跳至主要內容
繁體中文

什麼是 EAP-TLS?憑證式 WiFi 驗證詳解

本指南針對企業級 WiFi 最安全的 802.1X 驗證方法 EAP-TLS(可延伸驗證協定傳輸層安全性)提供全面的技術參考。內容涵蓋所需的 X.509 憑證基礎架構、雙向驗證握手,以及在餐旅、零售、醫療保健和公共部門環境中的實際部署模式。IT 經理、網路架構師和 CTO 將能從中獲得關於 PKI 設計、整合 MDM 的憑證佈署、RADIUS 設定,以及符合 PCI DSS 和 GDPR 合規要求的實用指引。

📖 10 分鐘閱讀📝 2,295 字數🔧 2 範例3 練習題📚 10 關鍵定義

收聽此指南

查看播客逐字稿
前言 — 0:00 至 1:00 您好,歡迎收看 Purple 的技術簡報。我是您的主持人,今天我們將深入探討 EAP-TLS,也就是採用傳輸層安全協定的可延伸驗證協定(Extensible Authentication Protocol with Transport Layer Security)。如果您是網路架構師、IT 總監,或是負責管理零售連鎖店、醫院或體育場等大型場館基礎設施的人員,這場簡報正是為您量身打造。我們將直擊核心,討論當今最安全的 802.1X 方法,探討為什麼憑證型驗證正在取代密碼,以及您如何在實際環境中部署它。讓我們直接進入正題。 技術深度剖析 — 1:00 至 6:00 那麼,EAP-TLS 究竟是什麼?在企業級 WiFi 安全領域中,它代表了黃金標準。與依賴使用者密碼的 PEAP 或 EAP-TTLS 等傳統方法不同,EAP-TLS 強制執行雙向憑證型驗證。這意味著用戶端裝置必須透過伺服器憑證驗證網路的身分,而至關重要的是,網路也必須透過唯一的用戶端憑證來驗證用戶端的身分。 想想密碼的脆弱性。它們可能會被分享、被釣魚或被盜取。在龐大的企業環境中,一個遭到破解的密碼就可能讓惡意行為者存取您的整個內部網路。EAP-TLS 完全消除了這個攻擊管道。其驗證依賴於由公開金鑰基礎建設(PKI)所核發的 X.509 憑證。 我們來瞭解一下握手(Handshake)流程。當裝置嘗試連線時,存取點(Access Point)會充當驗證者,將請求轉發給 RADIUS 伺服器。RADIUS 伺服器會出示其憑證。用戶端會對照其信任的根憑證清單進行驗證。如果有效,用戶端接著會出示自己的憑證。RADIUS 伺服器會向憑證機構(CA)檢查此用戶端憑證,並使用憑證撤銷清單(CRL)或 OCSP 驗證其未被撤銷。只有在雙方都確認無誤後,才會建立 TLS 通道並傳送 EAP-Success 訊息,從而授予網路存取權限。 這裡的密碼學強度非常強大。透過利用 TLS 1.2 或 1.3,EAP-TLS 確保了完全前向保密(Perfect Forward Secrecy)和強大的加密。這就是為什麼高度受監管的行業(例如金融、政府和醫療保健)會強制要求使用 EAP-TLS,以符合 PCI DSS 和 HIPAA 等合規框架。 現在,我們來談談讓這一切運作的基礎設施:PKI。您的 PKI 至少由一個根憑證機構(Root CA)和一個發行憑證機構(Issuing CA)組成。根 CA 應完全保持離線(實體隔離),因為其私鑰是您整個憑證階層架構的主信任錨。發行 CA 負責處理日常的憑證核發,並發布憑證撤銷清單。用戶端憑證是核發給個別裝置,而非使用者——這是一種裝置身分模型,而非使用者身分模型。這種區別對於 IoT 裝置、共用終端機和無顯示器系統(Headless Systems)來說至關重要。 實作建議與常見陷阱 — 6:00 至 8:00 部署 EAP-TLS 具有極高的安全性,但並非沒有複雜性。主要的挑戰在於憑證的生命週期管理。您無法手動在數千台裝置上安裝憑證。 為了成功部署,自動化是不可或缺的。您必須將 PKI 與行動裝置管理(MDM)或企業行動化管理平台進行整合。像是 SCEP(簡單憑證登冊協定)或 EST(安全傳輸登冊)等協定,可以實現零接觸配置。當企業裝置開機時,它會自動請求並接收其憑證,無需使用者干預。 一個常見的陷阱是忽略了撤銷流程。如果筆記型電腦失竊,您必須能夠立即撤銷其憑證。請確保您的 RADIUS 伺服器已設定為頻繁檢查 CRL,或使用 OCSP 進行即時驗證。此外,請考慮 BYOD(攜帶自有裝置)的情境。對於非託管裝置,EAP-TLS 可能會很繁瑣。這就是上線入口網站(onboarding portals)發揮作用的地方,它能安全地將臨時憑證配置給訪客或承包商的裝置。 另一個關鍵陷阱是:未能對用戶端 supplicant 強制執行伺服器憑證驗證。這是我們在 802.1X 部署中看過最常見的設定錯誤。如果您的用戶端裝置未設定為針對特定的受信任 CA 驗證 RADIUS 伺服器的憑證,它們將會連線到任何呈現任何憑證的伺服器,包括惡意存取點。請務必在透過 MDM 部署的 WiFi 設定檔中,指定受信任的 CA 和預期的伺服器名稱。 快速問答 — 8:00 至 9:00 讓我們來解答一些我們經常從技術長(CTO)那裡聽到的快速問答。 問題一:WPA3 Enterprise 是否需要 EAP-TLS?雖然 WPA3 Enterprise 支援其他方法,但強烈建議使用 EAP-TLS,且如果您要實作 WPA3 Enterprise 192 位元安全性套件(通常稱為 Suite B),則必須使用 EAP-TLS。 問題二:我們可以使用公開憑證給用戶端嗎?不行。您必須使用私有內部 CA 來發行用戶端憑證。公開 CA 是用於面向公眾的網頁伺服器。您的內部 RADIUS 伺服器需要信任您特定的內部根 CA,以驗證您的企業裝置。 問題三:這與 OpenRoaming 如何結合?OpenRoaming 依賴於 Passpoint 和 802.1X。Purple 在 Connect 授權下,可作為 OpenRoaming 等服務的免費身分識別提供者,利用底層的憑證和身分識別架構,促進跨場域的無縫、安全漫遊。 總結與後續步驟 — 9:00 至 10:00 總結來說,EAP-TLS 是保護企業無線網路免受憑證竊取和中間人攻擊的終極選擇。它將安全典範從「您所知道的資訊」轉移到「您所擁有的憑證」。 您的後續步驟?審計您目前的 802.1X 部署。如果您仍依賴 MSCHAPv2 和密碼,是時候構建 PKI 並規劃遷移至 EAP-TLS 了。重點在於透過您的 MDM 自動化憑證註冊。而至關重要的是 — 檢查您的用戶端 supplicant 是否正在驗證伺服器憑證。該單一組態檢查可能是您本季度所做最具影響力的安全性改善。 感謝您收聽來自 Purple 的技術簡報。如需更詳細的部署指南,並瞭解我們的分析與身分識別平台如何與您的安全網路整合,請造訪 purple dot ai。

header_image.png

執行摘要

EAP-TLS (Extensible Authentication Protocol – Transport Layer Security) 是一種 IEEE 802.1X 驗證方法,能將共享憑證完全從您的無線驗證鏈中移除。PEAP 和 EAP-TTLS 依賴於透過加密通道傳輸的使用者名稱和密碼,而 EAP-TLS 則要求用戶端裝置和 RADIUS 伺服器雙方都必須出示由受信任憑證授權單位 (CA) 核發的有效 X.509 憑證。這種雙向驗證模型意味著密碼被盜也無濟於事 — 沒有有效且未被撤銷的憑證,裝置就無法加入網路。

對於在飯店、零售物業或會議中心營運 Guest WiFi 的場域營運商,以及負責員工和 IoT 裝置網路的 IT 團隊而言,EAP-TLS 代表了目前無線驗證安全性的最高標準。PCI DSS 4.0 針對持卡人資料環境、HIPAA 針對醫療保健無線網路都強制要求或強烈建議使用此方法,且它也是 WPA3 Enterprise 192 位元 (Suite B) 部署的必要方法。

部署的維護成本確實存在 — 憑證生命週期管理、PKI 架構和 MDM 整合都相當複雜 — 但安全投資報酬率 (ROI) 非常顯著。本指南將逐步介紹架構、交握流程、部署模式,以及決定 EAP-TLS 部署成功或停滯的營運實務。

技術深度解析

EAP-TLS 的實際運作原理

EAP-TLS 在 802.1X 基於連接埠的存取控制框架內運作。每次驗證交換中的三個角色分別是 supplicant (用戶端裝置)、authenticator (無線存取點或網管型交換器) 以及 authentication server (通常是 RADIUS 伺服器,例如 FreeRADIUS、Microsoft NPS 或 Cisco ISE)。存取點本身不做出驗證決策 — 它充當透明的中繼器,將 EAP 訊息封裝在 RADIUS 封包中並轉發給驗證伺服器。

若要深入瞭解 RADIUS 如何支援此架構,請參閱 什麼是 RADIUS?RADIUS 伺服器如何保護 WiFi 網路安全

eap_tls_auth_flow.png

EAP-TLS 交握流程如下:

  1. 存取點向連線裝置傳送 EAP-Request/Identity
  2. 裝置回應其身分識別 (通常是匿名的外部身分,以防止使用者名稱被竊聽)。
  3. RADIUS 伺服器以 EAP-TLS/Start 訊息啟動 TLS 交握。
  4. 用戶端傳送 ClientHello,宣告其支援的 TLS 加密套件。
  5. RADIUS 伺服器回應 ServerHello、其 X.509 伺服器憑證以及憑證請求。
  6. 用戶端根據其信任的根 CA 憑證儲存庫驗證伺服器憑證。如果驗證失敗,交握即告終止 — 進而防範惡意存取點。
  7. 用戶端出示其自身的 X.509 用戶端憑證。
  8. RADIUS 伺服器驗證用戶端憑證:檢查簽章鏈是否可追溯至信任的根 CA、確認憑證未過期,並檢查憑證撤銷清單 (CRL) 或查詢 OCSP 回應程式以確認憑證未被撤銷。
  9. 雙方從 TLS 主金鑰衍生出工作階段金鑰。RADIUS 伺服器發送 EAP-Success,且存取點開啟受控連接埠。

整個交換過程皆在裝置被授予任何網路存取權限之前進行。在任何時間點皆不會傳輸密碼。衍生的工作階段金鑰在每次工作階段中都是唯一的,在使用 ECDHE 加密套件時可提供完美的前向安全性 — 這意味著即使憑證在日後遭到破解,歷史流量也無法被解密。

X.509 憑證與 PKI 架構

EAP-TLS 的安全性完全取決於底層 PKI 的完整性。用於 EAP-TLS 的典型企業 PKI 由三個層級組成:

層級 元件 角色
根 CA 離線根憑證授權單位 簽署中繼 CA 憑證;保持實體隔離
中繼 CA 線上發行 CA 發行伺服器與用戶端憑證;處理 CRL 發佈
終端實體 RADIUS 伺服器憑證 + 用戶端憑證 用於即時驗證交握

根 CA 應保持離線並進行實體隔離。其私鑰一旦遭到破解,將導致您的整個憑證階層失效。中繼 CA 負責日常的發行工作並發佈 CRL。用戶端憑證會發行給個別裝置(而非使用者),通常包含一個主體替代名稱 (SAN),其中含有裝置的 MAC 位址或來自您 MDM 的裝置識別碼。

pki_deployment_architecture.png

EAP-TLS 與其他 802.1X 方法的比較

eap_methods_comparison.png

上表說明了為何 EAP-TLS 是受管制環境的推薦選擇。PEAP-MSCHAPv2 仍是目前部署最廣泛的 802.1X 方法,但它存在已知的漏洞:用戶端經常不驗證伺服器憑證(這種錯誤設定會導致惡意 AP 攻擊),且 MSCHAPv2 本身自 2012 年起就已被密碼學破解。EAP-TLS 消除這兩種攻擊層面。

WPA2 Enterprise 與 WPA3 Enterprise

EAP-TLS 在 WPA2 Enterprise (IEEE 802.11i) 與 WPA3 Enterprise (IEEE 802.11ax) 上的運作方式完全相同。兩者的區別在於為無線數據加密層協商的加密套件。WPA3 Enterprise 強制要求受保護的管理訊框 (PMF),並提供選配的 192 位元安全模式 (Suite B),該模式需要搭配特定橢圓曲線加密套件 (ECDHE + ECDSA 或 RSA-3072) 的 EAP-TLS。對於大多數企業部署而言,採用 EAP-TLS 和標準 AES-256 加密套件的 WPA3 Enterprise 是最合適的目標狀態。

實作指南

階段 1:PKI 設計與部署

在設定任何單一無線基地台之前,必須先建立好 PKI。對於沒有現成內部 CA 的組織,Microsoft Active Directory 憑證服務 (AD CS) 是 Windows 環境中最常見的選擇。對於跨平台或雲端原生部署,HashiCorp Vault PKI、EJBCA 或託管 PKI 服務(例如 AWS Private CA)都是可行的替代方案。

此階段的關鍵決策:

  • 憑證有效期:1 至 2 年的用戶端憑證可在安全性和營運開銷之間取得平衡。較短的有效期會增加撤銷事件;較長的有效期則會增加憑證遭破解時的暴露期。
  • 金鑰演算法:RSA-2048 仍受到廣泛支援。ECDSA P-256 提供同等的安全性,且憑證大小更小、握手速度更快 — 建議用於新部署。
  • CRL 與 OCSP:CRL 發佈較易實作,但會引入延遲和快取問題。OCSP 則提供即時的撤銷狀態。對於高安全性環境,在 RADIUS 伺服器上啟用 OCSP 裝訂 (OCSP stapling) 是首選方法。

階段 2:RADIUS 伺服器設定

您的 RADIUS 伺服器必須設定為:

  1. 向連線的用戶端出示其伺服器憑證(由您的內部 CA 核發)。
  2. 僅信任您的內部根 CA 和中繼 CA 以進行用戶端憑證驗證 — 切勿信任公共 CA 進行用戶端驗證。
  3. 對出示的每個用戶端憑證進行 CRL 或 OCSP 檢查。
  4. 將憑證屬性(通用名稱、SAN 或 OID 擴充功能)對應至網路原則規則 — 例如,根據憑證屬性將裝置分配到特定的 VLAN。

如需 RADIUS 伺服器架構與設定的詳細說明,請參閱 什麼是 RADIUS?RADIUS 伺服器如何保護 WiFi 網路

階段 3:透過 MDM/SCEP 進行憑證發佈

手動安裝憑證無法進行大規模擴充。對於少數裝置以外的任何部署,憑證佈署都必須自動化。標準方法為:

  • 託管的企業裝置:將您的 PKI 與您的 MDM 平台(Microsoft Intune、Jamf、VMware Workspace ONE)整合。設定 SCEP 或 EST 設定檔,在裝置註冊時自動要求並安裝用戶端憑證。在支援的情況下,憑證會與裝置的 TPM 或 Secure Enclave 綁定,以防止憑證被匯出。
  • BYOD 與承包商裝置:部署上網引導入口網站(例如 Cisco ISE 的 Guest portal 或專用的 BYOD 解決方案),引導使用者完成一次性憑證安裝流程。核發有效期較短的憑證,並透過 VLAN 策略限制網路存取。
  • IoT 與無螢幕裝置:使用帶有預先共用挑戰密碼的 SCEP,或使用帶有引導憑證的 EST。憑證更新應在過期前透過相同協定自動進行。

第 4 階段:Access Point 與 SSID 設定

設定企業 SSID,配置如下:

  • 安全性:WPA2 Enterprise 或 WPA3 Enterprise (802.1X)
  • EAP 類型:EAP-TLS
  • RADIUS 伺服器:指向您的驗證伺服器並附帶共用金鑰
  • VLAN 分配:透過 RADIUS 屬性(Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-ID)啟用動態 VLAN 分配
  • PMF:WPA3 為強制啟用;WPA2 為強烈建議啟用

第 5 階段:用戶端 Supplicant 設定

對於透過群組原則或 Intune 管理的 Windows 裝置,部署指定 EAP-TLS、信任的根 CA 以及憑證選取條件的有線/無線網路原則。在 macOS 和 iOS 上,部署設定描述檔。在 Android 上,使用 MDM 管理的 WiFi 設定檔。至關重要的是,強制執行伺服器憑證驗證 — 指定確切的 CA 和伺服器名稱。未勾選此項是 802.1X 部署中最常見的單一錯誤設定。

最佳實踐

在所有 supplicant 上強制執行伺服器憑證驗證。 802.1X 部署中最容易被利用的錯誤設定是用戶端接受任何伺服器憑證,從而導致惡意存取點攻擊。每個透過 MDM 部署的 WiFi 設定檔都應指定信任的 CA 和預期的伺服器名稱(CN 或 SAN)。

在過期前自動更新憑證。 設定監控,以便在憑證過期前 30 天內發出警報。設定 SCEP 或 EST 自動更新,使裝置無需使用者介入即可更新憑證。大規模憑證過期事件是企業網路團隊可能面臨的最具破壞性的事件之一。

盡可能實施 OCSP 代替 CRL。 CRL 檔案可能會變得很大且會被用戶端快取,這意味著新撤銷的憑證在快取過期前可能仍會被接受。OCSP 提供即時狀態,是高安全性環境首選的撤銷機制。

分割您的 PKI。 為不同的憑證類別使用獨立的中繼 CA:一個用於 RADIUS 伺服器憑證,一個用於用戶端裝置憑證,一個用於使用者憑證。這可以限制 CA 遭受入侵時的波及範圍,並簡化撤銷原則。

記錄並監控驗證事件。 您的 RADIUS 伺服器會為每次連線嘗試產生驗證記錄。將這些記錄傳送到您的 SIEM。重複的驗證失敗、憑證驗證錯誤或來自非預期 MAC 位址的連線等模式,都是錯誤設定或攻擊的早期指標。 符合 PCI DSS 4.0 規範。 規範 8.6 要求對系統組件進行強式驗證。對於 PCI DSS 範圍內的無線網路,採用憑證驗證的 EAP-TLS 滿足了網路層多因素驗證的要求,因為憑證(您擁有的東西)結合裝置上綁定 TPM 的私鑰(您本身具備的特徵)即構成了雙因素。

疑難排解與風險緩釋

常見故障模式

故障模式 症狀 根本原因 解決方案
憑證鏈驗證失敗 伺服器憑證交換後出現 EAP-Failure 用戶端不信任 RADIUS 伺服器的 CA 透過 MDM 將根 CA 憑證推送到裝置信任存放區
未提供用戶端憑證 伺服器憑證後驗證停止 未安裝用戶端憑證或選錯憑證 驗證 SCEP 註冊是否已完成;檢查 MDM 設定檔
無法連線 OCSP/CRL 間歇性驗證失敗 RADIUS 伺服器無法連線撤銷端點 確保 RADIUS 伺服器可存取 OCSP/CRL URL;實作本機 CRL 快取
憑證過期 所有裝置同時驗證失敗 未設定自動更新 實作 30 天到期警示;設定 SCEP 自動更新
惡意 AP 攻擊 使用者連線到惡意 AP 請求端上停用了伺服器憑證驗證 在所有 MDM WiFi 設定檔中強制執行伺服器憑證驗證
VLAN 指派失敗 裝置已連線但取得錯誤的網路區段 RADIUS 屬性設定錯誤 驗證 Tunnel-Type (13=VLAN)、Tunnel-Medium-Type (6=802)、Tunnel-Private-Group-ID (VLAN ID)

大規模部署的風險緩釋

對於在多個物業中擁有數百個存取點的 旅宿業 環境,以及擁有分散式據點的 零售業 連鎖店,主要的營運風險是同步發生的憑證過期事件。請錯開不同裝置群組的憑證核發日期,使更新時間分散,而非同時發生。在您的 MDM 中維護憑證清單,並針對 60 天內即將過期的憑證執行每週報告。

對於 醫療保健 環境,額外的風險是驗證延遲會影響臨床工作流程。請最佳化您的 RADIUS 伺服器部署位置以縮短往返時間。考慮在每個據點部署 RADIUS 代理伺服器,以減少驗證對廣域網路 (WAN) 的依賴。

投資報酬率與商業影響

量化安全投資

若與資料外洩成本相比,採用 EAP-TLS 取代密碼型 802.1X 的商業案例便顯得顯而易見。2024 年英國資料外洩的平均成本為 358 萬英鎊(IBM 資料外洩成本報告)。企業外洩事件中有很大一部分源自於遭破解的憑證。EAP-TLS 完全消除了網路存取的憑證竊取管道。

對於受 PCI DSS 規範的組織而言,因無線網路漏洞導致持卡人資料外洩,將面臨罰款、鑑識調查費用以及潛在的發卡機構處罰,這些損失遠高於部署 PKI 的成本。對於任何透過無線基礎設施處理卡片支付的組織來說,單是符合合規性這一點,就足以證明這項投資的價值。

提升營運效率

與直覺相反的是,與基於密碼的 802.1X 相比,結合 MDM 整合憑證發放、且實施完善的 EAP-TLS 部署,實際上可以減輕客服中心的負擔。這消除了密碼重設、共用憑證管理以及「為什麼我無法連線到 WiFi」等支援工單。初期的部署工作雖然集中在前期,但穩定運行後的日常維運工作量卻更低。

對於在安全員工網路之外同時部署 WiFi Analytics 的場域營運商而言,透過 EAP-TLS 和動態 VLAN 分配實現的網路區隔,意味著訪客流量、員工流量和 IoT 設備流量可以在同一個實體基礎設施上進行乾淨的隔離,從而在提高安全防護能力的同時,降低硬體成本。

Purple 在安全企業 WiFi 中扮演的角色

Purple 的平台運作於 Guest WiFi 與企業網路智慧的交匯處。對於員工和企業設備網路,EAP-TLS 提供了驗證層。而 Purple 的 WiFi Analytics 平台則凌駕其上,提供網路使用模式、設備停留時間和場域人流量的能見度——只有在底層網路經過適當區隔和驗證時,這些數據才具有意義。

對於正在探索跨場域 OpenRoaming 和基於 Passpoint 無縫連線的組織,Purple 在 Connect 授權下扮演免費身分識別提供者的角色,利用與支援 EAP-TLS 相同的 802.1X 和基於憑證的身分識別框架。這使 EAP-TLS 不僅僅是一項安全控制措施,更是跨 交通運輸 樞紐、零售物業和餐旅場域提供進階連線服務的基石。

對於正在評估 SD-WAN 與企業 WiFi 安全如何交匯的網路架構師, The Core SD-WAN Benefits for Modern Businesses 提供了關於安全驗證如何與現代 WAN 架構整合的補充背景資訊。

關鍵定義

EAP-TLS (Extensible Authentication Protocol – Transport Layer Security)

RFC 5216 中定義的一種 802.1X 驗證方法,在用戶端裝置與 RADIUS 伺服器之間使用雙向 X.509 憑證驗證。雙方若未出示由受信任憑證授權單位(CA)簽署且有效、未撤銷的憑證,皆無法獲得網路存取權限。

IT 團隊在評估 WPA2 Enterprise 或 WPA3 Enterprise 部署的 802.1X 驗證方法時會遇到 EAP-TLS。它是受監管環境(PCI DSS、HIPAA、ISO 27001)的推薦方法,也是 WPA3 Enterprise 192-bit (Suite B) 的必要方法。

X.509 Certificate

一種數位憑證標準(定義於 ITU-T X.509 與 RFC 5280),用於將公開金鑰與身分(裝置、伺服器或使用者)進行綁定。它包含主體身分、公開金鑰、發行 CA 的數位簽章以及有效日期。在 EAP-TLS 中,RADIUS 伺服器和用戶端裝置在驗證交握期間皆須出示 X.509 憑證。

IT 團隊在設定 RADIUS 伺服器(伺服器憑證)、透過 MDM 註冊裝置(用戶端憑證)以及管理 PKI 架構時會遇到 X.509 憑證。憑證過期與撤銷是主要的維運考量。

PKI (Public Key Infrastructure)

建立、管理、分發、儲存和撤銷數位憑證所需之硬體、軟體、策略和程序的組合。在 EAP-TLS 部署中,PKI 至少包含一個根 CA 和一個發行 CA,以及用於撤銷的 CRL/OCSP 基礎架構。

PKI 是任何 EAP-TLS 部署的基礎依賴。IT 團隊在部署 EAP-TLS 之前,必須先設計並運行 PKI。常見的 PKI 平台包括 Microsoft AD CS、EJBCA、HashiCorp Vault PKI 以及 AWS Private CA 等託管服務。

RADIUS (Remote Authentication Dial-In User Service)

一種網路協定(RFC 2865),為網路存取提供集中式驗證、授權和計費(AAA)。在 802.1X/EAP-TLS 部署中,RADIUS 伺服器負責驗證用戶端憑證、執行網路策略,並將 VLAN 分配屬性傳回給存取點。

RADIUS 是每個 802.1X 部署中的驗證伺服器元件。常見的實作包括 Microsoft NPS、FreeRADIUS、Cisco ISE 和 Aruba ClearPass。RADIUS 伺服器必須設定為信任內部 CA 並執行憑證撤銷檢查。

Mutual Authentication

一種驗證程序,通訊雙方在建立連線之前皆須驗證彼此的身分。在 EAP-TLS 中,用戶端驗證 RADIUS 伺服器的憑證(防範惡意 AP),而 RADIUS 伺服器則驗證用戶端的憑證(防範未授權的裝置存取)。

雙向驗證是 EAP-TLS 優於 PEAP 和 EAP-TTLS 的關鍵差異。IT 團隊在向安全稽核員和合規團隊證明 EAP-TLS 的合理性時,應強調雙向驗證,因為它直接解決了惡意 AP 和憑證竊取等威脅向量。

SCEP (Simple Certificate Enrollment Protocol)

一種協定(最初由 Cisco 定義,並在 RFC 8894 中標準化),可在用戶端裝置與憑證授權單位之間實現自動化的憑證請求與發行。在 EAP-TLS 部署中,MDM 平台使用 SCEP 自動向受管理裝置佈署用戶端憑證,無需使用者介入。

SCEP 是企業 MDM 環境中實現零接觸憑證佈署的標準機制。IT 團隊在 Intune、Jamf 或 Workspace ONE 中設定 SCEP 設定檔,以自動化用戶端憑證的部署與更新。

CRL (Certificate Revocation List)

由發行 CA 定期發布的憑證序號清單,列出在到期日前已被撤銷的憑證。RADIUS 伺服器會檢查 CRL,以確保在 EAP-TLS 驗證期間出示的用戶端憑證未被撤銷(例如:因裝置遭竊或員工離職)。

CRL 管理是 EAP-TLS 部署中關鍵的維運考量。IT 團隊必須確保 RADIUS 伺服器可以存取 CRL 分發點、CRL 發布頻率足以反映最新的撤銷情況,且 RADIUS 伺服器設定為在無法取得 CRL 時拒絕驗證。

OCSP (Online Certificate Status Protocol)

一種即時憑證撤銷檢查協定(RFC 6960),允許 RADIUS 伺服器向 CA 的 OCSP 回應程式查詢特定憑證的目前狀態,而無需下載並剖析完整的 CRL。與基於 CRL 的檢查相比,OCSP 提供更低的延遲和更新鮮的撤銷資訊。

對於需要即時撤銷的高安全性環境(例如:在報告裝置遭竊時立即撤銷憑證),IT 團隊應優先選擇 OCSP 而非 CRL。OCSP 裝訂(由 RADIUS 伺服器快取並出示 OCSP 回應)可減少延遲,並消除每次驗證時對 OCSP 回應程式可達性的依賴。

802.1X (Port-Based Network Access Control)

一項 IEEE 標準,為嘗試連線到 LAN 或 WLAN 的裝置提供驗證框架。它定義了三種角色:要求端(連線裝置)、驗證端(存取點或交換器)和驗證伺服器(RADIUS)。EAP-TLS 是可在 802.1X 框架內使用的幾種 EAP 方法之一。

802.1X 是 EAP-TLS 運作的整體框架。IT 團隊在設定 WPA2 Enterprise 或 WPA3 Enterprise SSID,以及在受管理交換器上設定有線連接埠驗證時會遇到 802.1X。瞭解 802.1X 是部署 EAP-TLS 的先決條件。

Perfect Forward Secrecy (PFS)

金鑰交換協定的一種加密屬性,可確保工作階段金鑰無法從長期私鑰中推導出來。在採用 ECDHE 加密套件的 EAP-TLS 中,每個工作階段都會產生一個唯一的暫時金鑰組,這意味著即使憑證的私鑰遭到破解,也不會洩露歷史工作階段流量。

IT 團隊在設定 EAP-TLS 時應指定基於 ECDHE 的加密套件,以確保 PFS。這在網路流量會被記錄且未來可能面臨解密嘗試的環境中尤為重要(即「現在收集,稍後解密」的攻擊情境)。

範例

一家擁有 12 間分店、共 450 間客房的飯店集團,需要將其員工 WiFi 從 PEAP-MSCHAPv2 遷移至 EAP-TLS。該集團使用透過 Microsoft Intune 管理的 Windows 10/11 筆記型電腦,以及房務人員使用的約 200 台 Android 平板電腦。IT 團隊目前沒有現成的內部 PKI。推薦的部署方案為何?

步驟 1 — PKI 部署(第 1-3 週): 部署具有雙層架構的 Microsoft AD CS。在專用伺服器上架設離線根 CA,並在初始設定後將其關機。在 Windows Server VM 上部署線上發行 CA(中介 CA)。設定發行 CA,將 CRL 發佈至可從 12 間分店的所有 RADIUS 伺服器存取的內部網頁伺服器。在發行 CA 伺服器上啟用 OCSP 回應程式角色。

步驟 2 — RADIUS 基礎架構(第 2-4 週): 在每間分店部署 Microsoft NPS (Network Policy Server),或透過各分店的 NPS 代理伺服器指向中央 NPS 叢集來進行集中管理。從內部 CA 向每個 NPS 執行個體核發 RADIUS 伺服器憑證。設定 NPS 網路原則:驗證方法 = EAP-TLS、信任的根 CA = 內部根 CA、憑證驗證 = 已啟用、透過 RADIUS 屬性進行 VLAN 分配。

步驟 3 — Intune 憑證設定檔(第 3-5 週): 在 Microsoft Intune 中,建立「信任的憑證」設定檔,將根 CA 憑證推送到所有受管理裝置。建立指向發行 CA 的 SCEP 憑證設定檔,主體名稱格式為 CN={{DeviceId}},金鑰用途 = 數位簽章,延伸金鑰用途 = 用戶端驗證。建立 WiFi 設定檔,指定 EAP-TLS、將 SCEP 憑證設定檔設為用戶端憑證,並將根 CA 設為信任的伺服器憑證授權單位。

步驟 4 — Android 平板電腦註冊(第 4-6 週): 透過 Android Enterprise(專用裝置模式)將 Android 平板電腦註冊到 Intune。部署對應的「信任的憑證」、SCEP 憑證和 WiFi 設定設定檔。在全面推廣前,先在 10 台平板電腦的試點群組上驗證憑證安裝。

步驟 5 — 試點與切換(第 6-8 週): 在一間試點分店的獨立 SSID 上,讓 EAP-TLS 與 PEAP 並行運作。驗證驗證成功率、VLAN 分配和憑證更新行為。逐間分店推廣。在每間分店並行運作 30 天後,停用 PEAP SSID。

考官評語: 此方案最為理想,因為它利用了現有的 Microsoft 生態系統(Intune + AD CS + NPS)以減少新工具的使用。採用離線根 CA 的雙層 PKI 是業界標準模式 — 根 CA 的私鑰永遠不會暴露給連接網路的系統。在切換期間採用並行 SSID 的做法,對於在客滿高峰期發生驗證失敗會直接影響營收的旅宿業環境至關重要。30 天的並行運作可確保在移除舊有 SSID 之前,憑證更新週期已得到驗證。另一種使用託管 PKI 服務(例如 AWS Private CA)的替代方案雖然能減少維運開銷,但會為核心驗證功能引入雲端依賴性 — 這對於雲端原生組織是可以接受的,但對於 WAN 連線不穩定的分店來說則是一項風險考量。

一家擁有 280 間門市的連鎖零售商需要保護其 POS 系統的 WiFi 網路,以符合 PCI DSS 4.0 的要求。每間門市有 8-15 台 Windows POS 終端機(包含受管理與未受管理的裝置),並由一名 IT 管理員進行遠端管理。該連鎖店目前在所有門市中使用共用的 WPA2-PSK 密碼。遷移至 EAP-TLS 的路徑為何?

評估與範圍界定: 首先,定義 PCI DSS 持卡人資料環境 (CDE) 的範圍。處理卡片資料的 POS 終端機在範圍內;員工休息室的裝置則不在範圍內。進行網路分割,使只有 POS 終端機處於受 EAP-TLS 保護的 SSID 上。這能將憑證部署範圍限制在已知的受管理裝置群體中。

集中式 PKI 與 RADIUS: 部署雲端託管的 RADIUS 服務(例如雲端中的 Cisco ISE 或 JumpCloud RADIUS),以消除在每間門市部署本地 RADIUS 硬體的需求。這對於無法進行本地伺服器管理的分布式零售資產至關重要。雲端 RADIUS 服務透過安全通道連接到內部 PKI。

MDM 驅動的憑證部署: 所有 POS 終端機必須註冊到 MDM(Microsoft Intune 或同等工具)中。透過 MDM 原則部署根 CA 信任錨點和 SCEP 憑證設定檔。憑證主體應包含門市編號和終端機 ID(例如 CN=POS-STORE042-TERM003),以實現細粒度的 RADIUS 原則和稽核記錄。

SSID 設定: 在每間門市的存取點上設定專用的 POS SSID,並採用 WPA2 Enterprise / EAP-TLS。使用動態 VLAN 分配將通過驗證的 POS 終端機劃分到 CDE VLAN 中。在完全隔離的 VLAN 上實作獨立的訪客 SSID,供顧客 WiFi 使用。

監控與合規證據: 設定將 RADIUS 驗證記錄轉發至中央 SIEM。產生每月報告,顯示驗證成功率、憑證有效性狀態以及任何撤銷事件。此記錄資料構成了 PCI DSS 要求 10(記錄與監控)和要求 8.6(驗證管理)的稽核證據。

考官評語: 此處的關鍵見解是使用雲端託管的 RADIUS 服務,以避免在 280 間門市中管理本地驗證基礎架構的維運負擔。對於分布式零售業,這幾乎總是正確的架構選擇。範圍界定的決策 — 將 EAP-TLS 僅限制在 POS 終端機 — 從 PCI DSS 的角度來看是務實且正確的;在團隊對該技術尚無維運經驗前,將 EAP-TLS 應用到門市中的每台裝置會增加部署風險。憑證命名慣例(門市編號 + 終端機 ID)是一項刻意的設計選擇,它使 RADIUS 原則管理和事件調查變得更加容易。另一種使用憑證 OID 延伸屬性來編碼裝置屬性的替代方案,雖然能提供更豐富的原則控制,但會增加 PKI 設定的複雜性。

練習題

Q1. 您的組織營運著一家擁有 600 張床位的醫院,護理人員使用 1,200 台受管理的 Windows 筆記型電腦和 400 台共享的 Android 平板電腦。目前的 WiFi 使用帶有 Active Directory 憑證的 PEAP-MSCHAPv2。最近的滲透測試發現,所有用戶端裝置都沒有驗證 RADIUS 伺服器憑證,且測試人員成功進行了惡意 AP 攻擊並擷取了 AD 憑證。您被要求在 90 天內修復此問題。您的優先修復計劃是什麼?

提示:考慮哪些問題可以立即解決(變更設定),哪些需要基礎設施工作(部署 PKI)。並非所有修復步驟都需要 EAP-TLS — 在規劃長期遷移的同時,有些步驟可以套用到現有的 PEAP 部署中。

查看標準答案

立即(第 1-2 週):修復現有 PEAP 部署上的伺服器憑證驗證。 向所有受管理的 Windows 裝置推送 GPO/Intune WiFi 設定檔更新,指定信任的根 CA 和 RADIUS 伺服器預期的 CN/SAN。這可以立即封堵惡意 AP 漏洞,而無需變更 PKI。對於 Android 平板電腦,推送更新的 MDM WiFi 設定檔。這能在幾天內解決關鍵發現。

短期(第 2-8 週):部署內部 PKI。 建立雙層 AD CS PKI(離線根 CA + 線上發行 CA)。從內部 CA 發行新的 RADIUS 伺服器憑證。更新 NPS 設定。透過 MDM 將新的根 CA 信任錨推送至所有裝置。

中期(第 6-12 週):將受管理裝置遷移至 EAP-TLS 在 Intune 中為 Windows 筆記型電腦設定 SCEP 設定檔。部署用戶端憑證設定檔。建立一個與現有 PEAP SSID 並行的全新 EAP-TLS SSID。先以 50 台筆記型電腦進行試點,驗證後分批推廣。共享的 Android 平板電腦較為複雜 — 評估 Android Enterprise 專用裝置註冊是否可行,或者基於憑證的登入入口網站是否更適合共享使用裝置。

關鍵考量: HIPAA 要求對承載 ePHI 的無線網路採取適當的安全防護措施。惡意 AP 漏洞是一個應通報的風險。為您的合規官員記錄修復時間表和臨時控制措施。

Q2. 一家會議中心正在部署新的 WiFi 基礎設施,以同時支援安全的員工網路 (EAP-TLS) 和訪客 WiFi 網路。該場地可容納多達 5,000 名與會者舉辦活動。IT 經理希望在兩個網路上使用相同的實體存取點基礎設施。應如何規劃網路架構以實現此目標,關鍵的設定決策是什麼?

提示:考慮 SSID 分段、VLAN 設計,以及員工(基於憑證)與訪客(Captive Portal 或社群媒體登入)的不同驗證需求。思考 Purple 的訪客 WiFi 平台如何與此架構整合。

查看標準答案

SSID 與 VLAN 設計: 在相同的實體存取點基礎設施上部署兩個 SSID。SSID 1(員工):WPA3 Enterprise / EAP-TLS,在 5GHz 和 6GHz 頻段上廣播,對應到員工 VLAN(例如 VLAN 10)。SSID 2(訪客):WPA3 Personal 或帶有 OWE (Opportunistic Wireless Encryption) 的 Open,對應到訪客 VLAN(例如 VLAN 20)。訪客 VLAN 應完全無法存取員工 VLAN 或內部基礎設施 — 僅能存取網際網路。

員工網路: 設定具有 EAP-TLS 策略的 RADIUS 伺服器。透過 MDM 向所有員工裝置發行用戶端憑證。使用動態 VLAN 分配將通過驗證的員工裝置放入 VLAN 10。考慮在 VLAN 30 上為影音/活動管理設備部署一個單獨的 SSID,並採用 EAP-TLS 和獨立的憑證策略。

訪客網路: 與 Purple 的 Guest WiFi 平台整合,以進行 Captive Portal 驗證、社群媒體登入或電子郵件收集。訪客網路完全獨立於 EAP-TLS 基礎設施運作。Purple 的 WiFi Analytics 平台可提供來自訪客網路的停留時間、人流量和互動數據。

容量規劃: 針對 5,000 名同時在線的訪客,確保訪客 VLAN 的 DHCP 範圍、網際網路上行鏈路和存取點密度配置適當。EAP-TLS 驗證對每個連線產生的額外開銷微乎其微,但應驗證 RADIUS 伺服器容量以因應尖峰活動負載。

Q3. 一位零售業 CTO 正在評估是要為 350 家門市部署 EAP-TLS,還是繼續使用定期輪替共用金鑰的 WPA2-PSK。IT 團隊規模很小(3 人)且沒有 PKI 經驗。CTO 最關心的是 POS 網路的 PCI DSS 合規性。您的建議是什麼,您如何建構此商業案例?

提示:考慮 PCI DSS 要求、小型 IT 團隊的營運能力,以及是否有可以減輕 PKI 負擔的託管服務方案。答案不一定是「立即部署完整的 EAP-TLS」— 分階段或託管的方法可能更合適。

查看標準答案

建議:透過託管的 RADIUS 和 PKI 服務部署 EAP-TLS,並在 6 個月內分階段完成。

WPA2-PSK 對於 PCI DSS 持卡人資料環境是不可接受的。PCI DSS 要求 8 規定系統組件必須進行個人驗證,而共用的 PSK 無法滿足此要求。一旦 PSK 遭到破解,將同時暴露所有 350 家門市。這種風險並非理論 — 在零售業中,透過遭破解的 WiFi 憑證入侵 POS 網路是已證實的攻擊手法。

託管服務方法: 與其內部培養 PKI 專業知識,不如採用託管的 RADIUS 和 PKI 供應商(例如 Foxpass、JumpCloud 或 SecureW2)。這些服務開箱即用,提供託管的 RADIUS 伺服器、託管的 CA 以及 MDM 整合。IT 團隊只需設定 MDM 憑證設定檔和存取點 RADIUS 設定 — 無需 PKI 專業知識。費用通常為每台裝置每月 3 到 8 美元,相較於 PCI DSS 外洩的成本,這微不足道。

商業案例: 將此投資與以下三類成本進行對比:(1)發生外洩後面臨的 PCI DSS 非合規罰款和鑑識調查成本 — 對於中型零售商而言,通常為 5 萬至 50 萬英鎊;(2)持卡人資料外洩面臨的卡片組織處罰 — 可能高達數百萬;(3)商譽受損和客戶流失。對於擁有 350 家門市、每家門市有 15 台 POS 終端機(共 5,250 台裝置)的規模,以每台裝置每月 5 美元的託管服務成本計算,每月約為 26,250 美元 — 遠低於單日的外洩調查成本。

繼續閱讀本系列

各大廠商的 Per-Device PSK 比較:iPSK、DPSK、MPSK 與 PPSK(以及 WPA3 支援)

針對 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Extreme、Fortinet 和 Ubiquiti UniFi 的 per-device PSK 實作進行全面比較。了解 WPA3-SAE 如何影響 per-device 金鑰策略,以及何時該部署過渡模式或轉移至 802.1X。

閱讀指南 →

Captive Portal 驗證方式比較

本權威技術參考指南評估了五種核心 Captive Portal 驗證方式在架構、營運及合規性方面的權衡。它為網路架構師、IT 總監和行銷經理提供了所需的量化數據與決策框架,以在企業場域中平衡訪客登入摩擦與數據收集需求。

閱讀指南 →

什麼是 MAC 位址驗證?何時該使用以及何時該避免使用

本權威技術參考指南涵蓋企業 WiFi 環境中的 MAC 位址驗證 — 說明基於 RADIUS 的 MAC 驗證在 Layer 2 的運作方式、其固有的安全性漏洞(包括 MAC 欺騙以及作業系統層級 MAC 隨機化的影響),以及其作為管理 IoT 和無螢幕(headless)裝置有效工具的具體營運情境。本指南為餐飲旅宿、零售、醫療保健和公共場所的 IT 經理與網路架構師提供具體可行的部署指引,並包含實際案例、決策框架,以及與 Purple 的顧客 WiFi 和分析平台的整合情境。

閱讀指南 →