Typy przeglądów i EAP 802.1X

Dokumentacja

Informacje o produkcie i dokumentacja

000006999

26-03-2021

UwagaDane te nie są przeznaczone dla użytkowników domowych i małych firm, którzy zazwyczaj nie korzystają z zaawansowanych funkcji zabezpieczeń, takich jak te omówione na tej stronie. Jednakże, użytkownicy ci mogą znaleźć tematy, które są dla celów informacyjnych.

 

Przegląd 802.1X

802.1X to protokół dostępu do portów, który zapewnia ochronę sieci za pomocą uwierzytelniania. W rezultacie ten rodzaj uwierzytelniania jest niezwykle przydatny w środowisku Wi-Fi ze względu na naturę nośnika. Jeśli użytkownik sieci Wi-Fi jest uwierzytelniony za pośrednictwem 802.1X w celu uzyskania dostępu do sieci, w punkcie dostępu otwiera się port wirtualny umożliwiający komunikację. Jeśli autoryzacja nie została ukończona, wirtualny port nie jest dostępny, a komunikacja jest blokowana.

Istnieją trzy podstawowe elementy uwierzytelniania 802.1X:

  1. Wyeksplikator do wyeksplikatora Klient oprogramowania działających na stacji roboczej Wi-Fi.
  2. Uwierzytelniator Punkt dostępu Wi-Fi.
  3. Serwer uwierzytelniania Baza danych do uwierzytelniania, zwykle serwer typu cisco ACS*, Chcę, aby STEEL-ChEMS lub Microsoft IAS*.

Protokół Extensible Authentication Protocol (EAP) używany jest w celu przekazania informacji o uwierzytelnieniu pomiędzy stacją roboczą Wi-Fi a serwerem uwierzytelniania (Microsoft IAS lub innymi). Typ EAP obsługuje i definiuje uwierzytelnianie. Punkt dostępu działający w roli uwierzytelniacza jest jedynie serwerem proxy do umożliwienia komunikacji przez serwer uwierzytelniania i oprogramowanie do uwierzytelniania.

Którego należy użyć?

Który typ EAP do implementacji, czy też w ogóle wdrożyć 802.1X, zależy od poziomu bezpieczeństwa, jakiego potrzebuje organizacja, obciążenia administracyjnego i wymaganych funkcji. Opisy opisów w tym miejscu i tabela porównawcza ułatwiają zrozumienie różnych dostępnych typów EAP.

Typy uwierzytelniania extensible Authentication Protocol (EAP)

Ponieważ zabezpieczenia sieci Wi-Fi Local Area Network (WLAN) są niezbędne, a typy uwierzytelniania EAP zapewniają potencjalnie lepsze sposoby zabezpieczenia połączenia WLAN, dostawcy szybko opracowują i dodają typy uwierzytelniania EAP do swoich punktów dostępu WLAN. Do najczęściej wdrażanych typów uwierzytelniania EAP należą EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast i Cisco LEAP.

  • EAP-MD-5 (Message Digest) Challenge to typ uwierzytelniania EAP, który zapewnia obsługę protokołu EAP na poziomie bazowym. Standard EAP-MD-5 zwykle nie jest zalecany do wdrożeń sieci Wi-Fi LAN, ponieważ może pozwalać na uzyskiwanie hasła użytkownika. Zapewnia on tylko jednogniazowe uwierzytelnianie – nie ma uwierzytelniania uwierzytelnienia klienta Wi-Fi i sieci. A to nie wszystko, ponieważ nie zapewnia możliwości czerpania dynamicznych, przewodowych kluczy równorzędnych prywatności (WEP) na sesję.
  • EAP-TLS (Transport Layer Security) umożliwia uwierzytelnienie klienta i sieci na podstawie certyfikatu i jego kontroli. Do przeprowadzania uwierzytelniania służą certyfikaty WEP po stronie klienta i serwera. Służą do dynamicznego generowania kluczy WEP opartych na użytkownikach i sesji w celu zabezpieczenia kolejnej komunikacji między klientem WLAN a punktem dostępu. Jednym z braków EAP-TLS jest to, że certyfikaty muszą być zarządzane zarówno po stronie klienta, jak i serwera. W przypadku dużej instalacji sieci WLAN, może to być bardzo skomplikowane zadanie.
  • EAP-TTLS (Tunneled Transport Layer Security) został stworzony przez firmy Tycznym Software* i Certicom* jako rozszerzenie EAP-TLS. Ta metoda zabezpieczeń umożliwia uwierzytelnienie klienta i sieci za pośrednictwem zaszyfrowanego kanału (lub tunelu), oparte na certyfikatach, a także umożliwia czerpanie dynamicznych kluczy WEP na użytkownika w każdej sesji. W przeciwieństwie do protokołu EAP-TLS, EAP-TTLS wymaga wyłącznie certyfikatów po stronie serwera.
  • Rozwiązanie EAP-FAST (Flexible Authentication via Secure Tunneling) zostało opracowane przez Cisco*. Zamiast korzystać z certyfikatu w celu uzyskania uwierzytelnienia uwierzytelnienia. EAP-FAST uwierzytelnia się za pomocą PAC (Protected Access Credential), którym dynamicznie zarządza serwer uwierzytelniania. Pac można aprowizować (dystrybuowany jeden raz) do klienta ręcznie lub automatycznie. Aprowizowanie ręczne jest dostarczana do klienta za pośrednictwem dysku lub metody bezpiecznej dystrybucji sieci. Automatyczne dostarczanie jest w pasmem, w powietrzu i w dystrybucji.
  • Extensible Authentication Protocol Method for GSM Subscriber Identity (EAP-SIM) to mechanizm uwierzytelniania i dystrybucji klucza sesji. Korzysta on z modułu Global System for Mobile Communications (GSM) Subscriber Identity Module (SIM). W celu szyfrowania danych karta EAP-SIM wykorzystuje dynamiczny klucz WEP oparty na sesji, który pochodzi z karty klienta i serwera ETHERNET. EAP-SIM wymaga wprowadzenia kodu weryfikacyjnego użytkownika (PIN) w celu komunikacji z kartą SIM (Subscriber Identity Module). Karta SIM to specjalna karta inteligentna, która jest używana przez cyfrowe sieci komórkowe oparte na gsm (Global System for Mobile Communications).
  • EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) to mechanizm EAP do uwierzytelniania i dystrybucji klucza sesji, z wykorzystaniem modułu universal Mobile Telecommunications System (UMTS) Subscriber Identity Module (USIM). Karta USIM to specjalna karta inteligentna, która jest wykorzystywana w sieciach komórkowych do sprawdzania poprawności danych użytkowników z siecią.
  • LEAP (Lightweight Extensible Authentication Protocol) to typ uwierzytelniania EAP, stosowany głównie w sieciach WLAN Cisco Aironet*. Szyfruje transmisję danych przy użyciu dynamicznie generowanych kluczy WEP i obsługuje uwierzytelnianie utajniania. Firma Cisco, za pośrednictwem swojego programu Cisco Compatible Extensions, upoważniła LEAP do współpracy z wieloma innymi producentami.
  • Protokół PEAP (Protected Extensible Authentication Protocol) umożliwia bezpieczny transport danych uwierzytelniania, w tym starszych protokołów opartych na hasłach, za pośrednictwem sieci Wi-Fi 802.11. PeAP osiąga ten celu za pomocą tunelowania między klientami PEAP i serwerem uwierzytelniania. Podobnie jak konkurencyjny standard Tunneled Transport Layer Security (TTLS), PEAP uwierzytelnia klientów sieci Wi-Fi LAN przy użyciu tylko certyfikatów po stronie serwera, upraszczając w ten sposób wdrażanie i administrację bezpiecznej sieci Wi-Fi LAN. Firmy Microsoft, Cisco i RSA Security opracowały program PEAP.

802.1X typy EAP

Funkcja / korzyści

MD5
---
Wiadomość Digest 5
Tls
---
Bezpieczeństwo na poziomie transportu
Ttls
---
Zabezpieczenia poziomu tunelowego
Peap
---
Chronione zabezpieczenia na poziomie transportu

Szybko
---
Elastyczne uwierzytelnianie dzięki bezpiecznemu tunelowi

Skok
---
Lekki protokół uwierzytelniania extensible
Wymagany certyfikat po stronie klientaTak
(PAC)
Wymagany certyfikat po stronie serweraTakTakTak
(PAC)
Kluczowe zarządzanie WEPTakTakTakTakTak
Wykrywanie Rogue APTakTak
DostawcaPaniPaniFunkPaniCiscoCisco
Atrybuty uwierzytelnianiaW jedną stronęWzajemnegoWzajemnegoWzajemnegoWzajemnegoWzajemnego
Trudności z wdrożeniemŁatweTrudny (z powodu wdrożenia certyfikatu klienta)UmiarkowaneUmiarkowaneUmiarkowaneUmiarkowane
Zabezpieczenia Wi-FiBiednychBardzo wysokaWysokiejWysokiejWysokiejWysoka w przypadku korzystania z silnych haseł.

 

Przegląd powyższych dyskusji i tabeli zwykle zawiera następujące wnioski:

  • Md5 nie jest zazwyczaj używany, ponieważ jest on używany tylko w jedną stronę, a nawet bardziej obciążanie nie obsługuje automatycznego dystrybucji i zarządzania kluczami WEP, więc nic nie zwalnia z obciążeń administracyjnych ręcznych kluczowych konserwacji WEP.
  • TLS, choć bardzo bezpieczny, wymaga zainstalowania certyfikatów klienta na każdej stacji roboczej Wi-Fi. Konserwacja infrastruktury PKI wymaga dodatkowej wiedzy administracyjnej i czasu w uzupełnieniu czasu do utrzymania samej sieci WLAN.
  • TTLS rozwiązuje problem certyfikatu poprzez tunelowanie TLS, a tym samym eliminuje konieczność certyfikatu po stronie klienta. Czyni to często preferowaną opcją. Głównym tematem TTLS jest oprogramowanie Authentication Software*. Jest tam dodatkowa opłata za oprogramowanie serwera do uwierzytelniania i aplikacji do uwierzytelniania.
  • LEAP ma najdłuższą historię, a mimo że wcześniej cisco było zastrzeżone (współpracuje jedynie z kartami sieci wi-fi Cisco), cisco na licencji LEAP dla wielu innych producentów za pomocą programu Cisco Compatible Extensions. Zasady silnego hasła należy wyegzekwować, gdy LEAP jest używany do uwierzytelniania.
  • EAP-FAST jest teraz dostępny dla przedsiębiorstw, które nie mogą wyegzekwować zasad silnego hasła i nie chcą wdrażać certyfikatów do uwierzytelniania.
  • Najnowszy PEAP działa podobnie jak EAP-TTLS, ponieważ nie wymaga certyfikatu po stronie klienta. Program PEAP jest po stronie Cisco i Microsoft bez żadnych dodatkowych kosztów. Jeśli chcesz przejść z LEAP na PEAP, serwer uwierzytelniania ACS firmy Cisco będzie działać oba.

Inną opcją jest STRONACH

Wiele przedsiębiorstw zamiast polegać na technologii Wi-Fi LAN do uwierzytelniania i prywatności (szyfrowanie), wiele przedsiębiorstw wdrożyło INTERFEJS ZDJĘCIA (ZDJĘCIA). Odbywa się to poprzez umieszczenie punktów dostępu poza korporacyjną zaporą sieciową i umieszczenie tunelu użytkownika za pośrednictwem bramy GATEWAY — tak jak w przypadku użytkowników zdalnych. Dosyć niesłychanie dosadne są koszty, początkowe złożone rozwiązania instalacyjne oraz koszty bieżącej administracji.