802.1X 企業網路認證詳解

802.1X 企業網路認證詳解。Purple WiFi 情報簡報。 歡迎收聽。如果您負責跨多站點組織的網路安全性——無論是飯店集團、零售連鎖店、體育場或公部門機構——本簡報就是為您準備的。在接下來的十分鐘內，我們將涵蓋您需要了解的有關 802.1X 認證的一切：它是什麼、底層如何運作、如何正確部署，以及讓大多數組織上當的陷阱。讓我們開始吧。 第一節：背景以及為什麼現在這很重要。 企業 WiFi 的威脅格局已發生巨大變化。預共享金鑰網路——那種每個人都知道 WiFi 密碼的網路——在受監管的環境中，對於員工網路來說已不再可接受。根據於 2024 年全面生效的 PCI DSS v4.0，處理支付卡資料的組織必須在觸及持卡人資料環境的任何網路上實施強大的存取控制。GDPR 對任何傳輸個人資料的網路也施加了類似的義務。而隨著混合工作意味著員工從數十個地點的受管和非受管裝置進行連線，舊有的邊界模型根本無法維持。 802.1X 正是解決此問題的 IEEE 標準。它提供基於埠的網路存取控制——意味著裝置在向中央身份儲存庫進行驗證之前，完全無法加入網路。不僅僅是共享密碼，而是實際驗證過的身份。這就是根本性的轉變。 第二節：技術深入探討。 讓我們來看看架構。802.1X 定義了三種角色。用戶端——也就是終端裝置，試圖連線的筆記型電腦或智慧型手機。驗證器——也就是無線存取點或網路交換器。以及驗證伺服器——在幾乎所有企業部署中，這都是一台 RADIUS 伺服器。 以下是交握的運作方式。當裝置嘗試連線到受保護的 SSID 時，存取點會將該裝置置於未驗證狀態。它無法連上網路。AP 向裝置發送一個 EAP 請求身份訊框。EAP 代表可擴展驗證協定——它是承載實際憑據的框架。裝置以其身份回應。AP 將此封裝在 RADIUS 存取請求封包中，轉發給 RADIUS 伺服器。然後 RADIUS 伺服器挑戰該裝置——具體的挑戰取決於您使用的 EAP 方法。裝置以其憑據回應。RADIUS 伺服器根據您的身份儲存庫（Active Directory、LDAP 或雲端 IdP）驗證這些憑據，並回傳存取接受或存取拒絕。如果是接受，AP 就會打開埠，裝置獲得網路存取權。如果是拒絕，裝置則保持被封鎖。整個交換過程不到一秒鐘。 現在，EAP 方法選擇是大多數架構師花費時間的地方。您有四個主要選項。EAP-TLS 是黃金標準。它要求每台裝置上都有一個用戶端憑證，這表示您需要 PKI 基礎設施，但它提供相互驗證——伺服器向用戶端證明其身份，用戶端也向伺服器證明其身份。沒有憑據可以被網路釣魚，因為完全不涉及密碼。對於完全受管的裝置群來說，這是正確的選擇。 PEAP——受保護的 EAP——是實務上部署最廣泛的方法。它僅使用伺服器憑證建立一個 TLS 隧道，然後在該隧道內傳遞使用者名稱和密碼憑據。它比 EAP-TLS 更容易部署得多，因為您不需要用戶端憑證，而且每個主要作業系統都原生支援它。取捨在於它依賴使用者驗證伺服器憑證，而在實務上他們通常不會這麼做。正確的 PEAP 部署需要鎖定用戶端組態，使其只信任您特定的 RADIUS 伺服器憑證。 EAP-TTLS 與 PEAP 類似，但在內部驗證方法上更具彈性。它特別適用於具有舊裝置或非 Windows 端點的環境。EAP-FAST 是由 Cisco 開發的更快替代方案，使用受保護存取憑證而非憑證，但在新建置中較少部署。 RADIUS 伺服器本身值得關注。兩個主要的開源選項是 FreeRADIUS（它驅動了全球相當大比例的企業部署）和 Microsoft NPS（網路政策伺服器），後者隨附於 Windows Server 並與 Active Directory 原生整合。商業選項包括 Cisco ISE、Aruba ClearPass 和 Portnox Cloud，後者提供雲原生的 RADIUS 即服務模型，完全消除了對本地伺服器基礎設施的需求。 VLAN 指派是正確設定 802.1X 部署後最強大的功能之一。RADIUS 伺服器可以在存取接受回應中回傳 VLAN 屬性，動態地將已驗證的裝置指派到適當的網路區段。員工驗證後就落在員工 VLAN。承包商以不同的憑據驗證後就落在存取受限的受限 VLAN。未通過憑證驗證的裝置則被置於隔離 VLAN。這就是動態分割，也是一項重要的安全控制措施。 第三節：實作建議與應避免的陷阱。 讓我為您提供有效的部署順序。從網路稽核開始。在您更動任何組態之前，請記錄每台需要驗證的裝置。這包括印表機、IP 電話、建築管理系統、CCTV 攝影機——任何連線到網路的裝置。這些無頭裝置沒有用戶端，也無法執行 802.1X。您需要為它們制定策略，通常是 MAC 驗證繞過，並搭配嚴格的 MAC 位址白名單，以及置於隔離的 VLAN 中。 第二步：建立您的 RADIUS 基礎設施。為了復原能力，您至少需要一台主要和一台次要 RADIUS 伺服器。將您的存取點設定為自動容錯移轉。一個導致所有員工無法存取網路的 RADIUS 中斷事件，就是一個 P1 事故。別讓它發生，只因為您只部署了一台伺服器。 第三步：如果您要使用 EAP-TLS，請部署您的 PKI。使用您現有的 Active Directory 憑證服務或雲端 PKI 提供者。透過群組原則進行的自動註冊，使得用戶端憑證部署能在規模上易於管理。 第四步：設定您的網路政策。在 RADIUS 中定義您的驗證政策——哪些使用者或裝置群組獲得哪些 VLAN 指派、驗證失敗時會發生什麼事、您如何處理訪客與員工流量。這就是您在網路層強制執行最小權限原則的地方。 第五步：先試行再推出。選定一個據點、一個樓層、一個 SSID。測試每種裝置類型。測試故障情境。測試當 RADIUS 伺服器無法連線時會發生什麼事。只有在試行穩定後，才能擴展。 現在談談陷阱。我最常見的一個是在 PEAP 部署上的憑證驗證組態錯誤。如果您的用戶端政策未強制執行伺服器憑證驗證，您就容易被惡意 AP 攻擊，攻擊者會設定一個假的存取點並收集憑據。透過群組原則或 MDM 鎖定您的用戶端設定檔。 第二個陷阱是忽略非 802.1X 裝置直到上線日。如果您沒有為 IoT 裝置、印表機和舊系統做好規劃，它們將會破壞您的推出。MAC 驗證繞過在此處是您的好幫手，但需要在您啟動開關之前就設定好。 第三個陷阱是 RADIUS 中的單點故障。我見過組織部署一台單一的 NPS 伺服器，然後在 Windows Update 重新啟動期間發現整個員工網路都癱瘓了。務必部署備援的 RADIUS 基礎設施。 第四節：快速問答。 802.1X 可以與訪客 WiFi 網路並存嗎？絕對可以。您的訪客 SSID 會單獨運作——通常採用 Captive Portal 方式——而您的員工 SSID 則強制執行 802.1X。它們是完全獨立的 SSID，有著獨立的 VLAN。Purple 的平台處理訪客端，在上面加上分析和互動工具層，而您的 802.1X 基礎設施則保護員工端。 802.1X 能取代 VPN 嗎？不能。802.1X 控制的是網路准入——誰可以加入網路。VPN 則加密傳輸中的流量，並將公司網路延伸到不受信任的連線上。它們有不同的用途，而且經常一起使用。 對漫遊效能有什麼影響？使用 802.1X，每次裝置在存取點之間漫遊時，都需要重新驗證。對於大多數企業部署來說，這幾乎是無感的。PMK 快取和 OKC——機會式金鑰快取——可以大幅減少重新驗證的負擔。對於像體育場或會議中心這樣的高密度環境，明確設定這些功能是值得的。 WPA3-Enterprise 是 802.1X 的替代品嗎？不是——WPA3-Enterprise 使用 802.1X 進行驗證。WPA3 改進了加密層，特別是針對最敏感的部署強制使用 192 位元安全模式。802.1X 是其底層的驗證框架。 第五節：總結與後續步驟。 以下是您應該從本簡報中得到的重點。802.1X 是企業 WiFi 唯一的企業級驗證機制。預共享金鑰對於受監管的環境來說是不可接受的。根據您的裝置群選擇您的 EAP 方法——如果您有受管裝置和 PKI，就選 EAP-TLS；如果您需要更廣泛的相容性，就選 PEAP。在部署之前，而不是之後，就要為非 802.1X 裝置做好規劃。部署備援的 RADIUS 基礎設施——單一伺服器就是單點故障。使用動態 VLAN 指派在驗證時強制執行網路分割。並且在跨整個產業推出之前，徹底進行試行。 如果您正在建構多站點部署，並且需要仔細考慮架構，Purple 的技術團隊每天都在與飯店業、零售業和公部門的網路架構師合作。透過 802.1X 實現安全的員工 WiFi，並透過 Purple 的平台實現智慧型訪客 WiFi，這兩者結合為您提供了完整、分割的網路策略，既能滿足您的安全義務，也能滿足您的訪客體驗需求。 本簡報到此結束。感謝收聽。