निकटतम व्यक्ति मैं आम आदमी की शर्तों को कर सकता हूं, थोड़ा सरल, और सादगी के लिए सिर्फ WPA2 तक सीमित हूं:
802.1X एक एन्क्रिप्शन प्रकार नहीं है। यह मूल रूप से केवल प्रति-उपयोगकर्ता (जैसे उपयोगकर्ता नाम और पासवर्ड) प्रमाणीकरण तंत्र है।
WPA2 एक सुरक्षा योजना है जो आपकी वायरलेस सुरक्षा के दो मुख्य पहलुओं को निर्दिष्ट करती है:
- प्रमाणीकरण: PSK ("व्यक्तिगत") या 802.1X ("एंटरप्राइज़") की आपकी पसंद।
- एन्क्रिप्शन: हमेशा एईएस-सीसीएमपी।
यदि आप अपने नेटवर्क पर WPA2 सुरक्षा का उपयोग कर रहे हैं, तो आपके पास दो प्रमाणीकरण विकल्प हैं: आपको या तो पूरे नेटवर्क के लिए एक एकल पासवर्ड का उपयोग करना होगा जिसे हर कोई जानता है (इसे पूर्व-साझा कुंजी या PSK कहा जाता है), या आप 802.1X का उपयोग करते हैं प्रत्येक उपयोगकर्ता को अपने स्वयं के अद्वितीय लॉगिन क्रेडेंशियल (जैसे उपयोगकर्ता नाम और पासवर्ड) का उपयोग करने के लिए मजबूर करने के लिए।
भले ही प्रमाणीकरण प्रकार आपने उपयोग करने के लिए अपना नेटवर्क सेट किया हो, WPA2 हमेशा गोपनीयता की खातिर अपने डेटा को हवा में एन्क्रिप्ट करने के लिए, और विभिन्न अन्य प्रकार के हमलों को विफल करने के लिए AES-CCMP नामक योजना का उपयोग करता है।
802.1X "EAP over LANs" या EAPoL है। EAP का अर्थ "एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल" है, जिसका अर्थ है कि यह विभिन्न प्रमाणीकरण विधियों के लिए प्लग-इन स्कीम की तरह है। कुछ उदाहरण:
- क्या आप उपयोगकर्ता नाम और पासवर्ड के साथ अपने उपयोगकर्ताओं को प्रमाणित करना चाहते हैं? फिर "PEAP" उपयोग करने के लिए एक अच्छा EAP प्रकार है।
- क्या आप प्रमाणपत्रों के माध्यम से अपने उपयोगकर्ताओं को प्रमाणित करना चाहते हैं? फिर "ईएपी-टीएलएस" उपयोग करने के लिए एक अच्छा ईएपी प्रकार है।
- क्या आपके नेटवर्क पर सभी सिम कार्ड वाले GSM स्मार्टफोन हैं? फिर आप अपने नेटवर्क पर प्राप्त करने के लिए जीएसएम सिम-कार्ड शैली प्रमाणीकरण करने के लिए "ईएपी-सिम" का उपयोग कर सकते हैं। आदि आदि।
यदि आप 802.1X का उपयोग करने के लिए अपना वायरलेस राउटर सेट करते हैं, तो कुछ ईएपी प्रकार के माध्यम से अपने उपयोगकर्ताओं को प्रमाणित करने का एक तरीका होना चाहिए। कुछ राउटर्स में राउटर पर उपयोगकर्ता नाम और पासवर्ड की एक सूची इनपुट करने की क्षमता हो सकती है, और राउटर जानता है कि पूरे प्रमाणीकरण को कैसे करना है। लेकिन सबसे शायद आपको RADIUS को कॉन्फ़िगर करने की आवश्यकता होगी। RADIUS एक प्रोटोकॉल है जो आपको अपने उपयोगकर्ता नाम और पासवर्ड डेटाबेस को एक केंद्रीय सर्वर पर रखने की अनुमति देता है, इसलिए आपको उपयोगकर्ता को जोड़ने या हटाने या उपयोगकर्ता द्वारा अपना पासवर्ड या कुछ बदलने पर प्रत्येक बार अलग वायरलेस राउटर पर परिवर्तन करने की आवश्यकता नहीं होती है। 802.1X करने वाले वायरलेस राउटर आमतौर पर उपयोगकर्ताओं को सीधे प्रमाणित करने का तरीका नहीं जानते हैं, वे सिर्फ 802.1X और RADIUS के बीच प्रवेश करना जानते हैं ताकि वायरलेस क्लाइंट मशीन वास्तव में नेटवर्क पर एक RADIUS सर्वर द्वारा प्रमाणित हो जाए,
यदि आपके वायरलेस राउटर के यूजर इंटरफेस में एन्क्रिप्शन टाइप्स की सूची में "802.1X" है , तो इसका मतलब है कि "डायनामिक WEP के साथ 802.1X", जो एक पुरानी स्कीम है जहां 802.1X को प्रमाणीकरण और प्रति-उपयोगकर्ता प्रति सत्र के लिए उपयोग किया जाता है। WEP कुंजी गतिशील रूप से प्रमाणीकरण प्रक्रिया के हिस्से के रूप में उत्पन्न होती है, और इस प्रकार WEP अंततः एन्क्रिप्शन विधि का उपयोग किया जाता है।
अद्यतन करें: दो तार्किक पोर्ट
दो तार्किक पोर्ट संस्थाओं के बारे में आपके प्रश्न का उत्तर देने के लिए, 802.1X कल्पना में दो अलग-अलग अवधारणाएं हैं जिनका आप उल्लेख कर सकते हैं।
सबसे पहले, 802.1 X युक्ति क्लाइंट और सर्वर भूमिकाओं को 802.1X प्रोटोकॉल के लिए परिभाषित करता है, लेकिन यह उन्हें क्रमशः सप्लीमेंट और ऑथेंटिकेटर कहता है। आपके वायरलेस क्लाइंट या आपके वायरलेस राउटर के भीतर आपके पास सॉफ्टवेयर होता है जो 802.1X सप्लीमेंट या ऑथेंटिकेटर की भूमिका निभाता है। यह सॉफ़्टवेयर जो उस भूमिका को करता है उसे युक्ति द्वारा पोर्ट एक्सेस एंटिटी या PAE कहा जाता है।
दूसरा, कल्पना का उल्लेख है कि आपके वायरलेस क्लाइंट मशीन के भीतर, कहते हैं, आपके 802.1X अनुपूरक सॉफ़्टवेयर के लिए एक तरीका होना चाहिए ताकि प्रमाणीकरण को पूरा करने के लिए ईएपी पैकेट भेजने और प्राप्त करने के लिए आपके वायरलेस इंटरफ़ेस तक पहुंच हो, भले ही कोई अन्य नेटवर्किंग सॉफ़्टवेयर न हो। आपके सिस्टम को अभी तक वायरलेस इंटरफ़ेस का उपयोग करने की अनुमति है (क्योंकि नेटवर्क इंटरफ़ेस विश्वसनीय नहीं है जब तक कि इसे प्रमाणित नहीं किया गया है)। IEEE कल्पना दस्तावेजों के अजीब इंजीनियरिंग कानूनी में तो, यह कहता है कि एक तार्किक "अनियंत्रित पोर्ट" है जो 802.1X क्लाइंट सॉफ़्टवेयर हुक अप करता है, और एक "नियंत्रित पोर्ट" जो बाकी नेटवर्क स्टैक हुक करता है। जब आप पहली बार 802.1X नेटवर्क से कनेक्शन का प्रयास करते हैं, तो केवल अनियंत्रित पोर्ट सक्षम होता है जबकि 802.1X क्लाइंट अपनी बात करता है। एक बार कनेक्शन प्रमाणित हो जाने के बाद (और, कहें,
लंबे उत्तर, आम आदमी की शर्तों में इतना नहीं:
IEEE 802.1X वायर्ड या वायरलेस ईथरनेट LANs (और IEEE 802 परिवार में संभवतः अन्य नेटवर्क योजनाओं) के लिए प्रति-उपयोगकर्ता या प्रति-डिवाइस प्रमाणीकरण करने का एक तरीका है। यह मूल रूप से वायर्ड ईथरनेट नेटवर्क के लिए डिज़ाइन और तैनात किया गया था, और बाद में आईआईईई 802.11 (वायरलेस लैन) वर्किंग ग्रुप द्वारा 802.11i सुरक्षा परिशिष्ट के 802 802 के हिस्से के रूप में अपनाया गया था, प्रति उपयोगकर्ता या प्रति-डिवाइस विधि के रूप में सेवा करने के लिए। 802.11 नेटवर्क के लिए।
जब आप अपने WPA या WPA2 नेटवर्क पर 802.1X प्रमाणीकरण का उपयोग करते हैं, तो आप अभी भी WPA या WPA2 की गोपनीयता सिफर और संदेश अखंडता एल्गोरिदम का उपयोग कर रहे हैं। यही है, WPA के मामले में, आप अभी भी TKIP का उपयोग अपने संदेश की अखंडता जाँच के रूप में अपनी गोपनीयता सिफर और MIChael के रूप में कर रहे हैं। WPA2 के मामले में, आप AES-CCMP का उपयोग कर रहे हैं जो एक गोपनीयता सिफर के साथ-साथ एक संदेश अखंडता जांच दोनों है।
जब आप 802.1X का उपयोग कर रहे हैं तो अंतर यह है कि अब आप एक नेटवर्क-वाइड प्री-शेयर की (PSK) का उपयोग नहीं कर रहे हैं। क्योंकि आप सभी उपकरणों के लिए एक एकल PSK का उपयोग नहीं कर रहे हैं, प्रत्येक डिवाइस का ट्रैफ़िक अधिक सुरक्षित है। पीएसके के साथ, यदि आप पीएसके को जानते हैं और किसी डिवाइस के नेटवर्क में शामिल होने पर कुंजी हैंडशेक को कैप्चर करते हैं, तो आप उस डिवाइस के सभी ट्रैफ़िक को डिक्रिप्ट कर सकते हैं। लेकिन 802.1X के साथ, प्रमाणीकरण प्रक्रिया सुरक्षित रूप से कुंजीयन सामग्री उत्पन्न करती है जो कनेक्शन के लिए एक अद्वितीय पेयरवाइज मास्टर कुंजी (पीएमके) बनाने के लिए उपयोग की जाती है, इसलिए एक उपयोगकर्ता के लिए दूसरे उपयोगकर्ता के ट्रैफ़िक को डिक्रिप्ट करने का कोई तरीका नहीं है।
802.1X ईएपी, एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल पर आधारित है, जो मूल रूप से पीपीपी के लिए विकसित किया गया था, और अब भी वीपीएन समाधान में बड़े पैमाने पर उपयोग किया जाता है जो एन्क्रिप्टेड सुरंग (एलटी 2 पी-ओवर-आईपीएससी, पीपीटीपी, आदि) के अंदर पीपीपी का उपयोग करता है। वास्तव में, 802.1 X को आम तौर पर "EAP over LANs" या "EAPoL" कहा जाता है।
EAP बिना उपयोग किए जाने वाले विशेष प्रमाणीकरण विधि का विवरण जानने के लिए EAP परत के बिना प्रमाणीकरण संदेशों (प्रमाणीकरण अनुरोधों, चुनौतियों, प्रतिक्रियाओं, सफलता की सूचनाओं, आदि) के परिवहन के लिए एक सामान्य तंत्र प्रदान करता है। उपयोगकर्ता नाम और पासवर्ड, प्रमाण पत्र, टोकन कार्ड और अन्य के माध्यम से प्रमाणीकरण करने के लिए कई अलग-अलग "ईएपी प्रकार" (ईएपी में प्लग करने के लिए डिज़ाइन किए गए प्रमाणीकरण तंत्र) हैं।
पीपीपी और वीपीएन के साथ ईएपी के इतिहास के कारण, इसे हमेशा RADIUS के लिए आसानी से प्रवेश दिया गया है। उसके कारण, यह 802.11 APs के लिए विशिष्ट (लेकिन तकनीकी रूप से आवश्यक नहीं) है जो एक RADIUS क्लाइंट को रखने के लिए 802.1X का समर्थन करता है। इस प्रकार, AP आमतौर पर किसी के उपयोगकर्ता नाम या पासवर्ड को नहीं जानते हैं या यहां तक कि विभिन्न ईएपी प्रमाणीकरण प्रकारों को संसाधित करने का तरीका भी जानते हैं, वे सिर्फ 802.1X से एक जेनेरिक ईएपी संदेश में लेना जानते हैं, और इसे एक RADIUS संदेश में परिवर्तित करते हैं और इसे RADIUS सर्वर पर अग्रेषित करते हैं। । इसलिए एपी प्रमाणीकरण के लिए सिर्फ एक नाली है, और इसके लिए कोई पार्टी नहीं है। प्रमाणीकरण के वास्तविक समापन बिंदु आमतौर पर वायरलेस क्लाइंट और RADIUS सर्वर (या कुछ अपस्ट्रीम प्रमाणीकरण सर्वर जो RADIUS सर्वर गेटवे हैं) हैं।
आप जितना जानना चाहते थे उससे अधिक इतिहास:
जब 802.11 पहली बार बनाया गया था, तो इसका एकमात्र प्रमाणीकरण तरीका समर्थित था, जो 40- या 104-बिट WEP कुंजियों का उपयोग करके साझा-कुंजी प्रमाणीकरण का एक रूप था, और WEP प्रति नेटवर्क 4 कुंजी तक सीमित था। आपके नेटवर्क से जुड़ने वाले सभी उपयोगकर्ताओं या उपकरणों को नेटवर्क पर आने के लिए 4 छोटी कुंजियों में से एक को जानना होगा। प्रत्येक उपयोगकर्ता या डिवाइस को अलग से प्रमाणित करने के लिए मानक में कोई रास्ता नहीं था। साथ ही, जिस तरह से साझा-कुंजी प्रमाणीकरण को आसान "ऑफ़लाइन ओरेकल" तेज ब्रूट-बल कुंजी-अनुमान हमलों के लिए अनुमति दी गई थी।
एंटरप्राइज़-क्लास 802.11 गियर के कई विक्रेताओं ने महसूस किया कि प्रति-उपयोगकर्ता (अर्थात उपयोगकर्ता नाम और पासवर्ड, या उपयोगकर्ता प्रमाणपत्र) या प्रति-डिवाइस (मशीन प्रमाण पत्र) प्रमाणीकरण 802.11 को उद्यम बाजार में सफल बनाने के लिए आवश्यक था। भले ही 802.1X अभी तक पूरी तरह से नहीं किया गया था, सिस्को ने 802.1X का ड्राफ्ट संस्करण लिया, इसे एक ईएपी प्रकार (ईएपी-एमएससीएपी 2 के रूप में) तक सीमित कर दिया, जिससे यह प्रति-डिवाइस प्रति-सत्र गतिशील डब्ल्यूईपी कुंजी उत्पन्न हुआ, और बनाया गया जिसे उन्होंने "लाइटवेट ईएपी" या एलईएपी कहा है। अन्य विक्रेताओं ने भी इसी तरह की चीजें कीं, लेकिन क्लिनियर के नाम जैसे "802.1X डायनामिक WEP के साथ"।
वाई-फाई एलायंस (वायरलेस ईथरनेट कम्पैटिबिलिटी एलायंस, या "WECA") ने वांछनीय रूप से खराब प्रतिनिधि WEP को देखा और देखा कि उद्योग में सुरक्षा योजना का विखंडन हो रहा है, लेकिन IEEE 802.11 काम करने वाले समूह के समाप्त होने की प्रतीक्षा नहीं कर सकता है। 802.11 एक्स को 802.11 एक्स में अपनाना, इसलिए वाई-फाई एलायंस ने वाई-फाई प्रोटेक्टेड एक्सेस (डब्ल्यूपीए) बनाया जो कि WEP में खामियों को ठीक करने के लिए एक अंतर-क्रॉस-वेंडर मानक को परिभाषित करने के लिए एक गोपनीयता सिफर के रूप में है (इसे बदलने के लिए TKIP का निर्माण)। WEP- आधारित साझा प्रमाणीकरण में (इसे बदलने के लिए WPA-PSK का निर्माण), और प्रति-उपयोगकर्ता या प्रति-डिवाइस प्रमाणीकरण के लिए 802.1X का उपयोग करने का एक तरीका प्रदान करता है।
तब IEEE 802.11i कार्य समूह ने अपने काम को समाप्त कर लिया, भविष्य के गोपनीयता सिफर के रूप में एईएस-सीसीएमपी का चयन किया, और 802.1X को अपनाते हुए, इसे प्रति-उपयोगकर्ता और प्रति-डिवाइस प्रमाणीकरण के लिए 802.11 के लिए वायरलेस नेटवर्क पर सुरक्षित रखने के लिए कुछ प्रतिबंधों के साथ। वायरलेस LANs। बदले में, वाई-फाई एलायंस ने 802.11i कार्यान्वयन के बीच अंतर को प्रमाणित करने के लिए WPA2 बनाया। (वाई-फाई एलायंस वास्तव में एक इंटरोप प्रमाणन और विपणन संगठन है, और अक्सर IEEE को वास्तविक राजन मानक निकाय होने देना पसंद करता है। लेकिन अगर IEEE बहुत छिपा हुआ है और उद्योग के लिए पर्याप्त तेजी से आगे नहीं बढ़ रहा है, तो वाई- Fi एलायंस IEEE के आगे मानक-निकाय जैसा काम करेगा, और आम तौर पर बाद में बाहर आने पर संबंधित IEEE मानक से हार जाता है। "