สำนักวิทยบริการและเทคโนโลยีสารสนเทศ (สวส.)

Office of Academic Resources and Information Technology

 

วินโดวส์ XP : "IEEE 802.1X Authentication"

คุณสมบัติหนึ่งของวินโดวส์ XP : "IEEE 802.1X Authentication"
 
 
คุณสมบัติหนึ่ง ของวินโดวส์ XP ที่มีประโยชน์อย่างมากคือ วินโดวส์ XP สามารถใช้งาน "IEEE 802.1X Authentication" ได้บนการ์ดแลน (LAN) ทุกรุ่นทุกขนาด สำหรับมาตรฐาน "IEEE 802.1X Authentication" นั้นอ้างอยู่บนพื้นฐานการควบคุมการใช้งานการใช้เน็ตเวิร์กแบบปกติ ( Port-base Ethernet authenticated network) และการใช้ IEEE 802.11 (LAN ไร้สาย ,wireless LAN) สำหรับการใช้ LAN แบบปกติ อุปกรณ์เน็ตเวิร์กต่างๆ จะไม่สามารถส่งข้อมูลเข้าสู่เน็ตเวิร์กจนกว่าจะได้รับสิทธิในการส่งข้อมูล จาก Switch (สำหรับ LAN) หรือ Wireless Access Point (สำหรับ Wireless)

การอนุญาตสิทธิทำผ่านกระบวนการ Ahthentication โดยการตรวจสอบจากอุปกรณ์เน็ตเวิร์กที่เชื่อมต่อด้วย ด้วยวิธีการที่คล้ายกับการตรวจสอบสิทธิในการต่อเข้าสู่อินเทอร์เน็ตของผู้ ให้บริการอินเทอร์เน็ต หรือเทียบได้กับตรวจสอบสิทธิของการเชื่อมเน็ตเวิร์ก ผ่านทางโมเด็ม หรือ virtual network

IEEE 802.1X ลดจำนวนช่องโหว่ทางด้านความปลอดภัยที่มีในเน็ตเวิร์กปัจจุบัน และสามารถทำงานร่วมกับ IEEE 802.11 wireless network ได้เป็นอย่างดี

IEEE 802.11 Wireless Network นั้นเป็นมาตรฐานเน็ตเวิร์กที่ใช้การตรวจสอบสิทธิ 2 วิธี : วิธีแรกคือการตรวจสอบสิทธิจากอุปกรณ์ไร้สายที่เชื่อมต่อด้วย (เรียกชื่อว่า Open System Authentication) และอีกวีธีคือ การตรวจสอบสิทธิโดยใช้ข้อมูลลับ (Shared Key Authentication) แต่การตรวจสอบสิทธิของ IEEE802.1X นี้ไม่เหมือนกับ Open System Authentication หรือ Shared Key Ahthentication แต่ IEEE 802.1X จะตรวจสอบสิทธิในการใช้เน็ตเวิร์กโดยการตรวจสอบชื่อ User โดยใช้การเข้าหรัสข้อมูลในการส่งข้อมูลแบบไร้สายร่วมด้วย

หากเราใช้ IEEE 802.11 Wireless LAN (WLAN) โดยไม่มีการตรวจสิทธิแบบ IEEE 802.1X ร่วมด้วย ข้อมูลของเราที่ส่งแบบไร้สาย มีโอกาสที่ Hacker จะโขมยข้อมูลได้ง่ายมาก

"Microsoft 802.1X Ahthentication Client" เป็นชุดซอฟต์แวร์ที่สามารถดาวน์โหลดไปใช้งานได้ฟรี ซึ่งจะช่วยให้เครื่องคอมพิวเตอร์ที่ทำงานด้วยระบบปฏิบัติการ วินโดวส์ 2000 พร้อม Service Pack 3 (หรือ Service Pack ที่มากกว่า 3) สามารถใช้งาน IEEE 802.1X เพื่อเพิ่มความปลอดภัยให้กับเน็ตเวิร์กที่ใช้งานอยู่ได้ (ทั้งแบบ LAN และ WLAN) สำหรับวินโดวส์ XP นั้นสามารถใช้ IEEE802.1X Ahthentication ได้ทันที

ใน "Microsoft 802.1X Authentication Client" ชุดนี้ ไม่รวมโปรแกรม "Windows XP Wireless Zero Configuraton" (WZC) ซึ่งใช้สำหรับช่วยในการตั้งค่าเพื่อเชื่อมต่อกับ wireless network ได้อย่างมีประสิทธิภาพมากยิ่งขึ้น

หากเราไม่มี WZC เราจำเป็นต้องตั้งค่าการเชื่อมต่อแบบไร้สายด้วยตัวเอง โดยใช้โปรแกรมตั้งค่าที่มาพร้อมกับอุปกรณ์ Wirelesss Lan

IEEE 802.1X Ahthentication ใช้มาตรฐาน "Extenible Ahthentication Protocol" (EAP) สำหรับแลกเปลี่ยนข้อมูลระหว่างขั้นตอนการตรวจสอบสิทธิ โดย Microsoft 802.1X Authentication Client ใช้วิธีการตรวจสิทธิของ EAP ดังต่อไปนี้เพื่อตรวจสอบสิทธิการเชื่อมต่อบน WLAN

* EAP-Transport Level Secutity (EAP-TLS) : วิธีการใช้ในการตรวจสอบสิทธิความปลอดภัยในสภาพแวดล้อมที่ต่างกัน โดย EAP-TLS นั้นจะช่วยในการเริ่มต้นการติดต่อ การเข้ารหัส และการสร้างกุญแจสำหรับเข้ารหัส ระหว่างเครื่องลูกข่ายและเครื่องแม่ข่ายที่ทำหน้าที่ตรวจสอบ สิทธิ(Authentication Sever) เช่น Remote Authentication Dial-In User Service (RADIUS)

* Protected EAP (PEAP) : เป็นวิธีในการตรวจสอบสิทธิที่ใช้ TLS เพื่อเพิ่มประสิทธิภาพของการรักษาความปลอดภัยของวิธีการตรวจสอบสิทธิของ EAP แบบอื่น PEAP ใน Mircrosoft 8021.X Authentication สนับสนุนการทำงานร่วมกับ TLS (PEAP-TLS) ซึ่งใช้การตรวจสอบสิทธิทั้ง Client และ Saver และยังมี Microsoft Challenge Handshek Authentication Protocol เวอร์ชัน 2 (PEAP-MS-CHAP v2) ที่ใช้การตรวจสอบสิทธิของ Server แบบ certificates และแบบรหัสผ่าน (Password) สำหรับการตรวจสอบสิทธิบนเครื่อง Client
 

ในชุด Service Pack1 (SP1) ของวินโดวส์ XP นั้นรองรับทั้ง PEAP-TLS และ PEAP-MS-CHAP v2.

เมื่อชุดโปรแกรม Microsoft 802.1X Ahthentication Client ถูกติดตั้งในเครื่องคอมพิวเตอร์ที่เป็นเครื่องในตระกูลวินโดวส์ 2000 Server จะทำให้เครื่องนั้นสามารถรองรับใช้งานการตรวจสิทธิแบบ PEAP ได้ทันที (ทั้งแบบ PEAP-TLS และ PEAP-MS-CHAP v2) สำหรับใช้ในการตรวจสอบสิทธิการใช้งานของบริการทางอินเทอร์เน็ต (Internet Ahthentication Service, IAS) เช่น RASIUS Server
 
ก่อนจะติดตั้ง Microsoft 802.1X Ahthentication Client เราต้อง
* ตรวจสอบว่า ติดตั้ง Wireless LAN บนคอมพิวเตอร์ไว้ถูกต้องเรียบร้อย
* ตรวจสอบว่าได้ติดตั้ง miniport driver ไว้แล้ว (มาพร้อมกับอุปกรณ์ Wireless LAN)
* ติดตั้งโปรแกรมสำหรับปรับตั้งค่า (Configuration Utility) ของ Wireless LAN (มาพร้อมกับอุปกรณ์ Wireless LAN)
* ใช้ Configuration Utility ที่ติดตั้งไป เพื่อปรับค่าของอุปกรณ์ wireless เพื่อเชื่อมต่อกับ Wireless LAN ที่มีอยู่และเปิดใช้ IEEE 802.1X
* ขอ certificate จากผู้ดูแลระบบเน็ตเวิร์ก
* ตรวจว่าเครื่องวินโดวส์ 2000 นั้นได้ติดตั้ง Service Pack 3 (หรือมากกว่า)
 
อ้างอิงข้อมูลจาก http://www.arip.co.th/articles.php?id=406043