Обзор 802.1X и типы EAP

Документация

Информация о продукции и документация

000006999

26.03.2021

ПримечаниеЭти данные не предназначены для домашних пользователей или пользователей малого бизнеса, которые обычно не используют расширенные функции безопасности, такие как те, что обсуждаются на этой странице. Однако эти пользователи могут найти актуальные темы в информационных целях.

 

Обзор 802.1X

802.1X — это протокол доступа к портам для защиты сетей с помощью аутентификации. В результате этого метод аутентификации очень полезен в среде Wi-Fi в связи с характером среды. Если пользователь Wi-Fi аутентификация осуществляется с помощью технологии 802.1X для доступа к сети, на точке доступа будет открыт виртуальный порт, позволяющий обеспечить связь. Если это не разрешено, виртуальный порт не доступен, и связь блокирована.

Существует три основных шт. аутентификации 802.1X:

  1. Supplicant Клиент программного обеспечения, работающий на рабочей станции Wi-Fi.
  2. Аутентификация Точка доступа Wi-Fi.
  3. Сервер аутентификации База данных аутентификации, обычно это сервер радиуса службы, такой как Cisco ACS*, Funk Steel-Server RADIUS* или Microsoft IAS*.

Протокол EAP (Extensible Authentication Protocol) используется для переустановки информации аутентификации между службой поддержки (рабочей станции Wi-Fi) и сервером аутентификации (Microsoft IAS или другим). Фактически тип EAP обрабатывает и определяет аутентификацию. Точка доступа, действующая в качестве аутентификационора, является лишь прокси-сервером, позволяющим проконтликатору и серверу аутентификации взаимодействовать.

Что мне использовать?

Тип EAP для реализации или вообще реализации 802.1X зависит от уровня безопасности, необходимого организации, необходимого административного накладного и необходимых функций. Подробное описание здесь и сравнительная таблица облегчит понимание различных доступных типов EAP.

Типы аутентификации extensible Authentication Protocol (EAP)

Поскольку безопасность локальной сети Wi-Fi (WLAN) имеет важное значение, и типы аутентификации EAP предоставляют потенциально лучшее средство обеспечения безопасности подключения WLAN, поставщики быстро разрабатывают и добавляют типы аутентификации EAP в свои точки доступа WLAN. Некоторые из наиболее часто развернутых типов аутентификации EAP включают EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast и Cisco LEAP.

  • Задача EAP-MD-5 (Message Digest) представляет собой тип аутентификации EAP, который обеспечивает поддержку EAP на базовом уровне. Для реализаций Wi-Fi LAN обычно не рекомендуется использовать EAP-MD-5, так как она может разрешить вывод пароля пользователя. Она обеспечивает только одностостотную аутентификацию — взаимная аутентификация клиентов Wi-Fi и сети невозмоготна. И очень важно, что она не предоставляет средства получения динамических ключей, получаемого в ходе сеанса с помощью проводного эквивалентного ключа конфиденциальности (WEP).
  • EAP-TLS (Transport Layer Security) обеспечивает во взаимной аутентификации клиента и сети сертификаты. Он основан на сертификатах на стороне клиентских систем и на стороне сервера для выполнения аутентификации и может использоваться для динамического создания пользовательских и сеансных ключей WEP для обеспечения последующей связи между клиентом WLAN и точкой доступа. Одним из главных недостатков EAP-TLS является то, что сертификатами должны управляться как на клиентской, так и на серверной стороне. Для крупных установок WLAN это может быть очень сложной задачей.
  • Программа EAP-TTLS (Tunneled Transport Layer Security) была разработана компанией Funk Software* и Certicom*, как продолжение EAP-TLS. Этот метод безопасности обеспечивает взаимную аутентификацию клиента и сети через зашифрованный канал (или тоннель), а также возможность получения динамических ключей для каждого пользователя в сеансе WEP. В отличие от EAP-TLS, для EAP-TTLS требуются только сертификаты на стороне сервера.
  • Система EAP-FAST (Flexible Authentication via Secure Tunneling) была разработана Cisco*. Вместо использования сертификата для взаимной аутентификации. EAP-FAST authenticates с помощью PAC (Protected Access Credential), которое динамически может управляться сервером аутентификации. PAC можно разослать клиенту (один раз) вручную или автоматически. Подготовка вручную — это доставка клиенту с диска или с помощью метода защищенного сетевого распределения. Автоматическая подготовка — это в полосе, по воздуху, дистрибутиву.
  • Метод extensible Authentication Protocol для идентификационной идентификации подписчиков GSM (EAP-SIM) является механизмом аутентификации и распределения ключей сеанса. Она использует модуль идентификационной идентификации подписчиков (Global System for Mobile Communications, GSM). EAP-SIM использует динамический ключ WEP на основе динамического сеанса, полученный от клиентского адаптер и сервера RADIUS, для шифрования данных. Для связи с модулем идентификации абонента (SIM) необходимо ввести код проверки пользователя или PIN-код. SIM-карта — это особая интеллектуальная карта, используемая цифровыми сотовыми сетями на базе глобальной системы мобильной связи (GSM).
  • EAP-AKA (Метод протокола extensible Authentication Protocol для проверки подлинности UMTS и ключевого соглашения) — это механизм EAP для аутентификации и распределения ключей сеансов с использованием модуля идентификации абонентов Universal Mobile Telecommunications System (UMTS) (USIM). Карта USIM — это специальная интеллектуальная карта, используемая с сотовыми сетями для проверки данных пользователей в сети.
  • LEAP (Lightweight Extensible Authentication Protocol) — тип аутентификации EAP, используемый, преимущественно, в WLANs Cisco Atensnet*. Она шифрует передачу данных с помощью динамически генерируемых ключей WEP и поддерживает взаимную аутентификацию. В этом году компания Cisco лицензирует LEAP для различных других производителей в рамках программы Cisco Compatible Extensions.
  • PEAP (Protected Extensible Authentication Protocol) предоставляет метод передачи данных безопасной аутентификации, включая устаревшие протоколы с паролем, через сети Wi-Fi 802.11. Для этого с помощью туннелирования между клиентами PEAP и сервером аутентификации выполняется PEAP. Как и в конкурирующей стандартной процедуре TTLS (Tunneled Layer Security), PEAP аутентификацию клиентских сетей Wi-Fi, используя только сертификаты на стороне сервера, упрощая процесс внедрения и администрирования защищенной локальной сети Wi-Fi. Microsoft, Cisco и служба безопасности RSA разработали PEAP.

Типы EAP 802.1X

Функция / преимущество

MD5
---
Дайджест сообщений 5
Tls
---
Безопасность уровня транспорта
Ttls
---
Безопасность уровня транспорта в тоннеле
Peap
---
Защищенная безопасность на уровне транспорта

Быстрый
---
Гибкая аутентификация с помощью безопасного туннелирования

Скачок
---
Облегченный протокол extensible Authentication Protocol
Требуется сертификат на стороне клиентаНетДаНетНетНет
(PAC)
Нет
Требуется сертификат на стороне сервераНетДаДаДаНет
(PAC)
Нет
Управление ключами WEPНетДаДаДаДаДа
Обнаружение доступа с перемывомНетНетНетНетДаДа
ПоставщикаMsMsФанкMsCiscoCisco
Атрибуты аутентификацииОдин способВзаимногоВзаимногоВзаимногоВзаимногоВзаимного
Сложности развертыванияЛегкоСложно (из-за развертывания клиентского сертификата)УмереннойУмереннойУмереннойУмеренной
Безопасность Wi-FiБедныхОчень высокаяВысокойВысокойВысокойВысокая при в пароле.

 

В обзоре вышеперечисленного обсуждения и в таблице обычно приводится следующая проверка:

  • MD5 обычно не используется, так как она работает только с аутентификацией с одновременным аутентификацией, и, что еще более важно, не поддерживает автоматическое распространение и ротацию ключей WEP, поэтому не помогает облегчить административное ремень обслуживания ключей WEP вручную.
  • Для работы TLS необходимо, чтобы клиентские сертификаты были установлены на каждой рабочей станции Wi-Fi. Для обслуживания инфраструктуры PKI требуется дополнительный административный опыт и время в дополнение к обслуживанию самой WLAN.
  • TTLS устраняет проблему сертификата путем туннелинга TLS и тем самым устраняет необходимость сертификата на стороне клиента. Зачастую это является предпочтительным вариантом. Funk Software* является основным организатором рекламы TTLS, и существует плата за попроизводительное и аутентификация серверного ПО.
  • LEAP имеет давнюю историю, и хотя ранее компания Cisco проприетарна (работает только с адаптерами Cisco Wi-Fi), Cisco лицензирует LEAP для различных производителей в рамках программы Cisco Compatible Extensions. Если для аутентификации используется LEAP, необходимо соблюдать прочная политика в отношении пароля.
  • EAP-FAST теперь доступна для предприятий, которые не могут применять прочная политика паролей и не хотят развертывать сертификаты для аутентификации.
  • Более недавние peAP работают аналогично EAP-TTLS, что для этого не требуется сертификат на стороне клиента. ПРОГРАММА PEAP, которая обеспечивается при наличии поддержки Cisco и Microsoft, доступна бесплатно. При желании перейти с LEAP на PEAP сервер проверки подлинности Cisco ACS будет работать на обоих серверах.

Другим вариантом является VPN

Вместо использования Wi-Fi LAN для аутентификации и шифрования многие предприятия внедряют VPN. Это делается путем размещения точек доступа за пределами корпоративного брандмауэра и использования пользовательского канала через VPN-шлюз , точно так же, как если бы они были удаленным пользователем. Проблемы внедрения решения ДЛЯ VPN - это затраты, начальные сложности установки и текущие затраты на администрирование.