跳至主要內容

WPA2 vs. 802.1X:有何不同?

本指南釐清了 WPA2 加密與 IEEE 802.1X 驗證架構之間的關係。這兩個互補的標準在廠商文件和網路設計討論中經常被混淆。本指南為 IT 總監、網路架構師和場域營運主管提供了這些協定如何互動的清晰技術分析、在旅宿業、零售業和公共部門環境中的實際部署策略,以及關於合規性、風險降低和顧客 WiFi 整合的具體操作建議。

📖 7 分鐘閱讀📝 1,746 字數🔧 2 範例3 練習題📚 10 關鍵定義

收聽此指南

查看播客逐字稿
歡迎來到 Purple 技術簡報。我是您的主持人,今天我們要探討一個在企業網路設計中經常引起混淆的主題:WPA2 與 802.1X 之間的差異。如果您是 IT 總監、網路架構師,或是負責管理大型場地基礎設施的人員,了解這兩個標準如何相互作用,是建立安全、具擴充性無線環境的基礎。 首先,讓我們澄清最主要的誤解。WPA2 與 802.1X 並非競爭標準。您不需要二選一。在健全的企業部署中,它們是互補的層級。 您可以這樣想:WPA2 是保險箱。它是一種加密標準,可確保數據在空中傳輸時被加密,防止被竊聽。而 802.1X 則是站在門口的保全。它是一個驗證框架,在您獲准接近保險箱之前,先檢查您的身分證件。 讓我們深入探討技術機制,首先從 WPA2 開始。Wi-Fi Protected Access 2 是一項認證計劃,規定了無線數據的加密方式。在企業環境中,它強制使用 AES-CCMP,這是一種高度安全的加密套件。WPA2 主要在兩種模式下運作:個人版(Personal)與企業版(Enterprise)。WPA2-Personal 使用預先共用金鑰(Pre-Shared Key)——也就是每個人共用的單一密碼。我們都知道這其中的風險。如果有一名員工離職,或者該密碼被寫在白板上,整個網路就會面臨安全威脅。 這就引出了 WPA2-Enterprise。當您在無線控制器上選擇 WPA2-Enterprise 時,您是在指示存取點(AP)停止使用共用密碼,轉而依賴外部驗證伺服器。這就是 802.1X 登場的地方。 IEEE 802.1X 是基於連接埠的網路存取控制(Network Access Control)標準。它扮演著數位守門人的角色。當裝置(我們稱為用戶端,supplicant)連線到存取點時,AP 會阻擋所有流量。它只允許驗證訊息傳遞到 RADIUS 伺服器。RADIUS 伺服器會比對您的 Active Directory 來檢查憑證。如果憑證有效,RADIUS 伺服器會向 AP 發送 Access-Accept 訊息,隨後連接埠便會開啟。 至關重要的是,802.1X 使用可延伸驗證協定(Extensible Authentication Protocol,簡稱 EAP)來安全地傳輸這些憑證。您經常會聽到 PEAP 或 EAP-TLS 等術語。這些只是在 802.1X 框架內證明身分的不同方法。PEAP 使用使用者名稱和密碼,而 EAP-TLS 則使用數位憑證,這是零信任環境的金科玉律。 那麼,它們是如何協同運作的?一旦 802.1X 成功驗證使用者,RADIUS 伺服器和用戶端裝置就會衍生出一個唯一的 Master Session Key。它們使用此金鑰來執行 WPA2 四向交握,從而為該個別工作階段產生特定的加密金鑰。這意味著每位使用者都擁有自己獨特的加密通道。即使有人擷取了您的無線流量,他們也無法解密,因為他們沒有您特定的工作階段金鑰。 現在,我們來談談實作。您要如何針對您的特定場域規劃此架構? 如果您正在管理企業辦公室,您的目標應該是零信任(Zero Trust)。這意味著使用 WPA2-Enterprise 搭配 802.1X(採用 EAP-TLS)。您透過 MDM 將憑證部署到受管理的筆記型電腦。使用者不需要記住或分享密碼。只有公司擁有的裝置才能進入內部網路。 但如果您是大型連鎖零售商呢?您的銷售點(POS)終端機需要嚴格符合 PCI DSS 規範,但您也希望提供客用 WiFi 以提高會員註冊率。在這種情況下,您需要進行區隔。您對員工和銷售點裝置使用 WPA2-Enterprise 搭配 802.1X,以確保個人責任制。對於顧客而言,在他們的個人手機上設定 802.1X 太過複雜。因此,您可以使用直接路由到 Captive Portal 的開放網路。這就是像 Purple 這樣的平台發揮作用的地方,它透過社群登入處理顧客驗證,擷取寶貴的第一方數據,同時將該流量與您安全的銷售點 VLAN 完全隔離。 在旅宿環境(飯店、會議中心、大型場館)中,挑戰又有所不同。您要面對的是數千名與您的企業目錄沒有任何關係的臨時使用者。Passpoint(也稱為 Hotspot 2.0)是此處新興的解決方案。它在底層使用 802.1X 和 WPA2-Enterprise,但將佈署流程自動化。使用者可以使用其現有的設定檔進行無縫驗證,而無需進行任何手動網路設定。Purple 在此生態系統中扮演身分識別提供者的角色,彌合了顧客體驗與企業級安全之間的差距。 讓我們來談談一些最佳實踐和常見陷阱。我們在 802.1X 部署中看到的最大錯誤是未能強制執行嚴格的憑證驗證。如果您的筆記型電腦未設定為驗證 RADIUS 伺服器的憑證,您就很容易受到 Evil Twin 攻擊。駭客可以架設一個惡意存取點,廣播您的企業 SSID,而您的裝置將會盲目地交出其雜湊憑證。請務必使用群組原則或 MDM 來強制執行憑證信任。這是不可妥協的。 另一個挑戰是無介面的 IoT 裝置(例如印表機、掃描器、感測器),這些裝置不支援 802.1X。針對這些裝置,管理員通常會使用 MAC 驗證繞過(MAC Authentication Bypass,簡稱 MAB)。在此必須非常小心,因為 MAC 位址很容易被偽造。如果您必須使用 MAB,請確保將這些裝置放置在具有嚴格存取控制清單(Access Control List)且高度受限的 VLAN 中。預設將它們視為不可信任。 第三個常見的失敗模式是高密度環境中的 RADIUS 逾時。體育場和會議中心可能會遇到數千台裝置同時嘗試進行驗證。如果您的 RADIUS 基礎架構無法處理此負載,就會出現驗證逾時,導致使用者無法連線。請確保您的 RADIUS 伺服器已做好負載平衡,且存取點與驗證伺服器之間的網路路徑具有最低延遲。這正是 SD-WAN 在分散式部署中發揮重要作用之處,能確保與集中式驗證服務之間維持可靠的連線。 現在,讓我們快速總結一下關鍵的決策點。 您應該使用 WPA2-Personal 還是 WPA2-Enterprise?如果您有十名以上的員工,請使用 Enterprise。管理 RADIUS 伺服器的營運開銷遠不及它所帶來的安全效益。 您應該使用 PEAP 還是 EAP-TLS?如果您擁有 MDM 且可以部署憑證,請使用 EAP-TLS。如果您依賴 Active Directory 認證,請使用 PEAP。無論您選擇哪一種,請務必在用戶端強制執行憑證驗證。 訪客 WiFi 該如何處理?不要將訪客放在 802.1X 上。請使用 Captive Portal 解決方案。以合規的方式收集他們的資料、隔離他們的流量,並讓他們與您的內部網路完全隔離。 WPA3 是否實用?絕對實用。WPA3-Enterprise 為政府和金融等高安全性環境提供了 192 位元的安全模式。它具有向下相容性,因此請開始規劃您的遷移,特別是針對新的部署。 總結來說:WPA2 和 802.1X 並非同一回事,但在企業環境中,它們是協同運作的。WPA2 負責加密資料,802.1X 負責驗證身分。WPA2-Enterprise 則是將兩者結合的模式。對於企業網路而言,這種組合是基準的安全要求。對於訪客和公共 WiFi,您需要不同的方法——一種在安全與使用者體驗之間取得平衡的方法,而這正是像 Purple 這樣的平台能發揮重大價值的地方。 關鍵要點:WPA2 是加密;802.1X 是驗證。WPA2-Enterprise 需要實作 802.1X 的 RADIUS 伺服器。請務必強制執行憑證驗證,以防止邪惡雙生(Evil Twin)攻擊。將您的訪客流量與企業網路進行隔離。對於公共場所,請考慮將 Passpoint 作為企業安全與無縫訪客登入之間的橋樑。 感謝您參與本次 Purple 技術簡報。如需了解更多關於 EAP 方法、部署架構和合規框架的詳細資訊,請造訪 purple dot ai。

header_image.png

執行摘要

對於管理企業環境的 IT 總監和網路架構師而言,WPA2 與 802.1X 之間的區別在廠商文件中往往模糊不清。WPA2 是一項安全認證計劃,規定了無線數據在空中傳輸時的加密方式。相反地,IEEE 802.1X 是一個基於連接埠的網路存取控制 (PNAC) 框架,規定了使用者或裝置在獲准進入網路之前如何證明其身份。

它們並非競爭標準,而是安全無線架構中互補的層級。當企業部署「WPA2-Enterprise」時,本質上就是部署了用於加密的 WPA2 和用於驗證的 802.1X。了解這些協定如何互動,對於減少惡意存取、確保符合 PCI DSS 和 GDPR 等框架,以及在分佈式場域中部署可擴充的基礎架構至關重要。本指南剖析了這兩種標準的機制,提供了與廠商無關的實作策略,並詳細介紹了像 Purple 的 Guest WiFi 這樣的現代平台如何無縫整合到這些安全架構中。

技術深度剖析:解構標準

要架構一個安全的無線網路,必須將數據機密性(加密)與身份驗證(驗證)的概念分開。這些是不同的問題,由不同的標準解決,並按順序運行。

WPA2:加密標準

Wi-Fi Protected Access 2 (WPA2) 是由 Wi-Fi Alliance 開發的安全認證計劃,旨在保護無線電腦網路。它基於 IEEE 802.11i 標準。其主要功能是確保在用戶端裝置(請求者)與存取點(驗證者)之間傳輸的數據不會被惡意攻擊者攔截和讀取。

WPA2 強制使用 AES(進階加密標準)結合 CCMP(計數器模式密碼區塊鏈結訊息鑑別碼協定)。這取代了原始 WPA 標準中使用的易受攻擊的 TKIP 加密演算法。WPA2 主要以兩種模式運作:WPA2-Personal (PSK),使用預共用金鑰,其中每個裝置都使用相同的密碼來產生加密金鑰;以及 WPA2-Enterprise,它與 802.1X 驗證伺服器整合,並為每個獨立工作階段產生唯一且動態的加密金鑰。

WPA2-Personal 的關鍵漏洞在於,單一洩露的 PSK 就會暴露整個網路。在擁有 400 個據點的零售連鎖店中,在每個 AP 和每個裝置上輪換 PSK 在營運上是難以實現的。而以 802.1X 為後盾的 WPA2-Enterprise 則完全消除了這個問題。

802.1X:驗證框架

IEEE 802.1X 是一個基於連接埠的網路存取控制 (PNAC) 標準。它最初是為有線乙太網路設計的,後來被應用於無線網路,以提供強大的單一使用者驗證。它本身並不加密資料,而是扮演數位守門人的角色,在裝置向集中式驗證伺服器證明其身分之前,將網路連接埠在邏輯上保持在「關閉」狀態。

architecture_overview.png

802.1X 架構建立在三種角色之上。請求端 (Supplicant) 是請求網路存取的用戶端裝置(筆記型電腦、智慧型手機、IoT 感測器)。驗證器 (Authenticator) 是網路存取裝置(通常是無線存取點或網管型交換器),負責促成驗證交換,但本身不做出存取決定。驗證伺服器 (Authentication Server)(通常是 RADIUS 伺服器)是集中式系統,負責根據 Active Directory 或 LDAP 等目錄驗證請求端的憑證,並發出存取決定。

802.1X 依賴可延伸驗證協定 (EAP) 在請求端和驗證伺服器之間傳輸驗證資料。EAP 非常靈活,支援多種內部方法。EAP-TLS 使用基於憑證的雙向驗證,被視為零信任環境的金科玉律。PEAP 將憑證封裝在 TLS 通道中,僅需要伺服器端的憑證。如需這些方法的詳細比較,請參閱我們的指南: EAP-TLS vs. PEAP: ¿Qué protocolo de autenticación es el adecuado para su red?

WPA2 與 802.1X 如何協同工作

當裝置連線到 WPA2-Enterprise SSID 時,會執行以下步驟。首先,裝置與 AP 建立關聯,但 AP 會阻擋除 802.1X EAP 訊息之外的所有流量。第二,裝置與 RADIUS 伺服器透過 AP 交換憑證——這是 802.1X 驗證階段。如果成功,RADIUS 伺服器會向 AP 發送「Access-Accept」訊息,以及主金鑰 (MSK)。第三,AP 和裝置使用 MSK 進行 WPA2 四向交握,衍生出用於透過 AES-CCMP 加密該工作階段資料流量的特定成對暫時金鑰 (PTK)。最後,連接埠被「開啟」,加密資料開始傳輸。每個使用者都擁有唯一的加密金鑰,這意味著截獲某個使用者的流量無法窺探其他使用者的資訊。

comparison_chart.png

實作指南:為您的場域建構架構

部署這些標準需要將技術能力與業務需求相結合。具體方法因場域類型和使用者客群而有顯著差異。

deployment_decision_matrix.png

企業辦公室:零信任架構

針對旨在符合 ISO 27001 或 Cyber Essentials+ 合規性的組織,建議的部署方式是 WPA2-Enterprise(或針對新建築採用 WPA3-Enterprise)搭配使用 EAP-TLS 的 802.1X。這需要透過 MDM 解決方案(例如 Microsoft Intune 或 Jamf)將數位憑證部署到所有企業裝置。這能完全消除基於密碼的安全漏洞 —— 只有公司擁有且受管理的裝置才能進行驗證。未受管理或個人裝置會自動被歸類到隔離的訪客 SSID。透過 RADIUS 屬性進行的動態 VLAN 分配,可依角色進行更進一步的隔離:IT 管理員、一般員工和承包商可以被分配到具有適當 ACL 的不同 VLAN,而這一切都只需透過單一 SSID 即可完成。

零售連鎖店:符合 PCI DSS 的分段安全防護

對於大型 零售 連鎖店而言,挑戰在於雙重目的:確保 PoS 終端安全以符合 PCI DSS 合規性,同時提供流暢的訪客存取以推動會員計劃註冊。此架構需要在相同的實體基礎設施上採用兩種不同的安全態勢。員工和 PoS SSID 應使用 WPA2-Enterprise 搭配 802.1X(員工使用與 Active Directory 綁定的 PEAP-MSCHAPv2,PoS 終端則使用帶有機器憑證的 EAP-TLS)。這可確保個人問責制,並將 PoS 流量保持在嚴格隔離、符合 PCI 規範的 VLAN 上。訪客 SSID 則使用直接路由到 Captive Portal 的開放網路。Purple 的 WiFi Analytics 平台透過社群登入或表單填寫處理訪客驗證,在符合 GDPR 的情況下收集第一方數據,同時保持與 PoS 環境的完整網路隔離。

餐旅與公共場所:大規模無縫引導上網

對於 餐旅 環境(飯店、會議中心、體育場)而言,對於與企業目錄沒有關聯的臨時訪客,802.1X 的營運複雜度過高。此使用案例的新興標準是 Passpoint (Hotspot 2.0),它在底層使用 802.1X 和 WPA2-Enterprise,但將裝置佈建流程自動化。Purple 在 Connect 授權下為 OpenRoaming 等服務充當免費的身分識別提供者,讓訪客能夠使用其現有設定檔進行無縫驗證,而無需任何手動網路設定。對於 交通運輸 和公共部門領域的場所,此方法還透過將同意管理直接整合到驗證流程中,支援符合 GDPR 數據收集要求。

企業部署的最佳實踐

在所有 supplicant 上強制執行嚴格的憑證驗證。 使用 PEAP 時,請確保用戶端裝置已設定為驗證 RADIUS 伺服器的憑證。若未執行此操作,網路將面臨 Evil Twin(雙面惡魔)攻擊的風險,惡意 AP 會從盲目信任任何提供 EAP 挑戰之伺服器的裝置中收集憑證。請透過群組原則(Group Policy)或 MDM 部署此設定,絕不要依賴終端使用者手動做出此決定。

實施動態 VLAN 分配。 利用 RADIUS 屬性(特別是 Tunnel-Type、Tunnel-Medium-Type 和 Tunnel-Private-Group-ID),在 802.1X 驗證成功後,根據使用者的 Active Directory 群組成員身分將其分配到特定的 VLAN。這可以實現基於角色的網路區隔,而無需為每個使用者類別設定個別的 SSID。

淘汰舊版加密套件。 確保在所有無線控制器和存取點(AP)上完全停用 TKIP 和 WEP。這兩者在密碼學上都已被破解。一個宣稱使用 WPA2 但允許降級回退至 TKIP 的網路,其安全性與 WEP 相比並無實質提升。

針對高密度環境規劃 RADIUS 容量。 在體育場、會議中心和大型 醫療保健 園區中,可能會有數千台裝置同時嘗試進行驗證。請確保 RADIUS 基礎架構已做好負載平衡,且 AP 與驗證伺服器之間的網路路徑延遲低於 10 毫秒。分散式部署的連線可靠性是一個關鍵考量因素——請參閱 現代企業的核心 SD-WAN 優勢 ,以取得關於確保至集中式驗證服務之彈性 WAN 路徑的指引。

疑難排解與風險緩釋

無聲的失敗。 裝置連線失敗,但使用者沒有收到任何有意義的錯誤訊息。這幾乎總是憑證信任問題——supplicant 拒絕了 RADIUS 伺服器的憑證。緩釋措施:確保簽發 RADIUS 憑證的根憑證授權單位(Root CA)已透過 GPO 或 MDM 分發到所有用戶端裝置,且無線設定檔已預先設定為信任該憑證。

RADIUS 逾時。 由於 RADIUS 伺服器超過了回應逾時閾值,AP 停止轉發流量。緩釋措施:實施 RADIUS 伺服器備援(主要和次要)、確保驗證伺服器未與擁塞的網路區段共用位置,並適當調整 AP 的 RADIUS 逾時和重試參數。

MAC 驗證繞過 (MAB) 安全漏洞。 對於無法執行 802.1X supplicant 的無螢幕 IoT 裝置,管理員通常會退而求其次使用 MAB,即根據 MAC 位址進行驗證。MAC 位址極易被偽造。緩釋措施:將所有通過 MAB 驗證的裝置放置在高度受限、隔離的 VLAN 中,並搭配嚴格的 ACL,僅允許裝置運作所需的特定流量。預設將所有 MAB 裝置視為不受信任。

Evil Twin 攻擊。 惡意 AP 會廣播企業的 SSID,並從未驗證伺服器憑證的裝置中收集憑證。緩解措施:強制執行憑證驗證(如上所述),並在無線區域網路控制器上部署惡意 AP 偵測。大多數企業級控制器都原生內建此功能。

ROI 與企業影響

從 WPA2-Personal 轉移到以 802.1X 為基礎的 WPA2-Enterprise 架構,需要投資 RADIUS 基礎設施,且對於 EAP-TLS 部署而言,還需要 PKI(公開金鑰基礎建設)。然而,這項商業效益非常顯著。

降低風險是主要驅動力。消除共享 PSK 移除了無線網路中最大的單一攻擊媒介。當員工離職時,其特定存取權限會在 Active Directory 中集中撤銷,無需在可能成千上萬個存取點上輪換 PSK。在擁有 400 個據點的零售物業中,所節省的營運成本相當可觀。

合規性啟用是次要驅動力。PCI DSS 規範 8 要求獨特的使用者 ID 與個人責任制。802.1X 原生提供了此功能。HIPAA 對於存取控制與稽核記錄的安全技術防護要求,也同樣能透過 RADIUS 記帳記錄中 802.1X 的單一使用者驗證記錄來滿足。

規模化下的營運效率是長期效益。透過集中式目錄整合,日常管理得以簡化。新進員工在建立 AD 帳戶的瞬間即可獲得網路存取權限。離職人員在帳戶停用的瞬間即失去存取權限。不再需要為了遺忘 WiFi 密碼而向 IT 服務台提交工單。

藉由將加密 (WPA2) 與驗證 (802.1X) 解耦,企業 IT 團隊得以建構具備擴充性、可稽核且具韌性的無線網路,既能支援最嚴苛的企業安全態勢,又能提供最流暢的訪客體驗。

關鍵定義

WPA2 (Wi-Fi Protected Access 2)

一項基於 IEEE 802.11i 的 Wi-Fi 聯盟認證計劃,強制對傳輸中的無線數據進行 AES-CCMP 加密。

IT 團隊在無線控制器上設定 SSID 時會遇到此項目。在 WPA2-Personal 與 WPA2-Enterprise 之間進行選擇,將決定驗證是由共用密碼還是 802.1X 伺服器處理。

IEEE 802.1X

一項用於基於連接埠的網路存取控制 (PNAC) 的 IEEE 標準,為嘗試連線到網路的裝置提供驗證框架。

在無線控制器和交換器上設定 RADIUS 整合時會引用此項目。它是使 WPA2-Enterprise 能夠提供單一使用者驗證的底層機制。

Supplicant

發起 802.1X 驗證交換並提供憑證或證書的用戶端裝置(筆記型電腦、智慧型手機、IoT 感測器)。

在進行疑難排解時,supplicant 通常是設定問題的根源,特別是在無線網路設定檔中的憑證驗證設定方面。

Authenticator

網路存取裝置(通常為無線 AP 或網管型交換器),負責在 supplicant 與驗證伺服器之間轉發 EAP 訊息,其本身不做出存取決定。

authenticator 會封鎖所有非 EAP 流量,直到收到來自 RADIUS 伺服器的 Access-Accept,此時它才會開啟邏輯連接埠。

RADIUS (Remote Authentication Dial-In User Service)

一個集中式的 AAA(驗證、授權和計費)協定伺服器,用於驗證憑證、執行原則並記錄存取事件。

RADIUS 伺服器是任何 802.1X 部署的核心骨幹。它與 Active Directory 或 LDAP 整合,並在驗證成功後傳回動態 VLAN 分配和其他原則屬性。

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

一種基於憑證的 EAP 方法,要求用戶端和伺服器端皆具備數位憑證,以提供雙向驗證。

被認為是最安全的 EAP 方法。適用於透過 MDM 管理裝置且可自動部署憑證的零信任企業環境。

PEAP (Protected Extensible Authentication Protocol)

一種 EAP 方法,將內部的驗證交換封裝在 TLS 通道中,僅需要伺服器端的憑證。

廣泛部署於 BYOD 和混合裝置環境中,因為它允許使用者使用標準的 AD 使用者名稱和密碼憑證進行驗證,而無需用戶端憑證。

AES-CCMP

WPA2 中強制執行的加密密碼套件,結合了 AES 區塊加密與 CCMP 協定,以確保數據的機密性與完整性。

IT 團隊必須確保所有 AP 和用戶端裝置都支援 AES-CCMP。任何允許降級為 TKIP 的部署都會損害 WPA2 的安全性保證。

4-Way Handshake

用戶端裝置與存取點 (AP) 之間的 WPA2 加密交換,用於衍生出加密數據流量所需的特定工作階段成對暫時金鑰 (PTK)。

在 802.1X 驗證成功後發生,使用 RADIUS 伺服器提供的 Master Session Key。每位使用者的 PTK 都是唯一的,以確保工作階段之間的流量隔離。

Captive Portal

在允許存取公共或訪客 WiFi 網路之前,向使用者呈現的網頁式驗證或同意頁面。

用於飯店、零售和公共場所等對於臨時使用者而言 802.1X 不切實際的環境。像 Purple 的 Guest WiFi 等平台使用 Captive Portal,在符合法規的情況下收集第一方數據,同時將訪客流量與企業基礎架構隔離。

範例

一家擁有 400 個據點的零售連鎖店目前在員工平板電腦和 PoS 終端機上共用單一 WPA2-Personal 密碼 (PSK)。他們在 PCI DSS 稽核中未能通過「要求 8」(唯一使用者 ID)和「要求 1」(網路分段)。他們需要在不中斷現有顧客 WiFi Captive Portal 的情況下保護內部網路。他們應該如何重新規劃其無線安全架構?

步驟 1:部署與企業 Active Directory 整合的 RADIUS 伺服器(例如 Cisco ISE、Microsoft NPS 或 FreeRADIUS)。針對分散式資產,在區域中心部署 RADIUS 代理伺服器,以減少遠端站點的驗證延遲。

步驟 2:將所有無線控制器上的企業 SSID 重新設定為使用 WPA2-Enterprise。針對員工平板電腦設定使用 PEAP-MSCHAPv2 的 802.1X(對照 AD 使用者憑證進行驗證),並針對 PoS 終端機設定使用機器憑證(透過 MDM 部署)的 EAP-TLS

步驟 3:設定 RADIUS 伺服器以傳回動態 VLAN 分配屬性。員工平板電腦被分配到員工 VLAN;PoS 終端機被分配到嚴格隔離的 PCI VLAN,其 ACL 僅允許往返於付款處理商 IP 範圍的流量。

步驟 4:保持顧客 SSID 不變。它仍然保持開放(或使用公開已知 PSK 的 WPA2-Personal),但被對應到一個獨立的 VLAN,該 VLAN 直接路由到 Purple 顧客 WiFi Captive Portal。顧客流量絕不會接觸到 PCI VLAN。

步驟 5:在所有 AP 上啟用 RADIUS 記帳功能以產生每位使用者的驗證記錄,從而滿足 PCI DSS 稽核軌跡要求。

考官評語: 此架構直接解決了這兩項 PCI DSS 的不合規問題。改用 802.1X 可透過提供個人責任歸屬來滿足「要求 8」——每位員工使用自己的 AD 憑證進行驗證,且每台 PoS 終端機使用唯一的機器憑證進行驗證。動態 VLAN 分配則透過確保 PoS 流量在網路層進行隔離來滿足「要求 1」。從終端使用者的角度來看,顧客 WiFi 在營運上保持不變,但現在已被正式記錄為一個獨立、分段的網路——這也滿足了 PCI DSS 關於將持卡人資料環境與公共網路隔離的要求。

某大學校園正遭受憑證竊取攻擊。學生正連接到廣播官方「CampusNet」SSID 的惡意存取點(Rogue AP)。該網路使用帶有 PEAP-MSCHAPv2 的 WPA2-Enterprise,但學生的裝置並未設定為驗證 RADIUS 伺服器憑證。其攻擊媒介是什麼?網路團隊應如何進行補救?

此攻擊屬於「邪惡雙生仔」(Evil Twin)攻擊。攻擊者部署了一個廣播「CampusNet」且訊號強度更高的惡意 AP。學生的裝置被設定為信任任何提供 PEAP 挑戰的伺服器,因此會連接到該惡意 AP 並完成 PEAP 握手,將其雜湊後的 AD 憑證傳送到攻擊者的伺服器。

補救步驟 1:識別核發 RADIUS 伺服器 TLS 憑證的根憑證授權單位 (Root CA)。如果使用內部 CA,請確保將此 CA 憑證發送到所有學生和員工的裝置。

補救步驟 2:建立無線網路設定檔(針對學校管理的裝置透過 MDM 部署,或針對 BYOD 提供可下載的設定檔),其中指定:(a) 要進行驗證的確切 RADIUS 伺服器主機名稱,(b) 受信任的根 CA,以及 (c) 將「驗證伺服器憑證」旗標設為 true。

補救步驟 3:在無線 LAN 控制器上部署惡意 AP 偵測。針對任何廣播「CampusNet」且不在授權 AP 清單中的 AP 設定警報。

補救步驟 4:針對 BYOD 裝置,考慮部署引導上網工具(例如 Cloudpath 或 Cisco ISE 的 BYOD 入口網站)以自動化用戶端(Supplicant)設定,減輕終端使用者的負擔。

考官評語: 當停用用戶端憑證驗證時,PEAP 從根本上容易受到憑證竊取攻擊。PEAP 通道可以保護內部憑證免受被動監聽,但它無法阻止主動攻擊者在惡意伺服器上終止 TLS 通道。強制執行伺服器憑證驗證意味著用戶端在傳送憑證之前會先驗證 RADIUS 伺服器的身分——惡意 AP 無法為合法的 RADIUS 伺服器主機名稱提供有效的憑證,因此連線會被拒絕。這是任何執行 PEAP 的組織所能採用的最有效且影響最深遠的設定變更。

練習題

Q1. 您的組織正在將 50 個辦公據點從 WPA2-Personal 遷移到 WPA2-Enterprise。在試行測試期間,使用者回報他們的 Windows 筆記型電腦顯示一個提示,要求他們在輸入使用者名稱和密碼之前「接受憑證」。幾位使用者點擊「拒絕」後便無法連線。導致此行為的原因為何?在全面部署之前應如何解決此問題?

提示:考慮 supplicant 在 PEAP 驗證中的角色,以及它在傳輸憑證之前如何驗證 RADIUS 伺服器的身分。

查看標準答案

Windows supplicant 正在執行伺服器憑證驗證,這是 PEAP TLS 握手程序的一部分。由於 RADIUS 伺服器的憑證是由內部 CA 核發的,而該 CA 不在裝置的受信任根憑證授權單位清單中,因此 Windows 會提示使用者手動接受它。依賴使用者接受憑證不僅使用者體驗不佳,也存在安全風險——在任何憑證上點擊「接受」的使用者同樣容易受到 Evil Twin 攻擊。正確的解決方案是使用群組原則 (GPO) 將內部根 CA 憑證發佈到所有企業裝置,並預先設定 Windows 無線設定檔以自動信任該憑證並驗證 RADIUS 伺服器主機名稱。這可以完全消除提示,並在無需使用者介入的情況下強制執行憑證驗證。

Q2. 一家醫院的 IT 主管需要將 IoT 醫療設備(輸液幫浦、病患監控系統)連線到無線網路。這些設備執行嵌入式韌體,不具備 802.1X supplicant 功能,且只能使用靜態預共用金鑰 (PSK) 進行連線。網路架構師應如何在不妥協整體安全防護的情況下處理這些設備?

提示:思考網路分割、VLAN 隔離,以及與 MAC 驗證繞過 (MAB) 作為 802.1X 替代方案相關的風險。

查看標準答案

由於這些設備無法執行 802.1X,架構師有兩個選擇:在專用 SSID 上使用 WPA2-Personal (PSK),或在企業 SSID 上使用 MAC 驗證繞過 (MAB)。基於可審計性,MAB 通常是較佳的選擇,但存在偽造風險。無論選擇哪種驗證方法,關鍵的控制措施都是網路分割。這些設備必須放置在專用且隔離的 VLAN 上,並設定嚴格的 ACL,僅允許所需的特定流量傳輸——例如,在特定連接埠上與臨床管理伺服器進行通訊,並阻擋所有其他流量。該 SSID 或 MAB VLAN 絕不能有通往企業網路、PoS 環境或網際網路的路由路徑。此外,PSK(如果使用)應定期輪替並集中管理。應透過 MAC 位址對設備進行資產盤點,任何企圖加入醫療設備 VLAN 的未知 MAC 都應觸發警報。

Q3. 一位體育場的 CIO 正在評估 Passpoint (Hotspot 2.0),以改善容納 60,000 人場館的球迷 WiFi 登入體驗。該 CIO 問道:「Passpoint 是取代了 WPA2 和 802.1X,還是使用它們?」您會如何回應?在此規模下部署的關鍵營運考量有哪些?

提示:考慮 Passpoint 實際自動化的內容與其取代的內容,以及高密度場館對 RADIUS 容量的需求。

查看標準答案

Passpoint 並未取代 WPA2 或 802.1X——它是將它們自動化和抽象化。Passpoint 是建立在 WPA2-Enterprise(或 WPA3-Enterprise)和 802.1X 之上的佈署與探索層。它使用 802.1X 進行驗證(通常透過來自行動電信業者或忠誠度 App 身分識別提供者的憑證),並使用 WPA2/WPA3 來加密產生的工作階段。從球迷的角度來看,他們的裝置會自動連線,無需任何手動設定。從網路的角度來看,每次連線都是一次完整的 802.1X 交換。在 60,000 人容量下的關鍵營運考量為:(1) RADIUS 基礎架構的規模必須足以處理同時發生的驗證風暴——特別是在開賽時,成千上萬的裝置會同時嘗試連線;(2) RADIUS 伺服器應部署負載平衡和地理備援;(3) 身分識別提供者(例如 OpenRoaming 架構下的 Purple)必須具備足夠的吞吐量協議;以及 (4) 無線控制器必須支援快速 BSS 轉換 (802.11r),以在球迷於場館內移動時,將重新驗證的開銷降至最低。

WPA2 vs. 802.1X:有何不同? | 技術指南 | Purple