無線存取點 - 任何來自 Cisco、Aruba、Juniper、Ruckus 或 Ubiquiti UniFi 的企業級設備皆可滿足需求。您需要一台 RADIUS 伺服器 - FreeRADIUS 是開源標準,或者您也可以使用 Microsoft NPS、Cisco ISE 或 Aruba ClearPass。您需要為您的 RADIUS 伺服器申請一張由 eduroam 社群所信任的憑證授權單位發出的有效 TLS 憑證 - 通常是來自您機構 PKI 的憑證,或是在 eduroam 許可清單上的商業憑證授權單位所核發的憑證。 我最常看到的建置失敗原因有三個:第一,憑證設定錯誤 - 不是 RADIUS 憑證已過期,就是用戶端請求程式(supplicant)設定檔未正確固定。第二,RADIUS 代理逾時 - 如果您的上游 NREN 連線有延遲問題,驗證就會逾時,使用者會看到看似憑證錯誤的連線失敗。第三,VLAN 設定錯誤 - 來訪使用者最終進入錯誤的網路區段,導致無法存取網際網路,或者更糟的是,獲得了他們不該存取的內部資源權限。 在用戶端方面,請透過您的 MDM 平台向所有託管裝置部署 eduroam CAT 設定檔。對於個人裝置,請在醒目位置發布 CAT 安裝程式連結。這單一一個步驟就能消除大部分的支援工單。 對於非高等教育機構但希望提供 eduroam 存取的場所 - 如會議中心、飯店等 - 這個流程稱為 eduroam 訪客存取(eduroam Visitor Access,簡稱 eVA)。它允許非會員組織託管 eduroam SSID 並將驗證代理至聯盟,而無需成為正式會員。如果您經常舉辦學術會議或大學活動,這非常值得研究。 --- [快速問答 - 1 分鐘] 我經常被問到的快速問題。 「eduroam 可以完全取代我們的訪客 WiFi 嗎?」不行。eduroam 僅適用於在會員機構擁有憑證的使用者。您仍然需要為其他所有人(訪客、承包商、一般大眾)提供獨立的客製化訪客 WiFi 解決方案。 「eduroam 符合 GDPR 規範嗎?」符合,但有注意事項。聯盟架構意味著您的機構會處理驗證資料,但您需要確保您的隱私權聲明涵蓋此內容,並且妥善處理您的 RADIUS 記錄檔。 「我們可以在 eduroam 中使用 WPA3 嗎?」可以。WPA3-Enterprise 與 802.1X 完全相容,是新部署的推薦標準。它為高安全性環境增添了 192 位元模式加密。 「eduroam 和 OpenRoaming 有什麼區別?」OpenRoaming 是來自無線寬頻聯盟(Wireless Broadband Alliance)更廣泛的產業倡議,它使用相同的 802.1X 和 RADIUS 代理架構,但將漫遊從教育機構擴展到商業場所。包括 Purple 在內的一些平台,都支援將 OpenRoaming 作為其客製化訪客 WiFi 產品的一部分。 --- [總結與後續步驟 - 1 分鐘] 總結來說。eduroam 是一個成熟、管理完善、全球部署的 WiFi 漫遊服務,建立在 802.1X 和分層 RADIUS 代理基礎架構之上。它提供單一使用者驗證、強大的加密功能,並在超過 10,000 家機構中提供無縫漫遊 - 無需共享密碼或 Captive Portal。 對於部署或升級校園無線網路的 IT 團隊:在您的 PKI 可以支援的情況下,優先選擇 EAP-TLS 而非 PEAP;在所有用戶端設定檔上強制執行憑證驗證;對所有 RADIUS 代理連線使用 RadSec;並將來訪使用者隔離到專用的 VLAN 中。 針對場域營運商:如果您經常接待學術訪客,請研究 eduroam Visitor Access。無論您是否部署 eduroam,您的訪客 WiFi 基礎架構都應建構在企業級的 802.1X 原則之上 - 而非共用的 PSK。 如果您想深入瞭解其中任何內容 - 包含 RADIUS 架構、EAP-TLS 的 PKI 設計,或是像 Purple 這樣的平台如何與 eduroam 和 OpenRoaming 整合 - 完整的書面指南已連結在節目資訊中。 感謝您的收聽。我們下次見。 --- 劇本結束

header_image.png

執行摘要

對於高等教育機構以及為其教職員和學生提供服務的場所而言,提供安全、無縫的無線連線不再是奢華的享受 - 而是營運的必要條件。此連線的標準是 eduroam,這是一種建立在 IEEE 802.1X 架構上的全球漫遊服務。

本指南為 IT 經理、網路架構師和場所營運總監提供了一個全面且不限特定廠商的參考,以理解、部署和排除 802.1X 和 eduroam 的故障。我們超越了基本的理論模型,以檢視企業級校園 WiFi 在實務上是如何運作的,包括憑證管理、RADIUS 代理伺服器架構,以及與更廣泛的訪客網路策略的整合。

無論您是正在升級老化的大學網路,還是正在設定會議中心以支援學術訪客,正確實施 802.1X 都能顯著降低安全風險 - 尤其是憑證竊取 - 同時大幅減少支援開銷。對於傳統高等教育以外的場所,理解這些標準對於評估如 OpenRoaming 等共享相同底層架構的商業漫遊聯盟至關重要。

技術深度解析:802.1X 與 eduroam 架構

eduroam 的核心是 IEEE 802.1X(基於連接埠的網路存取控制標準)的實作。802.1X 最初是為有線網路設計的,但它構成了 WPA2-EnterpriseWPA3-Enterprise 安全性的基礎。

802.1X 三角模型

802.1X 架構依賴三個不同元件之間的互動來授權存取:

  1. Supplicant(用戶端): 請求網路存取的用戶端裝置(例如,學生的筆記型電腦或智慧型手機)。
  2. Authenticator(認證器): 網路存取裝置(例如,無線存取點或託管交換器)。它扮演守門人的角色,在裝置獲得授權之前,阻擋除認證訊息以外的所有流量。
  3. Authentication Server(認證伺服器): 驗證憑證的後端系統,幾乎全為 RADIUS(遠端用戶撥入驗證服務)伺服器。

當裝置連線時,認證器會建立一個受控的連接埠。它在用戶端與認證伺服器之間轉發可延伸驗證協定(EAP)訊息。如果憑證有效,伺服器會傳回一個 RADIUS Access-Accept 訊息,認證器隨即開啟連接埠以允許標準 IP 流量通過。 architecture_overview.png

eduroam 的 RADIUS Proxy 階層架構

eduroam 的獨特之處在於其同盟架構。它允許使用者在任何參與計畫的機構使用其原本學校或單位的憑證進行驗證,而託管機構完全不需要保留這些憑證的複本。

這是透過 RADIUS Proxy 的階層式鏈結來實現的。當來自 username@university.ac.uk 的使用者在託管場地連線至 eduroam SSID 時:

  1. 使用者的裝置會以 username@university.ac.uk 的格式發送驗證請求。
  2. 託管場地的 RADIUS 伺服器會檢查網域(@ 符號後面的部分)。確認其為外部網域後,它會將請求代理(Proxy)至國家頂級 RADIUS 伺服器(由國家學術網路 NREN 營運)。
  3. 國家級伺服器會將請求路由至該使用者的母校或來源機構 RADIUS 伺服器(university.ac.uk)。
  4. 來源機構驗證憑證,並沿著原鏈路回傳 Access-AcceptAccess-Reject 訊息。

整個過程通常在兩秒內完成。至關重要的是,使用者的密碼絕不會洩露給託管機構或中間的代理伺服器;它在使用者端裝置與來源 RADIUS 伺服器之間直接建立的加密 EAP 通道中受到保護。

EAP 方法:安全性與部署便利性之間的權衡

EAP 方法的選擇決定了加密通道的形成方式以及憑證的交換方式。eduroam 策略服務定義嚴格限制了允許使用的方法,以確保安全性。

  • PEAP (Protected EAP): 最常見的部署方法。它在 RADIUS 伺服器上使用伺服器端憑證來建立 TLS 通道。然後,用戶端在該通道內進行驗證,通常使用 MSCHAPv2(使用者名稱和密碼)。它相對容易部署,但如果用戶端未設定為嚴格驗證伺服器憑證,則容易受到 rogue access point(惡意存取點)攻擊。
  • EAP-TLS 安全性的黃金標準。它需要雙向驗證,這意味著 RADIUS 伺服器和用戶端裝置都必須出示有效的憑證。雖然能免疫憑證網路釣魚,但它需要健全的公開金鑰基礎建設 (PKI) 來核發和管理用戶端憑證,這使得大規模部署更加複雜。

實作指南

部署 802.1X 和 eduroam 需要在網路基礎架構、身分識別管理和用戶端設定之間進行仔細的協調。

1. 基礎架構準備

確保您的無線基地台和控制器支援 WPA2-Enterprise/WPA3-Enterprise 和 802.1X。任何現代企業級硬體(Cisco、Aruba、Juniper 等)都能滿足此要求。您還必須部署強大的 RADIUS 基礎架構(例如 FreeRADIUS、Cisco ISE 或 Aruba ClearPass),以處理預期的驗證負載和代理請求。

2. 憑證管理

對於 PEAP 部署,您的 RADIUS 伺服器需要一個由用戶端信任的憑證授權單位 (CA) 簽發的 TLS 憑證。切勿在生產 eduroam 部署中使用自我簽署憑證。憑證必須定期更新,以防止驗證中斷。

3. 用戶端設定(CAT 工具)

eduroam 部署中最常見的失敗點是用戶端設定錯誤。當使用者手動連線時,他們通常無法設定憑證驗證,從而暴露於憑證收集攻擊的風險中。

為降低此風險,機構必須使用 eduroam 設定助理工具 (CAT) 或 MDM 解決方案來發布預先設定的設定檔。這些設定檔會自動設定正確的 EAP 方法、鎖定預期的 RADIUS 伺服器憑證,並設定適當的內部驗證協定。

4. VLAN 指派與區隔

成熟的部署會使用 RADIUS 屬性,根據使用者身分動態指派 VLAN。

  • 內部使用者: 指派給內部 VLAN,並具有對校園資源的適當存取權限。
  • 訪客使用者: 指派給僅提供網際網路存取的受限訪客 VLAN。

這種區隔對於安全性和合規性至關重要,可確保訪客裝置無法存取敏感的內部網路。

comparison_chart.png

最佳實踐與與廠商無關的建議

  • 優先使用 WPA3: 對於新部署,啟用 WPA3-Enterprise 以獲得強制性的 192 位元加密,並更好地防禦離線字典攻擊。
  • 強制執行憑證驗證: 要求使用設定檔(透過 CAT 或 MDM),以確保請求端在傳輸認證資料之前嚴格驗證 RADIUS 伺服器憑證。
  • 使用 RadSec: 在設定到國家聯盟的 RADIUS 代理連線時,使用 RadSec(RADIUS over TLS)而不是純 UDP。這會加密代理流量並提高廣域連結上的可靠性。
  • 與訪客解決方案整合: eduroam 僅服務擁有學術認證資料的使用者。您必須為承包商、公眾成員和活動參與者維護一個獨立且安全的 Guest WiFi 解決方案。
  • 審查相關基礎設施: 確保您的底層網路安全。欲了解更多詳細資訊,請閱讀我們的指南 使用強大的 DNS 和安全保障您的網路安全 。如果為大學活動部署臨時基礎設施,請參閱 活動 WiFi:規劃和部署臨時無線網路 或葡萄牙語版本 Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias

疑難排解與風險緩釋

當驗證失敗時,系統性的疑難排解至關重要。

  1. 隔離故障網域: 確定故障是本機(影響您自己網路上的使用者)、遠端(影響您在其他地方的使用者)還是入站(影響您網路上的訪客)。
  2. 檢查 RADIUS 記錄: RADIUS 伺服器記錄是權威的信任來源。尋找 Access-Reject 訊息(表示憑證錯誤或違反原則)或逾時(表示代理連線問題)。
  3. 驗證憑證有效性: 確保 RADIUS 伺服器憑證尚未過期,且已向用戶端呈現完整的憑證鏈結。
  4. 監控上游延遲: 到國家 RADIUS 代理的高延遲可能會導致用戶端逾時,從而導致即使憑證正確也連線失敗。

ROI 與商業影響

對於高等教育機構而言,正確部署 eduroam 實施的投資報酬率表現在支援服務工單的大幅減少。透過消除 Captive Portal 和手動密碼輸入,IT 服務台在連線相關通話方面看到了顯著下降。(Purple 對該領域的承諾非常明確;請參閱 Purple 任命 Tim Peers 為教育副總裁,突顯其高等教育抱負 )。

對於商業場所 - 例如 飯店餐飲零售醫療保健交通運輸 - 支援 eduroam Visitor Access (eVA) 或類似的聯盟(如 OpenRoaming)可為高價值客群提供無縫體驗。它可確保學術訪客自動且安全地連線,在提高滿意度的同時,讓場所能夠保持嚴格的網路隔離。如果您的場所需要專用頻寬來支援此需求,請考慮閱讀 什麼是專線?為企業打造的網際網路

在規劃網路升級時,整合 802.1X 功能可確保您的基礎設施為現代身分識別驅動的網路做好準備,為進階的 WiFi Analytics 和定位服務奠定基礎。

關鍵定義

802.1X

用於基於連接埠之網路存取控制 (PNAC) 的 IEEE 標準。它為希望連線到 LAN 或 WLAN 的裝置提供驗證機制。

企業級 WiFi 安全的基礎協定,以個人化驗證取代共用密碼(PSK)。

RADIUS (Remote Authentication Dial-In User Service)

一種網路協定,為連線和使用網路服務的使用者提供集中式的驗證、授權和計帳 (AAA) 管理。

802.1X 部署中的後端伺服器,實際根據目錄(如 Active Directory)檢查使用者的憑證。

EAP (Extensible Authentication Protocol)

一種常用於無線網路和點對點連線的驗證框架。它提供各種驗證機制的傳輸和使用。

在 802.1X 握手期間,用戶端裝置與 RADIUS 伺服器之間進行通訊的語言。

Supplicant

嘗試使用 802.1X 向網路進行驗證的用戶端裝置(例如筆記型電腦、智慧型手機)或該裝置上的軟體。

請求存取的實體。其設定(尤其是關於憑證驗證)對於安全至關重要。

Authenticator

透過在 Supplicant 與驗證伺服器之間傳遞訊息,來協助進行 802.1X 驗證程序的網路裝置(例如無線存取點、乙太網路交換器)。

在 RADIUS 伺服器發出允許訊號之前阻擋網路流量的守門人。

PEAP (Protected Extensible Authentication Protocol)

一種 EAP 方法,將 EAP 交易封裝在使用伺服器端憑證建立的 TLS 通道內,從而保護內部驗證(通常是密碼)。

eduroam 最常見的驗證方法,在安全與部署便利性之間取得平衡。

RadSec

一種用於在 TCP 和 TLS(而非傳統的 UDP)上傳輸 RADIUS 資料的協定。

建議用於保護機構與國家 eduroam 聯盟之間的代理連線,防止驗證流量被攔截。

Realm

使用者身分中位於「@」符號後面的部分(例如 "user@university.ac.uk" 中的 "university.ac.uk")。

RADIUS 代理伺服器在 eduroam 等聯盟環境中,用來決定將驗證請求路由到何處。

範例

一間鄰近大型大學、擁有 400 間客房的會議酒店經常舉辦學術研討會。IT 總監希望允許來訪的學術人員自動連線,而無需使用酒店的標準 Captive Portal,但必須確保這些訪客無法存取酒店的企業網路或標準訪客網路 VLAN。

酒店應導入 eduroam Visitor Access (eVA) 或加入如 OpenRoaming 的商業聯盟。

  1. 酒店在企業級存取點(AP)上設定一個新的 SSID(「eduroam」或「OpenRoaming」)。
  2. AP 設定為使用 WPA2-Enterprise/802.1X
  3. 酒店部署一台本機 RADIUS 伺服器,設定為將外部網域的驗證請求代理(proxy)傳送至國家聯盟(針對 eduroam)或 OpenRoaming 中心。
  4. 至關重要的是,本機 RADIUS 伺服器設定為在所有代理驗證的 Access-Accept 訊息中傳回特定的 VLAN ID 屬性。
  5. 存取點將這些通過驗證的使用者置於隔離的、僅限網際網路的 VLAN 中,與酒店的企業和標準訪客流量完全區隔。
考官評語: 此方法正確利用了 RADIUS 代理架構,將驗證工作卸載至訪客的母校機構。透過 RADIUS 屬性進行動態 VLAN 分配,酒店維持了嚴格的網路區隔,在滿足安全需求的同時,也提供了無縫的使用者體驗。

某大學 IT 團隊注意到遭破解的學生帳戶數量急遽上升。調查顯示,學生在當地一家咖啡店連線到了一個廣播「eduroam」SSID 的惡意存取點(rogue AP)。該惡意 AP 使用自我簽署憑證,透過 PEAP 收集登入認證資訊。

IT 團隊必須立即在所有用戶端裝置上強制執行嚴格的憑證驗證。

  1. 他們必須停止建議學生手動連線至該 SSID 並「接受憑證警告」。
  2. 他們針對 BYOD 裝置部署 eduroam Configuration Assistant Tool (CAT),並針對受控裝置更新 MDM 設定檔。
  3. 這些設定檔將用戶端(supplicant)設定為僅信任發行該大學 RADIUS 伺服器憑證的特定憑證授權單位(CA),並驗證伺服器的一般名稱(CN)。
  4. 設定完成後,如果學生的裝置遇到惡意 AP,由於惡意憑證與固定的 CA/CN 不符,EAP 通道建立將會失敗,從而防止認證資訊被傳送。
考官評語: 此情境突顯了 PEAP 部署中最關鍵的安全漏洞。該解決方案正確指出修正措施在於用戶端設定。依賴使用者教育來辨識虛假憑證是無效的;技術控制(設定檔綁定)是強制性且必要的。

一家零售連鎖店希望使用現有的訪客 WiFi 基礎設施在 50 個據點提供 OpenRoaming,該基礎設施目前仰賴帶有 Captive Portal 的開放式 SSID。

該零售連鎖店必須升級其網路以支援 802.1X 和 RADIUS 代理。

  1. 網路團隊啟用一個新的 SSID,廣播 OpenRoaming 聯盟的 OI(組織識別碼)。
  2. 他們將存取點設定為透過 802.1X 進行驗證。
  3. 他們設定其中央 RADIUS 伺服器,將請求代理傳送至 OpenRoaming 聯盟中心。
  4. 他們確保其網際網路回程連線(backhaul)能夠支援預期增加的自動連線,如有必要,可升級至專線。
考官評語: 這突顯了從 Captive Portal 轉移到同盟 802.1X 模式需要根本性的架構變更,特別是 RADIUS 代理的導入,以及處理增加的自動連線的能力。

練習題

Q1. 您的大學正在部署一個新的無線網路。CISO 要求必須在數學上完全不可能透過惡意存取點進行憑證網路釣魚。您必須選擇哪種 EAP 方法?

提示:考慮哪種方法依賴密碼,而哪種方法完全依賴密碼編譯金鑰。

查看標準答案

您必須選擇 EAP-TLS。與依賴 TLS 通道內密碼的 PEAP 不同,EAP-TLS 需要雙向憑證驗證。因為用戶端裝置是使用密碼編譯憑證而非密碼進行驗證,所以惡意存取點沒有憑證可以進行網路釣魚。

Q2. 一位來自其他大學的來訪研究員抱怨他們無法連線到您的 eduroam 網路。您的本地使用者連線正常。您檢查了本地 RADIUS 伺服器記錄,看到請求已到達,但在收到 Access-Accept 之前就逾時了。最可能的原因是什麼?

提示:思考來訪使用者與本地使用者相比,其驗證請求所經過的路徑。

查看標準答案

最可能的原因是您的本地 RADIUS 伺服器與國家 NREN RADIUS 代理之間的連線或延遲問題。因為本地使用者直接針對您的伺服器進行驗證,所以不受影響。來訪使用者的請求必須向上游進行代理,而逾時表示來自其所屬機構的判定回應沒有及時返回。

Q3. 您是一家鄰近大型大學的連鎖零售商的網路架構師。您希望使用 eduroam Visitor Access (eVA) 向學生提供無縫的 WiFi,但您的銷售點終端機必須符合 PCI DSS 規範。您要如何安全地整合 eVA?

提示:802.1X 如何允許網路存取點在驗證後區分流量?

查看標準答案

您整合 eVA 的方式是配置 RADIUS 伺服器,將所有成功的 eVA 認證分配給專用的、僅限網際網路的訪客 VLAN。來自 RADIUS 伺服器的 Access-Accept 訊息必須包含特定的 VLAN ID。這能確保學生裝置與銷售時點情報系統(POS)終端所使用的符合 PCI 規範之 VLAN 完全隔離,從而滿足合規性要求。