EAP (Extensible Authentication Protocol)

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 21:32, 10 мая 2018.

EAP (англ. The Extensible Authentication Protocol) является стандартом, поддерживаемым несколькими компонентами системы. EAP имеет решающее значение для защиты безопасности беспроводной связи (802.1X) и проводных локальных сетей, сетей удаленного доступа и виртуальных частных сетей (VPN).

Поддержка последовательностей

ЕАР может использовать последовательность методов. Общим примером этого является запрос идентификации, сопровождаемый одним EAP методом аутентификации, таким как MD5-Challenge. Тем не менее, узел и аутентификатор должны использовать только один метод проверки подлинности (тип 4 или выше) в пределах EAP, после чего аутентификатор должен послать пакет Success или Failure.

После того, как узел отправил ответ того же типа, что и начальный запрос, аутентификатор НЕ должен послать запрос другого типа до завершения заключительного раунда данного метода (с исключение из Notification-Request) и не должен отправлять запрос на дополнительный способ любого типа после завершения первоначального метод аутентификации; узел, получая такие запросы должен относиться к ним как к недействительным, и отбрасывать их. В результате, Identity Requery не поддерживается.

Узел НЕ должен посылать Nak (оригинальный или расширенный) в ответ на запрос после того, как первоначальный non-Nak ответ был отправлен. Так как подложный пакет EAP Запроса может быть послан злоумышленником, аутентификатору получившему неожиданный Nak, следует отказаться от него и журналировать событие.

Множество методов в пределах EAP не поддерживается из за их уязвимости к атакам человек посередине и несовместимости с существующими реализациями.

Там, где используется один метод аутентификации EAP, а другие методы запускаются в нем ("туннельный" метод), запрещение использования нескольких методов аутентификации не применяется. Такие "туннелируемые" методы представляются как единый метод аутентификации EAP. Обратная совместимость может быть обеспечена, так как узел не поддерживая "тоннельный" метод, может ответить на начальный EAP-Request с Nak (оригинальным или расширенным). Для устранения уязвимостей в системе безопасности, "туннелируемые" методы должны поддерживать защиту от человека посередине.

Модель мультиплексирования EAP

EAP.PNG
  • Нижний слой. Нижний слой отвечает за передачу и прием EAP кадров между узлом и аутентификатором. EAP работает поверх различных нижних слоев, включая PPP, проводных IEEE 802 локальных сетей IEEE-802.1X, IEEE 802.11 беспроводных локальных сетей IEEE 802.11, IEEE 802.11, UDP (L2TP RFC2661 и IKEv2 IKEv2), и TCP [https: // tools.ietf.org/html/rfc3748#ref-PIC PIC].
  • EAP слой. EAP слой принимает и передает пакеты EAP с помощью нижнего слоя, реализует детектирование дубликатов и повторной передачи, и доставляет и принимает сообщения EAP от EAP узла и слоев аутентификации.
  • Слои EAP узла и аутентификатора. Основываясь на поле Code, EAP слой демультиплексирует входящие пакеты EAP к узлу EAP и слоям аутентификатора.
  • Слои методов EAP.

Режим пропускания

EAP2.PNG

При работе в качестве "пропускающего" аутентификатора, аутентификатор выполняет проверку полей Code, Identifier и Length. Он направляет EAP-пакеты, полученные от узла и адресованные своему слою аутентификатора, к back-end сервера аутентификации; пакеты, принятые от back-end сервера аутентификации и предназначенные для узла, пересылаются на узел.

Хост, получая пакет EAP, может сделать только одно из трех с ним: воздействовать на него, отклонить его или переслать его. Решение о переадресации обычно основывается только на изучении полей Code, Identifier и Length. Реализация пропускающего аутентификатора должна быть способной перенаправить EAP-пакеты, полученные от узла с Code = 2 (Response), на back-end сервера аутентификации. Он также должен быть способен принимать EAP пакеты от back-end сервера аутентификации и пересылать EAP пакеты узлу с Code = 1 (Request), Code = 3 (Success), а также Code = 4 (Failure).

Если аутентификатор не реализует локально один или несколько методов проверки подлинности, которые поддерживают роль аутентификатора, поля заголовка метода EAP слоя (Type, Type-Data) не принимают участие в решении о пересылке. Если аутентификатор поддерживает локальные методы аутентификации, он может прочитать поле Type, чтобы определить, нужно ли воздействовать на сам пакет или необходимо переслать его. Соответствующие реализации пропускающего аутентификатора должны по умолчанию перенаправлять EAP пакеты любого типа.

EAP-пакеты, полученные с Code = 1 (Request), Code = 3 (Success) и Code = 4 (Failure), демультиплексируются EAP слоем и доставляются слою узла. Поэтому, если хост не реализует слой узла EAP, эти пакеты будут отбрасываться без уведомления. Аналогичным образом, EAP-пакеты, полученные с Code = 2 (Response), демультиплексируются слоем EAP и доставляются в слой аутентификатора. Поэтому, если хост не реализует слой аутентификатора EAP, эти пакеты будут без уведомления отбрасываться. Поведение пропускающего узла не определено в данном описании и не поддерживается протоколами AAA, такими как RADIUS RFC3579 и Diameter DIAM-EAP.

Методы

LEAP

Cisco LEAP представляет собой тип аутентификации 802.1X для беспроводных локальных сетей (WLAN), который поддерживает стойкую взаимную аутентификацию между клиентом и сервером RADIUS, используя пароль для входа в систему в качестве общего секрета. Он обеспечивает динамические для каждой сессии и для каждого пользователя ключи. Cisco LEAP поддерживает множество клиентских операционных систем, включая Microsoft Windows, Mac OS, Linux, DOS и Windows CE. Быстрый безопасный роуминг поддерживается точками доступа Cisco Aironet серии в сочетании с Cisco-совместимым клиентским устройствам. С помощью быстрого и безопасного роуминга, прошедшие проверку подлинности клиентские устройства могут перемещаться безопасно от одной точки доступа к другой без какой-либо заметной задержки во времени реассоциации. Быстрый безопасный роуминг поддерживает чувствительные к задержкам приложения, такие как беспроводная передача голоса по IP (VoIP), планирование ресурсов предприятия (ERP) или решений на базе Citrix.

EAP-TLS

EAP-TLS (RFC 2716) использует протокол TLS (RFC 2246), который является последней версией Internet Engineering Task Force (группы IETF) протокола Secure Socket Layer (SSL). TLS предоставляет возможность использовать сертификаты как для пользователя и сервера аутентификации, так и для динамической генерации ключа сеанса. Extensible Authentication Protocol (EAP), описанный в RFC 3748, предоставляет стандартный механизм поддержки методов множественной аутентификации. Благодаря использованию EAP, может быть добавлена поддержка ряда схем аутентификации, в том числе смарт-карты, Kerberos, Открытый ключ, одноразовые пароли и другие.

EAP-TTLS

EAP-TTLS представляет собой метод EAP (Extensible Authentication Protocol), который инкапсулирует сеанс TLS (Transport Layer Security), состоящий из фазы рукопожатия и фазы данных. Во время фазы рукопожатия, сервер проходит проверку подлинности клиента (или и клиент, и сервер - взаимная проверка подлинности) с использованием стандартных процедур TLS, и ключевой материал генерируется для того, чтобы создать криптографически защищенный туннель для обмена информацией в последующей фазе данных. В течение фазы данных, клиент проходит аутентификацию на сервере (или и клиент, и сервер взаимно аутентифицируются) с использованием произвольного механизма аутентификации, инкапсулированного в защищенный туннель. Инкапсулированный механизм аутентификации может сам по себе быть EAP, или это могут быть другие протоколы аутентификации, такие как PAP, CHAP, MS-CHAP или MS- CHAP-V2. Таким образом, EAP-TTLS позволяет проводить проверку подлинности протоколов на парольной основе с уже существующими аутентификационными базами данных, в то время как обеспечивается защита этих протоколов от подслушивания, человек-в-середине и других атак. Фаза данных, кроме того, может быть использована для дополнительного, произвольного обмена данными.

EAP-PSK

EAP-PSK представляет собой метод Extensible Authentication Protocol (EAP) для взаимной аутентификации и выбора ключа сеанса с использованием Pre-Shared Key (PSK). EAP-PSK обеспечивает защищенный канал связи при успешной взаимной аутентификации, прошедшей для обеих сторон. В RFC 4764 описано использование этого канала только для защищенного обмена результатами показаний, но будущие расширения EAP-PSK могут использовать канал для других целей. EAP-PSK предназначен для аутентификации в незащищенных сетях, в таких как IEEE 802.11.

Ссылки