跳至主要內容

WPA2 Personal 對比 Enterprise:有何不同以及您應該使用哪一個?

本技術參考指南提供 WPA2 Personal 與 WPA2 Enterprise 無線安全標準之間的權威性比較。其詳細說明了 IT 領導者保護企業網路所需的底層密碼編譯交握、架構需求和部署方法。讀者將學習如何從共享密碼過渡到個別化的憑證型驗證,以符合合規性架構並減輕內部威脅。

📖 9 分鐘閱讀📝 2,125 字數🔧 2 範例3 練習題📚 10 關鍵定義

📚 核心系列的一部分:企業 WiFi 安全與驗證:完整指南

header_image.png

執行摘要

無線網路安全是現代企業基礎架構的基本支柱。對於 IT 主管、網路架構師和 CTO 而言,選擇合適的安全協定不單只是技術選擇,更是關鍵的風險管理決策。本指南提供 WPA2 Personal (WPA2-PSK) 與 WPA2 Enterprise (WPA2-802.1X) 之間的權威技術比較。

WPA2 Personal 依賴於所有裝置共用的單一密碼,而 WPA2 Enterprise 則導入了個人化驗證,透過遠端使用者撥入驗證服務 (RADIUS) 伺服器集中管理憑證。本技術參考指南詳細介紹了這兩種標準的底層密碼機制、架構差異、部署方法以及營運影響。透過分析這些協定,網路管理員可以做出明智的決策來保護企業資產、符合合規架構,並優化不同場所環境中的網路效能。

技術深入探討

要瞭解 WPA2 Personal 和 WPA2 Enterprise 的安全性設定,必須檢視其底層驗證架構、金鑰衍生程序和封包級交握。

WPA2 Personal (WPA2-PSK) 架構

WPA2 Personal 採用預先共用金鑰 (PSK) 機制。整個網路的安全完全依賴於單一密碼,該密碼設定於無線基地台 (AP) 並與所有授權使用者共用。

1. 金鑰衍生程序

將密碼(介於 8 到 63 個 ASCII 字元之間)與網路的 SSID (Service Set Identifier) 結合,並透過基於密碼的金鑰衍生函數 2 (PBKDF2) 進行運算。此程序會對 HMAC-SHA1 雜湊進行 4,096 次疊代,以產生 256 位元的成對主金鑰 (PMK)。

$$\text{PMK} = \text{PBKDF2}(\text{Passphrase}, \text{SSID}, 4096, 256)$$

由於 SSID 在 PBKDF2 函數中被用作鹽值 (salt),因此在不同 SSID 上使用相同的密碼會產生不同的 PMK,這減少了預先計算彩虹表的使用。然而,由於 PMK 對於該 SSID 上的每台裝置都是靜態且相同的,這帶來了嚴重的安全限制。

2. 四向交握 (4-Way Handshake)

一旦在用戶端和 AP 上都建立了 PMK,四向交握便開始。此程序確認雙方都擁有正確的 PMK,而無需實際在空中傳輸金鑰。它還會衍生出用於加密單播流量的成對暫時金鑰 (PTK),以及用於加密多播和廣播流量的群組暫時金鑰 (GTK)。

  • 訊息 1(AP 到用戶端):AP 向用戶端發送一個驗證者隨機數 (ANonce - 隨機值)。
  • 訊息 2(用戶端到 AP):用戶端產生一個請求者隨機數 (SNonce)。利用 PMK、ANonce、SNonce 以及兩台裝置的 MAC 位址,用戶端衍生出 PTK。它將 SNonce 連同訊息完整性驗證碼 (MIC) 發送給 AP,以證明其已知 PMK。
  • 訊息 3(AP 至用戶端):AP 使用 SNonce 推導出 PTK 並驗證 MIC。若驗證無誤,AP 會將 GTK(以 PTK 加密)與 MIC 傳回給用戶端。
  • 訊息 4(用戶端至 AP):用戶端安裝金鑰,並向 AP 傳送最終確認 MIC。

3. 安全漏洞

由於 PMK 是靜態的,且 SSID 上的每個裝置都相同,因此任何知道密碼的金鑰使用者,只要擷取到初始的 4 節握手,就能解密同一網路中任何其他使用者的流量。此外,WPA2-PSK 極易受到離線字典攻擊。攻擊者可以在空中擷取 4 節握手,並在不與網路互動的情況下,嘗試離線暴力破解密碼。

WPA2 Enterprise (WPA2-802.1X) 架構

WPA2 Enterprise 將共享密碼替換為 IEEE 802.1X 基於連接埠的網路存取控制標準。此架構引入了三個不同的元件:

  • Supplicant(用戶端軟體):在使用者裝置上執行的用戶端軟體。
  • Authenticator(驗證器):無線基地台(Access Point)或無線區域網路控制器(WLC)。
  • Authentication Server(驗證伺服器):通常是 RADIUS 伺服器(例如 FreeRADIUS、Cisco ISE、Aruba ClearPass),並由 Active Directory 或 LDAP 目錄等身分識別庫提供支援。

WPA2 Enterprise 會為每個使用者工作階段動態產生唯一的 PMK,而非使用靜態 PMK。驗證程序在 Supplicant 與驗證器之間使用封裝於區域網路上的可延伸驗證協定(EAPoL),並在驗證器與驗證伺服器之間使用 RADIUS 協定。

常見的 EAP 方式

  1. PEAP-MSCHAPv2 (Protected EAP)
    • 機制:使用伺服器的數位憑證在用戶端與 RADIUS 伺服器之間建立加密的 TLS 通道。在此安全通道內,用戶端使用使用者名稱和密碼透過 MSCHAPv2 協定進行驗證。
    • 安全性設定:可防止外部竊聽,但如果用戶端未設定為驗證 RADIUS 伺服器的憑證,則容易受到憑證收集攻擊。
  2. EAP-TLS (EAP-Transport Layer Security)
    • 機制:需要雙向憑證架構的驗證。RADIUS 伺服器和用戶端裝置都必須擁有由受信任的公開金鑰基礎建設(PKI)所發行的有效數位憑證。
    • 安全性設定:無線安全性的黃金標準。由於用戶端裝置上沒有傳輸或儲存密碼,因此完全消除了基於憑證的攻擊(例如網路釣魚或字典攻擊)。
  3. EAP-TTLS (EAP-Tunneled TLS)
    • 機制:與 PEAP 類似,它在 TLS 通道內保護內部驗證交換。然而,它支援更多樣化的內部驗證協定,包括 PAP、CHAP 和 MSCHAPv2,並且可以與非 Active Directory 身分識別庫整合。
功能 WPA2 Personal (PSK) WPA2 Enterprise (802.1X)
身分驗證方法 預共用金鑰 (密碼) 個人憑證 / 憑證
金鑰管理 供所有用戶端共用的靜態 PMK 每個工作階段產生的動態 PMK
加密金鑰唯一性 唯一的 PTK,但可被他人解密 唯一的 PTK,完全隔離
撤銷能力 全域 (必須在所有裝置上變更金鑰) 細粒度 (停用特定使用者/裝置)
基礎架構需求 僅需基地台 基地台、RADIUS 伺服器、身分目錄、PKI (用於 TLS)
對惡意基地台的脆弱性 高 (雙胞胎惡意基地台攻擊極易成功) 低 (伺服器憑證驗證可防止連線)

部署指南

轉換至或部署 WPA2 企業版需要系統化的規劃。以下是使用 PEAP-MSCHAPv2 並整合 Active Directory 網域,來建立安全 WPA2 企業版網路的逐步部署方法。

步驟 1:準備身分儲存庫和 RADIUS 伺服器

  1. 確保您的 Active Directory 網域服務 (AD DS) 環境運作正常,且使用者/裝置帳戶已分類至適當的安全群組 (例如 "WiFi-Users")。
  2. 在 Windows 伺服器執行個體上安裝網路原則伺服器 (NPS) 角色,或部署專用的 RADIUS 設備,例如 Cisco ISE 或 FreeRADIUS。
  3. 從內部 Active Directory 憑證服務 (AD CS) 企業 CA 或受信任的公開憑證授權單位 (CA) 取得 RADIUS 伺服器的數位憑證。此憑證必須具有「伺服器驗證」延伸金鑰使用方法 (EKU)。

步驟 2:設定 RADIUS 伺服器 (以 NPS 為例)

  1. 登冊 RADIUS 伺服器:在 Active Directory 中,右鍵按一下 NPS 伺服器節點,然後選擇「在 Active Directory 中登冊伺服器」。
  2. 設定 RADIUS 用戶端:將您的無線基地台或無線區域網路控制器 (WLC) 新增為 RADIUS 用戶端。為每個用戶端分配一個強大的、隨機產生的共用秘密 (至少 24 個字元)。
  3. 建立連線要求原則:定義處理無線要求的規則 (通常將 NAS 連接埠類型比對為 "Wireless - IEEE 802.11")。
  4. 建立網路原則
    • 定義條件:使用者必須是 "WiFi-Users" 安全群組的成員。
    • 定義條件限制:選取 "Microsoft: Protected EAP (PEAP)" 作為 EAP 類型。
    • 設定 PEAP 屬性:選取在步驟 1 中取得的伺服器憑證。在內部方法下,確保已選取 "Secured password (EAP-MSCHAP v2)"。

步驟 3:設定無線區域網路控制器 / 基地台

  1. 登入您的無線管理主控台。
  2. 建立一個新的 SSID (例如 "Corporate-Secure")。
  3. 將安全性類型設定為 WPA2 企業版 (如果您的用戶端設備支援,則設定為 WPA3 企業版)。
  4. 新增 RADIUS 伺服器 IP 位址、連接埠 (預設驗證連接埠為 1812) 以及在步驟 2 中設定的確切共用秘密。如果可行,請設定次要 RADIUS 伺服器以實現高可用性。
  5. 802.11w Protected Management Frames (PMF) 啟用為「Capable」或「Required」,以防範取消驗證攻擊。

步驟 4:用戶端佈署與憑證發送

為防止中間人攻擊,必須將用戶端裝置設定為信任 RADIUS 伺服器的憑證。

  1. 針對已加入網域的 Windows 裝置:使用群組原則物件 (GPO) 設定無線網路 (IEEE 802.11) 原則。指定 SSID 名稱、選擇 WPA2-Enterprise、選擇 PEAP-MSCHAPv2,並明確勾選信任簽署該 RADIUS 伺服器憑證之根 CA 的欄位。
  2. 針對行動與未加入網域的裝置:利用行動裝置管理 (MDM) 解決方案 (例如 Microsoft Intune、MobileIron 或 Jamf) 將包含受信任根憑證與網路設定的 WiFi 設定檔推送到裝置。

WPA3 轉移考量因素

在規劃您的無線網路藍圖時,請考量向 WPA3 的轉移。WPA3 Enterprise 以 WPA2 Enterprise 為基礎,強制要求最低 128 位元的加密強度,並針對高度敏感環境提供 192 位元的安全性模式 (使用 GCMP-256 與 SHA-384)。至關重要的是,WPA3 強制要求使用 WPA2 中選配的 Protected Management Frames (PMF)。對於用戶端功能相異的混合環境,可以部署同時支援 WPA2 與 WPA3 Enterprise 的過渡期 SSID,但針對全新部署,建議使用純 WPA3 以排除舊版相容的安全性漏洞。

最佳實踐

若要維持安全且高效能的無線網路,請遵循以下產業標準建議:

  1. 強制執行嚴格的伺服器憑證驗證:切勿允許用戶端在未驗證 RADIUS 伺服器憑證的情況下進行連線。如果略過憑證驗證,攻擊者便可架設具有相同 SSID 的惡意 AP 並竊取使用者憑證。
  2. 區隔網路流量:根據使用者的 RADIUS 驗證屬性,將不同的使用者群組對應到不同的 VLAN。例如,將外包商分配到受限的 VLAN,並將全職員工分配到企業內部網路的 VLAN。
  3. 實作 802.11w (Protected Management Frames):WPA2 容易受到攻擊者傳送的取消驗證框架影響而導致用戶端斷線。啟用 802.11w 可將管理框架加密,從而緩解這些阻斷服務攻擊。
  4. 監控並集中管理記錄:將 RADIUS 驗證記錄與 AP 系統記錄資料轉發至中央安全性資訊與事件管理 (SIEM) 系統。監控重複發生的驗證失敗,這可能表示存在暴力破解或憑證填充攻擊。
  5. 避免使用舊版協定:停用弱金鑰內部驗證方法 (例如 PAP 或 CHAP)。確保 MSCHAPv2 僅在安全的 TLS 通道 (PEAP) 內使用。

疑難排解與風險緩解

常見失敗模式與解決方案

1. RADIUS 逾時 / 用戶端無法連線

  • 症狀:用戶端嘗試連線,但因逾時錯誤而失敗。
  • 根本原因:AP 無法連線至 RADIUS 伺服器,或 RADIUS 共用金鑰 (Shared Secret) 不相符。
  • 緩解措施:驗證 AP/WLC 與 RADIUS 伺服器之間的 IP 連線。檢查 RADIUS 伺服器記錄,確認請求是否送達。驗證 AP 和 RADIUS 伺服器上的共用金鑰是否完全一致。

2. 憑證驗證失敗

  • 症狀:系統提示用戶端憑證警告,或在輸入憑證後立即連線失敗。
  • 根本原因:用戶端不信任核發 RADIUS 伺服器憑證的憑證授權單位 (CA),或憑證已過期。
  • 緩解措施:確保根 CA 憑證已安裝在用戶端的受信任根憑證授權單位中。檢查 RADIUS 伺服器憑證的到期日,並在到期前進行更新。

3. 漫遊延遲與斷線

  • 症狀:使用者在場域的實體區域之間移動時,遇到連線中斷或高延遲。
  • 根本原因:每次切換 AP 時都會進行完整的 802.1X 驗證程序,導致數百毫秒的延遲。
  • 緩解措施:在無線控制器上啟用 802.11r (Fast Transition)Opportunistic Key Caching (OKC)802.11i 預先驗證,以快取金鑰並加速漫遊程序。

投資報酬率與商業影響

從 WPA2 Personal 轉移到 WPA2 Enterprise 代表了一項能產生可衡量商業價值的策略性投資。

營運效率

使用 WPA2 Personal 時,當員工離職或裝置遺失,就必須在每台裝置上變更網路密碼以維持安全性。在大型零售連鎖店或醫院中,這在物流執行上是不可能的。WPA2 Enterprise 消除此營運開銷。IT 管理員可以立即在中央身分目錄(例如 Active Directory)中撤銷特定使用者或裝置的存取權限,而不會影響網路上的任何其他使用者。

合規性對齊

許多法規框架嚴格禁止使用共用憑證來存取敏感資料。

  • PCI-DSS (Requirement 8.2):要求對每個使用者進行唯一識別。在處理持卡人資料的網路上使用 WPA2 Personal 存在不合規風險。
  • ISO 27001 / SOC 2:要求嚴格的存取控制與稽核能力。WPA2 Enterprise 提供完整的稽核追蹤,可精確記錄哪個使用者和裝置在什麼時間、透過哪個 AP 連線到網路。

風險緩解

透過消除共用金鑰,企業能大幅降低內部威脅與外部資料外洩的風險。單次資料外洩的財務影響遠遠超過部署基於 RADIUS 驗證系統的初始基礎架構與授權成本。

關鍵定義

Supplicant (用戶端)

在工作站或行動裝置上執行,用於發起並參與 802.1X 驗證流程的軟體用戶端。

它必須支援在 RADIUS 伺服器上設定的特定 EAP 方法 (例如 PEAP、EAP-TLS)。

Authenticator (驗證器)

執行基於連接埠之存取控制,並在用戶端與驗證伺服器之間轉發驗證訊息的網路裝置 (通常為無線 Access Point 或無線區域網路控制器 Wireless LAN Controller)。

它本身不驗證憑證;它扮演橋樑角色,在無線端使用 EAPoL,在有線端使用 RADIUS。

Authentication Server (驗證伺服器)

一個中央伺服器 (通常執行 RADIUS),用於根據識別目錄驗證用戶端所出示的憑證或證書。

它決定是否授予網路存取權限,並可傳回授權屬性,如 VLAN 分配。

RADIUS (Remote Authentication Dial-In User Service)

一種在連接埠 1812 (驗證) 和 1813 (帳務) 上運作的網路協定,提供集中式的驗證、授權和帳務 (AAA) 管理。

它是 802.1X 網路中用於驗證器與驗證伺服器之間通訊的標準協定。

EAP (Extensible Authentication Protocol)

一種定義驗證訊息傳輸的驗證框架,允許使用各種驗證方法 (如密碼、權杖或憑證)。

它提供了彈性,可在不升級實體網路基礎設施的情況下,選擇使用 PEAP、EAP-TLS 或 EAP-TTLS。

Pairwise Master Key (PMK)

在驗證階段衍生出的對稱金鑰。在 WPA2 Personal 中,它是靜態的且由複雜密碼衍生而來。在 WPA2 Enterprise 中,它是每個工作階段動態產生的。

PMK 是用於衍生無線工作階段暫時加密金鑰的基礎。

Pairwise Transient Key (PTK)

在 4 向握手 (4-way handshake) 期間衍生,用於加密特定用戶端與 Access Point 之間單播資料流量的實際工作階段金鑰。

它對每個工作階段都是唯一的,並會定期或在用戶端重新連線時重新產生。

802.11w (Protected Management Frames)

802.11 標準的修正案,為管理框架 (例如取消驗證和離線框架) 提供安全保護。

它透過防止攻擊者偽造管理框架來斷開合法用戶端的連線,進而防止拒絕服務攻擊。

PKI (Public Key Infrastructure)

由數位憑證、憑證授權單位及其他註冊授權單位組成的系統,用於驗證並確立參與網際網路交易之各方的有效性。

部署 EAP-TLS 的必要條件,因為伺服器和用戶端都必須擁有由 PKI 核發的受信任憑證。

MSCHAPv2 (Microsoft Challenge Handshake Authentication Protocol v2)

由 Microsoft 開發的密碼型雙向驗證協定,通常用作 PEAP 通道內的內部驗證方法。

雖然其自身安全性較弱,但當封裝在 PEAP 提供的加密 TLS 通道內時,它是安全的。

範例

一家擁有 50 家實體店面的中型零售連鎖店希望從單一共享的 WPA2-PSK 網路過渡到 WPA2-Enterprise (PEAP-MSCHAPv2),以保護公司庫存平板電腦和經理的筆記型電腦。該連鎖店使用 Active Directory 進行身分識別管理,並設有中央 IT 團隊,但店面沒有當地的 IT 人員。

  1. 在企業資料中心部署一對備援的中央 RADIUS 伺服器(使用 Windows Server NPS 或 FreeRADIUS)。
  2. 建立從 50 家店面各處到企業資料中心的安全 IPsec VPN 隧道,以允許 AP 到 RADIUS 的通訊。
  3. 使用標準化、安全的共享金鑰範本,將所有店面 AP 的 IP 子網路配置為授權的 RADIUS 用戶端。
  4. 建立一個名為「Store-Staff-Devices」的 Active Directory 安全性群組,並將所有公司平板電腦和筆記型電腦帳戶新增至此群組。
  5. 設定 NPS 網路原則,僅在用戶端屬於「Store-Staff-Devices」且透過 PEAP-MSCHAPv2 進行驗證時才允許存取。
  6. 向所有加入網域的筆記型電腦部署群組原則物件 (GPO),自動設定新 SSID 的無線設定檔、信任內部根憑證授權單位 (Root CA) 憑證,並使用已登入的 Windows 認證進行驗證。
  7. 對於未加入網域的平板電腦,使用企業 MDM (Microsoft Intune) 推送 WiFi 設定檔和受信任的根憑證授權單位 (Root CA) 憑證。
  8. 進行分階段推廣,在部署到其餘 45 家店面之前,先在 5 家試點店面啟用新 SSID。
考官評語: 此解決方案透過利用中央 GPO 和 MDM 協調來推送配置,成功解決了缺乏當地 IT 人員的問題。建立備援的 RADIUS 伺服器至關重要;如果與店面的 WAN 連線中斷,本機 AP 必須配置後備機制或本機運作能力(例如本機 802.1X 驗證器或限制僅用於關鍵 POS 流量的次要本機 PSK SSID),以防止店面停機。

一家高安全性金融機構要求為其企業總部消除所有基於認證的無線攻擊(例如密碼破解、網路釣魚和惡意 AP 認證收集)。該網路必須支援 1,200 台加入網域的 Windows 筆記型電腦和 300 台公司專用的 iPhone。

  1. 實施 WPA2-Enterprise 搭配 EAP-TLS 驗證,完全消除密碼,改用數位憑證。
  2. 利用現有的 Active Directory Certificate Services (AD CS) PKI 架構,透過自動登錄向所有加入網域的 Windows 筆記型電腦發行電腦憑證。
  3. 設定 Microsoft Intune (MDM),透過 SCEP (Simple Certificate Enrollment Protocol) 閘道與 AD CS 整合,向企業級 iPhone 發行用戶端憑證。
  4. 部署與 PKI 整合的專用 RADIUS 叢集 (例如 Aruba ClearPass 或 Cisco ISE)。
  5. 設定 RADIUS 伺服器進行雙向驗證:伺服器向用戶端展示其憑證,且用戶端向伺服器展示其專屬憑證。
  6. 設定 RADIUS 策略以針對 Active Directory 進行「憑證二進位比較」(Certificate Binary Comparison),確保憑證未被撤銷且帳戶仍處於啟用狀態。
  7. 透過 GPO 和 MDM 將無線設定檔推送到所有裝置,要求進行嚴格的伺服器憑證驗證,並指定允許簽署 RADIUS 伺服器憑證的確切憑證授權單位 (Certificate Authorities)。
考官評語: EAP-TLS 是目前最安全的無線驗證方法。透過使用 SCEP 和 GPO,部署過程完全自動化,消除了使用者出錯的風險。加入「憑證二進位比較」可防止「孤兒」憑證 (即憑證有效,但使用者帳戶已在 Active Directory 中停用) 獲取網路存取權限。

練習題

Q1. 一家餐旅場所希望使用 WPA2 企業級來保護其後台員工網路的安全。然而,他們有幾台僅支援 WPA2 個人級 (PSK) 的舊型手持式庫存掃描器。網路架構師該如何設計無線環境,以便在容納舊型掃描器的同時,仍為企業筆記型電腦維持高安全性?

提示:思考網路區隔以及如何將較弱協定的影響範圍降至最低。

查看標準答案

架構師應實施具有嚴格網路區隔的多 SSID 設計。

  1. 建立一個主要的 SSID(例如「Staff-Secure」),為所有企業筆記型電腦、平板電腦和現代智慧型手機設定 WPA2 企業級(PEAP-MSCHAPv2 或 EAP-TLS)。此網路應對應到主要企業 VLAN。
  2. 建立第二個隱藏的 SSID(例如「Legacy-Scanners」),使用長、複雜且隨機產生的複雜密碼設定 WPA2 個人級 (PSK)。此 SSID 必須對應到專用的隔離 VLAN。
  3. 在舊型 VLAN 上實施防火牆存取控制清單 (ACL),將流量嚴格限制在庫存伺服器所需的特定 IP 位址和連接埠,阻擋所有其他內部和外部網路存取。
  4. 此方法可確保即使舊型 PSK 密碼遭到破解,也不會暴露主要企業網路或允許橫向移動。

Q2. 在整個企業園區部署 WPA2 企業級 (PEAP-MSCHAPv2) 後,使用者回報其裝置在不同建築物之間行走時經常斷線或遇到高延遲。分析 RADIUS 記錄顯示,在很短的時間內,來自相同用戶端的大量完整驗證請求。此問題的根本原因是什麼,該如何解決?

提示:思考在存取點 (Access Point) 之間進行實體漫遊時,802.1X 握手會發生什麼情況。

查看標準答案

根本原因在於,每當用戶端漫遊到新的存取點時,無線網路都會強制執行完整的 802.1X 驗證交換(這涉及往返中央 RADIUS 伺服器的多次互動)。此過程可能需要 500 毫秒到 1 秒以上,從而導致封包遺失和連線中斷。

要解決此問題,網路管理員必須在無線控制器和存取點上啟用快速漫遊技術:

  1. 啟用 802.11r (Fast Transition),這允許用戶端和 AP 在發生漫遊之前進行預先關聯並衍生新金鑰,將握手時間縮短至 50 毫秒以下。
  2. 啟用 Opportunistic Key Caching (OKC)PMK Caching,這允許無線控制器在網路中的所有 AP 之間共享用戶端的 PMK,從而消除在漫遊期間查詢 RADIUS 伺服器的需求。
  3. 確保用戶端裝置支援這些標準,且如果存在舊型用戶端,請設定混合模式或過渡設定檔。

Q3. IT 經理設定了 WPA2 企業級 (PEAP-MSCHAPv2),但決定停用戶端裝置上的伺服器憑證驗證,以簡化未加入網域之個人裝置 (BYOD) 的上網引導流程。請解釋這會引入什麼具體的安全漏洞,以及攻擊者可能會如何利用它。

提示:思考用戶端裝置如何驗證其正在與合法的企業網路進行通訊。

查看標準答案

停用伺服器憑證驗證會引入嚴重的媒介,使其容易遭受中間人 (MitM) 和憑證竊取攻擊,這通常被稱為「邪惡雙胞胎 (Evil Twin)」攻擊。

攻擊者可以利用此漏洞,步驟如下:

  1. 攻擊者架設一個惡意存取點 (Access Point),廣播與企業網路相同的 SSID。
  2. 攻擊者設定一個連接到該惡意 AP 的惡意 RADIUS 伺服器,並使用自我簽署憑證。
  3. 當受害者的裝置嘗試連線時,它會與該惡意 AP 建立關聯 (該惡意 AP 訊號較強,或強制中斷與合法 AP 的連線)。
  4. 由於停用了伺服器憑證驗證,受害者的用戶端裝置會盲目信任該惡意 RADIUS 伺服器的憑證,而不會驗證其信任鏈。
  5. 用戶端啟動 PEAP 握手,並透過已建立的通道傳送其 MSCHAPv2 挑戰/回應 (包含使用者名稱和雜湊密碼)。
  6. 攻擊者擷取此 MSCHAPv2 交換資訊,並使用離線字典工具來破解使用者的密碼,從而取得完整的企業憑證。