| Примечание. |
Эта информация не предназначена для домашних пользователей или компаний малого бизнеса, которые обычно на используют расширенные безопасность характеристики, подобные обсуждаемым на этой странице. Однако эти пользователи могут найти здесь интересные для себя темы. | |
Обзор 802.1x
Что использовать?
Расширяемый протокол аутентификации (EAP) типы аутентификации
Обзор 802.1x
Он представляет собой протокол доступа для защиты сети методом аутентификации. В результате этот метод аутентификации очень подходит для сетей Wi-Fi из-за особенностей среды передачи. Если в соответствии со стандартом 802.1x установлена подлинность пользователя устройства Wi-Fi , сеть доступа, виртуальный порт открыта точка доступа на доступный для связи. случае неуспешной авторизации виртуальный порт не открывается, и Коммуникационная продукция, блокируется.
Аутентификация по стандарту 802.1x включает три основные составные части:
- Запрашивающее устройство (Supplicant) - программное обеспечение клиент, работающий на Wi-Fi рабочая станция
- Аутентификатор - точка доступа Wi-Fi
- Сервер аутентификации - база данных аутентификации, обычно radius-Сервер, таких как Cisco * ACS * , Funk Steel-Belted RADIUS * или Microsoft * IAS *
Расширяемый протокол аутентификации (EAP) используется для обмена аутентификационной информацией между запрашивающим устройством (Wi-Fi рабочая станция) и Сервер аутентификации (Microsoft IAS или другим). Фактическое определение аутентификации и управление ей зависят от типа EAP. В точка доступа выступает только как посредник для связи запрашивающего устройства и Сервер аутентификации для общения.
Что использовать?
применении определенного типа EAP и 802.1x в целом зависят от уровня безопасность, организации, а также от административные издержки/характеристики. Надеемся, что приведенные здесь описания и сравнительная таблица помогут упростить понимание различных доступных типов протокола EAP.
Расширяемый протокол аутентификации (EAP) типы аутентификации
Так как функция Wi-Fi локальная сеть (WLAN) безопасность очень важна, и различные типы аутентификации EAP потенциально предоставляют более совершенные средства защиты беспроводной локальной сети соединение, поэтому производители ускоренными темпами разрабатывают новые типы аутентификации EAP и реализуют их в своих беспроводных точках доступа. Среди наиболее часто используемых типов аутентификации EAP можно назвать EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast и Cisco LEAP.
- EAP-MD-5 (Message Digest Challenge, проверка свертки сообщения) - метод аутентификации EAP, предоставляющий базового уровня протокола EAP поддержка. Метод EAP-MD-5 обычно не рекомендуется для применения в локальных сетях Wi-Fi, т.к. он допускает восстановление пароля пользователя. Он обеспечивает только одностороннюю аутентификацию, а не взаимную идентификацию клиента Wi-Fi и сеть. Очень важно заметить, что в этом методе отсутствуют средства для получения динамических ключей протокола шифрования wired equivalent privacy (WEP) на один сеанс.
- EAP-TLS (Transport Layer) - обеспечивает безопасность на базе сертификат взаимную аутентификацию клиента и сеть. Она полагается на стороне клиента и Сервер сертификатов для выполнения аутентификации и могут быть использованы для динамической генерации ключей WEP для пользователя и сеанса, чтобы защитить последующую Коммуникационная продукция между клиентом беспроводной сети и точка доступа. Один из недостатков EAP-TLS - необходимость управления сертификатами как на стороне клиента, так и на стороне Сервер. В крупных беспроводных установка, эта задача может быть трудновыполнимой.
- EAP-TTLS (Tunneled Transport Layer безопасность) разработан компаниями Funk программное обеспечение * и Certicom * как расширение EAP-TLS. этот метод обеспечивает безопасность на базе сертификат взаимную аутентификацию клиента и сеть через зашифрованный участник маркетинговой программы (или "туннель" ), а также позволяет генерировать динамические ключи WEP для пользователя и сеанса. В отличие от EAP-TLS, EAP-TTLS требуются только Сервер сертификатов.
- Метод EAP-FAST (Flexible Authentication via Secure Tunneling, гибкая аутентификация по защищенному туннелю) был разработан компанией Cisco*. вместо сертификат взаимной аутентификации используются регистрационные данные PAC (Protected Access Credential), которыми может динамически управлять Сервер аутентификации. Данные PAC могут предоставляться (один раз) клиенту как вручную, так и автоматически. Руководство методы включают доставку на диске или с использованием защищенных сеть дистрибуции. Автоматическая доставка предусматривает внутриполосную эфирную передачу.
- LEAP (Lightweight Extensible Authentication Protocol, облегченный расширяемый протокол аутентификации) – разновидность метода аутентификации EAP, используемый преимущественно в беспроводных локальных сетях Cisco Aironet*. Передаваемые данные шифруются с использованием динамически генерируемых ключей WEP. Поддерживается взаимная аутентификация. Будучи собственником метода LEAP, компания Cisco выдала лицензии на его использование ряду других производителей, участников ее программы Cisco Compatible Extensions.
- PEAP (Protected Extensible Authentication Protocol, защищенный расширяемый протокол аутентификации) – метод безопасной передачи аутентификационных данных по сетям 802.11 Wi-Fi, включающий унаследованные протоколы на базе паспортов. Это достигается за счет PEAP используется туннелирование между клиентами PEAP и Сервер аутентификации. Подобно конкурирующему стандарту Tunneled Transport Layer безопасность (TTLS), PEAP позволяет проверять подлинность клиентов локальной сети Wi-Fi с использованием только Сервер сертификатов. Таким образом, упрощается реализация и администрирование защищенных локальных сетей Wi-Fi . Microsoft, Cisco и RSA безопасность PEAP.
|
типы стандарта 802.1X EAP
Характеристики / Преимущества |
MD5
---
Message Digest 5 |
TLS
---
безопасность транспортного уровня |
TTLS
---
Tunneled Transport Layer Security безопасность уровня |
PEAP
---
безопасность транспортного уровня защиты |
Fast
---
гибкая аутентификация через защищенное туннелирование FAST |
Leap
---
Lightweight Extensible Authentication Protocol, облегченный расширяемый протокол аутентификации |
| Со стороны клиента требуется сертификат |
Нет |
Да |
Нет |
Нет |
Нет
(PAC) |
Нет |
| Стороны требуется Сервер сертификат |
Нет |
Да |
Нет |
Да |
Нет
(PAC) |
Нет |
| WEP-ключ управление |
Нет |
Да |
Да |
Да |
Да |
Да |
| Обнаружение мошеннической точки доступа |
Нет |
Нет |
Нет |
Нет |
Да |
Да |
| Поставщик услуг |
MS |
MS |
Funk |
MS |
Cisco |
Cisco |
| Атрибуты аутентификации |
Один из способов |
Взаимная |
Взаимная |
Взаимная |
Взаимная |
Взаимная |
| Сложность развертывания |
Простой |
Сложно (из-за развертывание сертификат клиента) |
Средний |
Средний |
Средний |
Средний |
| безопасность Wi-Fi |
Низкая скорость |
Очень высокая |
High |
High |
High |
Высокий уровень защиты при использовании надежных паролей. | |
Проанализировав приведенные выше описания и таблицу, можно прийти к следующим выводам:
- MD5 обычно не используются, так как он проводит только одностороннюю аутентификацию, и, возможно, даже более важно то, что он не поддержка автоматического распространения и ротации ключей WEP, т.е не делает ничего для предотвращения административных неудобств поддержки Руководство ключей WEP.
- Метод TLS является очень надежным, но требует установки сертификатов клиента на каждой беспроводной сети Wi-Fi рабочая станция. Для сопровождения инфраструктуры открытых ключей (PKI) необходим дополнительный опыт администрирования и время. Нужно также сопровождать беспроводную локальную сеть саму по себе.
- Метод TTLS сертификат проблемы благодаря использованию туннелирования TLS. Таким образом, отпадает необходимость в сертификат на стороне клиента. Поэтому этот метод часто оказывается предпочтительным. TTLS занималась компания Funk. В настоящее время имеется большой выбор для запрашивающих устройств и программное обеспечение Сервер аутентификации.
- Метод LEAP имеет длинную историю. Ранее он был собственностью Cisco (работал только Адаптеры Wi-Fi производства Cisco), но компания выдала лицензии на его использование ряду других производителей, участников ее программы Cisco Compatible Extensions. При использовании для аутентификации метода LEAP необходимо применять политику назначения надежных паролей.
- Теперь для организаций, которые не могут применять политику назначения надежных паролей и не хотят использовать для аутентификации сертификаты, доступен метод EAP-FAST.
- Более современный метод PEAP работает подобно EAP-TTLS, т.к. не требует сертификат на стороне клиента. Поддержку PEAP осуществляют Cisco и Microsoft. Он доступен от корпорации Microsoft без дополнительной оплаты. Для облегчения перехода с LEAP на PEAP, аутентификации Cisco ACS поддерживает оба этих метода Сервер.
Другая возможность - VPN
не локальных сетей Wi-Fi , а для аутентификации и защиты (шифрование), которые эксплуатируют многие организации Это точки доступа размещаются за пределами корпоративного межсетевой экран и пользователям предоставляется туннель через шлюз VPN - так же, как если бы они были удаленными пользователями. Но у решений на базе VPN есть и недостатки - высокая стоимость, сложная начальная установка, а также постоянные накладные расходы администрирование.
Применимо для:
|
Оговорка о машинном переводе
