Обзор 802.1X и типы EAP

Документация

Информация о продукции и документация

000006999

28.10.2021

ПримечаниеЭти данные не предназначены для домашних или пользователей малого бизнеса, которые обычно не используют расширенные функции безопасности, такие как те, что обсуждаются на этой странице. Однако эти пользователи могут найти актуальные темы для информационных целей.

 

Обзор 802.1X

802.1X — это протокол доступа к портам для защиты сетей с помощью аутентификации. В результате этого метод аутентификации очень пригодится в среде Wi-Fi, поскольку носитель носителя имеет характер. Если пользователь Wi-Fi аутентификация через 802.1X для доступа к сети, на точке доступа, разрешаемой для связи, будет открыт виртуальный порт. Если это не разрешено, виртуальный порт не доступен, и коммуникации заблокированы.

Существует три базовых варианта аутентификации 802.1X:

  1. Supplicant Программный клиент, работающий на рабочей станции Wi-Fi.
  2. Аутентификация Точка доступа Wi-Fi.
  3. Сервер аутентификации База данных аутентификации, обычно сервер радиуса, такой как Cisco ACS*, Funk Steel-Belted RADIUS* или Microsoft IAS*.

Протокол extensible Authentication Protocol (EAP) используется для передавать данные аутентификации между заменяющей (рабочая станция Wi-Fi) и сервером аутентификации (Microsoft IAS или другим). Тип EAP фактически обрабатывает и определяет аутентификацию. Точка доступа, действующая как аутентификация, является только прокси-сервером, позволяющим проконтликатору и серверу аутентификации взаимодействовать.

Какую информацию необходимо использовать?

Тип EAP для реализации или реализации 802.1X напрямую зависит от уровня безопасности, необходимого организации, административных накладных расходов и желаемых функций. Приведенные здесь описания и сравнительная таблица легко облегчит понимание различных доступных типов EAP.

Типы аутентификации Extensible Authentication Protocol (EAP)

Поскольку безопасность локальной сети Wi-Fi (WLAN) имеет важное значение, а типы аутентификации EAP обеспечивают потенциально более надежное средство обеспечения безопасности WLAN, поставщики быстро разрабатывают и добавляют типы аутентификации EAP в свои точки доступа WLAN. Некоторые из наиболее часто используемых типов аутентификации EAP включают EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast и Cisco LEAP.

  • Задача EAP-MD-5 (Message Digest) — тип аутентификации EAP, обеспечивающий поддержку EAP на базовом уровне. EAP-MD-5 обычно не рекомендуется для внедрения Wi-Fi LAN, так как может разрешать получение пароля пользователя. Она обеспечивает только одностолевую аутентификацию — взаимная аутентификация клиентских сетей Wi-Fi и сети невозмещ. И очень важно, что она не предоставляет средства для получения динамических ключей проводного эквивалента конфиденциальности (WEP) на сеанс.
  • EAP-TLS (Transport Layer Security) обеспечивает взаимную аутентификацию клиента и сети на основе сертификатов. Для выполнения аутентификации он опирается на клиентские и серверные сертификаты и может использоваться для динамического создания ключей WEP на базе пользователей и сеансов для обеспечения последующей связи между клиентом WLAN и точкой доступа. Одно из основных преимуществ EAP-TLS заключается в том, что сертификатами необходимо управлять как на клиентской, так и на серверной стороне. Для большой установки WLAN это может быть очень сложной задачей.
  • EAP-TTLS (Tunneled Transport Layer Security) была разработана Funk Software* и Certicom*, как продолжение EAP-TLS. Этот метод безопасности обеспечивает взаимную аутентификацию клиента и сети через зашифрованный канал (или тоннель), а также возможность получения динамических ключей WEP на каждого пользователя в сеансе. В отличие от EAP-TLS, для EAP-TTLS требуются только сертификаты на стороне сервера.
  • Функция EAP-FAST (Гибкая аутентификация через безопасный тоннель) была разработана компанией Cisco*. Вместо использования сертификата для взаимной аутентификации. EAP-FAST authenticates с помощью PAC (Protected Access Credential), который может динамически управляться сервером аутентификации. PAC можно передавать клиенту (один раз) вручную или автоматически. Подготовка вручную — это доставка клиенту с помощью диска или защищенного сетевого дистрибутива. Автоматический резервинг — это часть передачи по воздуху и дистрибутиву.
  • Метод extensible Authentication Protocol для идентификации абонента GSM (EAP-SIM) — это механизм аутентификации и распределения ключей сеанса. В нем используется глобальный модуль идентификации абонента (GSM) для мобильной связи (SIM). В EAP-SIM используется динамический ключ weP на основе сессий, полученный из клиентского адаптера и сервера RADIUS, для шифрования данных. Для связи с модулем идентификации абонента (SIM) необходимо ввести код проверки пользователя или PIN-код. SIM-карта — это особая смарт-карта, используемая цифровыми сотовыми сетьми глобальной системы мобильной связи (GSM).
  • EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) — это механизм EAP для аутентификации и распределения ключей сеанса с использованием модуля идентификации абонента Universal Mobile Telecommunications System (UMTS) USIM. Карта USIM — это специальная смарт-карта, используемая в сотовых системах для проверки данных пользователей сети.
  • LEAP (Lightweight Extensible Authentication Protocol) — тип аутентификации EAP, используемый, главным образом, в WLAN Cisco A linuxnet*. Она шифрует передачу данных с помощью динамически генерируемых ключей WEP и поддерживает взаимную аутентификацию. В настоящее время компания Cisco лицензирует LEAP для различных других производителей в рамках программы Cisco Compatible Extensions.
  • PEAP (Protected Extensible Authentication Protocol) предоставляет метод для безопасной передачи данных аутентификации, включая устаревшие протоколы с паролем, через сети Wi-Fi 802.11. Для этого выполняется PEAP, используя тоннель между клиентами PEAP и сервером аутентификации. Подобно конкурирующей стандартной технологии Tunneled Transport Layer Security (TTLS), PEAP аутентификация клиентов Wi-Fi LAN с помощью только сертификатов на стороне сервера, упрощая внедрение и администрирование безопасной сети Wi-Fi. Microsoft, Cisco и RSA Security разработали PEAP.

Типы EAP 802.1X

Функция / преимущество

MD5
---
Дайджест сообщений 5
TLS
---
Безопасность транспортного уровня
TTLS
---
Безопасность уровня транспорта в тоннеле
PEAP
---
Защищенная безопасность на уровне транспорта

БЫСТРЫЙ
---
Гибкая аутентификация с помощью безопасного туннелинга

СКАЧОК
---
Протокол облегченной extensible Authentication Protocol
Требуется сертификат на стороне клиентаНетДаНетНетНет
(PAC)
Нет
Требуется сертификат на стороне сервераНетДаДаДаНет
(PAC)
Нет
Управление ключами WEPНетДаДаДаДаДа
Обнаружение точки доступа изгоевНетНетНетНетДаДа
ПоставщикаMSMSФанкMSCiscoCisco
Атрибуты аутентификацииОдин способВзаимногоВзаимногоВзаимногоВзаимногоВзаимного
Сложность развертыванияЛегкоЗатруднено (из-за развертывания клиентского сертификата)УмереннойУмереннойУмереннойУмеренной
Безопасность Wi-FiБедныхОчень высокаяВысокойВысокойВысокойВысокая скорость при использовании надежных паролей.

 

В обзоре вышеперечисленных обсуждений и таблиц обычно содержатся следующие выводы:

  • MD5 обычно не используется, так как она выполняет только одновременную аутентификацию, и еще важнее то, что они не поддерживают автоматическое распространение и перенаправление ключей WEP, поэтому ничего не делает для облегчения административного нагрузки обслуживания ключей WEP вручную.
  • TLS, хотя и является очень безопасным, требует установки клиентских сертификатов на каждой рабочей станции Wi-Fi. Для обслуживания инфраструктуры PKI требуется дополнительный административный опыт и время в дополнение к обслуживанию самой WLAN.
  • TTLS устраняет проблему сертификата путем туннелинга TLS и тем самым устраняет необходимость получения сертификата на стороне клиента. Поэтому этот вариант часто является предпочтительным. Funk Software* является основным рекламатором TTLS, и существует плата за серверное по дляпроизводительных и аутентификационных серверов.
  • LEAP имеет новейшую историю, и хотя ранее компания Cisco проприетарна (работает только с адаптерами Cisco Wi-Fi), cisco лицензирует LEAP для различных других производителей в рамках программы Cisco Compatible Extensions. Если для аутентификации используется LEAP, необходимо использовать политику надежного пароля.
  • EAP-FAST теперь доступна для предприятий, которые не могут обеспечить надежное соблюдение политики паролей и не хотят развертывать сертификаты для аутентификации.
  • Последнее время PEAP работает аналогично EAP-TTLS, поскольку для этого не требуется сертификат на стороне клиента. ПОДДЕРЖКА PEAP поддерживается Cisco и Microsoft и предоставляется бесплатно в Microsoft. При желании перехода с LEAP на PEAP сервер проверки подлинности ACS компании Cisco будет работать одновременно.

Другой вариант — VPN

Вместо того, чтобы использовать сеть Wi-Fi LAN для аутентификации и конфиденциальности (шифрование), многие предприятия внедряют VPN. Это выполняется путем размещения точек доступа за пределами корпоративного брандмауэра и открытия пользовательского тоннеля через VPN-шлюз , точно так же, как если бы они были удаленным пользователем. Недостатки внедрения решения VPN — это затраты, сложности начальной установки и постоянные накладные расходы на администрирование.