Locked History Actions

Extensible Authentication Protocol

Žodis angliškai

Extensible Authentication Protocol

Santrumpa

EAP

Žodis Lietuviškai

Autentifikavimo protokolas

Kas yra EAP ?

Autentifikavimo protokolas EAP (angl. Extensible Authentication Protocol) (liet. Išplėstinis autentifikacijos protokolas) leidžia naudoti ir įgyvendinti įvairius autentifikavimo metodus vieningu ir nepriklausomu būdu nuo tarpininko įrangos komunikacijoje. Šio protokolo struktūra paremta modeliu klientas/serveris. EAP serveris atlieka autentifikatoriaus vaidmenį. Šis protokolas turi mažus reikalavimus atitinkamai naudojamo transportinio tarpininko. Kaip sąlyga tinkamo veikimo protokolo reikalautina, kad transportinis sluoksnis garantuotų paketų išdėstymą. Dėl šios priežasties protokolas rado panaudojimą kaip patogų ir lankstų mechanizmą autentifikavimo vartotojams tokiais protokolais, kaip PPP, IEEE802. EAP tai autentifikavimo patvirtinimo sistemą. Jį numato galimybę pasirinkti vieną iš autentifikavimo metodų. Keletas EAP metodų, tokių kaip TLS (angl. Transport Layer Security), TTLS (angl. Tunneled Transport Layer Security), PEAP (angl. Protected Extensible Authentification Protocol) bei EAP-FAST (angl. Extensible Authentication Protocol-Flexible Authentification via Secure Tunneling) buvo sukurti specialiai bevieliams tinklams. Saugus bendras autentifikavimas užkerta kelią nepageidaujamiems vartotojiems pasiekti tinklą.

EAP privalumai yra:

  1. Aptarnavimas įvairiais autentifikavimo metodais.
  2. Yra galimybė pasirinkti autentifikavimo metodą.
  3. Kadangi prieigos įrenginys gali veikti kaip tarpininkas, tai yra įmanoma įdiegti naują (arba atnaujinta) autentiškumo patvirtinimo būdą, be įsikišimo į jo konfiguraciją - reikia tik atnaujinti programinę įrangą.
  4. Atskiros prieigos prie įrenginio ir išorės serverio autentifikavimo suteikia lengvesnį konfidencialių duomenų tvarkymą, pavyzdžiui, vartotojų vardus ir slaptažodžius.

Svarbiausi trūkumai EAP yra:

  1. Tinklo įranga (komutatoriai, prieigos taškai) turi turėti IEEE802 protokolą.

EAP veikimas

Autentifikacijoje pagal 802.1X standartą dalyvauja trys elementai: klientas (802.1X standartą palaiko Windows XP ir vėlesnės Windows operacinės sistemos, 10.3 ir vėlesnės MAC OS X operacinės sistemos, taip pat iPhone OS 2.0), autentifikatorius (prieigos taškas bevieliame tinkle) ir autentifikacijos serveris, pavyzdžiui, RADIUS serveris. 1 paveikslėlyje parodyta, kaip autentifikacija atliekama pagal 802.1X standartą, nepriklausomai nuo to, koks EAP metodas yra naudojamas.

eapschm.jpg

1pav. EAP veikimas

Autentifikacija vyksta taip: iš pradžių autentifikatoriaus prievadas laikomas „neautorizuotas“ būsenoje, kurioje priimamas tik 802.1X autentifikacijos srautas, visas kitas srautas blokuojamas tinklo lygmenyje. Komunikacija tarp kliento ir autentifikatoriaus vyksta vadinamomis EAPOL (EAP over LAN) žinutėmis. Kai autentifikatorius gauna Start kadrą arba aptinka naują klientą, išsiunčia jam tapatybės užklausą (angl. Request Identity). Klientas atsako atsiųsdamas identifikuojančius duomenis (angl. Response Identity). Autentifikatorius gautas EAP žinutes įpakuoja į protokolo (pvz., RADIUS), naudojamo komunikacijai tarp autentifikatoriaus ir serverio, paketus ir persiunčia autentifikacijos serveriui. Tada serveris siunčia klientui (per autentifikatorių) nuorodas, kokį EAP metodą naudoti. Klientas gali pasiūlyti savo metodą arba sutikti su pasiūlytu. Toliau vyksta autentifikacija ir serveris atsiunčia atsakymą, ar klientas autentifikuotas. Jei autentifikacija sėkminga, autentifikatoriaus prievado būsena tampa „autorizuotas“ ir nebeblokuojamas bet koks srautas. RADIUS yra kliento – serverio protokolas ir programinė įranga, kuri įgalina nuotolinės prieigos serverius susisiekti su centriniu serveriu, kad nustatytų prisiskambinusių vartotojų autentiškumą ir įgaliotų jų prieigą prie prašytos sistemos ar paslaugos. RADIUS leidžia kompanijai aptarnauti vartotojų profilius centrinėje duomenų bazėje, kuria gali naudotis visi nutolę serveriai. Tai suteikia geresnį saugumą ir leidžia kompanijoje įkurti politiką, kuri gali būti pritaikyta individualiai administruojamam tinklo taškui. Centralizuotos paslaugos taikymas taip pat supaprastina sąskaitų naudojimo apskaitą ir tinklo statistikos tvarkymą.

EAP paketo formatas

2 – ame paveikslėlyje pavaizduota EAP paketo formato struktūra.

Code - Pirmas laukelis turintis 8 bitus, jame identifikuojamas EAP paketas. Kuris gali būti:

  1. – Prašymas
  2. – Atsakymas
  3. – Pavykusi autentifikacija
  4. – Klaida

ID (Identifer) – Tai pat turi 8 bitus su atitinkančiais atsakymais ir prašymais, gali turėti tokias reikšmes:

  1. - EAP Packet – Tiek prašytojas tiek autentifikatorius siunčia šį paketą, naudojamas atpažinimo metu ir turi MD5 arba TLS informaciją, kuri reikalinga užbaigti autentifikafimo procesą
  2. - EAPOL Start – siunčia klientas kai jis pradeda autentifikavimo procesą
  3. - EAPOL Logoff – siunčia klienas kai jis nori nutraukti 802.1x sesiją
  4. - EAPOL Key – siunčiamas raktas TLS autentifikacija

Length – ilgis yra baitų skaičius, įskaitant code, ID, adresą

Data – laukelis priklausomai kinta nuo code laukelio

eapformat.jpg

2pav. EAP paketo formatas

EAP saugumas

EAP metodai:

• EAP-TLS: (angl. EAP-Transport Layer Security ): reikalinga PKI sertifikatai serveryje bei kliento kompiuteryje. Tai šiek tiek komplikuoja tinklo administravimą, nes sertifikatą reikia patalpinti kiekviename bevielio tinklo įrenginyje. Galima sesijos perėmimas, MitM atakos.

• PEAP: (angl. Protected EAP – liet. Apsaugotas EAP) yra panašus į EAP-TLS, tačiau nereikalauja sertifikatų kliento kompiuteryje. PEAP sukuria saugų duomenų perdavimo tunelį kliento duomenims gauti. MitM atakos, galimos MitM atakos.

• EAP-TTLS: (angl. Tunneled Transport Layer Security ) yra paremtas tunelio veikimu ir yra patobulintas EAP-TLS, kur kliento patvirtinimui reikalingas sertifikatas serveryje PKI. Klientas yra autentifikuojamas per saugiu šifruotu tuneliu.

• EAP-FAST: (angl. Flexible Authentication via Secure Tunnelling) skiriasi nuo išvardintųjų tuo, kad nereikalauja PKI. EAP-FAST sukurtas dirbti kuo mažiau apkrautai, bet išliekant autentifikuotiems.

• LEAP: (angl. Lightweight liet. Nerimtas, paprastas metodas) yra Cisco sukurtas 802.1x protokolas. LEAP yra pakankamai paprastas autentifikavimo metodas, nereikalaujantis PKI. LEAP naudoja vartotojo vardo bei slaptažodžio kombinaciją atpažinti vartotojus. Pažeidžiamas žodyno atakomis, galimas tapatybės atskleidimas.

  • EAP autentifikacijos protokolas yra laikomas pakankamai saugiu lyginant su kitais esamais autentifikavimo protokolais. Dažniausiai EAP metodai yra bandoma pažeisti su MitM ataka (angl. Man-in-the-middle). Galime tai apibūdinti kaip aktyvią pasiklausimo formą kai užpuolikas yra tarpe tarp kliento ir serverio, galintis perimti visus siunčiamus paketus iš pasirinktos aukos. Tokiu atveju, tiek vartotojas, tiek serveris nepastebi, kad jie komunikuoja per tarpininką. Kriptografija šiuo atveju neišsprendžia problemos, nes kenkėjas gali tiek užšifruoti, tiek iššifruoti duomenis, kurie yra siunčiami. Jei vartotojas nori prisijungti prie serverio, jis savo duomenis atskleidžia ir kenkėjui, kuris yra įsiterpęs tarp jo ir serverio. Tada kenkėjas gali duomenimis pasinaudoti neteisėtu būdu. Norint vartotojui nesukelti įtarimo, kenkimo programa vartotojui nusiunčia atsakymą iš serverio, tarsi jis būtų tiesiogiai prisijungęs prie serverio.

Naudota literatūra

1. http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol

2. http://vddb.library.lt/fedora/get/LT-eLABa-0001:E.02~2011~D_20110901_140213-99282/DS.005.0.01.ETD

3. http://www.rhyshaden.com/8021x.htm

4. http://vddb.library.lt/fedora/get/LT-eLABa-0001:E.02~2011~D_20110901_140213-99282/DS.005.0.01.ETD

CategoryŽodis CategoryŽodis CategoryTemplate

paskutinį kartą redaguota 2015-04-25 17:24:42 redaktoriaus ŽilvinasRepečka