EAP (Extensible Authentication Protocol)

From ICO wiki
Jump to navigationJump to search

Artikli autor

Nimi: Maksim Kornejev
Grupp: AK21
Viimati muudetud: 26.04.2010

Artikkel on pooleli!

Sissejuhatus

EAP (Extensible Authentication Protocol, laiendatav autentimis protokoll) – IETF standard, (RFC 3748) kasutatakse autentimis andmete vahetuseks Wi-Fi tugijaama ja autentimis serveri vahel. EAP eelis on tema paindlikus.
Kokku on ca 40 EAP tüüpi. Traadita side jaoks olulisemad on: EAP-MD-5, EAP-SIM, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast ja Cisco LEAP.

LEAP

LEAP (Lightweight Extensible Authentication Protocol, kergendatud laiendatav autentimis protokol) Tagab parooliga autentimist traadita kliendi ja RADIUS serveri vahel. Kasutatakse enamasti Cisco Aironeti traadita lokaal võrkudes. Andmed kodeeritakse, kasutades dünaamiliselt genereeritud WEP-võtmed. Toetab kahepoolset autentimist. Jaam peab identifitseerima ennast ja tõestama, et see on volitatud kasutaja, siis antakse luba võrku pääsmiseks. Kasutades LEAP meetodi, autentimine nõuab tugevate paroolide määramise poliitikat.

EAP-TLS

EAP-TLS (Transport Layer Security,) – tagab nii kliendi kui ka serveri autentimist sertifikaatide baasil. Võimaldab genereerida dünaamilised WEP võtmed kasutaja ja seanssi jaoks, et kaitsta side traadita võrku kliendi ja AP vahel.
TLS on väga turvaline, kuid nõuab kliendi sertifakaati paigaldust igas Wi-Fi tugijaamas. Suurtes traadita lokaalvõrkudes see ülesanne võib olla raskelt teostatav.


EAP-FAST

EAP-FAST (Flexible Authentication via Secure Tunneling, paindlik autentimine turvatud tunneli kaudu) väljatöödetud Cisco poolt.
Sertifikaadide asemel kasutatakse PAC (Protected Access Credential) andmed, mis juhitakse dünaamiliselt autentimis serveri poolt. PAC andmed jagatakse kliendile üks kord.


PEAP

PEAP (Protected Extensible Authentication Protocol, turvatud laiendatav autentimisprotokolll) – kasutatakse autentimis andmete ülekandmiseks Wi-Fi võrkudes. PEAP võimaldab autentida WLAN kliente ilma sertifikaadita, lihtsustades turvalise traadita kohtvõrke arhitektuuri. PEAP kasutab TLS tunneli kliendi ja serveri vahel. Vajatakse ainult serveri sertifikaati.
PEAP on kaasaegsem meetod, töötab sarnaselt EAP-TTLS-le. PEAPi toetab Cisco ja Microsoft.

EAP-TTLS

EAP-TTLS (Tunneled Transport Layer Security) on EAP-TLSi laiendus. Tagab nii kliendi kui ka serveri autentimist sertifikaatide baasil krüpteeritud kanali (tunneli) kaudu, samuti lubab genereerida dünaamilised WEP võtmed kasutaja ja seanssi jaoks. Erinevalt EAP-TLS -st, EAP-TTLSi tööks vajatakse ainult serveri sertifikaadid.


EAP-SIM

protokoll, kasutaja autentsuse tõendamiseks 2G võrkudes. Autentsuse tõendamiseks GSM mobiilsidevõrkudes kasutatakse SIM kaardi. EAP-SIM autentimise standard on välja töötatud kõrget turvalisust silmas pidades. Mis EAPSIM, paroole pole kunagi edastada eetri või RADIUS taotlusi Interneti teel. EAP-SIM autentimine hõlmab salajased võtmed ja algoritmid, mis asuvad SIM-kaardil ja GSM autentimise keskuses. Need salajased võtmed ei edasta kunagi läbi eetri või interneti teel.
3G võrkudes kasutatakse EAP-AKA protokolli.

EAP-MD5

MD5 on vananenud tüüpi protokoll. Kaasaegsedes süsteemides soovitatakse mitte kasutada, kuna kasutab ühepoolset autentimist, ning ei toeta WEP võtmete dünaamilist vahetust, seega ei ole turvaline.



Kokkuvõte

Võimalused / Eelised MD5 TLS TTLS PEAP FAST LEAP
Klient nõuab sertifitseerimist ei jah ei ei ei(PAC) ei
Server nõuab sertifitseerimist ei jah ei jah ei (PAC) ei
WEP key management ei jah jah jah jah jah
Võltsitud AP avastamine ei ei ei ei jah jah
Tarnija MS MS Funk MS Cisco Cisco
Authentication Attributes Ühepoolne Kahepoolne Kahepoolne Kahepoolne Kahepoolne Kahepoolne
Deployment Difficulty Kerge Raske Mõõdukas Mõõdukas Mõõdukas Mõõdukas
Wi-Fi Turvalisus Mitte rahuldav Väga Kõrge Kõrge Kõrge Kõrge Kõrge, kui kasutusel

tugevad paroolid

Mida kasutada?
Otsus sõltub turvalisuse tasest mida organisatsioon vajab, funktsionaalsusest ning vahendidest, mida nõus kulutada.
´


Kasutatud kirjandus

http://tools.ietf.org/html/rfc3748
http://www.cisco.com/en/US/docs/wireless/technology/peap/technical/reference/PEAP_D.html#wp998638
http://www.intel.com/support/ru/wireless/wlan/sb/cs-008413.htm