Tổng quan và loại EAP 802.1X

Lưu ýDữ liệu này không dành cho người dùng gia đình hoặc văn phòng nhỏ thường không sử dụng các tính năng bảo mật nâng cao, chẳng hạn như những dữ liệu được thảo luận trong trang này. Tuy nhiên, những người dùng này có thể thấy các chủ đề thú vị cho mục đích thông tin.

Tổng quan về 802.1X

802.1 X là giao thức truy vấn cổng để bảo vệ mạng trải qua xác nhận. Do đó, loại chiêu thức xác nhận này cực kỳ hữu dụng trong thiên nhiên và môi trường Wi-Fi do thực chất của phương tiện đi lại. Nếu người dùng Wi-Fi được xác nhận qua 802.1 X để truy vấn mạng, một cổng ảo sẽ được mở trên điểm truy vấn được cho phép tiếp xúc. Nếu không được ủy quyền thành công xuất sắc, một cổng ảo sẽ không khả dụng và thông tin liên lạc bị chặn .

Có ba tác vụ cơ bản để xác thực 802.1X:

Bạn đang đọc: Tổng quan và loại EAP 802.1X

  1. Người bảo trợ Một máy khách phần mềm chạy trên máy trạm Wi-Fi.
  2. Người xác thực Điểm truy cập Wi-Fi.
  3. Máy chủ xác thực Cơ sở dữ liệu xác thực, thường là một máy chủ bán kính như Cisco ACS*, Funk Steel-Radius*, hoặc Microsoft IAS*.

Giao thức xác nhận lan rộng ra ( EAP ) được sử dụng để truyền thông tin xác nhận giữa người tương hỗ ( máy trạm Wi-Fi ) và sever xác nhận ( Microsoft IAS hoặc khác ). Loại EAP thực sự giải quyết và xử lý và xác lập xác nhận. Điểm truy vấn đóng vai trò là người xác nhận chỉ là một proxy để cho phép người tương hỗ và sever xác nhận tiếp xúc .

Tôi nên sử dụng sản phẩm nào?

Loại EAP nào để tiến hành, hoặc việc tiến hành 802.1 X hay trọn vẹn, nhờ vào vào mức độ bảo mật thông tin mà tổ chức triển khai cần, ngân sách quản trị và những tính năng mong ước. Các miêu tả đơn cử ở đây cũng như một biểu đồ so sánh sẽ giảm bớt những khó khăn vất vả trong việc hiểu được nhiều loại EAP có sẵn .

Loại xác thực Giao thức xác thực (EAP) có thể tăng cường

Vì bảo mật Mạng cục bộ Wi-Fi (WLAN) là điều cần thiết và các loại xác thực EAP cung cấp một phương tiện tốt hơn có khả năng bảo mật kết nối WLAN, các nhà cung cấp đang phát triển nhanh chóng và thêm các loại xác thực EAP vào các điểm truy cập WLAN của họ. Một số loại xác thực EAP được triển khai phổ biến nhất bao gồm EAP-MD-5, EAP-TLS, EAP-TLP, EAP-TTLS, EAP-Fast và Cisco LEAP.

  • Thách thức EAP-MD-5 (Message Digest) là loại xác thực EAP cung cấp hỗ trợ EAP cấp cơ sở. EAP-MD-5 thường không được khuyến nghị sử dụng cho việc triển khai Wi-Fi LAN vì nó có thể cho phép nguồn gốc mật khẩu của người dùng. Nó chỉ cung cấp xác thực một chiều – không có xác thực chung của máy khách Wi-Fi và mạng. Và rất quan trọng là nó không cung cấp một phương tiện để dẫn xuất các khóa quyền riêng tư tương đương (WEP) động mỗi phiên có dây.
  • EAP-TLS (Bảo mật lớp truyền tải) cung cấp xác thực chung và dựa trên chứng chỉ của máy khách và mạng. Nó dựa trên chứng chỉ phía máy khách và phía máy chủ để thực hiện xác thực và có thể được sử dụng để tự động tạo ra các khóa WEP dựa trên phiên và người dùng để đảm bảo liên lạc tiếp theo giữa máy khách WLAN và điểm truy cập. Một hạn chế của EAP-TLS là chứng chỉ phải được quản lý ở cả phía máy khách và máy chủ. Đối với một cài đặt WLAN lớn, đây có thể là một tác vụ rất rưởi.
  • EAP-TTLS (Tunneled Transport Layer Security) do Funk Software* và Certicom* phát triển, như một phần mở rộng của EAP-TLS. Phương pháp bảo mật này cung cấp xác thực chung, dựa trên chứng chỉ của máy khách và mạng thông qua một kênh được mã hóa (hoặc đường hầm), cũng như một phương tiện để dẫn ra các khóa WEP động, mỗi người dùng, mỗi phiên. Không giống như EAP-TLS, EAP-TTLS chỉ yêu cầu chứng chỉ phía máy chủ.
  • EAP-FAST (Xác thực linh hoạt thông qua Đường dẫn an toàn) do Cisco* phát triển. Thay vì sử dụng chứng chỉ để đạt được xác thực chung. EAP-FAST xác thực bằng phương tiện của PAC (Thông tin truy cập được bảo vệ) có thể được quản lý linh động bởi máy chủ xác thực. PAC có thể được cung cấp (phân phối một lần) cho máy khách theo cách thủ công hoặc tự động. Cung cấp thủ công được cung cấp cho máy khách thông qua đĩa hoặc phương pháp phân phối mạng bảo mật. Dự phòng tự động là một trong băng tần, qua không khí, phân phối.
  • Phương pháp giao thức xác thực có thể tăng cường cho Nhận dạng Người đăng ký GSM (EAP-SIM) là một cơ chế để phân phối khóa xác thực và phiên. Nó sử dụng Mô-đun Nhận dạng Người đăng ký (SIM) Hệ thống Toàn cầu cho Truyền thông Di động (GSM). EAP-SIM sử dụng khóa WEP dựa trên phiên động, được rút ra từ bộ điều hợp máy khách và máy chủ RADIUS để mã hóa dữ liệu. EAP-SIM yêu cầu bạn nhập mã xác minh người dùng hoặc mã PIN để liên lạc với thẻ Mô-đun Nhận dạng Người đăng ký (SIM). Thẻ SIM là một thẻ thông minh đặc biệt được Hệ thống toàn cầu sử dụng cho mạng di động dựa trên Truyền thông Di động (GSM).
  • EAP-AKA (Phương pháp Giao thức Xác thực Có thể tăng cường cho Xác thực VÀ Thỏa thuận Chính YẾU) là cơ chế EAP để phân phối khóa xác thực và phiên, sử dụng Mô-đun Nhận dạng Người đăng ký Hệ thống Viễn thông Di động Đa năng (UMTS) (USIM). Thẻ USIM là một thẻ thông minh đặc biệt được sử dụng với các mạng di động để xác thực một người dùng nhất định với mạng.
  • LEAP (Giao thức xác thực có thể tăng cường trọng lượng nhẹ), là loại xác thực EAP được sử dụng chủ yếu trong các Cisco Aironet* WLAN. Nó mã hóa việc truyền dữ liệu bằng cách sử dụng các khóa WEP được tạo động và hỗ trợ xác thực chung. Trước đây, Cisco đã cấp phép LEAP cho nhiều nhà sản xuất khác thông qua chương trình Tiện ích mở rộng tương thích của Cisco.
  • LEGACYP (Giao thức xác thực có thể tăng cường được bảo vệ) cung cấp một phương pháp để truyền dữ liệu xác thực an toàn, bao gồm các giao thức dựa trên mật khẩu cũ, thông qua mạng Wi-Fi 802.11. SẼ HOÀN THÀNH MỤC TIÊU NÀY bằng cách sử dụng đường dẫn giữa máy khách VÀ máy chủ xác thực CỦA CHÚNG. Giống như Tunneled Transport Layer Security (TTLS) tiêu chuẩn đang cạnh tranh, SOCKETP xác thực các máy khách Wi-Fi LAN chỉ sử dụng chứng chỉ phía máy chủ, do đó đơn giản hóa việc triển khai và quản lý mạng LAN Wi-Fi an toàn. Microsoft, Cisco và RSA Security đã phát triển LẠCH.

Loại EAP 802.1X

Tính năng/Lợi ích

MD5

Thông điệp Digest 5
TLS

Bảo mật cấp độ vận tải
TTLS

Bảo mật cấp độ vận chuyển đường hầm
CÔNG CỤ THỐNG NHẤT

Bảo mật cấp độ vận chuyển được bảo vệ

NHANH

Xác thực linh hoạt thông qua đường dẫn an toàn

NHUẬN

Giao thức xác thực có thể tăng cường trọng lượng nhẹ
Yêu cầu chứng chỉ phía máy kháchKhôngCóKhôngKhôngKhông
(PAC)KhôngYêu cầu chứng chỉ phía máy chủKhôngCóCóCóKhông
(PAC)KhôngQuản lý khóa WEPKhôngCóCóCóCóCóPhát hiện Rogue APKhôngKhôngKhôngKhôngCóCóCung cấpBÀBÀFunkBÀCiscoCiscoThuộc tính xác thựcMột cáchMutualMutualMutualMutualMutualKhó khăn triển khaiDễ dàngKhó khăn (do triển khai chứng chỉ máy khách)Trung bìnhTrung bìnhTrung bìnhTrung bìnhBảo mật Wi-FiNghèoRất caoCaoCaoCaoCao khi sử dụng mật khẩu mạnh.

 

Đánh giá các cuộc thảo luận và bảng ở trên thường cung cấp các kết quả sau:

  • MD5 thường không được sử dụng vì nó chỉ xác thực một cách và hiển thị quan trọng hơn nữa không hỗ trợ phân phối tự động và lưu trữ các khóa WEP vì vậy không có gì để giảm gánh nặng quản trị của việc bảo trì khóa WEP thủ công.
  • TLS, trong khi rất an toàn, yêu cầu phải có chứng chỉ máy khách được cài đặt trên từng máy trạm Wi-Fi. Việc bảo trì cơ sở hạ tầng PKI đòi hỏi phải có thêm kiến thức chuyên môn về quản trị và thời gian ngoài việc duy trì WLAN.
  • TTLS giải quyết vấn đề chứng nhận bằng cách đào tLS, và do đó loại bỏ nhu cầu về chứng chỉ ở phía máy khách. Làm cho đây là một lựa chọn thường được ưa thích. Funk Software* là công ty quảng bá chính của TTLS và có trách nhiệm về phần mềm máy chủ supplicant và xác thực.
  • LEAP có lịch sử lâu nhất và trong khi trước đây là quyền sở hữu của Cisco (chỉ hoạt động với bộ điều hợp Wi-Fi của Cisco), Cisco đã cấp phép LEAP cho nhiều nhà sản xuất khác thông qua chương trình Tiện ích mở rộng tương thích của Cisco. Cần thực thi chính sách mật khẩu mạnh mẽ khi sử dụng LEAP để xác thực.
  • EAP-FAST hiện đã có sẵn cho các doanh nghiệp không thể thực thi chính sách mật khẩu mạnh mẽ và không muốn triển khai chứng chỉ để xác thực.
  • NGÀY càng có nhiều HOẠT ĐỘNG GẦN ĐÂY TƯƠNG TỰ NHƯ EAP-TTLS, trong đó nó không đòi hỏi chứng chỉ ở phía máy khách. CISCO và Microsoft hỗ trợ VÀ MICROSOFT cung cấp mà không phải trả thêm phí. Nếu muốn chuyển đổi từ LEAP sang SOCKETP, máy chủ xác thực ACS của Cisco sẽ chạy cả hai.

Một tùy chọn khác là VPN

Thay vì dựa vào Wi-Fi LAN để xác nhận và quyền riêng tư ( mã hóa ), nhiều doanh nghiệp tiến hành VPN. Điều này được triển khai bằng cách đặt những điểm truy vấn bên ngoài tường lửa của công ty và có đường dẫn người dùng vào trải qua Cổng VPN – giống như thể họ là người dùng từ xa. Nhược điểm của việc tiến hành giải pháp VPN là ngân sách, sự phức tạp thiết lập khởi đầu và ngân sách quản trị liên tục .

Source: https://lava.com.vn
Category: Hỏi Đáp