Wi-Fi PEAP
1. 它是什么
Wi-Fi PEAP 是一种用于无线网络接入的安全认证协议。可以把它想象成进入一栋需要双重检查的大楼。第一重,无线网络(Wi-Fi)就像大楼的大门,你得先找到它。第二重,PEAP 是门内的一个特殊前台,它为你和楼内的安全系统之间建立一个受保护的隐私通道,在这个加密通道里,你才出示你的工牌(用户名)和密码。它的核心是建立一个安全的“隧道”,保护你的身份凭证在传输中不被窃听。
2. 它能做什么
其主要作用是安全地验证用户或设备的身份,允许合法者接入受保护的无线网络,同时拒绝非法访问。
保护登录信息:在公共或企业Wi-Fi中,直接发送用户名和密码是危险的。PEAP 先建立加密隧道,再传送凭证,避免了凭证被空中截获。
简化管理:它常用于需要统一账号管理的场景,比如医院。医护人员可以使用自己在医院信息系统中的同一套账号密码,安全地连接医疗设备的专用Wi-Fi,无需为每个设备记忆单独的密码。
对接中央认证系统:PEAP 本身不判断密码对错,它像一个安全的“传话员”,将收到的凭证传递给后台更专业的认证服务器(如 RADIUS 服务器)来做决定。这实现了集中化管理。
3. 怎么使用
对于使用者(如操作医疗设备的医护人员)或设备配置者来说,过程通常是直观的:
选择网络:在设备的Wi-Fi设置中找到并选择指定的无线网络名称(SSID)。
输入身份信息:当连接时,设备会弹出提示。需要输入“用户名”和“密码”。这就是你在中央系统(如医院AD域)中的账户。
信任证书:在首次连接时,设备可能会弹出警告,询问是否信任认证服务器的证书。通常需要选择“信任”或“接受”,这相当于你确认前台(服务器)是合法的,不是假冒的。此后连接便不再提示。
对于网络管理员,则需要在后台部署认证服务器,并正确配置Wi-Fi接入点以使用PEAP协议。
4. 最佳实践
在医疗设备等严肃工业环境中应用PEAP,需注意以下几点:
服务器证书管理:确保认证服务器使用受信任的、有效期内的数字证书。证书过期会导致所有设备无法连接。这类似于公司前台的工作证必须按时更新。
强密码策略:配合后台认证系统,强制使用高强度、定期更换的密码,这是防御凭证猜测或泄露的基础。
网络分段:即使通过PEAP认证,也应将医疗设备Wi-Fi网络与访客网络、办公网络进行逻辑隔离(VLAN),限制设备只能访问必要的服务器和端口,降低被横向攻击的风险。
备用方案:对于关键生命支持类设备,需考虑有线网络作为备用连接方式,以防无线网络或认证系统出现临时故障。
记录与监控:开启认证日志功能,监控失败的连接尝试,这有助于及时发现异常访问或配置问题。
5. 和同类技术对比
PEAP vs. EAP-TLS:
PEAP:只需要服务器有证书,客户端使用用户名/密码。部署相对简单,适合人员使用。可以理解为:前台有工作证(服务器证书),你出示身份证和签字(用户名/密码)即可进入。
EAP-TLS:要求客户端和服务器双方都有数字证书。安全性更高,但需要为每个设备或用户管理一个证书,部署复杂。适合设备到设备(M2M)的认证,例如自动化产线上的固定设备。这相当于你和前台双方都要出示带芯片的、难以伪造的专属证件。
对比:PEAP在易用性和安全性上取得了较好平衡,是人员接入的主流选择;EAP-TLS安全性最强,但管理开销大,常用于对安全要求极高的固定设备场景。
PEAP vs. 开放/WPA2个人版(预共享密钥):
开放/WPA2个人版:像一个用同一把物理钥匙或通用密码的大门,谁拿到钥匙或密码都能进,难以追溯具体使用者,更换密码需通知所有设备。
PEAP:像使用个人工牌刷卡进入,权限可精确到个人,随时可单独禁用某个账号而不影响他人,登录行为可追溯。
对比:在企业或机构环境中,PEAP在可管理性、安全性和问责制上远优于共享密钥的方式。