Extensible Authentication Protocol

Technology
12 hours ago
8
4
2
Avatar
Author
Albert Flores

Extensible Authentication Protocol (EAP) je autentizační protokol používaný v počítačových sítích, který umožňuje klientům autentizovat se u serveru pomocí různých metod. EAP je navržen tak, aby byl rozšiřitelný a umožňoval použití různých autentizačních mechanismů. Původně byl vyvinut pro bezdrátové sítě, ale je také využíván ve virtuálních privátních sítích (VPN) a dalších prostředích. EAP umožňuje kombinovat autentizaci založenou na heslech, kryptografických certifikátech, tokenech a dalších metodách. Jedním z nejčastěji používaných autentizačních mechanismů je EAP-TLS, který využívá certifikáty pro autentizaci klientů a serverů. EAP je standardizován v RFC 3748 a je používán v mnoha bezdrátových sítích, jako je Wi-Fi. Tento protokol je důležitý pro zajištění bezpečnosti připojení a ochranu proti neoprávněnému přístupu.

Extensible Authentication Protocol, nebo EAP, je autentizační framework nejčastěji používaný v bezdrátových sítích a Point-to-Point spojeních. Definován je v dokumentu RFC 3748, který vychází ze staršího RFC 2284 a aktualizace je v RFC 5247.

EAP je autentizační framework zprostředkující přenos a používání klíčů generovaných podle metod uvedených v

Je zde uvedeno mnoho metod, ale také vznikají nové návrhy různě přizpůsobených metod. +more EAP není síťový protokol, pouze definuje formáty zpráv. Každý protokol, který používá EAP definuje způsob zapouzdření v daném protokolu.

EAP má široké použití, například ve standardech IEEE 802. +more11 (WiFi) WPA a WPA2, kdy je v IEEE 802. 1X přijato pět kombinací EAP s jinými protokoly, jako oficiální autentizační mechanismy. V současné době je definováno asi 40 různých metod.

Metody

EAP je autentizační framework, nikoliv samotný autentizační mechanismus. Zajišťuje některé obecné funkce a sjednání autentizačních metod, které se nazývají metody EAP. +more Je definováno okolo 40 metod. Mezi metody definované v IETF, součást RFC, patří EAP-MD5, EAP-OTP, EAP-GTC, EAP-TLS, EAP-IKEv2, EAP-SIM, EAP-AKA a EAP-AKA'. Běžně používané moderní metody schopné pracovat v bezdrátových sítích jsou EAP-TLS, EAP-SIM, EAP-AKA, LEAP a EAP-TTLS. Požadavky na EAP metody používané pro autentizaci v bezdrátových LAN jsou popsány v RFC 4017.

Norma také popisuje požadavky pro správu klíčů AAA, které jsou obsaženy v RFC 4962.

LEAP

Light Extensible Authentication Protocol (LEAP) je proprietární EAP metodou vyvinuté firmou Cisco Systems předcházející k IEEE bezpečnostnímu standardu 802. +more11i. Mezi vlastnosti LEAP patří dynamické WEP klíče a vzájemné ověřování (mezi bezdrátovým klientem a RADIUS serverem). LEAP často provádí opětovné ověření, kde při každém úspěšném ověření získá nový WEP klíč (spoléhá se na to, že klíč WEP nikdo nedokáže odhalit). Je možnost LEAP nakonfigurovat tak, aby používal TKIP místo dynamické WEP.

Dodavatelé třetích stran pro podporu LEAP používají Cisco Compatible Extensions Program.

EAP-TLS

EAP-Transport Layer Security (EAP-TLS), definovaný v RFC 5216, kompatibilní s většinou wifi zařízení. Bezpečnost TLS protokolu je silná, za předpokladu, že uživatel rozumí potenciálnímu varování před falešnými údaji. +more Používá PKI pro zabezpečení komunikace s RADIUS serverem nebo jiným. I když zabezpečení EAP-TLS je dobré, tak ale jeho Achillovou patou může být režie certifikátů na straně klienta.

EAP-TLS je původním, standardním wireless LAN EAP autentizačním protokolem, ačkoli je jen zřídka nasazen, je stále považován za jeden z nejbezpečnějších EAP standardů, s všeobecnou podporou většiny výrobců wireless LAN hardwaru a softwaru. Pro svou funkci potřebuje privátní klíč klienta (právě požadavek pro klientův klíč je jedním z důvodu malého nasazení). +more Výhodou ale je, že případně prozrazené heslo je pro útočníka zbytečné bez klientova privátního klíče. Pro vyšší zabezpečení privátního klíče se používá uložení tohoto klíče na čipovou kartu. Ta zajistí těžší odcizení privátního klíče, protože by se tato karta musela odcizit fyzicky. EAP-TLS je nativně podporován v systémech Mac OS X 10. 3 a vyšší, WPA supplicant, Windows 2000 SP4, Windows XP a vyšší, Windows Mobile 2003 a vyšší a Windows CE 4. 2.

EAP-MD5

EAP-MD5, definováno v RFC 3748. Nabízí pouze minimální zabezpečení, protože MD5 hashovací funkce je citlivá na slovníkové útoky a nepodporuje generování klíčů, které jsou nezbytné pro použití dynamického WEP nebo WPA/WPA2. +more EAP-MD5 se od ostatních EAP metod liší tím, že poskytuje ověření jen EAP serveru, ale ne vzájemnou autentizaci, z toho vyplývá, že je tato metoda citlivá na útoky man-in-the-middle.

EAP-PSK

EAP-PSK, definováno v RFC 4764, je metoda pro vzájemnou autentizaci relace s použitím Pre-Shared Key (PSK). Pokud je autentizace úspěšná, zprostředkuje zabezpečený komunikační kanál. +more Tato metoda je určená pro autentizaci přes nezabezpečené sítě jako IEEE 802. 11.

EAP-PSK je popsán v experimentálním RFC, která poskytuje lehké a rozšířené EAP metody, které nevyžadují žádnou kryptografii veřejných klíčů.

EAP-TTLS

EAP-Tunneled Transport Layer Security (EAP-TTLS) je to rozšíření TLS. Vyvinutý v Funk Software a Certicom. +more Široce podporován mezi platformami, ale zatím nemá nativní podpora pro Microsoft Windows, potřebuje tedy instalaci extra programů jako například [url=http://www. securew2. com/]SecureW2[/url].

EAP-TTLS nabízí velmi dobré zabezpečení. Klient si může zaregistrovat svůj privátní klíč u certifikační autority. +more Zjednoduší to nastavovací proceduru o to, že se certifikát nemusí instalovat pro každého klienta.

Poté co je server pro klienta bezpečně ověřen certifikační autoritou (CA), případně i klient je ověřen certifikátem u serveru, vytvoří se zabezpečené připojení ("tunel") pro autentizaci klienta. Nyní je možné provést autentizaci pomocí ověřovacího protokolu, celý přenos bude probíhat přes zabezpečený tunel, takže všechny údaje jsou zašifrované. +more To zabrání odposlouchávacím a man-in-the-middle útokům.

Existují 2 verze EAP-TTLS: originální EAP-TTLS (a.k.a. EAP-TTLSv0) a EAP-TTLSv1. EAP-TTLSv0 je popsána v RFC 5281, EAP-TTLSv1 je k dispozici jako návrhová verze.

EAP-IKEv2

EAP-IKEv2 je metoda EAP založená na Internet Key Exchange protokolu verze 2 (IKEv2). Zajišťuje vzájemné ověření a ustanovení klíče sezení mezi EAP peer a EAP serverem. +more Podporuje následující techniky ověřování: * Asymetrický pár klíčů - veřejný/privátní pár klíčů, kde veřejný je obsažen v certifikátu a privátní klíč je znám vždy jen jedné straně. * Hesla - bitový řetězec o nízké entropii, který je znám jak peeru, tak i serveru * Symetrické klíče - bitový řetězec o vysoké entropii, který je znám jak peeru, tak i serveru.

Je možné používat různé autentizace (a tím i techniky) v každém směru. Například, EAP server se bude autentizovat pomocí veřejného/privátního páru klíčů a EAP peer použije symetriký klíč. +more V praxi jsou používány tyto kombinace:

EAP serverEAP peer
Asymetrický pár klíčůAsymetrický pár klíčů
Asymetrický pár klíčůSymetrický klíč
Asymetrický pár klíčůHeslo
Symetrický klíčSymetrický klíč
.

EAP-IKEv2 je popsán v RFC 5106. Prototyp implementace lze najít na stránce http://eap-ikev2.sourceforge.net.

EAP-SIM

EAP pro GSM Subscriber Identity slouží k ověřování a distribuci klíče v Global System for Mobile Communications (GSM) Subscriber identity module (SIM). EAP-SIM je definovaný v RFC 4186.

EAP-AKA

EAP for UMTS Authentication and Key Agreement slouží k ověřování a distribuci klíče v Universal Mobile Telecommunications System (UMTS) Universal Subscriber Identity Module (USIM). EAP-AKA je definovaný v RFC 4187.

EAP-GTC

EAP Generic Token Card, nebo EAP-GTC, je metoda vytvořená firmou Cisco jako alternativa k PEAPv0/EAP-MSCHAPv2, definována v RFC 2284 a RFC 3748. EAP-GTC vyšle textovou zprávu z autentizačního serveru a jako odpověď přijde zabezpečený token. +more PEAP-GTC umožňuje autentizaci do databází jako třeba Novell Directory Service (NDS) a Lightweight Directory Access Protocol (LDAP).

EAP-EKE

EAP s Encrypted key exchange, nebo EAP-EKE, je jednou z metod, které zajišťují bezpečnou vzájemnou autentizaci použitím krátkých hesel bez potřeby veřejného klíče. Tato metoda je specifikována v RFC 6124. +more Jedná se o 3 kolovou výměnu založenou na Diffie-Hellman variantě známého EKE protokolu.

Zapouzdření

EAP není zprostředkující protokol; místo toho pouze definuje formát zpráv. Každý protokol, který používá EAP, pouze definuje jakým způsobem se provede zapouzdření zprávy.

IEEE 802.1X

Zapouzdření EAP přes IEEE 802 je definované v IEEE 802. +more1X a známé jako "EAP over LANs" nebo EAPOL. EAPOL byl původně definován pro IEEE 802. 3 ethernet v 802. 1X-2001, ale byl předělán tak, aby vyhovoval jiným IEEE 802 LAN technologiím např. IEEE 802. 11 wifi a Fiber Distributed Data Interface (ISO 9314-2) v 802. 1X-2004. EAPOL byl také upraven pro použití s IEEE 802. 1AE (MACsec) aIEEE 802. 1AR (Initial Device Identity, IDevID) v 802. 1X-2010.

PEAP

Protected Extensible Authentication Protocol, také známý jako Protected EAP nebo jednoduchý PEAP, zapouzdřuje EAP s potenciálním šifrovaným a autentizovaným Transport Layer Security (TLS) tunelem. Cílem je napravit nedostatky v EAP, protože EAP předpokládá chráněné komunikační kanály, jak fyzické, tak i komunikační.

PEAP byl společně vyvinutý společnostmi Cisco Systems, Microsoft a RSA Security. PEAPv0 byl obsažen v Microsoft Windows XP a definován v [url=http://tools. +moreietf. org/html/draft-kamath-pppext-peapv0-00]draft-kamath-pppext-peapv0-00[/url]. PEAPv1 a PEAPv2 byl definován v různých verzích draft-josefsson-pppext-eap-tls-eap. PEAPv1 je definovaný v [url=http://tools. ietf. org/html/draft-josefsson-pppext-eap-tls-eap-00]draft-josefsson-pppext-eap-tls-eap-00[/url] přes [url=http://tools. ietf. org/html/draft-josefsson-pppext-eap-tls-eap-05]draft-josefsson-pppext-eap-tls-eap-05[/url], a PEAPv2 definovaný ve verzích počínaje http://tools. ietf. org/html/draft-josefsson-pppext-eap-tls-eap-06.

Protokol specifikuje pouze řetězení EAP mechanismů, ale ne žádné konkrétní metody.

PANA

Protocol for Carrying Authentication for Network Access (PANA) je to IP protokol, který umožňuje zařízení ověřit sama sebe se sítí a povolit přístup. Nedefinuje žádný autentizační protokol, distribuci a správu klíčů, pro to je určen EAP a PANA to pouze zprostředkuje. +more PANA umožňuje dynamický výběr zprostředkovatelů služeb a různé autentizační metody, proto je vhodná pro často cestující uživatele. Je nezávislá na mechanismy linkové vrstvy.

Odkazy

Reference

Související články

List of authentication protocols * Diameter * Handover Keying * PPP * RADIUS * ITU-T X. +more1035.

Externí odkazy

RFC 3748: Extensible Authentication Protocol (EAP) (June 2004) * RFC 5247: Extensible Authentication Protocol (EAP) Key Management Framework (August 2008) * [url=https://archive. today/20121206043905/http://articles. +moretechrepublic. com. com/5100-1035-6148579. html]Configure RADIUS for secure 802. 1x wireless LAN[/url] * [url=https://archive. today/20121205235549/http://articles. techrepublic. com. com/5100-1035-6148560. html]How to self-sign a RADIUS server for secure PEAP or EAP-TTLS authentication[/url] * Wifiradis [url=https://web. archive. org/web/20180109052930/http://www. wifiradis. net/]a free online RADIUS server for secure PEAP mschap-v2 authentication[/url] * [url=http://technet. microsoft. com/en-us/network/bb643147. aspx]Extensible Authentication Protocol[/url] on Microsoft TechNet * [url=http://www. microsoft. com/technet/technetmag/issues/2007/05/CableGuy/default. aspx]EAPHost in Windows Vista and Windows Server 2008[/url] * [url=https://web. archive. org/web/20100412112606/http://wire. cs. nthu. edu. tw/wire1x/]WIRE1x[/url] * [url=https://web. archive. org/web/20071023234216/http://www. ietf. org/html. charters/emu-charter. html]"IETF EAP Method Update (emu) Working Group"[/url].

Kategorie:Počítačové sítě Kategorie:Kryptografie Kategorie:Anglická slova a fráze

5 min read
Share this post:
Like it 8

Leave a Comment

Please, enter your name.
Please, provide a valid email address.
Please, enter your comment.
Enjoy this post? Join Cesko.wiki
Don’t forget to share it
Top