在本月早些时候NetWorld+Interop的iLabs无线安全团队进行的互操作性测试中,我们发现支持802.1X(无线网络认证的提议标准)的产品在大多数情况下都能很好地协同工作,但是我们发现了一些需要标准机构和供应商关注的问题。
在互操作性测试中,NetWorld+Interop的iLabs无线安全我们发现,支持802.1X(无线网络认证的提议标准)的产品在大多数情况下工作得很好,但我们发现了一些需要标准机构和供应商关注的问题。
的iLabs团队组建802.1倍来自四个操作系统(Windows XP、Windows 2000、Mac OS X和Windows CE)供应商的客户;远程认证拨号用户服务(半径)来自7家Windows、Linux和HP/UX厂商的认证服务器;以及19种不同的802.1X无线和有线设备,包括接入点、新型无线交换机和传统有线快速以太网交换机。
在整个过程中,我们确定了数百个完美工作的测试用例。然而,测试发现了互操作性不那么顺利的实例,包括受保护的可扩展身份验证协议(PEAP)及隧道传输层保安(ttl) 802.1X范围内的身份验证,有线等效隐私设置(WEP)关键字,以及标准的解释。
供应商实现了卓越的传输层安全性(TLS)验证率,只有少数测试用例失败。TLS和ietf赞助的协议是无线网络中最简单可接受的认证方法,并已被公认为一种标准,因此它是基本操作的试金石。
但在现实世界中,情况就大不相同了。TLS要求每个终端用户都有一个数字证书,这对当今的许多网络来说可能不是一个好的假设。无线供应商的传统看法是,大多数网络管理人员都希望结合基于802.1 x的技术安全对现有身份验证系统的度量,如用户名/密码或令牌卡方案。不幸的是,要安全地做到这一点并不容易。
PEAP vs. TTLS:糟糕的竞争
帮助将遗留身份验证集成到802.1X的两个相互竞争的提议是TTLS,由恐慌和Certicom;和PEAP,由RSA安全,思科和微软.虽然这两种方案都没有达到标准,但许多供应商已经实现了这两种方案。
在PEAP和TTLS中找到兼容的内部身份验证方法(如MS-CHAP-V2或One Time Password)并不容易。因为PEAP不允许使用简单的用户名/密码机制来对使用加密密码的现有用户数据库进行身份验证,例如Unix或轻量级目录访问协议目录,供应商试图将此硬塞到PEAP身份验证方法中。结果是可以预测的:每个供应商都有不同的方法,这就导致了互操作性的失败。
TTLS有相反的问题:有太多的方法可以做同样的事情。因此,如果您想使用MS-CHAP-V2对Microsoft身份验证数据库进行身份验证,有两种方法可以实现——并不是每个供应商都允许这两种可能性。
因为TTLS和PEAP在技术上是等价的,在802.1X实现的这个阶段将两者放在桌面上是互操作性的主要障碍。在测试期间,我们发现不同的供应商实现了不同的草案。即使是驱动PEAP的两个供应商Cisco和Microsoft,也选择了一组不兼容的内部认证方法,从而阻碍了完全的互操作性。较小的供应商,例如教会数据通信和连接这进一步稀释了开发努力,并使实现和互操作性复杂化。虽然时间会提高互操作性,但是让IETF快速决定TTLS和PEAP的讨论将会有更大的帮助。
想要使用简单用户名/密码的用户还有另一个选择。荷兰网络安全公司阿尔法&阿里斯提供了一个免费的TTLS插件,它将TTLS与密码认证协议(简单的用户名/密码方法)的支持添加到微软内置的Win 2000和XP 802.1X的请求者。(如需下载,请访问www.alfa-ariss.com.)我们测试了这个免费软件,并让它与其他测试产品进行互操作。
如果您想使用TTLS或PEAP对无线用户进行身份验证,请在IETF选择最终方向之前几个月不要提交最终的无线安全拓扑。
设置WEP密钥
802.1X认证的一个好处是,无线接入点保持相当中立的位置,主要是在请求者与RADIUS服务器间接对话时打包和解包EAP(由802.1X携带的内部协议)包。在EAP内部是实际的身份验证方法,如TLS、TTLS和PEAP。但是,在流程的最后,RADIUS服务器必须与访问点通信,以提供足够的信息来设置WEP密钥。如果没有这最后一步,802.1X身份验证就不能提供加密的通道。
我们的测试发现了一些802.1X认证成功的案例,但RADIUS服务器、接入点和请求者之间的通信失败了。这是一个特别难以调试的问题,不仅因为它需要移动加密数据,还因为所有三方都有可能出错。
一些供应商在iLabs测试计划要求的重新认证测试期间也遇到了问题,因为这些超出了大多数互操作性测试中包含的常规粗略检查。与IP安全在美国,重新认证是一个很难测试的问题,但可能会导致主要的用户不满和互操作性失败。
几乎所有的供应商都没有通过一项测试:设置一个短的40位WEP密钥。虽然大多数产品支持被广泛接受的104位WEP密钥,但802.1X遵从性要求使用40位密钥。如果您很早就加入了无线的潮流,并购买了只支持较短密钥长度的卡,那么您可能需要考虑在您的802.1X推出期间更换任何只支持40位的设备。
它是标准的还是不标准的?
因为802.1X、EAP、TTLS和PEAP是相对年轻的标准——TTLS和PEAP还在草案中——对于如何解释和实现它们还没有达成完全一致。我们通过诸如密钥更新会议、时间安排等实践指导了许多供应商动态主机配置协议请求、虚拟局域网(VLAN)交换和证书管理。
虽然这些实现选择,比如如何选择一个VLAN的802.1 x用户不一定会导致失败,他们可能意味着网络经理们从他们得到不同的东西讨价还价,至少直到参与供应商开始收敛于一个方法,同意正式和非正式的。
这个问题并不是特定于任何一种供应商。一些最新的无线交换机供应商甚至还没有发布产品,但却存在标准解释问题。然而,他们派遣工程师参加测试活动的承诺得到了回报。阿鲁巴岛网络和秋千网络能够在一夜之间快速更新他们的软件,以帮助提高与其他供应商的总体互操作性。包括微软在内的最大的参与者也发现,他们对标准和草案的执行与其他所有人都不匹配。
大多数供应商告诉我们,他们将遵循两条路径:无论标准是什么,或者如果这还不够,无论与大公司进行互操作需要什么。因为微软在win2000和XP中提供了一个802.1X客户端,所以大多数人认为微软的PEAP实现是他们必须匹配的引用。对于依赖Windows内置支持并希望使用PEAP路径进行身份验证的客户来说,这是一个好消息。
尽管iLabs的测试表明802.1X的互操作性并不是一个必然的结论,但供应商的数量和他们对互操作性的热情表明,802.1X肯定可以被考虑到你的无线计划中。
|
回到iLabs主包:“iLabs工程师编造802.1X, iSCSI, MPLS测试”
了解更多关于这个主题的信息
斯奈德是亚利桑那州图森市咨询公司Opus One的高级合伙人。可以和他联系joel.snyder@opus1.com.
全球测试联盟
施耐德还是网络世界全球测试联盟的成员,该联盟由网络行业的资深评足球竞猜app软件审员组成,每位评审员都有多年的实践经验。欲了解更多测试联盟信息,包括如何成为成员,请访问www.nwfusion.com/alliance.