技術(shù)干貨 | 探索802.1X：構(gòu)筑安全網(wǎng)絡(luò)的認(rèn)證之盾

在現(xiàn)代網(wǎng)絡(luò)安全的世界里，有一個(gè)極其重要但又常常被忽視的角色，它就是802.1x認(rèn)證協(xié)議。這個(gè)協(xié)議可以被稱(chēng)作網(wǎng)絡(luò)安全的守護(hù)者，為我們提供了強(qiáng)有力的防護(hù)。

今天，我們就來(lái)深入探討一下802.1x的原理、應(yīng)用和測(cè)試，看看它是如何在幕后悄悄保護(hù)我們的網(wǎng)絡(luò)的。

01什么是802.1x？

首先，讓我們了解一下什么是802.1x。802.1x是一個(gè)基于端口的網(wǎng)絡(luò)訪問(wèn)控制機(jī)制，由IEEE（電氣電子工程師學(xué)會(huì)）開(kāi)發(fā)，屬于IEEE802.1標(biāo)準(zhǔn)家族。它的主要作用是通過(guò)認(rèn)證管理用戶(hù)和設(shè)備對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán)限。

更通俗地說(shuō)，802.1x就像是網(wǎng)絡(luò)的門(mén)衛(wèi)，負(fù)責(zé)檢查每一個(gè)試圖進(jìn)入網(wǎng)絡(luò)的設(shè)備或用戶(hù)的身份，只有通過(guò)認(rèn)證的合法用戶(hù)才能進(jìn)入。這不僅可以防止未授權(quán)的設(shè)備接入，還可以確保網(wǎng)絡(luò)的安全和穩(wěn)定。

02它是如何工作的呢？

802.1x協(xié)議的工作原理可以分解為以下幾個(gè)關(guān)鍵部分：請(qǐng)求者（Supplicant）、認(rèn)證者（Authenticator）和認(rèn)證服務(wù)器（Authentication Server）。

1、請(qǐng)求者（Supplicant）：這是試圖連接到網(wǎng)絡(luò)的終端設(shè)備，比如你的電腦、手機(jī)等。請(qǐng)求者會(huì)主動(dòng)發(fā)起認(rèn)證請(qǐng)求，希望通過(guò)網(wǎng)絡(luò)安全檢查。

2、認(rèn)證者（Authenticator）：這是網(wǎng)絡(luò)中負(fù)責(zé)傳遞認(rèn)證請(qǐng)求的設(shè)備，比如交換機(jī)或無(wú)線接入點(diǎn)（AP）。認(rèn)證者負(fù)責(zé)在請(qǐng)求者和認(rèn)證服務(wù)器之間建立聯(lián)系，但不會(huì)做出最終認(rèn)證決策。

3、認(rèn)證服務(wù)器（Authentication Server）：通常是RADIUS服務(wù)器，負(fù)責(zé)驗(yàn)證請(qǐng)求者的身份信息，并決定是否允許請(qǐng)求者訪問(wèn)網(wǎng)絡(luò)。認(rèn)證服務(wù)器會(huì)處理包括用戶(hù)名、密碼、證書(shū)等在內(nèi)的所有認(rèn)證數(shù)據(jù)。

認(rèn)證過(guò)程

典型的802.1x認(rèn)證流程如下：

1、發(fā)起連接：請(qǐng)求者連接到認(rèn)證者（如交換機(jī)或AP），并發(fā)送一個(gè)“EAP-Request/Identity”消息要求進(jìn)行身份認(rèn)證。（IEEE 802.1X認(rèn)證系統(tǒng)通過(guò)EAP協(xié)議在客戶(hù)端和認(rèn)證服務(wù)器之間交換認(rèn)證信息,在客戶(hù)端PAE與設(shè)備端PAE之間，EAP協(xié)議報(bào)文使用EAPOL封裝格式(EAP over LAN)）

2、身份提供：請(qǐng)求者響應(yīng)并提供身份信息（例如用戶(hù)名）。

3、身份驗(yàn)證：認(rèn)證者將請(qǐng)求者的身份信息傳遞給認(rèn)證服務(wù)器，等待服務(wù)器的進(jìn)一步驗(yàn)證請(qǐng)求。（認(rèn)證服務(wù)器是為設(shè)備端提供認(rèn)證服務(wù)的實(shí)體，用于實(shí)現(xiàn)用戶(hù)的認(rèn)證、授權(quán)和計(jì)費(fèi)，建議使用RADIUS服務(wù)器。）

4、憑證驗(yàn)證：認(rèn)證服務(wù)器可能會(huì)要求請(qǐng)求者提供更多信息（例如密碼或證書(shū)，在設(shè)備端PAE與RADIUS服務(wù)器之間，EAP協(xié)議報(bào)文可以使用EAPOR封裝格式（EAP over RSDIUS），或設(shè)備端PAE進(jìn)行轉(zhuǎn)換，傳送PAP或CHAP協(xié)議報(bào)文）。

5、認(rèn)證結(jié)果：認(rèn)證服務(wù)器驗(yàn)證憑證后，向認(rèn)證者發(fā)送“EAP-Success”或“EAP-Failure”消息。

6、訪問(wèn)控制：如果認(rèn)證成功，認(rèn)證者允許請(qǐng)求者訪問(wèn)網(wǎng)絡(luò)；若失敗，則拒絕訪問(wèn)。

03它的類(lèi)型有哪些呢？

802.1x支持多種認(rèn)證方法，主要包括以下幾種：

1、基于用戶(hù)名和密碼（EAP-MD5）：

優(yōu)點(diǎn)：實(shí)現(xiàn)簡(jiǎn)單，適用于基本的身份驗(yàn)證。

缺點(diǎn)：安全性較低，容易受到中間人攻擊和離線密碼破解。

2、基于證書(shū)（EAP-TLS）：

優(yōu)點(diǎn)：安全性高，因?yàn)槭褂脭?shù)字證書(shū)進(jìn)行雙向驗(yàn)證，幾乎不可偽造。

缺點(diǎn)：實(shí)施復(fù)雜，需要基礎(chǔ)設(shè)施支持，例如PKI（公鑰基礎(chǔ)設(shè)施）。

3、基于安全用戶(hù)名和密碼（PEAP和EAP-TTLS）：

優(yōu)點(diǎn)：在使用用戶(hù)名和密碼的基礎(chǔ)上，通過(guò)TLS隧道增強(qiáng)了安全性，防止中間人攻擊。

缺點(diǎn)：比EAP-MD5稍復(fù)雜，需要配置服務(wù)器證書(shū)。

4、基于SMSOTP或其他外部認(rèn)證（EAP-GTC）：

優(yōu)點(diǎn)：靈活，可以集成多種外部認(rèn)證方式，比如一次性密碼（OTP）、生物識(shí)別等。

缺點(diǎn)：需要額外的外部認(rèn)證系統(tǒng)支持，實(shí)施成本較高。

04802.1x的應(yīng)用場(chǎng)景

企業(yè)網(wǎng)絡(luò)

在企業(yè)網(wǎng)絡(luò)環(huán)境中，802.1x扮演著至關(guān)重要的角色。它確保在公司內(nèi)部網(wǎng)中，只有經(jīng)過(guò)認(rèn)證的員工才可以連接到公司資源。這對(duì)于保護(hù)企業(yè)敏感信息、防范內(nèi)部威脅和外部攻擊都具有重要意義。

桌面電腦：每臺(tái)員工的電腦啟動(dòng)時(shí)都會(huì)通過(guò)802.1x進(jìn)行認(rèn)證，確保只有合規(guī)設(shè)備才能接入公司網(wǎng)絡(luò)。

移動(dòng)設(shè)備：員工可以通過(guò)802.1x在辦公室或遠(yuǎn)程接入公司網(wǎng)絡(luò)，所有接入請(qǐng)求都要通過(guò)嚴(yán)格的身份驗(yàn)證。

教育機(jī)構(gòu)

校園網(wǎng)絡(luò)通常覆蓋面積廣，用戶(hù)多且分散，這為網(wǎng)絡(luò)管理帶來(lái)了挑戰(zhàn)。802.1x能夠幫助校園網(wǎng)絡(luò)實(shí)現(xiàn)安全控制，確保只有合法用戶(hù)才能訪問(wèn)網(wǎng)絡(luò)資源。

校園Wi-Fi：學(xué)生和教職工在連接校園Wi-Fi時(shí)，需要通過(guò)802.1x認(rèn)證，確保網(wǎng)絡(luò)資源的安全使用。

計(jì)算機(jī)實(shí)驗(yàn)室：實(shí)驗(yàn)室中的每一臺(tái)設(shè)備在使用時(shí)必須通過(guò)認(rèn)證，防止未經(jīng)授權(quán)的訪問(wèn)和濫用。

公共和家庭無(wú)線網(wǎng)絡(luò)

無(wú)論是家庭還是公共場(chǎng)所的無(wú)線網(wǎng)絡(luò)，802.1x都能提供額外的一層安全防護(hù)，確保只有經(jīng)過(guò)身份驗(yàn)證的設(shè)備才能連接上網(wǎng)絡(luò)。

家庭網(wǎng)絡(luò)：家庭中的所有設(shè)備（如智能電視、筆記本等）在接入Wi-Fi時(shí)都需要通過(guò)802.1x認(rèn)證，提升家庭網(wǎng)絡(luò)的安全性。

公共Wi-Fi：咖啡店、酒店等公共場(chǎng)所提供的Wi-Fi也可以應(yīng)用802.1x，確保只有獲得授權(quán)的用戶(hù)可以使用網(wǎng)絡(luò)，從而防止網(wǎng)絡(luò)濫用。

政府和金融機(jī)構(gòu)

在這些需要高級(jí)別安全保障的場(chǎng)合，802.1x協(xié)議顯得尤為重要。通過(guò)嚴(yán)格的身份認(rèn)證，確保只有合法的用戶(hù)和設(shè)備可以訪問(wèn)敏感的政府或金融數(shù)據(jù)。

05802.1x的測(cè)試：讓它經(jīng)得起考驗(yàn)

為了確保802.1x配置的有效性和可靠性，測(cè)試是非常重要的一環(huán)。以下使用信而泰測(cè)試儀表以MD5認(rèn)證方式進(jìn)行802.1x協(xié)議的測(cè)試：

測(cè)試拓?fù)浜椭饕�配置如下所示�?/p>

如上圖所示，測(cè)試儀模擬802.1x認(rèn)證的終端設(shè)備，被測(cè)設(shè)備使用華為的AR6140H-S，服務(wù)器采用開(kāi)源的Freeradius，測(cè)試儀和交換機(jī)兩個(gè)接口相連，并且在同一個(gè)VLAN里，并在在交換機(jī)G0/0/1接口啟用DOT1X。

1、占用兩個(gè)端口，port1用于模擬DOT1X和發(fā)送流量，port2用于接收流量，首先在port1上創(chuàng)建兩條流量，在DOT1X認(rèn)證之前，發(fā)送Traffic兩條流量都不通；

2、使用配置向?qū)г趐ort1端口創(chuàng)建802.1X協(xié)議，選擇封裝為None并啟用VLAN，接口MAC地址配置為00:00:00:11:11:11和DOT1X-Traffic流量的源MAC相同，配置802.1x認(rèn)證方式選擇MD5，用戶(hù)名和密碼都為vic，點(diǎn)擊完成即可；

3、切換到802.1x協(xié)議處啟動(dòng)即可，切換統(tǒng)計(jì)視圖到802.1x協(xié)議統(tǒng)計(jì)，認(rèn)證結(jié)果為Authenticated成功建立會(huì)話；

4、重新將兩條流量發(fā)送，可觀察到DOT1X-Traffic流量可正常通訊，而未啟用802.1x協(xié)議的Back-Traffic流量依舊不通。

以下是實(shí)時(shí)抓取的802.1x協(xié)議報(bào)文：

06DarYu-X/BigTao-V系列網(wǎng)絡(luò)測(cè)試儀

DarYu-X系列和BigTao-V系列網(wǎng)絡(luò)測(cè)試儀在設(shè)計(jì)上融合了前沿的模塊化理念，集成高性能機(jī)箱、強(qiáng)大的板卡以及直觀易用的軟件界面。支持從10M到800G的多速率以太網(wǎng)測(cè)試，展示了卓越的靈活性和擴(kuò)展性，完美應(yīng)對(duì)企業(yè)用戶(hù)不斷增加的測(cè)試需求和未來(lái)業(yè)務(wù)擴(kuò)展的挑戰(zhàn)。兩個(gè)平臺(tái)均支持802.1x協(xié)議MD5、TLS、TLS1.1、TLS1.2、TTLS、PEAP這6種方式認(rèn)證測(cè)試，可以滿(mǎn)足用戶(hù)不同的測(cè)試需求，為網(wǎng)絡(luò)環(huán)境中的多種應(yīng)用場(chǎng)景提供了靈活而高效的解決方案。