Przegląd i typy EAP w wersji 802.1X

Dokumentacja

Informacje o produkcie i dokumentacja

000006999

28-10-2021

UwagaTe dane nie są przeznaczone dla użytkowników domowych lub małych biur, którzy zazwyczaj nie korzystają z zaawansowanych funkcji zabezpieczeń, takich jak te omawiane na tej stronie. Użytkownicy ci mogą jednak znaleźć tematy, które są istotne dla celów informacyjnych.

 

Przegląd wersji 802.1X

802.1X to protokół dostępu do portu zapewniający ochronę sieci poprzez uwierzytelnianie. W rezultacie ten rodzaj metody uwierzytelniania jest niezwykle przydatny w środowisku Wi-Fi ze względu na charakter medium. Jeśli użytkownik sieci Wi-Fi jest uwierzytelniony za pomocą trybu 802.1X w celu uzyskania dostępu do sieci, w punkcie dostępu otwarty jest port wirtualny umożliwiający komunikację. Jeśli nie zostało to pomyślnie zatwierdzone, wirtualny port nie jest dostępny, a komunikacja jest blokowana.

Istnieją trzy podstawowe uwierzytelnienia w wersji 802.1X:

  1. Chyłka Oprogramowanie klienckie działające na stacji roboczej Wi-Fi.
  2. Authenticator Punkt dostępu Wi-Fi.
  3. Serwer uwierzytelniania Uwierzytelnianie w bazie danych, zwykle serwer, taki jak Cisco ACS*, Funk Steel-Belted WIBC* lub Microsoft IAS*.

Protokół extensible Authentication Protocol (EAP) służy do przekazywania informacji o uwierzytelnianiu między stacją roboczą Wi-Fi a serwerem uwierzytelniania (Microsoft IAS lub innym). Typ EAP faktycznie obsługuje i definiuje uwierzytelnianie. Punkt dostępu pełniący funkcję authenticatora jest jedynie serwerem proxy umożliwiającym komunikację z serwerem uwierzytelniającym i serwerem uwierzytelniania.

Którego z nich należy użyć?

Który typ EAP wdrożyć lub czy w ogóle wdrożyć 802.1X, zależy od poziomu zabezpieczeń, którego potrzebuje organizacja, pożądanych kosztów administracyjnych i pożądanych funkcji. Omówienie opisów w niniejszym dokumencie oraz tabela porównawcza łagodzą trudności w zrozumieniu różnych dostępnych typów EAP.

Typy uwierzytelniania extensible Authentication Protocol (EAP)

Ponieważ bezpieczeństwo sieci lokalnej Wi-Fi (WLAN) jest niezbędne, a typy uwierzytelniania EAP zapewniają potencjalnie lepszy sposób zabezpieczenia połączenia WLAN, dostawcy szybko się rozwijają i dodają typy uwierzytelniania EAP do swoich punktów dostępu WLAN. Niektóre z najczęściej wdrażanych typów uwierzytelniania EAP obejmują EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast i Cisco LEAP.

  • Wyzwanie EAP-MD-5 (Message Digest) to rodzaj uwierzytelniania EAP, który zapewnia obsługę EAP na poziomie podstawowym. Zazwyczaj EAP-MD-5 nie jest zalecany w implementacjach sieci Wi-Fi LAN, ponieważ może ono pozwolić na wyprowadzenie hasła użytkownika. Zapewnia jedynie uwierzytelnianie w jedną stronę — nie ma wspólnego uwierzytelniania klienta Wi-Fi i sieci. I co bardzo ważne, nie zapewnia on środków do czerpania dynamicznych kluczy prywatności przewodowej (WEP) na sesję.
  • EAP-TLS (Transport Layer Security) zapewnia uwierzytelnianie oparte na certyfikatach i wzajemne uwierzytelnianie klienta i sieci. Polega ona na certyfikatach po stronie klienta i certyfikatów po stronie serwera do wykonywania uwierzytelniania i może być wykorzystywana do dynamicznego generowania kluczy WEP opartych na użytkownikach i sesjach w celu zabezpieczenia późniejszej komunikacji między klientem WLAN a punktem dostępu. Wadą EAP-TLS jest to, że certyfikaty muszą być zarządzane zarówno po stronie klienta, jak i serwera. W przypadku dużej instalacji sieci WLAN może to być bardzo uciążliwe zadanie.
  • Technologia EAP-TTLS (Tunneled Transport Layer Security) została opracowana przez firmy Funk Software* i Certicom*, jako rozszerzenie EAP-TLS. Ta metoda zabezpieczeń zapewnia oparte na certyfikatach, wzajemne uwierzytelnianie klienta i sieci przez zaszyfrowany kanał (lub tunel), a także sposób na czerpanie dynamicznych kluczy WEP na użytkownika, na sesję. W przeciwieństwie do EAP-TLS, EAP-TTLS wymaga jedynie certyfikatów po stronie serwera.
  • Rozwiązanie EAP-FAST (elastyczne uwierzytelnianie za pomocą bezpiecznego tunelowania) zostało opracowane przez firmę Cisco*. Zamiast używać certyfikatu do osiągnięcia uwierzytelniania wzajemnego. Uwierzytelnianie EAP-FAST jest możliwe za pomocą narzędzia PAC (Protected Access Credential), które może być dynamicznie zarządzane przez serwer uwierzytelniania. Pac może być dostarczany (dystrybuowane jednorazowo) klientowi ręcznie lub automatycznie. Instrukcja zaopatrzenia to dostarczanie klientowi za pomocą dysku lub metody dystrybucji sieci zabezpieczonej. Automatyczne aprowiowanie odbywa się w paśmie, w powietrzu i w dystrybucji.
  • Metoda rozszerzonego protokołu uwierzytelniania dla tożsamości subskrybenta GSM (EAP-SIM) to mechanizm uwierzytelniania i dystrybucji klucza sesji. Wykorzystuje moduł tożsamości subskrybenta systemu globalnej komunikacji mobilnej (GSM) SIM. EAP-SIM korzysta z dynamicznego klucza WEP opartego na sesji, który pochodzi z karty sieciowej klienta i serwera WIOŚ, do szyfrowania danych. EAP-SIM wymaga podania kodu weryfikacyjnego użytkownika lub kodu PIN w celu komunikacji z kartą SIM (Subscriber Identity Module). Karta SIM to specjalna karta inteligentna używana przez cyfrowe sieci komórkowe z globalnym systemem komunikacji mobilnej (GSM).
  • EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) to mechanizm eAP służący do uwierzytelniania i dystrybucji klucza sesji przy użyciu modułu tożsamości subskrybenta Uniwersalnego Systemu telekomunikacyjnego (UMTS) (USIM). USIM to specjalna karta inteligentna używana w sieciach komórkowych do weryfikacji danego użytkownika za pomocą sieci.
  • LEAP (Lightweight Extensible Authentication Protocol) to rodzaj uwierzytelniania EAP stosowany głównie w sieciach WLAN Cisco Aironet*. Szyfruje transmisje danych przy użyciu dynamicznie generowanych kluczy WEP i obsługuje uwierzytelnianie wzajemne. Dotychczas firma Cisco ma licencję LEAP na wielu innych producentów za pośrednictwem programu Cisco Compatible Extensions.
  • PEAP (Protected Extensible Authentication Protocol) to metoda bezpiecznego transportu danych uwierzytelniania, w tym starszych protokołów opartych na haśle, za pośrednictwem sieci Wi-Fi 802.11. Peap osiąga ten cel za pomocą tunelowania między klientami PEAP a serwerem uwierzytelniania. Podobnie jak w przypadku konkurencyjnych standardów Tunneled Transport Layer Security (TTLS), rozwiązanie PEAP uwierzytelnia klientów sieci Wi-Fi LAN przy użyciu jedynie certyfikatów po stronie serwera, upraszczając w ten sposób implementację i administrację bezpiecznej sieci Wi-Fi LAN. Firmy Microsoft, Cisco i RSA Security opracowały peap.

Typy 802.1X EAP

Funkcja / korzyść

MD5
---
Przegląd wiadomości 5		TLS
---
Bezpieczeństwo na poziomie transportu		TTLS
---
Bezpieczeństwo poziomu transportu tunelowego		PEAP
---
Bezpieczeństwo chronionego poziomu transportu

SZYBKO
---
Elastyczne uwierzytelnianie za pomocą bezpiecznego tunelowania

SKOK
---
Lekki protokół uwierzytelniania Extensible
Wymagany certyfikat po stronie klientaNrTakNrNrNr
(PKA)		Nr
Wymagany certyfikat serwerowyNrTakTakTakNr
(PKA)		Nr
Zarządzanie kluczem WEPNrTakTakTakTakTak
Wykrywanie Rogue APNrNrNrNrTakTak
DostawcaPANIPANIFunkPANICiscoCisco
Atrybuty uwierzytelnianiaW jedną stronęWzajemnegoWzajemnegoWzajemnegoWzajemnegoWzajemnego
Trudności w wdrożeniuŁatweTrudne (z powodu wdrożenia certyfikatu klienta)UmiarkowaneUmiarkowaneUmiarkowaneUmiarkowane
Bezpieczeństwo sieci Wi-FiBiednychBardzo wysokaWysokiejWysokiejWysokiejWysoka po użyciu mocnych haseł.

 

Przegląd powyższych dyskusji i tabel zazwyczaj dostarcza następujących kryteriów:

  • MD5 nie jest zazwyczaj używany, ponieważ ma jedynie uwierzytelnianie w jedną stronę, a co ważniejsze, nie obsługuje automatycznej dystrybucji i rotacji kluczy WEP, więc nie odciąża obciążenia administracyjne ręcznego konserwacji klucza WEP.
  • TLS, choć bardzo bezpieczny, wymaga zainstalowania certyfikatów klientów na każdej stacji roboczej Wi-Fi. Utrzymanie infrastruktury PKI wymaga dodatkowej wiedzy w zakresie administracji oraz czasu poza utrzymaniem samej sieci WLAN.
  • TTLS rozwiązuje problem certyfikatu poprzez tunelowanie TLS, eliminując w ten sposób potrzebę posiadania certyfikatu po stronie klienta. Sprawiając, że jest to często preferowana opcja. Funk Software* jest głównym twórcą technologii TTLS. Powodem jest obciążenie oprogramowania serwerowego do weryfikacji i weryfikacji oprogramowania.
  • Leap ma najdłuższą historię, a mimo że wcześniej opatentowana przez cisco (współpracuje tylko z kartami Wi-Fi Cisco), firma Cisco licencjonowała LEAP wielu innym producentom za pośrednictwem programu Cisco Compatible Extensions. Zasady dotyczące silnego hasła powinny zostać wyeksuowane, gdy leap jest używany do uwierzytelniania.
  • EAP-FAST jest teraz dostępny dla przedsiębiorstw, które nie są w stanie wyegzekwować zasad silnego hasła i nie chcą wdrażać certyfikatów w celu uwierzytelniania.
  • Najnowszy PEAP działa podobnie do EAP-TTLS, ponieważ nie wymaga certyfikatu po stronie klienta. Produkty PEAP są wspierane przez firmy Cisco i Microsoft i są dostępne bez dodatkowych kosztów ze strony firmy Microsoft. Jeśli chcesz przejść z LEAP na PEAP, serwer uwierzytelniania ACS firmy Cisco będzie działał zarówno.

Inną opcją jest VPN

Zamiast polegać na sieci Wi-Fi LAN w celu uwierzytelniania i prywatności (szyfrowanie), wiele przedsiębiorstw wdraża sieć VPN. Odbywa się to poprzez umieszczenie punktów dostępu poza zaporą korporacyjną i wejście do tuneli użytkownika przez bramę VPN . Tak, jakby były zdalnym użytkownikiem. Wadami wdrożenia rozwiązania SIECI VPN są koszty, początkowe złożoność instalacji i bieżące koszty administracyjne.