EAP (Extensible Authentication Protocol)

From EIK wiki

Sissejuhatus

EAP (Extensible Authentication Protocol, laiendatav autentimis protokoll) - IETF standard (RFC 3748), mis kasutatakse autentimis andmete vahetuseks traadita võrgu tugijaama ja autentimis serveri vahel. Microsoft Windows kasutab EAP, et autentida Point-to-Point Protocol (PPP)[1] ühendusi. EAP eelis on tema paindlikus.
Kokku on ca 40 EAP tüüpi. Traadita side jaoks olulisemad on: EAP-SIM, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast ja Cisco LEAP.

LEAP

LEAP (Lightweight Extensible Authentication Protocol, kergendatud laiendatav autentimis protokol) tagab parooliga autentimist traadita kliendi ja RADIUS serveri vahel. Kasutatakse enamasti Cisco Aironeti[2] traadita lokaal võrkudes. Andmed kodeeritakse, kasutades dünaamiliselt genereeritud WEP-võtmed[3]. Toetab kahepoolset autentimist. Jaam peab identifitseerima ennast ja tõestama, et see on volitatud kasutaja, siis antakse luba võrku pääsmiseks. Kasutades LEAP meetodi, autentimine nõuab tugevate paroolide määramise poliitikat.
Tõesti, varem Cisco väitis, et tugev parool tagab EAP-TLSi turvalisust. Tegelikult väga vähesed organisatsioonid kasutavad sellised keerulised paroolid. Nüüd juba soovitatakse kasutada uuemad protokollid, nagu EAP-FAST, PEAP või EAP-TLS.
LEAP on nõrk, sest ta ei avalda vastupanet “sõnastiku rünnakutele“. On olemas ka tarkvara selle murdmiseks - Joshua Wright`i loodud ASLEAP, mida on külaltki lihtne kasutada.

EAP-TLS

EAP-TLS (Transport Layer Security) – tagab nii kliendi kui ka serveri autentimist sertifikaatide baasil. Võimaldab dünaamiliselt genereerida kasutaja põhilised ja seanssi põhilised WEP võtmed, et kaitsta side traadita võrku kliendi ja AP(access point)[4] vahel.
TLS on turvaline, kuid nõuab kliendi sertifakaati paigaldust igas Wi-Fi tugijaamas. Suurtes traadita lokaalvõrkudes see ülesanne võib olla raskelt teostatav.

EAP-TLSi kõrget turvalisuse taset tagab sertifikaatide või smart-kaartide kasutamine autentimisel. WEP võtmed genereeritakse dünaamiliselt, see tähendab , et võtmete genereerimise vahemik peab olema lühem, kui minimaalne teoreetiline aeg selle lahtimurdmiseks. Praegu selleks kulub ca 5 minutid ja see aeg kogu aeg lüheneb.
Samuti on võimalik kasutada EAP-TLSi koos WPA või WPA2 –ga.

EAP-TLS Autentimis Protsess:
1. Klient saadab EAP start sõnumi AP-le.
2. AP vastab sõnumiga, kus päritakse EAP identiteeti (EAP Request Identity message) .
3. Klient saadab oma võrgu juurdepääsu tunnust (network access identifier, NAI), mis on tema kasutajatunnus.
4. AP saadab NAI edasi RADIUS(Remote Authentication Dial In User Service)[5] serverile.
5. RADIUS server vastab kliendile oma digitaal sertifikaadiga.
6. Klient kinnitab RADIUS serveri digitaal sertifikaati.
7. Klient vastab RADIUS serverile oma digitaal sertifikaadiga.
8. RADIUS server kinnitab kliendi sertifikaadi kehtivust.
9. Klient ja RADIUS server saavad krüptovõtmed.
10. RADIUS server saadab AP-le sõnumi, kus on kliendi WEP-võti, mis näitab edukat autentimist.
11. AP saadab kliendile "edu sõnumit".
12. AP saadab broadcast võtme ja võtme pikkuse kliendile, krüpteeritud kliendi WEP võtmega.

EAP-FAST

EAP-FAST (Flexible Authentication via Secure Tunneling, paindlik autentimine turvatud tunneli kaudu) on väljatöödetud Cisco poolt.
EAP-FAST kasutab sümmeetrilise võtme algoritmi. Tunneli loomine tugineb Protected Access Credential (PAC)[6] peale. Sertifitseerimise asemel kasutatakse PAC andmed, mida saab hankida dünaamiliselt, autentimis serveri poolt. PAC andmed jagatakse kliendile üks kord.

• 1. etapp: Luuakse vastastikult kinnitatud tunnel. AAA (authentication, authorization, and accounting)[7] serveris kasutakse PAC andmed üksteise autentimiseks ja turvalise tunneli loomiseks.

• 2. etapp: Teostatakse kliendi autentimine tunneli kaudu - klient saadab kasutajanimi ja parooli autentimiseks ning luuakse kliendi autentimis poliis.

PEAP

PEAP (Protected Extensible Authentication Protocol, turvatud laiendatav autentimisprotokoll) – kasutatakse autentimis andmete ülekandmiseks Wi-Fi võrkudes. PEAP pakub kõrget turvalisust ja võimaldab kasutajate andmebaasi laiendamist. Võimaldab autentida WLAN kliente ilma sertifikaatideta, lihtsustades traadita kohtvõrke arhitektuuri. Toimub serveri poolne autentimine, et luua krüpteeritud tunnel. PEAP kasutab TLS tunneli kliendi ja serveri vahel. Vajatakse ainult serveri sertifikaati.PEAP on kaasaegsem meetod, töötab sarnaselt EAP-TTLS-le. PEAPi toetab Cisco ja Microsoft.

PEAPi turvalisuse eelised:

• Kasutaja autentimise info saadetakse TLSi(Transport Layer Security)kaudu.

• Kasutab serveri poolse autentimist, Public-Key Infrastructure (PKI)[8] põhjal.

• Toetab parooli muutmist aegumisel.

• Ei ole tundlik sõnastiku rünnakute[9] vastu.

• Pakub dünaamilist privaatsuse kaitset, kui seda kasutatakse koos Temporary Key Integrity Protokoliga (TKIP)[10] või Advanced Encryption Standardiga (AES)[11]

EAP-TTLS

EAP-TTLS (Tunneled Transport Layer Security) on EAP-TLSi laiendus. Tagab nii kliendi kui ka serveri autentimist sertifikaatide baasil krüpteeritud kanali (tunneli) kaudu. Kliendi sertifitseerimine ei ole kohustuslik. Samuti lubab genereerida dünaamilised WEP võtmed kasutaja ja seanssi jaoks. Erinevalt EAP-TLS -st, EAP-TTLSi tööks on kohustuslik ainult serveri sertifitseerimine.

EAP-SIM, EAP-AKA

EAP-SIM - protokoll, kasutaja autentsuse tõendamiseks 2G[12] võrkudes. Autentsuse tõendamiseks GSM mobiilsidevõrkudes kasutatakse SIM kaarti. EAP-SIM autentimise standard on välja töötatud kõrget turvalisust silmas pidades. EAP-SIM autentimine hõlmab salajased võtmed ja algoritmid, mis asuvad SIM-kaardil ja GSM autentimise keskuses. Need salajased võtmed ei edasta kunagi läbi eetri või interneti teel.
3G[13] võrkudes kasutatakse EAP-AKA protokolli.

EAP-MD5

MD5 on vananenud tüüpi protokoll. Kaasaegsetes süsteemides ei soovitatakse kasutada, kuna see kasutab ühepoolset autentimist ning ei toeta WEP võtmete dünaamilist vahetust, seega ei ole turvaline.

Kokkuvõte

Võimalused / Eelised MD5 TLS TTLS PEAP FAST LEAP
Klient nõuab sertifitseerimist ei jah ei ei ei (PAC) ei
Server nõuab sertifitseerimist ei jah ei jah ei (PAC) ei
WEP key management ei jah jah jah jah jah
Võltsitud AP avastamine ei ei ei ei jah jah
Tarnija MS MS Funk* MS Cisco Cisco
Autentimine Ühepoolne Kahepoolne Kahepoolne Kahepoolne Kahepoolne Kahepoolne
Paigalduse raskus Kerge Raske Mõõdukas Mõõdukas Mõõdukas Mõõdukas
Wi-Fi Turvalisus Mitte rahuldav Väga Kõrge Kõrge Kõrge Kõrge Rahuldav, kui kasutusel

tugevad paroolid

  • *2005 aastal Funk Software oli ostetud firmaga Juniper Networks


Mida kasutada?
Otsus sõltub soovitud turvalisuse tasemest, mida vajab organisatsioon, funktsionaalsusest ning vahendidest.

Kasutatud kirjandus

http://www.wireless-center.net/Wi-Fi-Security/3102.html
http://www.lanarchitect.net/Articles/Wireless/
http://tools.ietf.org/html/rfc3748
http://www.cisco.com/en/US/docs/wireless/technology/peap/technical/reference/PEAP_D.html#wp998638
http://www.intel.com/support/ru/wireless/wlan/sb/cs-008413.htm
http://technet.microsoft.com/en-us/network/cc917480.aspx
http://www.cisco.com/en/US/docs/wireless/wlan_adapter/eap_types/fast/admin/guide/EF_ovrvw.html
http://www.cisco.com/en/US/products/sw/secursw/ps2086/products_white_paper09186a008009256b.shtml
http://www.golzari.nl/wlan/eaptls.html
http://support.dell.com/support/edocs/network/P65126/en/glossary.htm