Tổng quan và loại EAP 802.1X

Tổng quan về 802.1X

802.1X là giao thức truy cập cổng để bảo vệ mạng thông qua xác thực. Do đó, loại phương pháp xác thực này cực kỳ hữu ích trong môi trường Wi-Fi do bản chất của phương tiện. Nếu người dùng Wi-Fi được xác thực qua 802.1X để truy cập mạng, một cổng ảo sẽ được mở trên điểm truy cập cho phép giao tiếp. Nếu không được ủy quyền thành công, một cổng ảo sẽ không khả dụng và thông tin liên lạc bị chặn.

Có ba tác vụ cơ bản để xác thực 802.1X:

1. Người bảo trợ Một máy khách phần mềm chạy trên máy trạm Wi-Fi.
2. Người xác thực Điểm truy cập Wi-Fi.
3. Máy chủ xác thực Cơ sở dữ liệu xác thực, thường là một máy chủ bán kính như Cisco ACS*, Funk Steel-Radius*, hoặc Microsoft IAS*.

Giao thức xác thực mở rộng (EAP) được sử dụng để truyền thông tin xác thực giữa người hỗ trợ (máy trạm Wi-Fi) và máy chủ xác thực (Microsoft IAS hoặc khác). Loại EAP thực sự xử lý và xác định xác thực. Điểm truy cập đóng vai trò là người xác thực chỉ là một proxy để cho phép người hỗ trợ và máy chủ xác thực giao tiếp.

Tôi nên sử dụng sản phẩm nào?

Loại EAP nào để triển khai, hoặc việc triển khai 802.1X hay hoàn toàn, phụ thuộc vào mức độ bảo mật mà tổ chức cần, chi phí quản trị và các tính năng mong muốn. Các mô tả cụ thể ở đây cũng như một biểu đồ so sánh sẽ giảm bớt những khó khăn trong việc hiểu được nhiều loại EAP có sẵn.

Loại xác thực Giao thức xác thực (EAP) có thể tăng cường

Vì bảo mật Mạng cục bộ Wi-Fi (WLAN) là điều cần thiết và các loại xác thực EAP cung cấp một phương tiện tốt hơn có khả năng bảo mật kết nối WLAN, các nhà cung cấp đang phát triển nhanh chóng và thêm các loại xác thực EAP vào các điểm truy cập WLAN của họ. Một số loại xác thực EAP được triển khai phổ biến nhất bao gồm EAP-MD-5, EAP-TLS, EAP-TLP, EAP-TTLS, EAP-Fast và Cisco LEAP.

• Thách thức EAP-MD-5 (Message Digest) là loại xác thực EAP cung cấp hỗ trợ EAP cấp cơ sở. EAP-MD-5 thường không được khuyến nghị sử dụng cho việc triển khai Wi-Fi LAN vì nó có thể cho phép nguồn gốc mật khẩu của người dùng. Nó chỉ cung cấp xác thực một chiều - không có xác thực chung của máy khách Wi-Fi và mạng. Và rất quan trọng là nó không cung cấp một phương tiện để dẫn xuất các khóa quyền riêng tư tương đương (WEP) động mỗi phiên có dây.
• EAP-TLS (Bảo mật lớp truyền tải) cung cấp xác thực chung và dựa trên chứng chỉ của máy khách và mạng. Nó dựa trên chứng chỉ phía máy khách và phía máy chủ để thực hiện xác thực và có thể được sử dụng để tự động tạo ra các khóa WEP dựa trên phiên và người dùng để đảm bảo liên lạc tiếp theo giữa máy khách WLAN và điểm truy cập. Một hạn chế của EAP-TLS là chứng chỉ phải được quản lý ở cả phía máy khách và máy chủ. Đối với một cài đặt WLAN lớn, đây có thể là một tác vụ rất rưởi.
• EAP-TTLS (Tunneled Transport Layer Security) do Funk Software* và Certicom* phát triển, như một phần mở rộng của EAP-TLS. Phương pháp bảo mật này cung cấp xác thực chung, dựa trên chứng chỉ của máy khách và mạng thông qua một kênh được mã hóa (hoặc đường hầm), cũng như một phương tiện để dẫn ra các khóa WEP động, mỗi người dùng, mỗi phiên. Không giống như EAP-TLS, EAP-TTLS chỉ yêu cầu chứng chỉ phía máy chủ.
• EAP-FAST (Xác thực linh hoạt thông qua Đường dẫn an toàn) do Cisco* phát triển. Thay vì sử dụng chứng chỉ để đạt được xác thực chung. EAP-FAST xác thực bằng phương tiện của PAC (Thông tin truy cập được bảo vệ) có thể được quản lý linh động bởi máy chủ xác thực. PAC có thể được cung cấp (phân phối một lần) cho máy khách theo cách thủ công hoặc tự động. Cung cấp thủ công được cung cấp cho máy khách thông qua đĩa hoặc phương pháp phân phối mạng bảo mật. Dự phòng tự động là một trong băng tần, qua không khí, phân phối.
• Phương pháp giao thức xác thực có thể tăng cường cho Nhận dạng Người đăng ký GSM (EAP-SIM) là một cơ chế để phân phối khóa xác thực và phiên. Nó sử dụng Mô-đun Nhận dạng Người đăng ký (SIM) Hệ thống Toàn cầu cho Truyền thông Di động (GSM). EAP-SIM sử dụng khóa WEP dựa trên phiên động, được rút ra từ bộ điều hợp máy khách và máy chủ RADIUS để mã hóa dữ liệu. EAP-SIM yêu cầu bạn nhập mã xác minh người dùng hoặc mã PIN để liên lạc với thẻ Mô-đun Nhận dạng Người đăng ký (SIM). Thẻ SIM là một thẻ thông minh đặc biệt được Hệ thống toàn cầu sử dụng cho mạng di động dựa trên Truyền thông Di động (GSM).
• EAP-AKA (Phương pháp Giao thức Xác thực Có thể tăng cường cho Xác thực VÀ Thỏa thuận Chính YẾU) là cơ chế EAP để phân phối khóa xác thực và phiên, sử dụng Mô-đun Nhận dạng Người đăng ký Hệ thống Viễn thông Di động Đa năng (UMTS) (USIM). Thẻ USIM là một thẻ thông minh đặc biệt được sử dụng với các mạng di động để xác thực một người dùng nhất định với mạng.
• LEAP (Giao thức xác thực có thể tăng cường trọng lượng nhẹ), là loại xác thực EAP được sử dụng chủ yếu trong các Cisco Aironet* WLAN. Nó mã hóa việc truyền dữ liệu bằng cách sử dụng các khóa WEP được tạo động và hỗ trợ xác thực chung. Trước đây, Cisco đã cấp phép LEAP cho nhiều nhà sản xuất khác thông qua chương trình Tiện ích mở rộng tương thích của Cisco.
• LEGACYP (Giao thức xác thực có thể tăng cường được bảo vệ) cung cấp một phương pháp để truyền dữ liệu xác thực an toàn, bao gồm các giao thức dựa trên mật khẩu cũ, thông qua mạng Wi-Fi 802.11. SẼ HOÀN THÀNH MỤC TIÊU NÀY bằng cách sử dụng đường dẫn giữa máy khách VÀ máy chủ xác thực CỦA CHÚNG. Giống như Tunneled Transport Layer Security (TTLS) tiêu chuẩn đang cạnh tranh, SOCKETP xác thực các máy khách Wi-Fi LAN chỉ sử dụng chứng chỉ phía máy chủ, do đó đơn giản hóa việc triển khai và quản lý mạng LAN Wi-Fi an toàn. Microsoft, Cisco và RSA Security đã phát triển LẠCH.

Đánh giá các cuộc thảo luận và bảng ở trên thường cung cấp các kết quả sau:

• MD5 thường không được sử dụng vì nó chỉ xác thực một cách và hiển thị quan trọng hơn nữa không hỗ trợ phân phối tự động và lưu trữ các khóa WEP vì vậy không có gì để giảm gánh nặng quản trị của việc bảo trì khóa WEP thủ công.
• TLS, trong khi rất an toàn, yêu cầu phải có chứng chỉ máy khách được cài đặt trên từng máy trạm Wi-Fi. Việc bảo trì cơ sở hạ tầng PKI đòi hỏi phải có thêm kiến thức chuyên môn về quản trị và thời gian ngoài việc duy trì WLAN.
• TTLS giải quyết vấn đề chứng nhận bằng cách đào tLS, và do đó loại bỏ nhu cầu về chứng chỉ ở phía máy khách. Làm cho đây là một lựa chọn thường được ưa thích. Funk Software* là công ty quảng bá chính của TTLS và có trách nhiệm về phần mềm máy chủ supplicant và xác thực.
• LEAP có lịch sử lâu nhất và trong khi trước đây là quyền sở hữu của Cisco (chỉ hoạt động với bộ điều hợp Wi-Fi của Cisco), Cisco đã cấp phép LEAP cho nhiều nhà sản xuất khác thông qua chương trình Tiện ích mở rộng tương thích của Cisco. Cần thực thi chính sách mật khẩu mạnh mẽ khi sử dụng LEAP để xác thực.
• EAP-FAST hiện đã có sẵn cho các doanh nghiệp không thể thực thi chính sách mật khẩu mạnh mẽ và không muốn triển khai chứng chỉ để xác thực.
• NGÀY càng có nhiều HOẠT ĐỘNG GẦN ĐÂY TƯƠNG TỰ NHƯ EAP-TTLS, trong đó nó không đòi hỏi chứng chỉ ở phía máy khách. CISCO và Microsoft hỗ trợ VÀ MICROSOFT cung cấp mà không phải trả thêm phí. Nếu muốn chuyển đổi từ LEAP sang SOCKETP, máy chủ xác thực ACS của Cisco sẽ chạy cả hai.

Một tùy chọn khác là VPN

Thay vì dựa vào Wi-Fi LAN để xác thực và quyền riêng tư (mã hóa), nhiều doanh nghiệp triển khai VPN. Điều này được thực hiện bằng cách đặt các điểm truy cập bên ngoài tường lửa của công ty và có đường dẫn người dùng vào thông qua Cổng VPN - giống như thể họ là người dùng từ xa. Nhược điểm của việc triển khai giải pháp VPN là chi phí, sự phức tạp cài đặt ban đầu và chi phí quản trị liên tục.