強制伺服器憑證驗證
用戶端在傳送認證資訊前,必須先驗證 RADIUS 伺服器的憑證。這能杜絕困擾配置錯誤之 WPA2-Enterprise 部署的雙面人(evil-twin)攻擊。
在您現有的存取點上部署具備 802.1X 的 WPA2-Enterprise 或 WPA3-Enterprise。每位使用者皆透過您的身分識別提供者進行驗證,每台裝置皆可獲得專屬的工作階段金鑰,且只需一鍵即可撤銷單一裝置的存取權限。Purple 將 RADIUS 和憑證基礎架構作為雲端服務營運,您可繼續保留現有的硬體。
WPA 標準有兩種模式。WPA-Personal (WPA2-PSK, WPA3-SAE) 使用單一密碼,供所有加入該 SSID 的使用者共用。這適用於家庭環境。WPA-Enterprise 則透過 802.1X 針對 RADIUS 伺服器單獨驗證每位使用者或每台裝置。對於重視撤銷、稽核或合規性的任何場所,此模式皆為必備。
| WPA-個人 (PSK / SAE) | WPA-企業 (802.1X) | |
|---|---|---|
| 認證資訊 | 共用密碼 | 每位使用者專屬的憑證、密碼或 iPSK |
| 基礎架構 | 僅需存取點 | 存取點 + RADIUS 伺服器 (或 RADIUS-as-a-Service) |
| 撤銷 | 輪替整個網路的密碼 | 在 IdP 中停用單一使用者 |
| 稽核軌跡 | 無 - 所有裝置看起來完全相同 | 每位使用者專屬的工作階段記錄 |
| 適用對象 | 家庭、微型單一信任場所 | 辦公室、飯店、校園、體育場,以及任何受監管的場所 |
WPA3 不僅僅是升級版的 WPA2。以下四項變更對企業部署至關重要。
用戶端在傳送認證資訊前,必須先驗證 RADIUS 伺服器的憑證。這能杜絕困擾配置錯誤之 WPA2-Enterprise 部署的雙面人(evil-twin)攻擊。
取消驗證與取消關聯訊框皆經過密碼學簽章,因此攻擊者無法再透過偽造的訊框將用戶端踢出網路。
適用於政府、國防和關鍵基礎設施的選用高安全性模式。全程採用 Suite B 密碼學 - 包含金鑰交換、加密和 MAC。
WPA3-Enterprise 可以在與 WPA2 相同的 SSID 上以過渡模式執行,因此您不需要進行強制切換。較新的用戶端會協商使用 WPA3;較舊的用戶端則會降級使用 WPA2-Enterprise。
三個角色,一次交握。無論您使用 EAP-TLS、PEAP 還是 EAP-TTLS,其步驟順序皆相同。
Access-Accept 並附帶 VLAN 和原則;AP 開啟受控連接埠以連接至正確的網路區段。Purple 以雲端服務形式運作 RADIUS 和(選配)憑證授權單位。您可保留現有的存取點。
WPA-Enterprise 是專為組織設計的 IEEE 802.11 安全模式。與單一共享密碼 (WPA-Personal) 不同,每個使用者或裝置都會透過 802.1X 向 RADIUS 伺服器進行個別驗證,通常使用憑證 (EAP-TLS) 或使用者名稱與密碼 (PEAP)。每個工作階段都會獲得唯一的加密金鑰,且可在不干擾網路其他部分的狀況下,針對個別裝置撤銷存取權限。
WPA3-Enterprise 修正了 WPA2-Enterprise 中已知的弱點。最重要的變更包括:現在強制進行伺服器憑證驗證(封堵了困擾 WPA2 的邪惡雙生仔攻擊管道)、管理訊框受到保護,且選配的 192 位元 Suite B 模式提供了國防級的密碼學保護。WPA3-Enterprise 在過渡模式下與 WPA2-Enterprise 向後相容,因此您可以逐步升級。
其中涉及三個對象。請求端(用戶端裝置)要求加入。驗證器(存取點)將用戶端保持在隔離狀態,並將其 EAP 訊息轉發給驗證伺服器 (RADIUS)。RADIUS 伺服器驗證憑證(憑證、密碼或權杖),並指示存取點允許或拒絕。每個成功的工作階段都會獲得一個衍生自該驗證的唯一加密金鑰,因此單一受駭裝置無法解密其他裝置的資料。
EAP-TLS 使用具有雙向憑證驗證的 TLS 握手。用戶端使用裝置憑證證明其身分,伺服器使用伺服器憑證證明其身分,且工作階段金鑰是在加密通道內進行交涉。沒有密碼可被網路釣魚或竊取 - 您必須從裝置本身擷取私鑰。對於使用 MDM 的託管裝置,EAP-TLS 是最合適的預設選擇。
2020 年以後推出的大多數企業級存取點都在韌體中支援 WPA3-Enterprise。您通常會在 SSID 上啟用 WPA3-Enterprise,並在過渡期間保留 WPA2 作為備用方案。較舊的 AP 可能僅支援 WPA2-Enterprise - 當這些 AP 與雲端 RADIUS 和 EAP-TLS 搭配使用時仍然安全,因此極少需要進行全面汰換升級。
是的 - WPA-Enterprise 是圍繞外部驗證伺服器定義的,在實務上即指 RADIUS。您可以於內部部署運行(FreeRADIUS、Microsoft NPS、Cisco ISE),或以服務形式採用。Purple RADIUS-as-a-Service 是大多數不想自行營運伺服器的客戶所選擇的雲端託管方案。
是的,只要部署得當。針對 WPA2-Enterprise 的已知攻擊,都需要用戶端設定錯誤(未進行伺服器憑證驗證,而這正是 WPA3 強制要求的),或者需要實體接觸裝置。透過 MDM 強制執行伺服器憑證驗證並使用 EAP-TLS,可消除實際風險。雖然未來仍首選 WPA3-Enterprise,但沒有必要恐慌性地遷移目前正常運作的 WPA2-Enterprise 部署。
有兩個不錯的選擇。第一,iPSK (Identity PSK) 在單一 SSID 上為每台裝置提供唯一的預先共用金鑰 - 具備 WPA-Personal 的使用者體驗,以及 WPA-Enterprise 的單一裝置撤銷功能。第二,MAC 驗證旁路 (MAB) 允許已知的良好 MAC 位址進入受限的 VLAN。Purple 在同一網路上同時支援這兩者以及 WPA2/3-Enterprise。
是的,您不需要運行自己的 RADIUS 伺服器。根據定義,WPA2-Enterprise 需要 RADIUS 驗證伺服器,但透過 Purple RADIUS-as-a-Service,該伺服器託管於雲端:您只需將無線基地台指向 Purple,而無需架設 FreeRADIUS、Microsoft NPS 或 Cisco ISE。您仍然可以針對 Entra ID、Okta 或 Google Workspace 獲得支援 EAP-TLS 或 PEAP 的完整 802.1X 驗證,且無需安裝、修補或維護任何本地端驗證硬體的高可用性。
Last reviewed:
See how wpa 企業級 works in venues like yours, and how Purple compares to alternatives.