什么是 802.1X？它是如何工作的？

什么是IEEE 802.1X？

设备尝试连接到局域网（LAN）或无线局域网（WLAN）时需要身份验证机制。IEEE 802.1X，作为端口基础网络访问控制（PNAC）的IEEE标准，为安全的网络访问提供了受保护的认证。

802.1X网络与普通网络有一个显著的不同之处：它拥有一个名为RADIUS服务器的认证服务器。该服务器会核查用户的凭据，确认其是否是组织中的活跃成员，并根据网络策略，为用户授予不同层次的网络访问权限。这种做法允许每个用户使用独特的凭据或证书，摆脱对容易被窃取的单一网络密码的依赖。

• 802.1X是一种认证协议，通过使用RADIUS服务器来允许访问网络。
• 802.1X和基于RADIUS的安全机制被视为确保无线和有线网络安全的黄金标准。

802.1X是如何工作的？

802.1X是一种网络认证协议，当组织对用户进行身份验证并授权其访问网络时，会打开端口以便网络访问。用户的身份是基于其凭据或证书确定的，这由RADIUS服务器进行确认。RADIUS服务器通过与组织的目录进行通信来实现这一点，通常使用LDAP或SAML协议。

• 802.1X在身份验证后向设备提供对网络受保护侧的访问权限。
• 802.1X提供了几种不同的身份验证方式，例如用户名/密码、证书、一次性密码（OTP）等。

802.1X EAP安全是什么？

在加密网络上使用的标准认证协议是可扩展认证协议（EAP），它提供了一种安全的方式，在网络认证中传输身份识别信息。802.1X是用于在有线和无线局域网（LAN）上传递EAP的标准。它提供了加密的EAP隧道，防止外部用户截取信息。

EAP协议可配置用于凭据（EAP-TTLS/PAP和PEAP-MSCHAPv2）和数字证书（EAP-TLS）认证，并且是一种高度安全的方法，用于保护认证过程。

• EAP是将用户的识别信息从客户端传输到服务器的隧道。
• EAP隧道通常使用用户名/密码或证书。
• 并非所有的EAP隧道都是相同的，使用用户名/密码更容易进行中间人攻击。

802.1X用在哪里？

802.1X用于安全网络认证。如果您是处理有价值和敏感信息的组织，您需要一种安全的数据传输方法。802.1X被用于设备与接入点（企业级路由器）之间的安全通信。过去，它主要被大型企业、大学和医院等机构所使用，但由于网络安全威胁不断增加，它迅速被小型企业所采用。

802.1X通常被称为WPA2-Enterprise。相比之下，家庭常用的预共享密钥网络安全通常被称为WPA2-Personal。WPA2-Personal对于处理敏感信息的任何组织来说都不足够，可能会让组织面临严重的网络犯罪风险。

• 通过旋转密钥安全性，避免使用开放/未加密或静态密钥（PSK）连接，用于保护有线和无线网络的连接。
• 在企业和校园环境中使用802.1X，当用户进入或离开组织时，授权或取消其网络访问权限。

IEEE 802.1X和Wi-Fi是否相同？

差不多。IEEE 802.1X标准最初是设计用于有线以太网网络。Wi-Fi是一个注册商标，特指IEEE 802.11x标准 - 对原始标准的修改版本。

话虽如此，大多数安全和网络专业人士在使用WPA2-Enterprise安全性时，都会将术语802.1X用于有线和无线网络。

什么是有线802.1X？

对于有线网络连接进行802.1X认证与无线网络类似。有线网络用户必须从其设备连接到安全网络，并提供签名证书或有效凭据以进行身份验证。

主要区别在于，您的设备必须通过以太网连接，并与支持802.1X的交换机进行认证，而不是与无线交换机建立安全连接。设备和RADIUS服务器通过有线连接建立信任，如果识别用户，则其将获得授权以进行安全网络访问。

802.1X的安全性有多高？

当正确使用802.1X时，它是网络认证安全的黄金标准。它可以防止空中凭据窃取攻击，如中间人攻击和恶意双子代理。它比通常用于个人网络的预共享密钥网络要安全得多。

然而，802.1X的安全性取决于两个因素。第一个变量是最终用户是否被要求手动配置其设备。配置过程需要高级IT知识来理解，如果有任何步骤出错，用户将容易受到凭据窃取的威胁。我们强烈建议使用专用的802.1X入网软件。

第二个变量取决于组织是否使用基于凭据或基于证书的身份验证。基于证书的EAP-TLS显著降低了组织面临凭据窃取的风险，是使用802.1X最安全的方式。它不仅停止了凭据在空中传输从而容易被窃取，还强制用户经历注册/入网流程，以确保其设备配置正确。

• 是网络认证中最安全的协议之一，胜过WPA2/3-PSK和开放/未加密连接。
• 需要精确的配置，用户的错误会导致安全威胁。
• 使用数字证书而不是基于用户名/密码的802.1X可以减轻安全问题。

802.1X是加密的吗？

是的，802.1X是加密的。802.1X WPA通常用于个人网络，比如家庭Wi-Fi，使用基于RC4的TKIP（Temporal Key Integrity Protocol）加密。它比WPA2安全性较低，但通常对于家庭使用已经足够。

802.1X WPA2可以使用TKIP，但通常选择AES（高级加密标准），这是目前最安全的标准。但是设置稍微复杂且成本较高，因此主要用于企业等更高风险的环境。

802.1X的组成

要让802.1X工作，只需要一些基本组件。实际上，如果你已经有了接入点和一些空闲的服务器空间，你就拥有了实现安全无线连接所需的所有硬件。有时甚至不需要服务器；一些接入点配备了内置软件，可以运行802.1X（尽管只适用于非常小型的部署）。

无论你是购买专业解决方案还是从开源工具构建自己的解决方案，802.1X的质量和易用性完全取决于设计。

• 802.1X仅包括四个主要组件：客户端、接入点/交换机、RADIUS服务器和身份提供者。

客户端/Supplicant

设备要参与802.1X身份验证，必须在网络堆栈中安装一个称为Supplicant的软件。Supplicant是必需的，因为它将参与与交换机或控制器的EAP交易的初始协商，并以符合802.1X标准的方式打包用户的凭据。如果客户端没有Supplicant，来自交换机或控制器的EAP帧将被忽略，交换机将无法进行身份验证。

幸运的是，几乎所有我们期望连接到无线网络的设备都有内置的Supplicant。SecureW2为那些没有本地支持的设备提供802.1X的Supplicant。

值得庆幸的是，绝大多数设备制造商都内置了对802.1X的支持。最常见的例外可能是消费类设备，比如游戏控制台、娱乐设备或一些打印机。一般来说，这些设备应该占据您网络设备的不到10%，最好将其视为特例，而不是关注的重点。

• 设备上的软件包含配置和连接数据（证书/凭据），发送到接入点/交换机。
• 如果使用用户名/密码身份验证，设备需要精确设置以避免凭证盗窃。考虑配置软件或切换到基于证书的身份验证。
• 过去10-15年中的大多数操作系统都支持802.1X，物联网的支持不足但正在迎头赶上。

交换机/接入点/控制器

交换机或无线控制器在802.1X交易中扮演重要角色，充当交易中的“经纪人”。在成功身份验证之前，客户端没有网络连接，仅在802.1X交换中与交换机通信。

当客户端连接到网络时，交换机/控制器通过向客户端发送EAPOL-Start包启动交换。根据无线安全设置中的配置，将客户端的响应转发到正确的RADIUS服务器。身份验证完成后，交换机/控制器根据用户状态和可能包含在RADIUS服务器发送的Access_Accept数据包中的属性，决定是否授权设备进行网络访问。

如果RADIUS服务器作为身份验证的结果发送了一个Access_Accept数据包，它可能包含一些属性，为交换机提供有关如何将设备连接到网络的信息。常见属性将指定要分配给用户的VLAN，或可能是用户连接后应给予的一组ACL（访问控制列表）。这通常称为“基于用户策略分配”，因为RADIUS服务器是基于用户凭据做出决策。常见用例包括将访客用户推送到“访客VLAN”和将员工推送到“员工VLAN”。

• 这些设备促进设备与RADIUS服务器之间的通信。
• 接入点/交换机是您配置网络使用802.1X而不是开放/未加密或WPA2/3-PSK的地方。
• 当RADIUS服务器返回精确的访问控制策略时，充当执行点。

RADIUS服务器

RADIUS服务器充当网络的“安全守卫”；当用户连接到网络时，RADIUS对其身份进行验证并授权其使用网络。用户在从PKI（私钥基础设施）获取证书或确认其凭据后，就获得了网络访问授权。每次用户连接时，RADIUS都会确认其是否具有正确的证书或凭据，并阻止任何未经批准的用户访问网络。

使用RADIUS时应采用的一个关键安全机制是服务器证书验证。这确保用户只连接到其意图连接的网络，方法是配置其设备通过检查服务器证书来确认RADIUS的身份。如果证书不是设备寻找的证书，它将不会发送用于身份验证的证书或凭据。这可以防止用户成为伪装的代理攻击的受害者。

RADIUS服务器还可用于验证来自不同组织的用户。诸如Eduroam之类的解决方案使用RADIUS服务器作为代理（如RADSEC）。如果学生访问邻近的大学，RADIUS服务器可以验证他们在其所在大学的状态，并为他们在当前访问的大学提供安全网络访问。

• RADIUS服务器是请求访问网络受保护一侧的设备的决策点。
• RADIUS服务器与身份提供者交互，进行身份验证、授权和连接报告。

为什么802.1X需要RADIUS服务器？

802.1X需要RADIUS服务器，因为需要有专门的服务器来验证凭据。802.1X的身份验证实际上发生在RADIUS服务器上。服务器检查授权用户目录，以确认客户端是否有权限访问网络，并将该信息传递回控制器/接入点。没有RADIUS服务器，身份验证将不得不在接入点进行（这将需要一些非常强大的接入点），比如在PSK（预共享密钥）身份验证的情况下。

身份存储/目录

身份存储指存储用户名和密码的实体。在大多数情况下，这是Active Directory或潜在的LDAP服务器。几乎任何RADIUS服务器都可以连接到您的AD或LDAP以验证用户。使用LDAP时有一些注意事项，特别是关于LDAP服务器中密码的哈希方式。如果您的密码不是以明文或NTLM哈希方式存储，您将需要仔细选择EAP方法，因为某些方法可能不兼容，比如EAP-PEAP。这不是由RADIUS服务器引起的问题，而是由密码哈希引起的。

建立强大的WPA2-企业级网络需要额外的任务，比如设置PKI或CA（证书颁发机构），并将证书无缝分发给用户。与您可能想的相反，您可以进行这些升级而无需购买新的硬件或对基础设施进行更改。例如，推出访客访问或更改身份验证方法可以在不增加基础设施的情况下完成。

最近，许多机构已经开始将EAP方法从PEAP更改为EAP-TLS，在提高连接时间和漫游能力方面看到了明显的改进。提高无线网络功能性可以在不更改任何硬件的情况下实现。

• 802.1X传统上需要一个目录（本地或云端），以便RADIUS能够识别每个用户及其被允许的访问级别。
• 目录使用用户名/密码，这使其容易受到重大安全问题的影响。
• 较新的云身份提供者（如Azure AD、Okta、Google）可以与新一代RADIUS交互，进行无密码身份授权。

802.1X认证是如何工作的？

802.1X认证过程包括四个步骤：初始化、发起、协商和认证。

1. 初始化
   初始化步骤开始于认证器检测到新设备并尝试建立连接。认证器端口被设置为“未授权”状态，意味着只接受802.1X流量，而其他连接将被丢弃。
2. 发起
   认证器开始向新设备发送EAP请求，随后设备向认证器发送EAP响应。响应通常包含一种识别新设备的方式。认证器接收到EAP响应并将其传递给认证服务器，以RADIUS接入请求数据包的形式。
3. 协商
   认证服务器收到请求数据包后，将会用包含设备批准的EAP认证方法的RADIUS接入挑战数据包进行响应。认证器随后将挑战数据包传递给待认证的设备。
4. 认证
   一旦设备配置了EAP方法，认证服务器将开始发送配置文件，以便对设备进行认证。完成该过程后，端口将被设置为“已授权”，设备也将被配置到802.1X网络中。

• 通常，802.1X认证始于客户端请求访问，RADIUS服务器对用户进行验证，并允许访问点/交换机进行访问。
• 通过证书进行802.1X认证效果最佳，因为它会考虑用户和设备上下文，以防止空中凭证被盗取。

RADIUS计费

802.1X RADIUS计费涉及记录认证到802.1X网络的设备信息和会话持续时间。设备信息通常是MAC地址和端口号，在会话开始时会发送到计费服务器。服务器将收到一个信号，表示会话结束。

虽然这不是802.1X认证过程的一部分，但我们经常接到有关计费的问题，因为RADIUS服务器通常被称为AAA（认证、授权、计费）服务器。

虚拟局域网（VLAN）

VLAN（虚拟局域网）是一种配置网络的方法，模拟具有所有管理和安全优势的局域网。

基本上，VLAN将网络分割成段，以组织网络上的安全规则。例如，通常会将开放/访客网络放置在与安全网络不同的VLAN中。这有助于确保一个VLAN上的设备和网络资源不会受到另一个VLAN发生故障的影响。

数字证书使VLAN分配变得轻而易举，因为可以将属性编码到RADIUS用于认证的证书中。您可以设置策略，使具有“it.company.com”电子邮件域的任何人自动分配到与“sales.company.com”不同的VLAN段。

MAC地址认证

MAC地址认证是一种简单的安全措施，您可以创建一个批准的MAC地址列表，允许这些地址访问网络。

不幸的是，伪造MAC地址并不困难，因此在企业级别很少部署MAC地址认证。

MAC RADIUS

MAC RADIUS是MAC地址认证的一种形式。与使用凭据或证书授权设备不同，RADIUS确认MAC地址并进行认证。

MAC Bypass

MAC Bypass的主要用途是将不支持802.1X的设备（如游戏控制台、打印机等）连接到您的网络。但是它仍然容易受到攻击，因此应该在一个单独的VLAN中。

如何在设备上配置 802.1X?

Windows

在Windows操作系统设备上配置802.1X有两种方法：手动配置或使用设备入网软件。

手动配置Windows设备需要用户设置新的无线网络，输入网络名称，设置安全类型，调整网络设置，设置认证方法等等步骤。虽然完全有可能准确完成此过程，但它比为效率而设计的入网软件要复杂得多。

使用SecureW2配置Windows操作系统的过程需要用户连接入网SSID并打开网络浏览器。用户将被引导至SecureW2的JoinNow入网软件。点击JoinNow后，一个图形将显示配置进度。然后用户将被提示输入其凭据，设备将经过身份验证并配备证书。

macOS

对于macOS，可以手动配置或使用入网软件设置802.1X。

要手动配置macOS，最终用户需要知道如何创建企业配置文件，安装客户端安全证书，验证证书并调整网络设置。对于具有IT背景的人来说，这个过程并不太困难，但对于普通网络用户来说由于每个步骤涉及高级技术信息而具有一定的风险。

下载SecureW2的JoinNow Suite适用于macOS的软件可以实现自动化，这样最终用户就无需完成整个过程。设置与Windows操作系统类似；最终用户首先连接到入网SSID，然后打开浏览器。下载.DMG文件并输入其凭据后，配置过程就开始了。整个配置和认证过程只需要几个步骤，让最终用户可以轻松等待设备配置完成。

Android

您可以通过两种方式在Android上配置802.1X：通过Wi-Fi设置手动配置或使用设备入网软件。

通过Wi-Fi设置手动配置需要您创建一个网络配置文件，配置服务器证书验证（需要上传RADIUS服务器使用的CA和公共名称），并配置认证方法。如果使用设备入网软件，所有这些步骤都将由可以从Play Store下载的应用程序完成，该应用程序将为您配置组织的网络设置。

iOS

配置iPhone的802.1X身份验证要么需要手动配置设备，要么使用入网软件。

手动配置意味着您需要在Wi-Fi设置中创建一个网络配置文件，并配置服务器证书验证和认证方法。通过入网软件处理此流程要简单得多，因为SecureW2可以向iPhone设备推送一个移动配置文件并自动配置网络设置。

Linux

与其他操作系统一样，在Linux上配置802.1X有两种方法。

手动配置相对简单。打开Network Manager，选择“编辑连接”，找到您的接入点并点击“编辑”。会弹出一个新窗口，选择名为802.1X设置的选项卡并输入您网络的信息。

对于单个设备，这是一个直截了当的过程。如果您需要为多台设备（和用户）进行入网，您需要SecureW2的自动设备入网软件。单击此处了解更多信息。

• 802.1X设置可以包括SSID、EAP类型、认证协议、证书/服务器证书验证，信任真实的RADIUS服务器。
• 通过入网软件自动配置、MDM或手动配置是可选的。
• 对于不受管控/个人拥有的设备，入网软件可以降低安全风险。

802.1X vs WPA2-Enterprise

802.1X是用于加密和验证试图连接有线或无线网络的用户的IEEE标准框架。WPA-Enterprise使用TKIP和RC4加密，而WPA2-Enterprise则采用AES加密。

802.1X的漏洞
没有安全协议是无懈可击的，802.1X也不例外。

无线802.1X的最常见配置是WPA-PSK（预共享密钥，也称为WPA个人）和WPA或WPA2企业级。

PSK是最简单和最脆弱的。密码配置在接入点上，并分发给网络用户。它适用于个人使用，主要用于家庭。它很容易受到常规暴力攻击的破解，并且也容易受到其他常见攻击的影响。

企业级无线网络通常不会受到暴力攻击的威胁，因为网络管理员会要求使用复杂密码和重置策略。特定的漏洞因企业网络使用的认证标准而异。

PEAP MSCHAPv2曾经是WPA2-Enterprise网络的行业标准，但已经被破解。尽管存在固有的对空中攻击的漏洞，仍然有许多组织在使用此标准。

EAP-TTLS/PAP是另一种常见的标准，也非常容易受到空中攻击的威胁。它特别脆弱，因为凭据以明文形式发送，因此黑客可以轻松拦截和窃取。加剧问题的是云RADIUS服务器的日益流行。其中许多只支持EAP-TTLS/PAP，因此最终用户被迫通过互联网以明文形式发送他们的凭据。

最强大的WPA2-Enterprise标准是EAP-TLS。它依赖数字证书的非对称加密进行身份验证，使其免受空中攻击的威胁。即使黑客拦截了流量，他们也只能获取到公私钥对的一半，而这一半是没有用的，没有另一半是无效的。

• 将802.1X配置留给最终用户会增加错误配置和安全妥协的风险。
• 正确的RADIUS服务器非常重要，但在802.1X中不是强制性的，因此请始终确保启用证书验证。
• 基于凭据的EAP方法（如PEAP-MSCHAPv2或EAP/TTLS-PAP）存在漏洞，建议切换到基于证书的EAP-TLS——像微软这样的行业巨头也推荐使用证书。