IEEE 802.1X
IEEE 802.1Xเป็น มาตรฐาน ของIEEE สำหรับ การควบคุมการเข้าถึงเครือข่ายแบบพอร์ต(PNAC) เป็นส่วนหนึ่งของ กลุ่มโปรโตคอลเครือข่าย IEEE 802.1โดยมี กลไก การตรวจสอบสิทธิ์สำหรับอุปกรณ์ที่ต้องการเชื่อมต่อกับLANหรือWLAN
มาตรฐานดังกล่าวกล่าวถึงเทคนิคการโจมตีที่เรียกว่า Hardware Addition โดยตรง[ 1 ]ซึ่งผู้โจมตีที่ปลอมตัวเป็นแขก ลูกค้า หรือพนักงานจะลักลอบนำอุปกรณ์แฮ็กเข้าไปในอาคาร จากนั้นเสียบอุปกรณ์ดังกล่าวเข้ากับเครือข่าย ทำให้สามารถเข้าถึงได้อย่างเต็มที่ ตัวอย่างที่โดดเด่นของปัญหานี้เกิดขึ้นในปี 2548 เมื่อเครื่องที่เชื่อมต่อกับเครือข่ายของWalmart แฮ็กเซิร์ฟเวอร์หลายพันเครื่องของพวกเขา [ 2 ]
IEEE 802.1X กำหนดการห่อหุ้มโปรโตคอลการตรวจสอบสิทธิ์แบบขยายได้ (EAP) บนเครือข่ายIEEE 802 แบบมีสาย [ 3 ] : §3.3และบนเครือข่ายไร้สาย 802.11 [ 3 ] : §7.12ซึ่งเรียกว่า "EAP over LAN" หรือ EAPOL [ 4 ]เดิมที EAPOL ถูกกำหนดไว้สำหรับIEEE 802.3 Ethernet, IEEE 802.5 Token Ring และFDDI (ANSI X3T9.5/X3T12 และ ISO 9314) ใน 802.1X-2001 [ 5 ]แต่ได้รับการขยายให้เหมาะกับเทคโนโลยี LAN IEEE 802 อื่นๆ เช่น เครือข่ายไร้สาย IEEE 802.11ใน 802.1X-2004 [ 6 ] EAPOL ยังได้รับการดัดแปลงเพื่อใช้กับIEEE 802.1AE ("MACsec") และIEEE 802.1AR (Secure Device Identity, DevID) ใน 802.1X-2010 [ 7 ] [ 8 ]เพื่อรองรับการระบุบริการและการเข้ารหัสแบบจุดต่อจุดเสริมบนส่วน LAN ภายใน 802.1X เป็นส่วนหนึ่งของ ซับเลเยอร์ ควบคุมลิงก์เชิงตรรกะ (LLC) ของแบบจำลองอ้างอิง 802 [ 9 ]
ภาพรวม

การตรวจสอบสิทธิ์ 802.1X เกี่ยวข้องกับสามฝ่าย ได้แก่ ผู้ร้องขอ (supplicant), ผู้ตรวจสอบสิทธิ์ (authenticator) และเซิร์ฟเวอร์ตรวจสอบสิทธิ์ (authentication server) ผู้ร้องขอคือ อุปกรณ์ ไคลเอ็นต์ (เช่น แล็ปท็อป) ที่ต้องการเชื่อมต่อกับ LAN/WLAN คำว่า 'ผู้ร้องขอ' ยังใช้เรียกซอฟต์แวร์ที่ทำงานบนไคลเอ็นต์ซึ่งให้ข้อมูลประจำตัวแก่ผู้ตรวจสอบสิทธิ์ได้อีกด้วย ผู้ตรวจสอบสิทธิ์คืออุปกรณ์เครือข่ายที่ให้การเชื่อมต่อข้อมูลระหว่างไคลเอ็นต์และเครือข่าย และสามารถอนุญาตหรือบล็อกการรับส่งข้อมูลเครือข่ายระหว่างทั้งสองได้ เช่นสวิตช์อีเธอร์เน็ตหรือจุดเชื่อมต่อไร้สายและเซิร์ฟเวอร์ตรวจสอบสิทธิ์โดยทั่วไปคือเซิร์ฟเวอร์ที่เชื่อถือได้ซึ่งสามารถรับและตอบสนองต่อคำขอการเข้าถึงเครือข่าย และสามารถบอกผู้ตรวจสอบสิทธิ์ได้ว่าควรอนุญาตการเชื่อมต่อหรือไม่ และการตั้งค่าต่างๆ ที่ควรนำไปใช้กับการเชื่อมต่อหรือการตั้งค่าของไคลเอ็นต์นั้น เซิร์ฟเวอร์ตรวจสอบสิทธิ์โดยทั่วไปจะทำงานด้วยซอฟต์แวร์ที่รองรับ โปรโตคอล RADIUSและEAPในบางกรณี ซอฟต์แวร์เซิร์ฟเวอร์ตรวจสอบสิทธิ์อาจทำงานบนฮาร์ดแวร์ของผู้ตรวจสอบสิทธิ์
ตัวตรวจสอบความถูกต้องทำหน้าที่เหมือนยามรักษาความปลอดภัยของเครือข่ายที่ได้รับการป้องกัน ผู้ร้องขอ (เช่น อุปกรณ์ไคลเอ็นต์) จะไม่ได้รับอนุญาตให้เข้าถึงฝั่งที่ได้รับการป้องกันของเครือข่ายผ่านตัวตรวจสอบความถูกต้องจนกว่าตัวตนของผู้ร้องขอจะได้รับการตรวจสอบและอนุญาตแล้ว ด้วยการตรวจสอบความถูกต้องแบบพอร์ต 802.1X ผู้ร้องขอจะต้องให้ข้อมูลประจำตัวที่จำเป็นแก่ตัวตรวจสอบความถูกต้องในเบื้องต้น ซึ่งข้อมูลเหล่านี้จะถูกระบุไว้ล่วงหน้าโดยผู้ดูแลระบบเครือข่าย และอาจรวมถึงชื่อผู้ใช้/รหัสผ่านหรือใบรับรองดิจิทัล ที่ได้รับอนุญาต ตัวตรวจสอบความถูกต้องจะส่งต่อข้อมูลประจำตัวเหล่านี้ไปยังเซิร์ฟเวอร์การตรวจสอบความถูกต้องเพื่อตัดสินใจว่าจะอนุญาตให้เข้าถึงได้หรือไม่ หากเซิร์ฟเวอร์การตรวจสอบความถูกต้องพิจารณาว่าข้อมูลประจำตัวถูกต้อง เซิร์ฟเวอร์จะแจ้งให้ตัวตรวจสอบความถูกต้องทราบ ซึ่งจะอนุญาตให้ผู้ร้องขอ (อุปกรณ์ไคลเอ็นต์) เข้าถึงทรัพยากรที่อยู่ฝั่งที่ได้รับการป้องกันของเครือข่าย[ 10 ]
การดำเนินการตามโปรโตคอล
EAPOL ทำงานบนเลเยอร์ดาต้าลิงก์และในโปรโตคอลการจัดเฟรม Ethernet II จะมีค่า EtherTypeเป็น 0x888E
หน่วยงานท่าเรือ
มาตรฐาน 802.1X-2001 กำหนดเอนทิตีพอร์ตเชิงตรรกะสองแบบสำหรับพอร์ตที่ได้รับการตรวจสอบสิทธิ์ ได้แก่ "พอร์ตควบคุม" และ "พอร์ตที่ไม่ควบคุม" พอร์ตควบคุมจะถูกจัดการโดย 802.1X PAE (Port Access Entity) เพื่ออนุญาต (ในสถานะที่ได้รับอนุญาต) หรือป้องกัน (ในสถานะที่ไม่ได้รับอนุญาต) การรับส่งข้อมูลเครือข่ายเข้าและออกจากพอร์ตควบคุม พอร์ตที่ไม่ควบคุมจะถูกใช้โดย 802.1X PAE เพื่อส่งและรับเฟรม EAPOL
มาตรฐาน 802.1X-2004 กำหนดเอนทิตีพอร์ตที่เทียบเท่าสำหรับซัพพลิแคนท์ ดังนั้นซัพพลิแคนท์ที่ใช้งาน 802.1X-2004 อาจป้องกันการใช้โปรโตคอลระดับสูงกว่าได้ หากไม่พอใจว่าการตรวจสอบสิทธิ์เสร็จสมบูรณ์แล้ว สิ่งนี้มีประโยชน์อย่างยิ่งเมื่อใช้วิธี EAP ที่ให้การตรวจสอบสิทธิ์ร่วมกันเนื่องจากซัพพลิแคนท์สามารถป้องกันการรั่วไหลของข้อมูลเมื่อเชื่อมต่อกับเครือข่ายที่ไม่ได้รับอนุญาต
ขั้นตอนการตรวจสอบสิทธิ์โดยทั่วไป

ขั้นตอนการตรวจสอบสิทธิ์โดยทั่วไปประกอบด้วย:
- การเริ่มต้นระบบเมื่อตรวจพบผู้ร้องขอรายใหม่ พอร์ตบนสวิตช์ (ตัวตรวจสอบสิทธิ์) จะถูกเปิดใช้งานและตั้งค่าเป็นสถานะ "ไม่ได้รับอนุญาต" ในสถานะนี้ อนุญาตเฉพาะการรับส่งข้อมูล 802.1X เท่านั้น การรับส่งข้อมูลอื่นๆ เช่นโปรโตคอลอินเทอร์เน็ต (รวมถึงTCPและUDP ) จะถูกปฏิเสธ
- การเริ่มต้นการตรวจสอบสิทธิ์ ในการเริ่มต้นการตรวจสอบสิทธิ์ ตัวตรวจสอบสิทธิ์จะส่งเฟรม EAP-Request Identity ไปยังที่อยู่ MAC เลเยอร์ 2 พิเศษ ( 01:80:C2:00:00:03 ) บนส่วนเครือข่ายท้องถิ่นเป็นระยะ ผู้ร้องขอจะรอรับเฟรมที่ที่อยู่นี้ และเมื่อได้รับเฟรม EAP-Request Identity แล้ว จะตอบกลับด้วยเฟรม EAP-Response Identity ที่มีตัวระบุสำหรับผู้ร้องขอ เช่น รหัสผู้ใช้ จากนั้นตัวตรวจสอบสิทธิ์จะห่อหุ้มการตอบกลับ Identity นี้ไว้ใน แพ็กเก็ต RADIUS Access-Request และส่งต่อไปยังเซิร์ฟเวอร์ตรวจสอบสิทธิ์ ผู้ร้องขอยังสามารถเริ่มต้นหรือรีสตาร์ทการตรวจสอบสิทธิ์ได้โดยการส่งเฟรม EAPOL-Start ไปยังตัวตรวจสอบสิทธิ์ ซึ่งตัวตรวจสอบสิทธิ์จะตอบกลับด้วยเฟรม EAP-Request Identity
- การเจรจา(ในทางเทคนิคเรียกว่าการเจรจา EAP)เซิร์ฟเวอร์การตรวจสอบสิทธิ์จะส่งการตอบกลับ (ที่ห่อหุ้มอยู่ใน แพ็กเก็ต RADIUS Access-Challenge) ไปยังตัวตรวจสอบสิทธิ์ โดยมีคำขอ EAP ที่ระบุวิธีการ EAP (ประเภทของการตรวจสอบสิทธิ์แบบ EAP ที่ต้องการให้ผู้ร้องขอใช้) ตัวตรวจสอบสิทธิ์จะห่อหุ้มคำขอ EAP ไว้ในเฟรม EAPOL และส่งไปยังผู้ร้องขอ ในขั้นตอนนี้ ผู้ร้องขอสามารถเริ่มใช้วิธีการ EAP ที่ร้องขอ หรือทำการ NAK ("Negative Acknowledgement") และตอบกลับด้วยวิธีการ EAP ที่ตนยินดีที่จะใช้
- การตรวจสอบสิทธิ์หากเซิร์ฟเวอร์ตรวจสอบสิทธิ์และผู้ร้องขอตกลงกันในวิธีการ EAP ระบบจะส่งคำขอและคำตอบ EAP ระหว่างผู้ร้องขอและเซิร์ฟเวอร์ตรวจสอบสิทธิ์ (โดยตัวตรวจสอบสิทธิ์เป็นผู้แปล) จนกว่าเซิร์ฟเวอร์ตรวจสอบสิทธิ์จะตอบกลับด้วยข้อความ EAP-Success (บรรจุอยู่ใน แพ็กเก็ต RADIUS Access-Accept) หรือข้อความ EAP-Failure (บรรจุอยู่ใน แพ็กเก็ต RADIUS Access-Reject) หากการตรวจสอบสิทธิ์สำเร็จ ตัวตรวจสอบสิทธิ์จะตั้งค่าพอร์ตเป็นสถานะ "ได้รับอนุญาต" และอนุญาตให้มีการรับส่งข้อมูลตามปกติ หากไม่สำเร็จ พอร์ตจะยังคงอยู่ในสถานะ "ไม่ได้รับอนุญาต" เมื่อผู้ร้องขอออกจากระบบ ระบบจะส่งข้อความ EAPOL-logoff ไปยังตัวตรวจสอบสิทธิ์ จากนั้นตัวตรวจสอบสิทธิ์จะตั้งค่าพอร์ตเป็นสถานะ "ไม่ได้รับอนุญาต" อีกครั้ง เพื่อบล็อกการรับส่งข้อมูลที่ไม่ใช่ EAP ทั้งหมด
การนำไปใช้
โครงการโอเพนซอร์สชื่อOpen1Xสร้างไคลเอ็นต์Xsupplicantไคลเอ็นต์นี้มีให้ใช้งานสำหรับทั้ง Linux และ Windows ข้อเสียหลักของไคลเอ็นต์ Open1X คือไม่มีเอกสารประกอบการใช้งานที่เข้าใจง่ายและครอบคลุม และผู้จำหน่าย Linux ส่วนใหญ่ไม่ได้จัดเตรียมแพ็กเกจสำหรับไคลเอ็นต์นี้wpa_supplicant ที่ ใช้งานได้ทั่วไปมากกว่า สามารถใช้ได้กับ เครือข่ายไร้สาย 802.11และเครือข่ายแบบมีสาย ทั้งสองรองรับประเภท EAP ที่หลากหลายมาก[ 11 ]
ChromeOSรองรับ 802.1X มาตั้งแต่กลางปี 2554 [ 12 ]
Avenda Systemsให้บริการ supplicant สำหรับWindows , LinuxและmacOSนอกจากนี้ยังมีปลั๊กอินสำหรับเฟรมเวิร์ก Microsoft NAP [ 13 ] Avenda ยังมีเอเจนต์ตรวจสอบสุขภาพอีกด้วย
วินโดวส์
โดยค่าเริ่มต้น Windows จะไม่ตอบสนองต่อคำขอการตรวจสอบสิทธิ์ 802.1X เป็นเวลา 20 นาทีหลังจากที่การตรวจสอบสิทธิ์ล้มเหลว ซึ่งอาจทำให้เกิดการหยุดชะงักอย่างมากต่อเครื่องลูกข่าย
สามารถกำหนดค่าช่วงเวลาบล็อกได้โดยใช้ค่า DWORD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dot3svc\BlockTime [ 14 ] (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\wlansvc\BlockTime สำหรับเครือข่ายไร้สาย) ในรีจิสทรี (ป้อนเป็นนาที) จำเป็นต้องมี hotfixสำหรับ Windows XP SP3 และ Windows Vista SP2 เพื่อให้สามารถกำหนดค่าช่วงเวลาได้[ 15 ]
EAPHost ซึ่งเป็นส่วนประกอบของ Windows ที่ให้การสนับสนุน EAP ในระบบปฏิบัติการ ไม่รองรับใบรับรองเซิร์ฟเวอร์ไวด์การ์ด[ 16 ]นั่นหมายความว่าเมื่อใช้หน่วยงานรับรองเชิงพาณิชย์ จะต้องซื้อใบรับรองแต่ละรายการ
วินโดวส์ เอ็กซ์พี
Windows XP มีปัญหาสำคัญในการจัดการการเปลี่ยนแปลงที่อยู่ IP อันเนื่องมาจากการตรวจสอบสิทธิ์ 802.1X ตามผู้ใช้ ซึ่งเปลี่ยนแปลง VLAN และซับเน็ตของไคลเอ็นต์[ 17 ] Microsoft ระบุว่าจะไม่นำ ฟีเจอร์ SSOจาก Vista กลับมาใช้เพื่อแก้ไขปัญหาเหล่านี้[ 18 ]
หากผู้ใช้ไม่ได้เข้าสู่ระบบด้วยโปรไฟล์โรมมิ่ง จะต้องดาวน์โหลดและติดตั้ง hotfix หากตรวจสอบสิทธิ์ผ่าน PEAP ด้วย PEAP-MSCHAPv2 [ 19 ]
วินโดววิสต้า
คอมพิวเตอร์ที่ใช้ Windows Vista ที่เชื่อมต่อผ่านโทรศัพท์ IP อาจไม่ตรวจสอบสิทธิ์ตามที่คาดไว้ และส่งผลให้ไคลเอนต์อาจถูกจัดอยู่ใน VLAN ที่ไม่ถูกต้อง มี hotfix สำหรับแก้ไขปัญหานี้[ 20 ]
วินโดวส์ 7
คอมพิวเตอร์ที่ใช้ Windows 7 ที่เชื่อมต่อผ่านโทรศัพท์ IP อาจไม่ตรวจสอบสิทธิ์ตามที่คาดไว้ และส่งผลให้ไคลเอนต์อาจถูกจัดอยู่ใน VLAN ที่ไม่ถูกต้อง มี hotfix สำหรับแก้ไขปัญหานี้[ 20 ]
Windows 7 ไม่ตอบสนองต่อคำขอการตรวจสอบสิทธิ์ 802.1X หลังจากการตรวจสอบสิทธิ์ 802.1X ครั้งแรกล้มเหลว ซึ่งอาจทำให้เกิดการหยุดชะงักอย่างมากต่อไคลเอนต์ มี hotfix สำหรับแก้ไขปัญหานี้[ 21 ]
วินโดวส์ พีอี
Windows PEไม่รองรับ 802.1X โดยตรง อย่างไรก็ตาม สามารถเพิ่มการรองรับให้กับ WinPE 2.1 [ 22 ]และ WinPE 3.0 [ 23 ]ได้โดยใช้ hotfix ที่มีให้จาก Microsoft แม้ว่าเอกสารฉบับเต็มจะยังไม่พร้อมใช้งาน แต่เอกสารเบื้องต้นเกี่ยวกับการใช้ hotfix เหล่านี้มีให้ดูได้ในบล็อกของ Microsoft [ 24 ]
ลินุกซ์
ระบบปฏิบัติการ Linuxส่วนใหญ่รองรับ 802.1X ผ่านทางwpa_supplicantและการทำงานร่วมกับเดสก์ท็อปเช่นNetworkManager
อุปกรณ์ Apple
iPhone และiPod Touchรองรับ 802.1X ตั้งแต่การเปิดตัวiOS 2.0 ส่วนmacOSให้การสนับสนุนแบบเนทีฟมาตั้งแต่Mac OS X Panther [ 25 ]
ตั้งแต่iOS 17และmacOS 14เป็นต้นไป อุปกรณ์ Apple รองรับการเชื่อมต่อกับเครือข่าย 802.1X โดยใช้EAP-TLSกับ TLS 1.3 (EAP-TLS 1.3) นอกจากนี้ อุปกรณ์ที่ใช้ iOS/iPadOS/tvOS 17 หรือเวอร์ชันที่ใหม่กว่ายังรองรับเครือข่าย 802.1X แบบมีสายอีกด้วย[ 26 ] [ 27 ]
แอนดรอยด์
ระบบปฏิบัติการ Androidรองรับมาตรฐาน 802.1X มาตั้งแต่เวอร์ชัน 1.6 Donut แล้ว
สหพันธ์
eduroam (บริการโรมมิ่งระหว่างประเทศ) กำหนดให้ใช้การตรวจสอบสิทธิ์ 802.1X เมื่อให้การเข้าถึงเครือข่ายแก่แขกที่มาเยือนจากสถาบันอื่นที่เปิดใช้งาน eduroam [ 28 ]
BT (British Telecom, PLC) ใช้ Identity Federation สำหรับการตรวจสอบสิทธิ์ในบริการที่ส่งมอบให้กับอุตสาหกรรมและรัฐบาลที่หลากหลาย[ 29 ]
ส่วนขยายที่เป็นกรรมสิทธิ์
MAB (MAC Authentication Bypass)
อุปกรณ์บางชนิดไม่รองรับการตรวจสอบสิทธิ์ตามมาตรฐาน 802.1X ตัวอย่างเช่น เครื่องพิมพ์เครือข่าย อุปกรณ์อิเล็กทรอนิกส์ที่ใช้ Ethernet เช่น เซ็นเซอร์ตรวจวัดสภาพแวดล้อม กล้อง และโทรศัพท์ไร้สาย อุปกรณ์เหล่านี้จะต้องถูกใช้ในสภาพแวดล้อมเครือข่ายที่มีการป้องกัน จึงต้องมีวิธีการตรวจสอบสิทธิ์ทางเลือกอื่น
ทางเลือกหนึ่งคือการปิดใช้งาน 802.1X บนพอร์ตนั้น แต่จะทำให้พอร์ตนั้นไม่มีการป้องกันและเปิดช่องให้ถูกโจมตีได้ อีกทางเลือกหนึ่งที่น่าเชื่อถือกว่าเล็กน้อยคือการใช้ตัวเลือก MAB เมื่อกำหนดค่า MAB บนพอร์ต พอร์ตนั้นจะพยายามตรวจสอบก่อนว่าอุปกรณ์ที่เชื่อมต่อเป็นไปตามมาตรฐาน 802.1X หรือไม่ และหากไม่ได้รับการตอบสนองจากอุปกรณ์ที่เชื่อมต่อ พอร์ตจะพยายามตรวจสอบสิทธิ์กับเซิร์ฟเวอร์ AAA โดยใช้ที่อยู่ MAC ของอุปกรณ์ที่เชื่อมต่อ เป็นชื่อผู้ใช้และรหัสผ่าน จากนั้นผู้ดูแลระบบเครือข่ายจะต้องจัดเตรียมบน เซิร์ฟเวอร์ RADIUSเพื่อตรวจสอบสิทธิ์ที่อยู่ MAC เหล่านั้น ไม่ว่าจะโดยการเพิ่มเป็นผู้ใช้ทั่วไปหรือใช้ตรรกะเพิ่มเติมเพื่อแก้ไขในฐานข้อมูลสินค้าคงคลังเครือข่าย
สวิตช์อีเธอร์เน็ตแบบจัดการได้หลายตัว[ 30 ] มีตัวเลือกสำหรับสิ่งนี้
ช่องโหว่ในมาตรฐาน 802.1X-2001 และ 802.1X-2004
สื่อที่แชร์
ในช่วงฤดูร้อนของปี 2548 Steve Riley จาก Microsoft ได้โพสต์บทความ (อ้างอิงจากการวิจัยดั้งเดิมของ Svyatoslav Pidgorny MVP ของ Microsoft) ซึ่งให้รายละเอียดเกี่ยวกับช่องโหว่ร้ายแรงในโปรโตคอล 802.1X ที่เกี่ยวข้องกับการโจมตีแบบ man-in-the-middleโดยสรุป ข้อบกพร่องนี้เกิดจากข้อเท็จจริงที่ว่า 802.1X จะตรวจสอบสิทธิ์เฉพาะในช่วงเริ่มต้นของการเชื่อมต่อเท่านั้น แต่หลังจากนั้น ผู้โจมตีสามารถใช้พอร์ตที่ได้รับการตรวจสอบสิทธิ์ได้ หากพวกเขาสามารถแทรกตัวเข้าไประหว่างคอมพิวเตอร์ที่ได้รับการตรวจสอบสิทธิ์และพอร์ตได้ (อาจใช้ workgroup hub) Riley แนะนำว่าสำหรับเครือข่ายแบบมีสาย การใช้IPsecหรือการผสมผสานระหว่าง IPsec และ 802.1X จะมีความปลอดภัยมากกว่า[ 31 ]
เฟรม EAPOL-Logoff ที่ส่งโดย supplicant 802.1X จะถูกส่งแบบเปิดเผยและไม่มีข้อมูลใด ๆ ที่ได้มาจากการแลกเปลี่ยนข้อมูลประจำตัวที่ตรวจสอบความถูกต้องของไคลเอ็นต์ในตอนแรก[ 32 ]ดังนั้นจึงง่ายต่อการปลอมแปลงบนสื่อที่ใช้ร่วมกันและสามารถใช้เป็นส่วนหนึ่งของการโจมตีDoS แบบกำหนดเป้าหมาย บน LAN ทั้งแบบมีสายและไร้สาย ในการโจมตี EAPOL-Logoff บุคคลที่สามที่เป็นอันตรายซึ่งสามารถเข้าถึงสื่อที่ตัวตรวจสอบความถูกต้องเชื่อมต่ออยู่จะส่งเฟรม EAPOL-Logoff ปลอมซ้ำ ๆ จากที่อยู่ MAC ของอุปกรณ์เป้าหมาย ตัวตรวจสอบความถูกต้อง (เชื่อว่าอุปกรณ์เป้าหมายต้องการยุติเซสชันการตรวจสอบความถูกต้อง) จะปิดเซสชันการตรวจสอบความถูกต้องของเป้าหมาย บล็อกการรับส่งข้อมูลขาเข้าจากเป้าหมาย ปฏิเสธการเข้าถึงเครือข่าย
ข้อกำหนด 802.1X-2010 ซึ่งเริ่มต้นจาก 802.1af ได้แก้ไขช่องโหว่ในข้อกำหนด 802.1X ก่อนหน้านี้ โดยใช้ MACsec IEEE 802.1AEเพื่อเข้ารหัสข้อมูลระหว่างพอร์ตเชิงตรรกะ (ที่ทำงานอยู่บนพอร์ตทางกายภาพ) และ อุปกรณ์ที่ได้รับการรับรองความถูกต้องด้วย IEEE 802.1AR (Secure Device Identity / DevID) [ 7 ] [ 8 ] [ 33 ] [ 34 ]
เพื่อเป็นการแก้ปัญหาชั่วคราว จนกว่าการปรับปรุงเหล่านี้จะถูกนำไปใช้อย่างแพร่หลาย ผู้ผลิตบางรายได้ขยายโปรโตคอล 802.1X-2001 และ 802.1X-2004 ทำให้สามารถมีการตรวจสอบสิทธิ์พร้อมกันหลายเซสชันบนพอร์ตเดียวได้ แม้ว่าวิธีนี้จะป้องกันการรับส่งข้อมูลจากอุปกรณ์ที่มีที่อยู่ MAC ที่ไม่ได้รับการตรวจสอบสิทธิ์เข้ามาในพอร์ต 802.1X ที่ได้รับการตรวจสอบสิทธิ์แล้ว แต่ก็จะไม่สามารถหยุดอุปกรณ์ที่เป็นอันตรายจากการดักฟังการรับส่งข้อมูลจากอุปกรณ์ที่ได้รับการตรวจสอบสิทธิ์แล้ว และไม่มีการป้องกันการปลอมแปลง MACหรือการโจมตี EAPOL-Logoff
ทางเลือกอื่นๆ
ทาง เลือกที่ได้รับการสนับสนุนจาก IETFคือProtocol for Carrying Authentication for Network Access (PANA) ซึ่งรองรับ EAP เช่นกัน แม้ว่าจะทำงานที่เลเยอร์ 3 โดยใช้ UDP จึงไม่ผูกติดกับโครงสร้างพื้นฐาน 802 [ 35 ]
ดูเพิ่มเติม
ลิงก์ภายนอก
- หน้าเว็บ IEEE เกี่ยวกับ 802.1X
- ดาวน์โหลด GetIEEE802 802.1X-2020
- ดาวน์โหลด GetIEEE802 802.1X-2010
- ดาวน์โหลด GetIEEE802 802.1X-2004
- ดาวน์โหลด GetIEEE802 802.1X-2001
- คู่มือฉบับสมบูรณ์ด้านความปลอดภัยไร้สาย: ใบรับรองแบบลงนามเองสำหรับเซิร์ฟเวอร์ RADIUS ของคุณ
- WIRE1x ถูกเก็บถาวรเมื่อวันที่ 22 สิงหาคม 2015 ที่Wayback Machine
- การเชื่อมต่อเครือข่ายแบบใช้สายด้วยการตรวจสอบสิทธิ์ 802.1Xบน Microsoft TechNet