Produits sans fil
Produits Wi-Fi Intel®
802. 1 x de présentation et les types de protocoles EAP

Remarque Ces données ne sont pas destinées à être domestiques ou de petite entreprise aux utilisateurs qui n'utilisent généralement pas, telles que celles abordées dans cette page, les fonctions de sécurité avancées. Toutefois, ces utilisateurs peuvent intéresser les rubriques à titre d'information.

802. 1 x vue d'ensemble
Lequel utiliser ?
Types d'authentification Extensible Authentication Protocol (EAP)

802. 1 x vue d'ensemble
Il s'agit d'un protocole d'accès de port pour la protection des réseaux à l'aide de l'authentification. Par conséquent, ce type de méthode d'authentification est extrêmement utile dans l'environnement de Wi-Fi en raison de la nature du milieu. Si un utilisateur de Wi-Fi est authentifié via 802. 1 x pour l'accès réseau, un port virtuel est ouvert sur le point d'accès permettant la communication. Si ce n'est pas correctement autorisé, un port virtuel n'est pas disponible et les communications sont bloquées.

Il existe trois éléments de base à l'authentification 802. 1 x :

  1. Demandeur - un client de logiciel en cours d'exécution sur la station de travail Wi-Fi
  2. Authentificateur - le point d'accès Wi-Fi
  3. Serveur d'authentification : une base de données d'authentification, habituellement un serveur radius Cisco * ACS *, Funk Steel-Belted rayon * ou * Microsoft IAS *

Protocole d'authentification extensible (EAP) est utilisé pour transmettre les informations d'authentification entre le demandeur (la station de travail Wi-Fi) et le serveur d'authentification (Microsoft IAS ou autre). L'authentification réelle est définie et gérée par le type EAP. Le point d'accès agissant comme authentificateur est uniquement un proxy pour permettre le demandeur et le serveur d'authentification communiquer.

Lequel utiliser ?
Le type EAP à implémenter, ou s'il faut implémenter 802. 1 x, tout dépend du niveau de sécurité dont l'organisation a besoin et les surcharge/fonctionnalités d'administration souhaitées. Nous espérons que les descriptions ici et un graphique comparatif facilitera les difficultés de compréhension de la diversité des types EAP disponibles.

Types d'authentification Extensible Authentication Protocol (EAP)
Dans la mesure où la sécurité du réseau Local WiFi (WLAN) est essentielle et types d'authentifications EAP permettent potentiellement une meilleure de sécurisation de la connexion de réseau local sans fil, fournisseurs sont rapidement développer et à ajouter des types d'authentifications EAP à leurs points d'accès sans fil. Les types d'authentifications EAP plus couramment déployées parmi EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast et LEAP de Cisco.

  • EAP-MD-5 (Message Digest) est un type de protocole EAP qui fournit la prise en charge EAP de niveau de base. EAP-MD-5 n'est généralement pas recommandée pour les implémentations de réseau Wi-Fi, car il peut laisser le mot de passe utilisateur doivent être dérivées. Il prévoit l'authentification unidirectionnelle uniquement - il n'y a pas d'authentification mutuelle du client Wi-Fi et du réseau. Et, très important il ne fournit pas un moyen de dériver dynamique, par session, filaire touches équivalentes privacy (WEP).
  • EAP-TLS (Transport Layer Security) fournit pour l'authentification basée sur certificat et mutuelle du client et le réseau. Elle s'appuie sur le côté client et côté serveur pour exécuter l'authentification des certificats et peut être utilisée pour générer dynamiquement des clés WEP basée sur l'utilisateur et par session pour sécuriser les communications entre le client de réseau local sans fil et le point d'accès. Un inconvénient du protocole EAP-TLS est que des certificats doivent être gérés sur le client et le serveur côté. Pour une installation réseau sans fil de grande taille, cela peut être une tâche très fastidieuse.
  • En tant qu'extension du protocole EAP-TLS, EAP-TTLS (en tunnel Transport Layer Security) a été développé par Funk Software * et Certicom *. Cette méthode de sécurité ainsi que pour l'authentification basée sur certificat, mutuelle du client et du réseau via un canal crypté (ou « tunnel »), un moyen de dériver dynamique, par utilisateur, les clés WEP par session. Contrairement au protocole EAP-TLS, EAP-TTLS requiert uniquement des certificats côté serveur.
  • EAP-FAST (authentification Flexible via tunnel sécurisé) a été développé par Cisco *. Au lieu d'utiliser un certificat, l'authentification mutuelle est assurée au moyen d'un PAC (Protected Access Credential) qui peut être géré de façon dynamique par le serveur d'authentification. Les charbons activés en poudre peut être mis en service (distribuées une fois) au client manuellement ou automatiquement. Mise en service manuelle est remise au client via un disque ou d'une méthode de distribution de réseau sécurisé. Mise en service automatique est une bande, par voie hertzienne, distribution.
  • LEAP (Lightweight Extensible Authentication Protocol), est un type de protocole EAP utilisé principalement dans Cisco Aironet * réseaux locaux sans fil. Elle crypte les transmissions de données à l'aide de clés WEP générées dynamiquement et prend en charge l'authentification mutuelle. Jusqu'ici propriétaires, Cisco a concédé sous licence LEAP à une variété d'autres fabricants par l'intermédiaire de leur programme d'Extensions compatibles Cisco.
  • PEAP (Protected Extensible Authentication Protocol) fournit une méthode pour transporter en toute sécurité les données d'authentification, y compris les protocoles hérités par mot de passe, via les réseaux Wi-Fi 802.11. PEAP accomplit cette procédure à l'aide de tunneling entre clients PEAP et le serveur d'authentification. Comme les concurrents standard Transport couche sécurité TTLS (TUNNELED), PEAP authentifie les clients LAN Wi-Fi à l'aide de certificats côté serveur uniquement, ce qui simplifie la mise en œuvre et l'administration d'un réseau Wi-Fi sécurisé. Microsoft, Cisco et RSA Security développement PEAP.

802. 1 x EAP Types

Fonctionnalités / avantages

MD5
---
Message Digest 5
TLS
---
La sécurité au niveau du transport
TTLS
---
En tunnel de sécurité de niveau Transport
PEAP
---
Protéger la sécurité de niveau Transport

RAPIDE
---
Authentification flexible via Secure Tunneling

ANNÉE BISSEXTILE
---
Protocole d'authentification Extensible légers
Certificat côté client requis ne Oui ne ne ne
(PAC)
ne
Certificat côté serveur requis ne Oui ne Oui ne
(PAC)
ne
Gestion des clés WEP ne Oui Oui Oui Oui Oui
Détection des points d'accès non fiables ne ne ne ne Oui Oui
Fournisseur MS MS Funk MS Cisco Cisco
Attributs d'authentification Une façon de Mutuelle Mutuelle Mutuelle Mutuelle Mutuelle
Difficulté de déploiement Facile Difficile (à cause de déploiement d'un certificat client) Modéré Modéré Modéré Modéré
Sécurité Wi-Fi Médiocre Très élevé Élevé Élevé Élevé Élevé lorsque les mots de passe forts sont utilisés.

Un examen des discussions et tableau ci-dessus fournira généralement aux conclusions suivantes :

  • MD5 n'est généralement pas utilisée car elle ne procède à une authentification à sens unique, et peut-être plus important encore n'est pas prise en charge de la distribution automatique et la rotation des clés WEP donc ne fait rien pour alléger la charge administrative de maintenance manuelle des clés WEP.
  • TLS, bien que très sécurisé, requiert des certificats de client doit être installé sur chaque station de travail Wi-Fi. Maintenance d'une infrastructure à clé publique nécessite une expertise supplémentaire d'administration et l'heure en plus de celle de la mise à jour du réseau local sans fil lui-même.
  • TTLS résout le problème de certificat par le tunnel TLS et éliminant ainsi la nécessité d'un certificat côté client. Ce qui en fait une option souvent préférée. TTLS est principalement promu par Funk et est payante pour le logiciel de serveur demandeur et l'authentification.
  • LEAP a l'historique la plus longue, et tout propriétaire Cisco précédemment (fonctionne avec les cartes Cisco Wi-Fi uniquement), Cisco a licence LEAP à une variété d'autres fabricants par l'intermédiaire de leur programme d'Extensions compatibles Cisco. Une stratégie de mot de passe fort doit être appliquée lorsque LEAP est utilisé pour l'authentification.
  • EAP-FAST est désormais disponible pour les entreprises qui ne peut pas appliquer une stratégie de mot de passe fort et ne voulez pas déployer des certificats pour l'authentification.
  • La plus récente PEAP fonctionne comme EAP-TTLS dans la mesure où elle ne nécessite pas un certificat côté client. PEAP est sauvegardée par Cisco et Microsoft et est disponible gratuitement auprès de Microsoft. Si vous le souhaitez pour effectuer la transition à partir de LEAP à PEAP, serveur d'authentification de Cisco ACS s'exécutera à la fois.

Une autre option - VPN
Au lieu de réseau Wi-Fi pour l'authentification et la confidentialité (cryptage), de nombreuses entreprises implémentent un VPN. Cela en plaçant les points d'accès à l'extérieur du pare-feu d'entreprise et à l'utilisateur du tunnel via une passerelle VPN - comme s'il s'agissait d'un utilisateur distant. Les inconvénients de l'implémentation d'une solution VPN sont le coût, la complexité de l'installation initiale et surcharge d'administration continue.

Cela s'applique à :

Intel® Centrino® Advanced-N + WiMAX 6250
Intel® Centrino® Advanced-N 6200
Carte Intel® Centrino® Advanced-N 6205
Intel® Centrino® Advanced-N 6205 pour PC de bureau
Intel® Centrino® Advanced-N 6235
Intel® Centrino® Ultimate-N 6300
Carte Intel® Centrino® Wireless-N 100
Carte Intel® Centrino® Wireless-N 1030
Intel® Centrino® Wireless-N 105
Carte Intel® Centrino® Wireless-N 130
Intel® Centrino® Wireless-N 135
Intel® Centrino® Wireless-N 2200
Intel® Centrino® Wireless-N 2200 pour PC de bureau
Intel® Centrino® Wireless-N 2230
Intel® Wireless-AC 3160 double bande
Intel® Wireless-AC 7260 double bande
Intel® Wireless-AC 7260 double bande pour le bureau
Intel® Wireless-N 7260 double bande
Intel® PRO/Wireless Point d'accès LAN 2000
Intel® PRO/Wireless Point d'accès RLAN 2011
Intel® PRO/Wireless Point d'accès RLAN 2011 b
Intel® PRO/Wireless Connexion réseau 2200BG
Carte RLAN Intel® PRO/2915ABG
Carte RLAN Intel® PRO/3945ABG
Intel® PRO/Wireless Point d'accès LAN 5000
Intel® PRO/Wireless LAN 5000 double Point d'accès
Lien WiFi Intel® 5300 et Lien WiFi Intel® 5100 produits
Intel® WiMAX/WiFi Link 5350 et Lien WiMAX/WiFi Intel® 5150 produits
Passerelle sans fil Intel®
Lien WiFi Intel® 4965AGN
Intel® Wireless-N 7260
Carte d'Ethernet sans fil de CreditCard Xircom® (TCHOUÉ 1120)
Carte d'Ethernet sans fil de CreditCard Xircom® (TCHOUÉ-1130)
Carte d'Ethernet Xircom® SpringPort Wireless (SWE1130)
Point d'accès sans fil Ethernet de Xircom® (APWE1120)
Module de réseau local sans fil Xircom® pour Palm * ordinateurs de poche (PWE1130)
ID de solution :CS-008413
Dernière modification : 09-Apr-2014
Date de création : 18-Jan-2004
Retour au début