ວ່າດ້ວຍເລື່ອງ IEEE 802.1X ແລະ RADIUS

ວ່າດ້ວຍເລື່ອງ IEEE 802.1X ແລະ RADIUS

802.1X_wired_protocols

ມາດຕະຖານ IEEE 802.1x ເປັນມາດຕະຖານໃໝ່ສໍາລັບ MAC Layer ທີ່ຊ່ວຍເສີມໃຫ້ການກວດສອບຜູ້ໃຊ້ (Authentication) ໃນເຄືອຄ່າຍ LAN ແລະ WLAN ມີຄວາມປອດໄພສູງຂຶ້ນໃນກໍລະນີນີ້ເມື່ອຜູ້ໃຊ້ຕ້ອງການເຂົ້າໃຊ້ເຄືອຄ່າຍ WLAN ຈະຕ້ອງມີການສະແດງຫຼັກຖານສໍາລັບປະກອບການກວດສອບ (credential) ຕໍ່ອຸປະກອນແມ່ຄ່າຍ ຈາກນັ້ນອຸປະກອນແມ່ຄ່າຍຈະສົ່ງຜ່ານຫຼັກຖານດັ່ງກ່າວຕໍ່ໄປທີ່ RADIUS ເຊີບເວີ ເຊິ່ງເປັນລະບົບສໍາລັບກວດສອບຜູ້ໃຊ້ໂດຍສະເພາະທີ່ໃຊ້ຢູ່ທົ່ວໄປ ໂດຍການແລກປ່ຽນຂໍ້ມູນກັນລະຫວ່າງ RADIUS ເຊີບເວີ ແລະ ອຸປະກອນ WLAN ຈະເປັນໄປຕາມໂປຣໂຕຄໍທີ່ເອີ້ນວ່າ EAP (Extensible Authentication Protocol) ເຊິ່ງມີຄວາມຢືດຢຸ່ນສູງເຮັດໃຫ້ຜູ້ພັດທະນາລະບົບສາມາດນໍາໄປໃຊ້ສ້າງກົນໄກການກວດສອບຢ່າງທີ່ຕ້ອງການໄດ້ໃນປະຈຸບັນມີການໃຊ້ໂປຣໂຕຄໍດັ່ງກ່າວໃນ 4 ຮູບແບບຫຼັກໆຄື EAP-MD5, LEAP, EAP-TLS ແລະ EAP-TTLS

acstl_wa

EAP-MD5 ໃນກໍລະນີຫຼັກຖານທີ່ສົ່ງຜ່ານໄປທີ່ RADIUS ເຊີບເວີຄື username ແລະ password ເຊິ່ງຈະຖືກເຂົ້າລະຫັດດ້ວຍເທັກນິກທີ່ເອີ້ນວ່າ MD5 ການໃຊ້ກົນໄກ EAP-MD5 ຊ່ວຍແກ້ໄຂບັນຫາເລື່ອງການກວດສອບຜູ້ໃຊ້ໃນເຄືອຄ່າຍ WLAN ໃຫ້ມີຄວາມປອດໄພຫຼາຍຂຶ້ນ ແຕ່ບໍ່ໄດ້ຊ່ວຍແກ້ໄຂບັນຫາເລື່ອງຄວາມບໍ່ປອດໄພຂອງການໃຊ້ລະຫັດລັບເຄືອຄ່າຍ (WEP Key) ເຊິ່ງມີຄວາມຄົງທີ່ (static) ດັ່ງນັ້ນຜູ້ໂຈມຕີຍັງສາມາດດັກຟັງ ແລະ ເຈາະລະຫັດລັບຂອງເຄືອຄ່າຍເຊິ່ງມີຄວາມຄົງທີ່ໄດ້ເຖິງແມ່ນວ່າຈະມີການໃຊ້ EAP-MD5 ເມື່ອຜູ້ໂຈມຕີຮູ້ລະຫັດເຄືອຄ່າຍແລ້ວແລ້ວກໍຈະສາມາດເຂົ້າໃຈຂໍ້ມູນທີ່ຮັບສົ່ງຢູ່ໃນເຄືອຄ່າຍ ແລະ ອາດຈະຮູ້ username ແລະ password ໂດຍອາໄສເທັກນິກຕ່າງໆສໍາລັບການເຈາະລະຫັດ MD5 ໄດ້ໃນທີ່ສຸດນອກຈາກນີ້ຂໍ້ບົກຜ່ອງໃນກົນໄກ EAP-MD5 ອີກຢ່າງໜຶ່ງຜູ້ໃຊ້ບໍ່ສາມາດກວດສອບອຸປະກອນແມ່ຄ່າຍ ເຊິ່ງເຮັດໃຫ້ຜູ້ໂຈມຕີອາດຈະສາມາດຫຼອກລວງໃຫ້ຜູ້ໃຊ້ຕໍ່ເຊື່ອມເຂົ້າກັບອຸປະກອນແມ່ຄ່າຍຂອງຜູ້ໂຈມຕີໄດ້

LEAP ຫຼື EAP-Cisco Wireless ໂປຣໂຕຄໍ LEAP (Lightweight Extensible Authentication Protocol) ໄດ້ຮັບການພັດທະນາຂຶ້ນໂດຍບໍລິສັດ Cisco ເຊິ່ງໃນໂປຣໂຕຄໍນີ້ນອກຈາກຈະມີກົນໄກໃນການສົ່ງຜ່ານຂໍ້ມູນກ່ຽວກັບ username ແລະ password ຂອງຜູ້ໃຊ້ໄປທີ່ RADIUS ເຊີບເວີເພື່ອກວດສອບແລ້ວ ຍັງມີການຈັດການ ແລະ ບໍລິຫານສະຫັດສະລັບຂອງເຄືອຄ່າຍ (WEP Key) ໃຫ້ມີການປ່ຽນແປງຄ່ານັ້ນຄືເມື່ອຜູ້ໃຊ້ຜ່ານການກວດສອບຮຽບຮ້ອຍແລ້ວຈະໄດ້ຮັບ WEP Key ເພື່ອໃຊ້ໃນການເຂົ້າລະຫັດຂໍ້ມູນສໍາລັບຜູ້ໃຊ້ນັ້ນໆ ເຊິ່ງໝາຍຄວາມວ່າ WEP Key ຂອງແຕ່ລະຜູ້ໃຊ້ສາມາດມີຄວມແຕກຕ່າງກັນອອກໄປໄດ້ ແລະ ເມື່ອນໍາໃຊ້ຮ່ວມກັບ RADIUS ເຊິ່ງສາມາດກໍານົດອາຍຸຂອງແຕ່ລະ session ໄດ້ຈະເຮັດໃຫ້ WEP Key ຂອງແຕ່ລະຜູ້ໃຊ້ປ່ຽນຄ່າໄປທຸກໆຊ່ວງເວລາສັ້ນໆດ້ວຍ ໃນກໍລະນີເທັກນິກການເຈາະລະຫັດລັບເຄືອຄ່າຍ (WEP Key) ທີ່ມີຢູ່ໃນປັດຈຸບັນຈະບໍ່ສາມາດນໍາມາໃຊ້ປະໂຫຍດໄດ້ ນອກຈາກນີ້ LEAP ຍັງກໍານົດໃຫ້ມີການກວດສອບທັງເຄື່ອງແມ່ຂ່າຍ ແລະ ຜູ້ໃຊ້ (Mutual Authentication) ເພື່ອປ້ອງກັນບໍ່ໃຫ້ຜູ້ໂຈມຕີສາມາດຫຼອກລວງຜູ້ໃຊ້ໃຫ້ເຊື່ອມຕໍ່ກັບເຄື່ອງແມ່ຄ່າຍຂອງຜູ້ໂຈມຕີໄດ້ ຈະເຫັນໄດ້ວ່າ LEAP ສາມາດເພີ່ມຄວາມປອດໄພໃຫ້ກັບເຄືອຄ່າຍ WLAN ໄດ້ຫຼາຍ ແຕ່ແນວໃດກໍຕາມຂໍ້ເສຍຢ່າງໜຶ່ງກໍຄືໃນປະຈຸບັນ LEAP ຍັງຖືກຈໍາກັດຢູ່ແຕ່ໃນຜະລິດຕະພັນຂອງ Cisco ເທົ່ານັ້ນ

ciscoonly

EAP-TLS ໂປຣໂຕຄໍ EAP-TLS (Transport Layer Security) ໄດ້ຮັບການພັດທະນາຂຶ້ນໂດຍບໍລິສັດ Microsoft ເຊິ່ງມີການອ້າງອີງໄວ້ໃນ RFC 2716 ໃນໂປຣໂຕຄໍນີ້ຈະບໍ່ມີການໃຊ້ username ແລະ password ໃນການກວດສອບຜູ້ໃຊ້ ແຕ່ຈະໃຊ້ X.509 certificates ແທນ ການເຮັດວຽກຂອງໂປຣໂຕຄໍນີ້ຈະອາໄສການສົ່ງຜ່ານ PKI ຜ່ານ SSL (Secure Sockets Layers) ມາຍັງ EAP ເພື່ອໃຊ້ກໍານົດ WEP Key ສໍາລັບຜູ້ໃຊ້ແຕ່ລະຄົນ EAP-TLS ກໍານົດໃຫ້ມີການກວດສອບທັງເຄື່ອງແມ່ຄ່າຍ ແລະ ຜູ້ໃຊ້ (Mutual Authentication) ດ້ວຍເຊັ່ນດຽວກັບ LEAP ແຕ່ແນວໃດກໍຕາມບັນຫາຫຼັກຂອງ EAP-TLS ຄວາມຫຍຸ້ງຍາກ ແລະ ຄ່າໃຊ້ຈ່າຍໃນການຕິດຕັ້ງຈັດການ ແລະ ບໍລິຫານລະບົບ PKI Certificate

EAP-TTLS ໂປຣໂຕຄໍ EAP-TTLS ຖືກເລີ່ມພັດທະນາໂດຍບໍລິສັດ Funk Software ເຊິ່ງການເຮັດວຽກຂອງ EAP-TTLS ຄ້າຍກັບ EAP-TLS
ຄືຈະມີການກວດສອບເຄື່ອງແມ່ຂ່າຍໂດຍໃຊ້ Certificate ແຕ່ຜູ້ໃຊ້ຈະຖືກກວດສອບໂດຍການໃຊ້ username ແລະ password ເຊິ່ງຄວາມປອດໄພຂອງ EAP-TTLS ຈະນ້ອຍກວ່າ EAP-TLS ແລະ ທີ່ສໍາຄັນ EAP-TTLS ອາດຈະບໍ່ໄດ້ຮັບຄວາມນິຍົມຫຼາຍໃນເວລາຕໍ່ໄປເນື່ອງຈາກ Microsoft ແລະ Cisco ໄດ້ຮ່ວມມືກັນພັດທະນາໂປຣໂຕຄໍຂຶ້ນມາໃໝ່ຊື່ວ່າ PEAP (Protected EAP) ເຊິ່ງມີການເຮັດວຽກເຊັ່ນດຽວກັບ EAP-TLS

ໃນການທີ່ຈະຕິດຕັ້ງລະບົບເຄືອຄ່າຍ WLAN ທີ່ມີຄວາມປອດໄພສູງໂດຍໃຊ້ IEEE 802.1x ຈະຕ້ອງມີອົງປະກອບ 3 ຢ່າງຄື ອຸປະກອນແມ່ຄ່າຍທີ່ສາມາດສົ່ງຜ່ານຂໍ້ມູນໄປທີ່ RADIUS ด้วย IEEE 802.1x ໄດ້ (IEEE 802.1x Enabled AP), ເຊີບເວີ RADIUS ທີ່ສາມາດເຮັດວຽກຮ່ວມກັບ EAP ທີ່ຕ້ອງການໄດ້, ຊັອບແວສໍາລັບ Client ເຊິ່ງສາມາດເຮັດວຽກຮ່ວມກັບ RADIUS ແລະ IEEE 801.1x ໄດ້

IEEE 802.1x Enabled AP
ສ່ວນໃຫຍ່ແລ້ວອຸປະກອນແມ່ຄ່າຍ IEEE 802.11 WLAN ທີ່ຜະລິດມາສໍາລັບຂາຍໃນຕະຫຼາດສໍານັກງານຈະມີຄວາມສາມາດໃນການສົ່ງຜ່ານຂໍ້ມູນໄປທີ່ RADIUS ດ້ວຍ IEEE 802.1x ໄດ້ຢູ່ແລ້ວ ຫຼືບໍ່ກໍສາມາດທີ່ຈະໄດ້ຮັບການປັບປ່ຽນ firmware ເພື່ອໃຫ້ໃຊ້ກັບ IEEE 802.1x ໄດ້ ສ່ວນອຸປະກອນ IEEE 802.11 WLAN ທີ່ຜະລິດມາສໍາລັບຂາຍໃນຕະຫຼາດຜູ້ໃຊ້ທົ່ວໄປເຊິ່ງຈະມີລາຄາຕໍ່ກວ່າຈະບໍ່ສາມາດນໍາໄປນໍາໃຊ້ຮ່ວມກັບ IEEE 802.1x ໄດ້ ແຕ່ແນວໃດກໍຕາມຜູ້ຕິດຕັ້ງລະບົບອາດຈະສາມາດດັດແປງອຸປະກອນເຫຼົ່ານັ້ນເພື່ອໃຫ້ເຮັດວຽກຮ່ວມກັບ IEEE 802.1x ໄດ້ໂດຍເທັກນິກທີ່ນໍາສະເໜີໄວ້ໃນ “Hacking an Orinoco RG-1100 to accept 802.1x”

ເຊີບເວີ RADIUS ທີ່ສາມາດເຮັດວຽກຮ່ວມກັບ EAP ທີ່ຕ້ອງການໄດ້ ຕົວຢ່າງເຊັ່ນ
Microsoft Internet Athentication Service (IAS) ເຊິ່ງເປັນອົງປະກອບ (component) ໜຶ່ງຂອງລະບົບ Windows 2000 ຊັອບແວນີ້ສາມາດເຮັດວຽກຮ່ວມກັບ EAP-TLS และ EAP-MD5 ໄດ້ ຊັອບແວນີ້ສາມາດໄດ້ຮັບການຕິດຕັ້ງໂດຍອາໄສຟັງຊັ່ນ Add/Remove Program ໃນ Control Panel ຂອງລະບົບ Windows 2000
Access Control Software ຂອງ Cisco ເຊິ່ງສາມາດເຮັດວຽກຮ່ວມກັບ LEAP และ EAP-TLS ໃນລະບົບປະຕິບັດການ Windows ຫຼື UNIX/Linux ໄດ້
ຊັອບແວ Steel Belted RADIUS ຫຼື Odyssey ໂດຍບໍລິສັດ Funk Software ເຊິ່ງສາມາດນໍາໃຊ້ກັບ EAP-MD5, EAP-TLS, LEAP ແລະ EAP-TTLS ໄດ້
ຊັອບແວ AEGIS ໂດຍບໍລິສັດ Meetinghouse Data ເຊິ່ງສາມາດນໍາໃຊ້ກັບ EAP-TLS ແລະ EAP-TTLS ໃນລະບົບປະຕິບັດການ Linux ໄດ້
ຊັອບແວ FreeRadius ເຊິ່ງເປັນໂປຣແກຣມໂອເພິນຊອດ ສໍາລັບລະບົບ Linux ຊັອບແວນີ້ສາມາດນໍາໃຊ້ຮ່ວມກັບ EAP-MD5 ແລະ EAP-TLS

ຊັອບແວສໍາລັບ Client ເຊິ່ງສາມາດນໍາໃຊ້ຮ່ວມກັບ RADIUS ແລະ IEEE 801.1x ເຊັ່ນ
ຊັອບແວ ACU ສໍາລັບອຸປະກອນ IEEE 802.11 WLAN ຂອງ Cisco ເຊິ່ງສາມາດນໍາໃຊ້ຮ່ວມກັບ LEAP ໄດ້ໃນລະບົບປະຕິບັດການ Windows, Apple, ແລະ Linux
Windows XP ມີຊັອບແວທີ່ມາກັບລະບົບເພື່ອເຮັດໃຫ້ອຸປະກອນ IEEE 802.11 WLAN ເຊິ່ງສາມາດນໍາໃຊ້ຮ່ວມກັບ EAP-TLS ແລະ EAP-MD5 ໄດ້ ແຕ່ຕ້ອງມີການໃຊ້ Certificate ທີ່ອອກໂດຍ Microsoft ຢ່າງຖືກຕ້ອງ
ຊັອບແວ Odyssey Client ໂດຍ Funk Software ເຊິ່ງເຮັດໃຫ້ອຸປະກອນ IEEE 802.11 WLAN Client ທຸກຍີ່ຫໍ້ທີ່ support ໂປຣໂຕຄໍ IEEE 802.1x ສາມາດນໍາໃຊ້ຮ່ວມກັບ EAP-MD5, EAP-TLS, EAP-TTLS ແລະ LEAP ໄດ້ໃນລະບົບປະຕິບັດການ Windows ແລະ Linux
ຊັອບແວ AEGIS Client ເຊິ່ງສາມາດນໍາໃຊ້ຮ່ວມກັບ EAP-MD5, EAP-TLS ແລະ EAP-TTLS ໃນລະບົບປະຕິບັດການ Windows ແລະ Linux
ຊັອບແວສໍາລັບ WLAN Client ແບບໂອເພິນຊອດໃນລະບົບ Linux ເຊິ່ງກໍາລັງຖືກພັດທະນາຢູ່ໃນຂະນະນີ້ເຊັ່ນ Xsupplicant ແລະ open1X ເປັນຕົ້ນ

ແຫຼ່ງທີ່ມາ