连接埠存取实体.PPTVIP

14-*802.1X連接埠型的網路存取控制以下介紹802.1x協定請求端（Supplicant）是以用來尋找存取的實體。在WLAN的架構中，工作站就是扮演這種角色。認證端（Authenticator）：這是一種用來找尋其他認證實體(認證伺服器)的網路設備。在WLAN的架構中，可利用AP來擔任這項類似看門警衛的工作。認證伺服器（Authenticatorserver）：此為認證服務的來源。802.1x允許中控化的管理機制，所以也有可能是RADIUS伺服器來扮演這種角色。網路存取點：工作站連結到網路的連接點。在實體環境中，是由交換式集線器或共享式集線器的連接埠扮演這個角色。在無線網路的環境中，是由工作站和AP共同扮演這個角色。14-*802.1X連接埠型的網路存取控制連接埠存取實體（Portaccessentity，PAE）：PAE是一種執行認證協定的流程，認證端和需求端都具有PAE流程。14-*802.1X連接埠型的網路存取控制EAP應用於802.1x的認證協定架構如圖14-6，其提供比WEP更為牢靠的認證機制；如果在此機制下能夠結合RADIUS伺服器，則可達成中控式管理使用者的目標。相互認證是屬於802.1x的選項，但是許多系統都將這個選項設定成預設值，因此也就有可能遭到攔截攻擊。故唯有AP及工作站緊密地結合，802.1x才能夠正常地發揮作用，也就是說，若802.1x未能發揮作用，或許在認證發生之前，工作站就已經連線到無線網路了。14-*802.1x應用於無線網路的存取控制圖14-6EAP認證協定架構返回隔離區14-*802.1X連接埠型的網路存取控制(**)802.1x/EAP支援多種認證協定，如MD5、TLS、TTLS、LEAP及PEAP等。其中EAP-MD5是一種簡單且容易實現的方式，是屬於單向且一次性認證（開始進行交談時），故容易遭到中間人攻擊或攔截攻擊。改進的方法:EAP-TLS(rfc2716)為微軟所發展，亦為IETF(InternetEngineeringTaskForce)所認可，提供Pre-session的動態交換WEP密鑰，且supplicant與authenticationserver進行雙方認證，可大幅降低中間人攻擊或攔截攻擊。14-*802.1X連接埠型的網路存取控制(**)輕量型可擴充式驗證協定(LightweightExtensibleAuthenticationProtocol,LEAP)：由Cisco所發展之技術，使用動態性地將每次連線階段所使用的不同WEP金鑰，發給每個無線網路客戶端，其整合網路登入認證機制亦加強了WEP標準的安全性，有效降低駭客對於金鑰的預測機率，大大減少網路可能受到攻擊的範圍。被保護的延伸性認證協定(ProtectedEAP,PEAP)：將身份認證分為二階段，首先藉由TLS的加密通道，讓工作站對認證伺服器做認證，之後再以不同的EAP身份驗證方法去驗證工站作的身份。14-*Module14-2:認識無線網路的

安全問題

14-*14-2無線網路的安全問題802.11無線網路的安全問題大致可分為大類：1.無線通訊的特性由於無線網路先天設計便是以無線電技術為基礎，使得攻擊者得以無線電波涵蓋的範圍內進行通訊內容的監聽。如果使用者未將傳送的資訊以適當的機制進行加密，則入侵者很容易的便可以竊取所有的通訊內容。另外，由於無線通訊只要位於電波收訊範圍內即可使用，也造成了管控上的問題，管理者無法完全的存取監控。

14-*14-2無線網路的安全問題2.WEP設計問題在802.11的標準中訂定了WEP的標準，希望透過這種加密技術能讓使用者獲得更好的資料安全性。但是由於某些設計及實作上的欠缺考量，使得WEP無法保證資料內容的機密性。設計協定時沒有考慮金鑰管理的問題，因此如果要管理一個很大的無線區域網路的話，金鑰的更換及配送將會是一個重要的管理問題。

14-*14-2無線網路的安全問題3.安全管理措施不當所有的網路設備出廠時都有一些預設的設定值，許多的管理者與使用者將網路設備當成家電般的隨插即用(PlugandPlay)，沒有更改系統內定的相關管理資訊，以致於駭客可經由原廠的設定資訊進行攻擊。這些缺失可能造成攻擊者反客為主，獲得設備的管理權限，造成安全的威脅。14-*14-2無線網路的安全問題以下介紹攻擊者可能的攻擊程序及其法律問題Module14-2-1:偵測WLANModule14-2