什麼是 802.1X Supplicant（用戶端連線程式）？用戶端類型與裝置設定

請以自信、權威且口語化的口吻進行發言——如同資深網路安全顧問向客戶進行簡報。節奏沉穩、發音清晰、專業而不生硬。偶爾自然停頓以示強調： 歡迎來到 Purple 技術簡報系列。今天我們將探討企業 WiFi 安全的核心要素——802.1X 請求方（supplicant）。如果您曾感到好奇，為什麼某些裝置無需輸入密碼即可連線至公司網路，而其他裝置卻會彈出憑證錯誤並產生支援工單，那麼本集內容正是為您準備的。 [中度停頓] 讓我們從基礎開始。802.1X 請求方是終端裝置（如筆記型電腦、智慧型手機、平板電腦）上的軟體元件，負責在裝置嘗試加入受 IEEE 802.1X 保護的網路時，處理驗證握手程序。您可以將其視為裝置的身分證出示程式。網路不會隨便放任何人進來，而是會要求提供登入憑證。這時，請求方就會站出來說：這是我的身分，這是我的數位憑證，請讓我進去。 IEEE 802.1X 標準本身定義了基於連接埠的網路存取控制。在驗證成功之前，無線存取點或交換器僅允許極少數特定類型的流量通過：也就是 EAPOL（局域網上的可延伸驗證協定）框架。其他所有流量都會被阻擋。一旦請求方透過驗證器向 RADIUS 伺服器證明其身分，連接埠就會開啟，正常流量便可開始傳輸。 [中度停頓] 在這個架構中，共有三個主要角色。第一，請求方——即終端裝置。第二，驗證器——即您的無線存取點或交換器，例如 Cisco Meraki、HPE Aruba、Ruckus 或 Juniper Mist 等硬體。第三，驗證伺服器——幾乎都是 RADIUS 伺服器，負責對照 Microsoft Entra ID 或 Okta 等目錄來驗證憑證。 [中度停頓] 請求方會透過傳送 EAPOL-Start 訊息來啟動此程序。驗證器會回覆 EAP-Request 要求提供身分。請求方回覆其身分。該身分會被轉發至 RADIUS 伺服器，接著伺服器會使用約定的 EAP 方法向請求方發出驗證挑戰。如果一切無誤，RADIUS 伺服器就會傳送 Access-Accept，連接埠隨之開啟，裝置也會被分配到正確的 VLAN。 [中度停頓] 接下來我們來談談 EAP 方法，因為這是大多數部署決策的關鍵所在。 EAP-TLS（即具有傳輸層安全性的可延伸驗證協定）是黃金標準。它要求用戶端和伺服器雙方都必須出示憑證。這是雙向驗證，不需要密碼。用戶端憑證用來證明裝置的身份；伺服器憑證則用來證明網路的合法性，如此可防範惡意存取點試圖收集憑證的邪惡雙生仔（evil twin）攻擊。EAP-TLS 的流程包含十二個步驟，並在整個過程中採用公鑰/私鑰密碼學。這是 WPA3-Enterprise 處於最高安全模式時所必需的方法，且符合 NIST SP 800-171 對於裝置身份驗證的要求。 對於尚未建立完整 PKI 的企業組織而言，PEAP（受保護的 EAP）是更常見的起步點。PEAP 將基於密碼的內部方法（通常是 MSCHAPv2）封裝在 TLS 隧道內。伺服器會出示憑證，但用戶端不會。這意味著部署較為簡單——您不需要配發用戶端憑證——但安全性較低。MSCHAPv2 使用 MD4 雜湊演算法，該演算法自 1995 年起就已被視為存在安全漏洞。如果使用者連線到呈現看似可信憑證的惡意存取點，其認證資訊就可能被截獲。因此，在執行 PEAP 時，用戶端進行伺服器憑證驗證是絕對不可妥協的。 [medium pause] 現在，讓我們深入探討要求端（supplicant）本身——特別是原生作業系統要求端與第三方用戶端軟體之間的抉擇。 每個主要的作業系統都內建 802.1X 要求端。Windows 自 XP 起就透過 Wireless AutoConfig 和 Wired AutoConfig 服務提供原生支援。macOS 和 iOS 則透過其網路設定描述檔來處理 802.1X。Android 則透過 WiFi 設定面板來支援。在所有目前的平台上，這些原生要求端均涵蓋了 EAP-TLS 和 PEAP-MSCHAPv2。 原生要求端的優勢顯而易見：無需部署額外軟體、無授權費用、具備作業系統自動安全性更新，且與作業系統的憑證儲存庫緊密整合。對於受管裝置群體——例如註冊於 Microsoft Intune 的 Windows 電腦，或是透過 Jamf 管理的 Mac——您可以透過 MDM 背景靜默推送 802.1X 設定描述檔，使用者完全不會看到任何提示。每當裝置進入收訊範圍時，就會自動進行驗證。 第三方用戶端 (supplicant) 在特定情境下會派上用場。如果您正在運行 Cisco 基礎架構並希望使用 EAP-FAST（Cisco 專有的 EAP 方法），則需要 Cisco 的用戶端軟體，歷來為 Secure Services Client 或 AnyConnect Network Access Manager。如果您需要在混合作業系統環境中進行一致的設定管理，並且希望鎖定用戶端設定以防止使用者意外設定錯誤，第三方用戶端將為您提供該控制權。像 SecureW2 的 JoinNow 套件這類的工具也可以作為引導代理程式（onboarding agents）——它們會設定原生用戶端而不是取代它，引導使用者完成憑證登錄與設定檔安裝。 [medium pause] 讓我帶您了解兩個實際案例，使其更加具體。 第一個是擁有 400 間客房的飯店。該物業目前在 WPA2-Enterprise 上運行員工網路，並採用 PEAP-MSCHAPv2。IT 團隊希望移轉至 EAP-TLS，以消除基於密碼的驗證並降低憑證遭竊的風險。面臨的挑戰：員工裝置包含透過 Intune 管理的 Windows 筆記型電腦、用於物業管理軟體的個人 Android 手機，以及後台少數的舊型 Windows 7 電腦。 這裡採用的方法是分階段進行。首先從託管的 Windows 裝置群開始。推送一個 Intune 設定設定檔，以安裝 RADIUS 伺服器的根 CA 憑證、將 WiFi 設定檔設定為 EAP-TLS，並觸發來自內部 PKI 且基於 SCEP 的憑證登錄。這些裝置從第一天起就會自動進行驗證。對於 Android BYOD 裝置，部署一個自助引導入口網頁——使用者造訪 URL、下載設定設定檔，系統便會為其設定好用戶端。舊型 Windows 7 電腦則維持使用 PEAP 並強制執行嚴格的伺服器憑證驗證，同時隔離至存取受限的獨立 VLAN，直到它們退役為止。 [medium pause] 第二個案例：擁有 200 家門市的大型連鎖零售商。每家門市都配有銷售點（POS）終端機、員工平板電腦和訪客 WiFi 網路。PCI DSS 要求將持卡人資料環境與其他網路區段隔離。該零售商在員工和 POS 網路上使用 802.1X，並透過憑證屬性來驅動 VLAN 分配。POS 終端機出示包含組織單位（OU）為 "POS" 的裝置憑證，RADIUS 策略會將其分配至 PCI VLAN。員工平板電腦出示包含 "Staff" 的憑證，便會進入員工 VLAN。訪客裝置則完全連接到獨立的 SSID，由 Captive Portal 解決方案處理。 POS 終端機上的用戶端設定已透過 MDM 鎖定。無需使用者互動。終端機在開機時會靜默進行驗證。憑證更新透過 SCEP 自動完成，因此憑證過期時無需人工干預。 [medium pause] 現在，來談談導入時的陷阱。讓我為您說明最常見的四個陷阱。 第一點：在 PEAP 部署中遺漏伺服器憑證驗證。如果您沒有設定要求者（supplicant）來驗證 RADIUS 伺服器的憑證並檢查伺服器名稱，使用者將容易連線到惡意存取點。請務必在要求者設定檔中指定受信任的根 CA 和伺服器名稱。 第二點：憑證過期導致大規模驗證失敗。用戶端憑證有其有效期。如果您沒有透過 SCEP 或 NDES 建立自動更新機制，您將面臨斷崖式事件，即數百台裝置同時停止驗證。請在正式上線前建立自動更新機制。 第三點：BYOD 裝置要求者行為不一致。尤其是 Android 系統，各家製造商對 802.1X 的支援相當分歧。某些版本要求使用者必須手動安裝 CA 憑證，WiFi 設定檔才能接受。一個處理此步驟的引導上網入口網站可以顯著減少技術支援中心的工作量。 第四點：Windows 11 功能更新破壞了要求者設定。微軟在數個 Windows 11 更新中改變了 802.1X 的行為。具體而言，24H2 更新改變了原生要求者處理 EAP-TLS 容錯轉移的方式。在推事到生產環境之前，請先針對新的作業系統版本測試您的要求者設定檔。 [中頓] 現在進入快速問答。 IoT 裝置能支援 802.1X 嗎？ 大多數不能。IoT 裝置通常完全缺乏要求者。其替代方案是 MAC 驗證旁路（MAB），即 RADIUS 伺服器根據裝置的 MAC 位址進行驗證。MAC 位址可以被偽造，因此 MAB 裝置應始終歸入具有嚴格防火牆規則的隔離 IoT VLAN 中。 我需要 PKI 才能運行 802.1X 嗎？ 對於 PEAP，不需要 - 您只需要 RADIUS 伺服器上的伺服器憑證。對於 EAP-TLS，需要 - 您需要 PKI 來發行用戶端憑證。雲端 PKI 服務可大幅減少基礎架構的開銷。 802.1X 如何與 Purple 的網路存取平台互動？ Purple 作為雲端覆蓋層，運行在您現有的硬體之上 - Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 等。在員工 WiFi 網路上，Purple 的 SecurePass 附加功能可與您的身分識別提供者（Microsoft Entra ID、Okta 或 Google Workspace）整合，以強制執行 802.1X 驗證並套用每位使用者的 VLAN 原則，而無需內部部署的 RADIUS 基礎架構。 [中頓] 總結來說：802.1X 要求者是裝置端的代理程式，用以實現基於連接埠的網路存取控制。您對 EAP 方法的選擇 - 用於最高安全性的 EAP-TLS，或作為過渡選項的 PEAP - 將決定您的 PKI 需求和要求者設定方式。當透過 MDM 部署時，原生作業系統要求者可涵蓋大多數託管裝置的情境。第三方用戶端在特定情況下具有附加價值：專屬的 EAP 方法、需要一致設定的混合作業系統環境，或自助式 BYOD 引導上網。 三個核心重點：在每個用戶端設定檔上驗證您的 RADIUS 伺服器憑證、在大規模部署 EAP-TLS 之前自動化憑證更新，以及將不支援 802.1X 的裝置（如 IoT、舊版硬體）隔離至專屬的 VLAN，並以 MAC 驗證旁路 (MAC Authentication Bypass) 作為備用方案。 欲了解更多關於 Purple 如何與您的網路存取架構整合的資訊，請造訪 purple.ai。感謝您的收聽。