กลับไปหน้าบทความ

อ่าน 8 นาที

ไม่มีชื่อบทความ

IEEE 802.1X เป็น มาตรฐาน ของ IEEE สำหรับ การควบคุมการเข้าถึงเครือข่าย แบบพอร์ต(PNAC) เป็นส่วนหนึ่งของ กลุ่มโปรโตคอลเครือข่าย IEEE 802.

IEEE 802.1X

IEEE 802.1Xเป็น มาตรฐาน ของIEEE สำหรับ การควบคุมการเข้าถึงเครือข่ายแบบพอร์ต(PNAC) เป็นส่วนหนึ่งของ กลุ่มโปรโตคอลเครือข่าย IEEE 802.1โดยมี กลไก การตรวจสอบสิทธิ์สำหรับอุปกรณ์ที่ต้องการเชื่อมต่อกับLANหรือWLAN

มาตรฐานดังกล่าวกล่าวถึงเทคนิคการโจมตีที่เรียกว่า Hardware Addition โดยตรง[ 1 ]ซึ่งผู้โจมตีที่ปลอมตัวเป็นแขก ลูกค้า หรือพนักงานจะลักลอบนำอุปกรณ์แฮ็กเข้าไปในอาคาร จากนั้นเสียบอุปกรณ์ดังกล่าวเข้ากับเครือข่าย ทำให้สามารถเข้าถึงได้อย่างเต็มที่ ตัวอย่างที่โดดเด่นของปัญหานี้เกิดขึ้นในปี 2548 เมื่อเครื่องที่เชื่อมต่อกับเครือข่ายของWalmart แฮ็กเซิร์ฟเวอร์หลายพันเครื่องของพวกเขา [ 2 ]

IEEE 802.1X กำหนดการห่อหุ้มโปรโตคอลการตรวจสอบสิทธิ์แบบขยายได้ (EAP) บนเครือข่ายIEEE 802 แบบมีสาย [ 3 ] : §3.3และบนเครือข่ายไร้สาย 802.11 [ 3 ] : §7.12ซึ่งเรียกว่า "EAP over LAN" หรือ EAPOL [ 4 ]เดิมที EAPOL ถูกกำหนดไว้สำหรับIEEE 802.3 Ethernet, IEEE 802.5 Token Ring และFDDI (ANSI X3T9.5/X3T12 และ ISO 9314) ใน 802.1X-2001 [ 5 ]แต่ได้รับการขยายให้เหมาะกับเทคโนโลยี LAN IEEE 802 อื่นๆ เช่น เครือข่ายไร้สาย IEEE 802.11ใน 802.1X-2004 [ 6 ] EAPOL ยังได้รับการดัดแปลงเพื่อใช้กับIEEE 802.1AE ("MACsec") และIEEE 802.1AR (Secure Device Identity, DevID) ใน 802.1X-2010 [ 7 ] [ 8 ]เพื่อรองรับการระบุบริการและการเข้ารหัสแบบจุดต่อจุดเสริมบนส่วน LAN ภายใน 802.1X เป็นส่วนหนึ่งของ ซับเลเยอร์ ควบคุมลิงก์เชิงตรรกะ (LLC) ของแบบจำลองอ้างอิง 802 [ 9 ]

ภาพรวม

ข้อมูล EAP จะถูกห่อหุ้มไว้ในเฟรม EAPOL ระหว่างผู้ร้องขอและผู้ตรวจสอบสิทธิ์ก่อน จากนั้นจึงถูกห่อหุ้มใหม่อีกครั้งระหว่างผู้ตรวจสอบสิทธิ์และเซิร์ฟเวอร์ตรวจสอบสิทธิ์โดยใช้ RADIUS หรือDiameter

การตรวจสอบสิทธิ์ 802.1X เกี่ยวข้องกับสามฝ่าย ได้แก่ ผู้ร้องขอ (supplicant), ผู้ตรวจสอบสิทธิ์ (authenticator) และเซิร์ฟเวอร์ตรวจสอบสิทธิ์ (authentication server) ผู้ร้องขอคือ อุปกรณ์ ไคลเอ็นต์ (เช่น แล็ปท็อป) ที่ต้องการเชื่อมต่อกับ LAN/WLAN คำว่า 'ผู้ร้องขอ' ยังใช้เรียกซอฟต์แวร์ที่ทำงานบนไคลเอ็นต์ซึ่งให้ข้อมูลประจำตัวแก่ผู้ตรวจสอบสิทธิ์ได้อีกด้วย ผู้ตรวจสอบสิทธิ์คืออุปกรณ์เครือข่ายที่ให้การเชื่อมต่อข้อมูลระหว่างไคลเอ็นต์และเครือข่าย และสามารถอนุญาตหรือบล็อกการรับส่งข้อมูลเครือข่ายระหว่างทั้งสองได้ เช่นสวิตช์อีเธอร์เน็ตหรือจุดเชื่อมต่อไร้สายและเซิร์ฟเวอร์ตรวจสอบสิทธิ์โดยทั่วไปคือเซิร์ฟเวอร์ที่เชื่อถือได้ซึ่งสามารถรับและตอบสนองต่อคำขอการเข้าถึงเครือข่าย และสามารถบอกผู้ตรวจสอบสิทธิ์ได้ว่าควรอนุญาตการเชื่อมต่อหรือไม่ และการตั้งค่าต่างๆ ที่ควรนำไปใช้กับการเชื่อมต่อหรือการตั้งค่าของไคลเอ็นต์นั้น เซิร์ฟเวอร์ตรวจสอบสิทธิ์โดยทั่วไปจะทำงานด้วยซอฟต์แวร์ที่รองรับ โปรโตคอล RADIUSและEAPในบางกรณี ซอฟต์แวร์เซิร์ฟเวอร์ตรวจสอบสิทธิ์อาจทำงานบนฮาร์ดแวร์ของผู้ตรวจสอบสิทธิ์

ตัวตรวจสอบความถูกต้องทำหน้าที่เหมือนยามรักษาความปลอดภัยของเครือข่ายที่ได้รับการป้องกัน ผู้ร้องขอ (เช่น อุปกรณ์ไคลเอ็นต์) จะไม่ได้รับอนุญาตให้เข้าถึงฝั่งที่ได้รับการป้องกันของเครือข่ายผ่านตัวตรวจสอบความถูกต้องจนกว่าตัวตนของผู้ร้องขอจะได้รับการตรวจสอบและอนุญาตแล้ว ด้วยการตรวจสอบความถูกต้องแบบพอร์ต 802.1X ผู้ร้องขอจะต้องให้ข้อมูลประจำตัวที่จำเป็นแก่ตัวตรวจสอบความถูกต้องในเบื้องต้น ซึ่งข้อมูลเหล่านี้จะถูกระบุไว้ล่วงหน้าโดยผู้ดูแลระบบเครือข่าย และอาจรวมถึงชื่อผู้ใช้/รหัสผ่านหรือใบรับรองดิจิทัล ที่ได้รับอนุญาต ตัวตรวจสอบความถูกต้องจะส่งต่อข้อมูลประจำตัวเหล่านี้ไปยังเซิร์ฟเวอร์การตรวจสอบความถูกต้องเพื่อตัดสินใจว่าจะอนุญาตให้เข้าถึงได้หรือไม่ หากเซิร์ฟเวอร์การตรวจสอบความถูกต้องพิจารณาว่าข้อมูลประจำตัวถูกต้อง เซิร์ฟเวอร์จะแจ้งให้ตัวตรวจสอบความถูกต้องทราบ ซึ่งจะอนุญาตให้ผู้ร้องขอ (อุปกรณ์ไคลเอ็นต์) เข้าถึงทรัพยากรที่อยู่ฝั่งที่ได้รับการป้องกันของเครือข่าย[ 10 ]

การดำเนินการตามโปรโตคอล

EAPOL ทำงานบนเลเยอร์ดาต้าลิงก์และในโปรโตคอลการจัดเฟรม Ethernet II จะมีค่า EtherTypeเป็น 0x888E

หน่วยงานท่าเรือ

มาตรฐาน 802.1X-2001 กำหนดเอนทิตีพอร์ตเชิงตรรกะสองแบบสำหรับพอร์ตที่ได้รับการตรวจสอบสิทธิ์ ได้แก่ "พอร์ตควบคุม" และ "พอร์ตที่ไม่ควบคุม" พอร์ตควบคุมจะถูกจัดการโดย 802.1X PAE (Port Access Entity) เพื่ออนุญาต (ในสถานะที่ได้รับอนุญาต) หรือป้องกัน (ในสถานะที่ไม่ได้รับอนุญาต) การรับส่งข้อมูลเครือข่ายเข้าและออกจากพอร์ตควบคุม พอร์ตที่ไม่ควบคุมจะถูกใช้โดย 802.1X PAE เพื่อส่งและรับเฟรม EAPOL

มาตรฐาน 802.1X-2004 กำหนดเอนทิตีพอร์ตที่เทียบเท่าสำหรับซัพพลิแคนท์ ดังนั้นซัพพลิแคนท์ที่ใช้งาน 802.1X-2004 อาจป้องกันการใช้โปรโตคอลระดับสูงกว่าได้ หากไม่พอใจว่าการตรวจสอบสิทธิ์เสร็จสมบูรณ์แล้ว สิ่งนี้มีประโยชน์อย่างยิ่งเมื่อใช้วิธี EAP ที่ให้การตรวจสอบสิทธิ์ร่วมกันเนื่องจากซัพพลิแคนท์สามารถป้องกันการรั่วไหลของข้อมูลเมื่อเชื่อมต่อกับเครือข่ายที่ไม่ได้รับอนุญาต

ขั้นตอนการตรวจสอบสิทธิ์โดยทั่วไป

แผนภาพลำดับขั้นตอนการทำงานของ 802.1X (เริ่มต้นโดยผู้ร้องขอ)

ขั้นตอนการตรวจสอบสิทธิ์โดยทั่วไปประกอบด้วย:

  1. การเริ่มต้นระบบเมื่อตรวจพบผู้ร้องขอรายใหม่ พอร์ตบนสวิตช์ (ตัวตรวจสอบสิทธิ์) จะถูกเปิดใช้งานและตั้งค่าเป็นสถานะ "ไม่ได้รับอนุญาต" ในสถานะนี้ อนุญาตเฉพาะการรับส่งข้อมูล 802.1X เท่านั้น การรับส่งข้อมูลอื่นๆ เช่นโปรโตคอลอินเทอร์เน็ต (รวมถึงTCPและUDP ) จะถูกปฏิเสธ
  2. การเริ่มต้นการตรวจสอบสิทธิ์ ในการเริ่มต้นการตรวจสอบสิทธิ์ ตัวตรวจสอบสิทธิ์จะส่งเฟรม EAP-Request Identity ไปยังที่อยู่ MAC เลเยอร์ 2 พิเศษ ( 01:80:C2:00:00:03 ) บนส่วนเครือข่ายท้องถิ่นเป็นระยะ ผู้ร้องขอจะรอรับเฟรมที่ที่อยู่นี้ และเมื่อได้รับเฟรม EAP-Request Identity แล้ว จะตอบกลับด้วยเฟรม EAP-Response Identity ที่มีตัวระบุสำหรับผู้ร้องขอ เช่น รหัสผู้ใช้ จากนั้นตัวตรวจสอบสิทธิ์จะห่อหุ้มการตอบกลับ Identity นี้ไว้ใน แพ็กเก็ต RADIUS Access-Request และส่งต่อไปยังเซิร์ฟเวอร์ตรวจสอบสิทธิ์ ผู้ร้องขอยังสามารถเริ่มต้นหรือรีสตาร์ทการตรวจสอบสิทธิ์ได้โดยการส่งเฟรม EAPOL-Start ไปยังตัวตรวจสอบสิทธิ์ ซึ่งตัวตรวจสอบสิทธิ์จะตอบกลับด้วยเฟรม EAP-Request Identity
  3. การเจรจา(ในทางเทคนิคเรียกว่าการเจรจา EAP)เซิร์ฟเวอร์การตรวจสอบสิทธิ์จะส่งการตอบกลับ (ที่ห่อหุ้มอยู่ใน แพ็กเก็ต RADIUS Access-Challenge) ไปยังตัวตรวจสอบสิทธิ์ โดยมีคำขอ EAP ที่ระบุวิธีการ EAP (ประเภทของการตรวจสอบสิทธิ์แบบ EAP ที่ต้องการให้ผู้ร้องขอใช้) ตัวตรวจสอบสิทธิ์จะห่อหุ้มคำขอ EAP ไว้ในเฟรม EAPOL และส่งไปยังผู้ร้องขอ ในขั้นตอนนี้ ผู้ร้องขอสามารถเริ่มใช้วิธีการ EAP ที่ร้องขอ หรือทำการ NAK ("Negative Acknowledgement") และตอบกลับด้วยวิธีการ EAP ที่ตนยินดีที่จะใช้
  4. การตรวจสอบสิทธิ์หากเซิร์ฟเวอร์ตรวจสอบสิทธิ์และผู้ร้องขอตกลงกันในวิธีการ EAP ระบบจะส่งคำขอและคำตอบ EAP ระหว่างผู้ร้องขอและเซิร์ฟเวอร์ตรวจสอบสิทธิ์ (โดยตัวตรวจสอบสิทธิ์เป็นผู้แปล) จนกว่าเซิร์ฟเวอร์ตรวจสอบสิทธิ์จะตอบกลับด้วยข้อความ EAP-Success (บรรจุอยู่ใน แพ็กเก็ต RADIUS Access-Accept) หรือข้อความ EAP-Failure (บรรจุอยู่ใน แพ็กเก็ต RADIUS Access-Reject) หากการตรวจสอบสิทธิ์สำเร็จ ตัวตรวจสอบสิทธิ์จะตั้งค่าพอร์ตเป็นสถานะ "ได้รับอนุญาต" และอนุญาตให้มีการรับส่งข้อมูลตามปกติ หากไม่สำเร็จ พอร์ตจะยังคงอยู่ในสถานะ "ไม่ได้รับอนุญาต" เมื่อผู้ร้องขอออกจากระบบ ระบบจะส่งข้อความ EAPOL-logoff ไปยังตัวตรวจสอบสิทธิ์ จากนั้นตัวตรวจสอบสิทธิ์จะตั้งค่าพอร์ตเป็นสถานะ "ไม่ได้รับอนุญาต" อีกครั้ง เพื่อบล็อกการรับส่งข้อมูลที่ไม่ใช่ EAP ทั้งหมด

การนำไปใช้

โครงการโอเพนซอร์สชื่อOpen1Xสร้างไคลเอ็นต์Xsupplicantไคลเอ็นต์นี้มีให้ใช้งานสำหรับทั้ง Linux และ Windows ข้อเสียหลักของไคลเอ็นต์ Open1X คือไม่มีเอกสารประกอบการใช้งานที่เข้าใจง่ายและครอบคลุม และผู้จำหน่าย Linux ส่วนใหญ่ไม่ได้จัดเตรียมแพ็กเกจสำหรับไคลเอ็นต์นี้wpa_supplicant ที่ ใช้งานได้ทั่วไปมากกว่า สามารถใช้ได้กับ เครือข่ายไร้สาย 802.11และเครือข่ายแบบมีสาย ทั้งสองรองรับประเภท EAP ที่หลากหลายมาก[ 11 ]

ChromeOSรองรับ 802.1X มาตั้งแต่กลางปี ​​2554 [ 12 ]

Avenda Systemsให้บริการ supplicant สำหรับWindows , LinuxและmacOSนอกจากนี้ยังมีปลั๊กอินสำหรับเฟรมเวิร์ก Microsoft NAP [ 13 ] Avenda ยังมีเอเจนต์ตรวจสอบสุขภาพอีกด้วย

วินโดวส์

โดยค่าเริ่มต้น Windows จะไม่ตอบสนองต่อคำขอการตรวจสอบสิทธิ์ 802.1X เป็นเวลา 20 นาทีหลังจากที่การตรวจสอบสิทธิ์ล้มเหลว ซึ่งอาจทำให้เกิดการหยุดชะงักอย่างมากต่อเครื่องลูกข่าย

สามารถกำหนดค่าช่วงเวลาบล็อกได้โดยใช้ค่า DWORD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dot3svc\BlockTime [ 14 ] (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\wlansvc\BlockTime สำหรับเครือข่ายไร้สาย) ในรีจิสทรี (ป้อนเป็นนาที) จำเป็นต้องมี hotfixสำหรับ Windows XP SP3 และ Windows Vista SP2 เพื่อให้สามารถกำหนดค่าช่วงเวลาได้[ 15 ]

EAPHost ซึ่งเป็นส่วนประกอบของ Windows ที่ให้การสนับสนุน EAP ในระบบปฏิบัติการ ไม่รองรับใบรับรองเซิร์ฟเวอร์ไวด์การ์ด[ 16 ]นั่นหมายความว่าเมื่อใช้หน่วยงานรับรองเชิงพาณิชย์ จะต้องซื้อใบรับรองแต่ละรายการ

วินโดวส์ เอ็กซ์พี

Windows XP มีปัญหาสำคัญในการจัดการการเปลี่ยนแปลงที่อยู่ IP อันเนื่องมาจากการตรวจสอบสิทธิ์ 802.1X ตามผู้ใช้ ซึ่งเปลี่ยนแปลง VLAN และซับเน็ตของไคลเอ็นต์[ 17 ] Microsoft ระบุว่าจะไม่นำ ฟีเจอร์ SSOจาก Vista กลับมาใช้เพื่อแก้ไขปัญหาเหล่านี้[ 18 ]

หากผู้ใช้ไม่ได้เข้าสู่ระบบด้วยโปรไฟล์โรมมิ่ง จะต้องดาวน์โหลดและติดตั้ง hotfix หากตรวจสอบสิทธิ์ผ่าน PEAP ด้วย PEAP-MSCHAPv2 [ 19 ]

วินโดววิสต้า

คอมพิวเตอร์ที่ใช้ Windows Vista ที่เชื่อมต่อผ่านโทรศัพท์ IP อาจไม่ตรวจสอบสิทธิ์ตามที่คาดไว้ และส่งผลให้ไคลเอนต์อาจถูกจัดอยู่ใน VLAN ที่ไม่ถูกต้อง มี hotfix สำหรับแก้ไขปัญหานี้[ 20 ]

วินโดวส์ 7

คอมพิวเตอร์ที่ใช้ Windows 7 ที่เชื่อมต่อผ่านโทรศัพท์ IP อาจไม่ตรวจสอบสิทธิ์ตามที่คาดไว้ และส่งผลให้ไคลเอนต์อาจถูกจัดอยู่ใน VLAN ที่ไม่ถูกต้อง มี hotfix สำหรับแก้ไขปัญหานี้[ 20 ]

Windows 7 ไม่ตอบสนองต่อคำขอการตรวจสอบสิทธิ์ 802.1X หลังจากการตรวจสอบสิทธิ์ 802.1X ครั้งแรกล้มเหลว ซึ่งอาจทำให้เกิดการหยุดชะงักอย่างมากต่อไคลเอนต์ มี hotfix สำหรับแก้ไขปัญหานี้[ 21 ]

วินโดวส์ พีอี

Windows PEไม่รองรับ 802.1X โดยตรง อย่างไรก็ตาม สามารถเพิ่มการรองรับให้กับ WinPE 2.1 [ 22 ]และ WinPE 3.0 [ 23 ]ได้โดยใช้ hotfix ที่มีให้จาก Microsoft แม้ว่าเอกสารฉบับเต็มจะยังไม่พร้อมใช้งาน แต่เอกสารเบื้องต้นเกี่ยวกับการใช้ hotfix เหล่านี้มีให้ดูได้ในบล็อกของ Microsoft [ 24 ]

ลินุกซ์

ระบบปฏิบัติการ Linuxส่วนใหญ่รองรับ 802.1X ผ่านทางwpa_supplicantและการทำงานร่วมกับเดสก์ท็อปเช่นNetworkManager

อุปกรณ์ Apple

iPhone และiPod Touchรองรับ 802.1X ตั้งแต่การเปิดตัวiOS 2.0 ส่วนmacOSให้การสนับสนุนแบบเนทีฟมาตั้งแต่Mac OS X Panther [ 25 ]

ตั้งแต่iOS 17และmacOS 14เป็นต้นไป อุปกรณ์ Apple รองรับการเชื่อมต่อกับเครือข่าย 802.1X โดยใช้EAP-TLSกับ TLS 1.3 (EAP-TLS 1.3) นอกจากนี้ อุปกรณ์ที่ใช้ iOS/iPadOS/tvOS 17 หรือเวอร์ชันที่ใหม่กว่ายังรองรับเครือข่าย 802.1X แบบมีสายอีกด้วย[ 26 ] [ 27 ]

แอนดรอยด์

ระบบปฏิบัติการ Androidรองรับมาตรฐาน 802.1X มาตั้งแต่เวอร์ชัน 1.6 Donut แล้ว

สหพันธ์

eduroam (บริการโรมมิ่งระหว่างประเทศ) กำหนดให้ใช้การตรวจสอบสิทธิ์ 802.1X เมื่อให้การเข้าถึงเครือข่ายแก่แขกที่มาเยือนจากสถาบันอื่นที่เปิดใช้งาน eduroam [ 28 ]

BT (British Telecom, PLC) ใช้ Identity Federation สำหรับการตรวจสอบสิทธิ์ในบริการที่ส่งมอบให้กับอุตสาหกรรมและรัฐบาลที่หลากหลาย[ 29 ]

ส่วนขยายที่เป็นกรรมสิทธิ์

MAB (MAC Authentication Bypass)

อุปกรณ์บางชนิดไม่รองรับการตรวจสอบสิทธิ์ตามมาตรฐาน 802.1X ตัวอย่างเช่น เครื่องพิมพ์เครือข่าย อุปกรณ์อิเล็กทรอนิกส์ที่ใช้ Ethernet เช่น เซ็นเซอร์ตรวจวัดสภาพแวดล้อม กล้อง และโทรศัพท์ไร้สาย อุปกรณ์เหล่านี้จะต้องถูกใช้ในสภาพแวดล้อมเครือข่ายที่มีการป้องกัน จึงต้องมีวิธีการตรวจสอบสิทธิ์ทางเลือกอื่น

ทางเลือกหนึ่งคือการปิดใช้งาน 802.1X บนพอร์ตนั้น แต่จะทำให้พอร์ตนั้นไม่มีการป้องกันและเปิดช่องให้ถูกโจมตีได้ อีกทางเลือกหนึ่งที่น่าเชื่อถือกว่าเล็กน้อยคือการใช้ตัวเลือก MAB เมื่อกำหนดค่า MAB บนพอร์ต พอร์ตนั้นจะพยายามตรวจสอบก่อนว่าอุปกรณ์ที่เชื่อมต่อเป็นไปตามมาตรฐาน 802.1X หรือไม่ และหากไม่ได้รับการตอบสนองจากอุปกรณ์ที่เชื่อมต่อ พอร์ตจะพยายามตรวจสอบสิทธิ์กับเซิร์ฟเวอร์ AAA โดยใช้ที่อยู่ MAC ของอุปกรณ์ที่เชื่อมต่อ เป็นชื่อผู้ใช้และรหัสผ่าน จากนั้นผู้ดูแลระบบเครือข่ายจะต้องจัดเตรียมบน เซิร์ฟเวอร์ RADIUSเพื่อตรวจสอบสิทธิ์ที่อยู่ MAC เหล่านั้น ไม่ว่าจะโดยการเพิ่มเป็นผู้ใช้ทั่วไปหรือใช้ตรรกะเพิ่มเติมเพื่อแก้ไขในฐานข้อมูลสินค้าคงคลังเครือข่าย

สวิตช์อีเธอร์เน็ตแบบจัดการได้หลายตัว[ 30 ] มีตัวเลือกสำหรับสิ่งนี้

ช่องโหว่ในมาตรฐาน 802.1X-2001 และ 802.1X-2004

สื่อที่แชร์

ในช่วงฤดูร้อนของปี 2548 Steve Riley จาก Microsoft ได้โพสต์บทความ (อ้างอิงจากการวิจัยดั้งเดิมของ Svyatoslav Pidgorny MVP ของ Microsoft) ซึ่งให้รายละเอียดเกี่ยวกับช่องโหว่ร้ายแรงในโปรโตคอล 802.1X ที่เกี่ยวข้องกับการโจมตีแบบ man-in-the-middleโดยสรุป ข้อบกพร่องนี้เกิดจากข้อเท็จจริงที่ว่า 802.1X จะตรวจสอบสิทธิ์เฉพาะในช่วงเริ่มต้นของการเชื่อมต่อเท่านั้น แต่หลังจากนั้น ผู้โจมตีสามารถใช้พอร์ตที่ได้รับการตรวจสอบสิทธิ์ได้ หากพวกเขาสามารถแทรกตัวเข้าไประหว่างคอมพิวเตอร์ที่ได้รับการตรวจสอบสิทธิ์และพอร์ตได้ (อาจใช้ workgroup hub) Riley แนะนำว่าสำหรับเครือข่ายแบบมีสาย การใช้IPsecหรือการผสมผสานระหว่าง IPsec และ 802.1X จะมีความปลอดภัยมากกว่า[ 31 ]

เฟรม EAPOL-Logoff ที่ส่งโดย supplicant 802.1X จะถูกส่งแบบเปิดเผยและไม่มีข้อมูลใด ๆ ที่ได้มาจากการแลกเปลี่ยนข้อมูลประจำตัวที่ตรวจสอบความถูกต้องของไคลเอ็นต์ในตอนแรก[ 32 ]ดังนั้นจึงง่ายต่อการปลอมแปลงบนสื่อที่ใช้ร่วมกันและสามารถใช้เป็นส่วนหนึ่งของการโจมตีDoS แบบกำหนดเป้าหมาย บน LAN ทั้งแบบมีสายและไร้สาย ในการโจมตี EAPOL-Logoff บุคคลที่สามที่เป็นอันตรายซึ่งสามารถเข้าถึงสื่อที่ตัวตรวจสอบความถูกต้องเชื่อมต่ออยู่จะส่งเฟรม EAPOL-Logoff ปลอมซ้ำ ๆ จากที่อยู่ MAC ของอุปกรณ์เป้าหมาย ตัวตรวจสอบความถูกต้อง (เชื่อว่าอุปกรณ์เป้าหมายต้องการยุติเซสชันการตรวจสอบความถูกต้อง) จะปิดเซสชันการตรวจสอบความถูกต้องของเป้าหมาย บล็อกการรับส่งข้อมูลขาเข้าจากเป้าหมาย ปฏิเสธการเข้าถึงเครือข่าย

ข้อกำหนด 802.1X-2010 ซึ่งเริ่มต้นจาก 802.1af ได้แก้ไขช่องโหว่ในข้อกำหนด 802.1X ก่อนหน้านี้ โดยใช้ MACsec IEEE 802.1AEเพื่อเข้ารหัสข้อมูลระหว่างพอร์ตเชิงตรรกะ (ที่ทำงานอยู่บนพอร์ตทางกายภาพ) และ อุปกรณ์ที่ได้รับการรับรองความถูกต้องด้วย IEEE 802.1AR (Secure Device Identity / DevID) [ 7 ] [ 8 ] [ 33 ] [ 34 ]

เพื่อเป็นการแก้ปัญหาชั่วคราว จนกว่าการปรับปรุงเหล่านี้จะถูกนำไปใช้อย่างแพร่หลาย ผู้ผลิตบางรายได้ขยายโปรโตคอล 802.1X-2001 และ 802.1X-2004 ทำให้สามารถมีการตรวจสอบสิทธิ์พร้อมกันหลายเซสชันบนพอร์ตเดียวได้ แม้ว่าวิธีนี้จะป้องกันการรับส่งข้อมูลจากอุปกรณ์ที่มีที่อยู่ MAC ที่ไม่ได้รับการตรวจสอบสิทธิ์เข้ามาในพอร์ต 802.1X ที่ได้รับการตรวจสอบสิทธิ์แล้ว แต่ก็จะไม่สามารถหยุดอุปกรณ์ที่เป็นอันตรายจากการดักฟังการรับส่งข้อมูลจากอุปกรณ์ที่ได้รับการตรวจสอบสิทธิ์แล้ว และไม่มีการป้องกันการปลอมแปลง MACหรือการโจมตี EAPOL-Logoff

ทางเลือกอื่นๆ

ทาง เลือกที่ได้รับการสนับสนุนจาก IETFคือProtocol for Carrying Authentication for Network Access (PANA) ซึ่งรองรับ EAP เช่นกัน แม้ว่าจะทำงานที่เลเยอร์ 3 โดยใช้ UDP จึงไม่ผูกติดกับโครงสร้างพื้นฐาน 802 [ 35 ]

ดูเพิ่มเติม

  • หน้าเว็บ IEEE เกี่ยวกับ 802.1X
  • ดาวน์โหลด GetIEEE802 802.1X-2020
  • ดาวน์โหลด GetIEEE802 802.1X-2010
  • ดาวน์โหลด GetIEEE802 802.1X-2004
  • ดาวน์โหลด GetIEEE802 802.1X-2001
  • คู่มือฉบับสมบูรณ์ด้านความปลอดภัยไร้สาย: ใบรับรองแบบลงนามเองสำหรับเซิร์ฟเวอร์ RADIUS ของคุณ
  • WIRE1x ถูกเก็บถาวรเมื่อวันที่ 22 สิงหาคม 2015 ที่Wayback Machine
  • การเชื่อมต่อเครือข่ายแบบใช้สายด้วยการตรวจสอบสิทธิ์ 802.1Xบน Microsoft TechNet

สรุปเนื้อหา

ข้อมูลสำคัญจากบทความ

ข้อมูลสำคัญเกี่ยวกับ ไม่มีชื่อบทความ

IEEE 802.1X เป็น มาตรฐาน ของ IEEE สำหรับ การควบคุมการเข้าถึงเครือข่าย แบบพอร์ต(PNAC) เป็นส่วนหนึ่งของ กลุ่มโปรโตคอลเครือข่าย IEEE 802.

ภาพรวม

การตรวจสอบสิทธิ์ 802.1X เกี่ยวข้องกับสามฝ่าย ได้แก่ ผู้ร้องขอ (supplicant), ผู้ตรวจสอบสิทธิ์ (authenticator) และเซิร์ฟเวอร์ตรวจสอบสิทธิ์ (authentication server) ผู้ ร้องขอ คือ อุปกรณ์ ไคลเอ็นต์ (เช่น แล็ปท็อป) ที่ต้องการเชื่อมต่อกับ LAN/WLAN คำว่า 'ผู้ร้องขอ'...

การดำเนินการตามโปรโตคอล

EAPOL ทำงานบนเลเยอร์ ดาต้าลิงก์ และในโปรโตคอล การจัดเฟรม Ethernet II จะมีค่า EtherType เป็น 0x888E

หน่วยงานท่าเรือ

มาตรฐาน 802.1X-2001 กำหนดเอนทิตีพอร์ตเชิงตรรกะสองแบบสำหรับพอร์ตที่ได้รับการตรวจสอบสิทธิ์ ได้แก่ "พอร์ตควบคุม" และ "พอร์ตที่ไม่ควบคุม" พอร์ตควบคุมจะถูกจัดการโดย 802.