EAP (Extensible Authentication Protocol)
Artikli autor
Nimi: Maksim Kornejev
Grupp: AK21
Viimati muudetud: 28.04.2010
Artikkel on pooleli!
Sissejuhatus
EAP (Extensible Authentication Protocol, laiendatav autentimis protokoll) – IETF standard, (RFC 3748) kasutatakse autentimis andmete vahetuseks traadita võrgu tugijaama ja autentimis serveri vahel. EAP eelis on tema paindlikus.
Kokku on ca 40 EAP tüüpi. Traadita side jaoks olulisemad on: EAP-MD-5, EAP-SIM, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast ja Cisco LEAP.
LEAP
LEAP (Lightweight Extensible Authentication Protocol, kergendatud laiendatav autentimis protokol)
Tagab parooliga autentimist traadita kliendi ja RADIUS serveri vahel. Kasutatakse enamasti Cisco Aironeti traadita lokaal võrkudes. Andmed kodeeritakse, kasutades dünaamiliselt genereeritud WEP-võtmed. Toetab kahepoolset autentimist. Jaam peab identifitseerima ennast ja tõestama, et see on volitatud kasutaja, siis antakse luba võrku pääsmiseks. Kasutades LEAP meetodi, autentimine nõuab tugevate paroolide määramise poliitikat.
EAP-TLS
EAP-TLS (Transport Layer Security,) – tagab nii kliendi kui ka serveri autentimist sertifikaatide baasil. Võimaldab genereerida dünaamilised WEP võtmed kasutaja ja seanssi jaoks, et kaitsta side traadita võrku kliendi ja AP vahel.
TLS on väga turvaline, kuid nõuab kliendi sertifakaati paigaldust igas Wi-Fi tugijaamas. Suurtes traadita lokaalvõrkudes see ülesanne võib olla raskelt teostatav.
EAP-TLS Autentimis Protsess:
1. Klient saadab EAP start sõnumi AP-le.
2. AP vastab sõnumiga, kus päritakse EAP identiteeti (EAP Request Identity message).
3. Klient saadab oma võrgu juurdepääsu tunnust(network access identifier, NAI), mis on tema kasutajatunnus.
4. AP saadab NAI edasi RADIUS serverile.
5. RADIUS server vastab kliendile oma digitaal sertifikaadiga.
6. Klient kinnitab RADIUS serveri digitaal sertifikaadi.
7. Klient vastab RADIUS serverile oma digitaal sertifikaadiga.
8. RADIUS server kinnitab kliendi sertifikaadi kehtivust.
9. Klient ja RADIUS server saavad krüptovõtmed.
10. RADIUS server saadab AP-le sõnumi, kus on kliendi WEP-võti, mis näitab edukat autentimist.
11. AP saadab kliendile "edu sõnumit".
12. AP saadab broadcast võti ja võtme pikkust kliendile, krüpteeritud kliendi WEP võtmega.
EAP-FAST
EAP-FAST (Flexible Authentication via Secure Tunneling, paindlik autentimine turvatud tunneli kaudu) väljatöödetud Cisco poolt.
EAP-FAST kasutab sümmeetrilise võtme algoritmi. Tunneli loomine tugineb Protected Access Credential (PAC) peale. Sertifitseerimise asemel kasutatakse PAC andmed, mida sab hankida dünaamiliselt, autentimis serveri poolt. PAC andmed jagatakse kliendile üks kord.
• 1. etapp: Luuakse vastastikkult kinnitatud tunnel. AAA (authentication, authorization, and accounting) serveris kasutakse PAC andmed üksteise autentimiseks ja turvalise tunneli loomiseks.
• 2. etapp: Teostatake kliendi autentimine tunneli kaudu - klient saadab kasutajanimi ja parooli autentimiseksks ning luuakse kliendi autentimis poliis.
PEAP
PEAP (Protected Extensible Authentication Protocol, turvatud laiendatav autentimisprotokoll) – kasutatakse autentimis andmete ülekandmiseks Wi-Fi võrkudes. PEAP pakub kõrget turvalisust ja võimaldab kasutajate andmebaasi laiendamist. Võimaldab autentida WLAN kliente ilma sertifikaadideta, lihtsustades traadita kohtvõrke arhitektuuri. Toimub serveri poolne autentimine, et luua krüpteeritud tunnel. PEAP kasutab TLS tunneli kliendi ja serveri vahel. Vajatakse ainult serveri sertifikaati.PEAP on kaasaegsem meetod, töötab sarnaselt EAP-TTLS-le. PEAPi toetab Cisco ja Microsoft.
PEAPi turvalisuse eelised:
• Kasutaja autentimise info saadetakse TLSi(Transport Layer Security)kaudu.
• Kasutab serveri poolse autentimist,Public-Key Infrastructure (PKI) põhjal.
• Toetab parooli muutmist aegumisel.
• Ei ole tundlik sõnastiku rünnakute vastu.
• Pakub dünaamilist privaatsuse kaitset, kui seda kasutatakse koos Temporary Key Integrity Protokoliga (TKIP) või Advanced Encryption Standardiga (AES)
EAP-TTLS
EAP-TTLS (Tunneled Transport Layer Security) on EAP-TLSi laiendus. Tagab nii kliendi kui ka serveri autentimist sertifikaatide baasil krüpteeritud kanali (tunneli) kaudu. Kliendi sertifitseerimine ei ole kohustuslik. Samuti lubab genereerida dünaamilised WEP võtmed kasutaja ja seanssi jaoks. Erinevalt EAP-TLS -st, EAP-TTLSi tööks kohustuslik ainult serveri sertifitseerimine.
EAP-SIM
EAP-SIM - protokoll, kasutaja autentsuse tõendamiseks 2G võrkudes.
Autentsuse tõendamiseks GSM mobiilsidevõrkudes kasutatakse SIM kaardi.
EAP-SIM autentimise standard on välja töötatud kõrget turvalisust silmas pidades. Mis EAPSIM,
paroole pole kunagi edastada eetri või RADIUS taotlusi Interneti teel. EAP-SIM autentimine
hõlmab salajased võtmed ja algoritmid, mis asuvad SIM-kaardil ja GSM autentimise keskuses. Need
salajased võtmed ei edasta kunagi läbi eetri või interneti teel.
3G võrkudes kasutatakse EAP-AKA protokolli.
EAP-MD5
MD5 on vananenud tüüpi protokoll. Kaasaegsedes süsteemides soovitatakse mitte kasutada, kuna kasutab ühepoolset autentimist, ning ei toeta WEP võtmete dünaamilist vahetust, seega ei ole turvaline.
Kokkuvõte
Võimalused / Eelised | MD5 | TLS | TTLS | PEAP | FAST | LEAP |
---|---|---|---|---|---|---|
Klient nõuab sertifitseerimist | ei | jah | ei | ei | ei (PAC) | ei |
Server nõuab sertifitseerimist | ei | jah | ei | jah | ei (PAC) | ei |
WEP key management | ei | jah | jah | jah | jah | jah |
Võltsitud AP avastamine | ei | ei | ei | ei | jah | jah |
Tarnija | MS | MS | Funk | MS | Cisco | Cisco |
Autentimine | Ühepoolne | Kahepoolne | Kahepoolne | Kahepoolne | Kahepoolne | Kahepoolne |
Paigalduse raskus | Kerge | Raske | Mõõdukas | Mõõdukas | Mõõdukas | Mõõdukas |
Wi-Fi Turvalisus | Mitte rahuldav | Väga Kõrge | Kõrge | Kõrge | Kõrge | Kõrge, kui kasutusel
tugevad paroolid |
Mida kasutada?
Otsus sõltub turvalisuse tasest mida organisatsioon vajab, funktsionaalsusest ning vahendidest, mida nõus kulutada.
´
Kasutatud kirjandus
http://tools.ietf.org/html/rfc3748
http://www.cisco.com/en/US/docs/wireless/technology/peap/technical/reference/PEAP_D.html#wp998638
http://www.intel.com/support/ru/wireless/wlan/sb/cs-008413.htm