Produits sans fil
Produits Wi-Fi Intel®
802. 1 x EAP Types : en bref

Remarque Cette données ne sont pas conçues pour la maison ou petite entreprise aux utilisateurs qui n'utilisent généralement pas des fonctionnalités de sécurité comme ceux décrits dans cette page. Cependant, ces utilisateurs peuvent intéresser les sujets à des fins d'information.

vue d'ensemble de 802. 1 x
Lequel utiliser ?
Types d'authentification extensible EAP (Authentication Protocol)

vue d'ensemble de 802. 1 x
C'est un protocole d'accès port pour la protection des réseaux grâce à une authentification. Par conséquent, ce type de méthode d'authentification est très utile dans l'environnement Wi-Fi en raison de la nature du support. Si un utilisateur du Wi-Fi est authentifié via 802. 1 x pour accéder au réseau, un port virtuel s'ouvre sur le point d'accès permettant de communication. Si ce n'est pas été autorisée, un port virtuel n'est pas mis à disposition et communications sont bloquées.

Il existe trois éléments de base à l'authentification 802. 1 x :

  1. Demandeur - il s'agit d'un logiciel client s'exécutant sur la station de travail Wi-Fi.
  2. Authentificateur - le point d'accès Wi-Fi.
  3. Serveur d'authentification - une base de données d'authentification, généralement sur un serveur radius Cisco * ACS *, Funk Steel-Belted RADIUS * ou Microsoft * IAS *.

Protocole EAP (Extensible Authentication) est utilisée pour passer les informations d'authentification entre le demandeur (la station de travail Wi-Fi) et le serveur d'authentification (Microsoft IAS ou autres). L'authentification réelle est définie et gérée par le type EAP. Le point d'accès agissant comme l'authentificateur est uniquement un proxy pour permettre le demandeur et le serveur d'authentification communiquer.

Lequel utiliser ?
Quel type EAP pour mettre en œuvre, ou s'il faut mettre en œuvre 802. 1 x, tout dépend le niveau de sécurité qui a besoin de l'organisation et les frais d'administration/fonctionnalités souhaitées. Nous espérons que les descriptions ici et un tableau comparatif faciliteront les difficultés à comprendre les divers types EAP disponibles.

Types de d'authentification extensible authentication protocol (protocole EAP)
Étant donné que la sécurité des réseaux Wi-Fi (RLAN) est essentielle et les types d'authentification EAP fournissent un moyen plu potentiellement de sécurisation de la connexion réseau sans fil, fournisseurs sont rapidement développer et à ajouter des types d'authentification EAP de leurs points d'accès RLAN. Parmi les types d'authentification EAP couramment déployés inclure EAP-5-MD, EAP-TLS, EAP PEAP, EAP-TTLS, EAP-Fast et Cisco LEAP.

  • EAP-MD-5 (Message Digest) Challenge est un type d'authentification EAP qui fournit la prise en charge de EAP au niveau de base. EAP-MD-5 n'est généralement pas recommandé pour les implémentations de réseau Wi-Fi car il peut laisser le mot de passe doivent être dérivées. Il fournit pour seulement l'authentification sur un seul moyen : il n'est aucune authentification mutuelle du client Wi-Fi et du réseau. Et, très important qu'il ne fournit pas un moyen de dériver dynamique, par session filaire clés WEP (equivalent privacy).
  • EAP-TLS (Transport Layer Security) fournit pour l'authentification mutuelle et basée sur le certificat du client et le réseau. Il s'appuie sur le côté client et côté serveur de certificats pour exécuter l'authentification et peut servir à générer des clés WEP utilisateur et de session pour sécuriser les communications entre le client sans fil et du point d'accès de façon dynamique. L'inconvénient de EAP-TLS est que les certificats doivent être gérés sur le client et le serveur principal. Pour une installation de réseau local sans fil grande, cela peut être une tâche très fastidieuse.
  • EAP-TTLS (Tunneled Transport Layer Security) a été développée par logiciel Funk * et Certicom *, comme une extension de EAP-TLS. Cette méthode de sécurité fournit pour l'authentification mutuelle, basée sur le certificat du client et du réseau via un partenaire-revendeur chiffré (ou « tunnel »), ainsi qu'un moyen de dériver dynamiques par utilisateur, des clés WEP par session. Contrairement au protocole EAP-TLS, EAP-TTLS ne nécessite que les certificats côté serveur.
  • EAP-FAST (Flexible Authentication via Secure Tunneling) a été développée par Cisco *. Au lieu d'utiliser un certificat, une authentification mutuelle est obtenue grâce à une clé PAC (Protected Access Credential) qui peut être géré de façon dynamique par le serveur d'authentification. La clé PAC peut être mis en service (distribuée une seule fois) vers le client automatiquement ou manuellement. Mise à disposition manuelle est livraison au client via le disque ou d'une méthode de distribution réseau sécurisé. Mise à disponibilité automatique est une intrabande, par rapport à l'air, la distribution.
  • Méthode de protocole d'authentification extensible for GSM Subscriber Identity (EAP-SIM) est un mécanisme de distribution des clés d'authentification et de la session. Il utilise le système Global pour communication GSM (Mobile) Subscriber Identity Module (SIM). EAP-SIM utilise une session-clé WEP dynamique, dérivée de la carte client et le serveur RADIUS, pour chiffrer les données. EAP-SIM requiert que vous entrez un code de vérification utilisateur ou PIN pour communiquer avec la carte Subscriber Identity Module (SIM). Une carte SIM est une carte à puce spéciale utilisée par le système Global de communication GSM (Mobile) en fonction des réseaux cellulaires numériques.
  • EAP-AKA (Extensible Authentication Protocol mode UMTS Authentication and Key Agreement) est un mécanisme EAP, pour la distribution des clés d'authentification et de la session, à l'aide de Universal Mobile Telecommunications System (UMTS) Subscriber Identity Module (USIM). La carte SIM est une carte à puce spéciale utilisée avec les réseaux cellulaires pour valider un utilisateur donné sur le réseau.
  • LEAP (protocole d'authentification Extensible léger), est un type d'authentification EAP utilisé principalement de Cisco Aironet * réseaux locaux sans fil. Elle chiffre les transmissions de données à l'aide de la génération dynamique des clés WEP et prend en charge une authentification mutuelle. Jusqu'ici propriétaires, Cisco a sous licence LEAP pour de nombreux autres fabricants dans leur programme des Extensions compatibles Cisco.
  • PEAP (Protected Extensible Authentication Protocol) fournit une méthode pour transporter des données d'authentification, y compris les protocoles de mot de passe existants, via des réseaux Wi-Fi 802.11 en toute sécurité. PEAP y parvient à l'aide de tunnelisation entre les clients PEAP et un serveur d'authentification. Comme la concurrence standard Transport Layer Security TTLS (TUNNELED), PEAP authentifie réseau Wi-Fi les clients à l'aide de certificats côté serveur uniquement, ce qui simplifie l'implémentation et l'administration d'un réseau Wi-Fi sécurisée. Microsoft, Cisco et RSA Security développé PEAP.

Types de 802. 1 x EAP

Caractéristique / avantages

MD5
---
Message Digest 5
TLS
---
Sécurité au niveau de transport
TTLS
---
Tunnelé sécurité au niveau de Transport
PEAP
---
Protégé par la sécurité au niveau de Transport

RAPIDE
---
Flexible Authentication via Secure Tunneling

LEAP
---
Protocole d'authentification Extensible léger
Certificat côté client requis non Oui non non non
(PAC)
non
Certificat côté serveur requis non Oui non Oui non
(PAC)
non
Gestion des clés WEP non Oui Oui Oui Oui Oui
Détection du point d'accès non autorisés non non non non Oui Oui
Technology Provider MS MS Funk MS Cisco Cisco
Caractéristiques de l'authentification Un moyen Mutuelle Mutuelle Mutuelle Mutuelle Mutuelle
Difficulté de déploiement Facile Difficile (en raison de déploiement d'un certificat client) Modéré Modéré Modéré Modéré
Sécurité Wi-Fi Mauvaise qualité Très élevé Haute Haute Haute Haute lorsque les mots de passe forts sont utilisés.

Une évaluation des discussions ou le tableau ci-dessus fournissent généralement aux conclusions suivantes :

  • MD5 n'est généralement pas utilisée car elle ne procède d'une authentification à sens unique et peut-être même plus important n'est pas prise en charge de la distribution automatique et rotation des clés WEP aussi rien à alléger la charge administrative de maintenance manuelle des clés WEP.
  • TLS, en très sécurisé, nécessite de certificats client doit être installé sur chaque station de travail Wi-Fi. Maintenance d'une infrastructure à clé publique nécessite supplémentaire expertise d'administration et l'heure en plus que de la maintenance du réseau sans fil lui-même.
  • TTLS résout le problème de certificat par tunnel TLS et ce qui élimine le besoin d'un certificat sur le côté client. Ce qui en fait une option souvent préférée. TTLS est principalement promu par Funk et sont payants pour logiciel de serveur demandeur et d'authentification.
  • LEAP est l'historique de la plus longue, et lors de la propriété Cisco précédemment (fonctionne avec les cartes Cisco Wi-Fi uniquement), Cisco a concédés sous licence LEAP pour de nombreux autres fabricants dans leur programme des Extensions compatibles Cisco. Une stratégie de mot de passe fort doit être appliquée lorsque LEAP est utilisé pour l'authentification.
  • EAP-FAST est désormais disponible pour les entreprises qui ne peut pas appliquer une stratégie de mot de passe complexe et ne souhaitent pas déployer les certificats d'authentification.
  • La plus récente PEAP fonctionne similaire au protocole EAP-TTLS dans la mesure où elle ne nécessite pas d'un certificat sur le côté client. PEAP est soutenu par Cisco et Microsoft et est disponible gratuitement par Microsoft. Si vous le souhaitez pour effectuer la transition de LEAP pour PEAP, serveur d'authentification de Cisco ACS fonctionneront à la fois.

Une autre option - VPN
Plutôt que d'appuyer sur un réseau Wi-Fi pour l'authentification et de confidentialité (chiffrement), de nombreuses entreprises mettre en place un réseau VPN. Cela est réalisé en plaçant les points d'accès à l'extérieur du pare-feu de l'entreprise et en ayant l'utilisateur du tunnel via une passerelle VPN - comme s'il s'agissait d'un utilisateur à distance. Les inconvénients de la mise en œuvre une solution VPN sont réduire les coûts, les complexités de l'installation initiale et temps système en cours d'administration.

Cela s'applique à :

Intel® Centrino® Advanced-N + WiMAX 6250
Intel® Centrino® Advanced-N 6200
Carte Intel® Centrino® Advanced-N 6205
Intel® Centrino® Advanced-N 6205 pour PC de bureau
Intel® Centrino® Advanced-N 6235
Intel® Centrino® Ultimate-N 6300
Carte Intel® Centrino® Wireless-N 100
Carte Intel® Centrino® Wireless-N 1030
Intel® Centrino® Wireless-N 105
Carte Intel® Centrino® Wireless-N 130
Intel® Centrino® Wireless-N 135
Intel® Centrino® Wireless-N 2200
Intel® Centrino® Wireless-N 2200 pour PC de bureau
Intel® Centrino® Wireless-N 2230
Intel® Wireless-AC 3160 double bande
Intel® Wireless-AC 7260 double bande
Intel® Wireless-AC 7260 double bandepour PC de bureau
Intel® Wireless-N 7260 double bande
Point d'accès RLAN Intel® PRO/2000
Point d’accès RLAN Intel® PRO/2011
Point d'accès RLAN Intel® PRO/2011B
Connexion réseau Intel® PRO/Wireless 2200BG
Connexion réseau Intel® PRO/Wireless 2915ABG
Connexion réseau Intel® PRO/Wireless 3945ABG
Point d’accès RLAN Intel® PRO/5000
Intel® PRO/WirelessPoint d'accès bibande RLAN 5000
Intel® WiFi Link 5300et Intel® WiFi Link 5100 produits
Intel® WiMAX/WiFi Link 5350et Intel® WiMAX/WiFi Link 5150 produits
Passerelle RLAN Intel®
Lien Wi-Fi Intel® 4965AGN
Intel® Wireless-N 7260
ID de la solution :CS-008413
Dernière modification : 22-Oct-2014
Date de création : 18-Jan-2004
Retour au début