Assistance

802. 1 x présentation et les Types EAP


Dernière révision : 28-Jan-2017
ID de l'article : 000006999

RemarqueCes données ne sont pas destinées à être maison ou petite entreprise aux utilisateurs qui n’utilisent généralement pas des fonctionnalités de sécurité comme ceux décrits dans cette page. Cependant, ces utilisateurs peuvent intéresser les rubriques à titre d’information.
 

vue d’ensemble de 802.1 x
Lequel utiliser ?
Types de d’authentification Extensible Authentication Protocol (EAP)

vue d’ensemble de 802.1 x
C’est un protocole d’accès port pour la protection des réseaux via l’authentification. Par conséquent, ce type de méthode d’authentification est extrêmement utile dans l’environnement Wi-Fi en raison de la nature du support. Si un utilisateur Wi-Fi est authentifié via 802. 1 x pour accéder au réseau, un port virtuel est ouvert sur le point d’accès permettant de communication. Si ce n’est pas correctement autorisée, un port virtuel n'est pas mis à disposition et communications sont bloquées.

Il existe trois éléments de base pour l’authentification de 802. 1 x :

  1. Demandeur Un client de logiciels s’exécutant sur le poste de travail Wi-Fi.
  2. Authentificateur Le point d’accès Wi-Fi.
  3. Serveur d’authentification Une base de données d’authentification, habituellement un serveur radius comme ACS Cisco *, Funk Steel-Belted RADIUS * ou Microsoft IAS *.

Protocole EAP (Extensible Authentication) est utilisé pour transmettre les informations d’authentification entre le demandeur (le poste de travail Wi-Fi) et le serveur d’authentification (Microsoft IAS ou autre). L’authentification réelle est définie et gérée par le type EAP. Le point d’accès agissant comme authentificateur est uniquement un proxy pour permettre le demandeur et le serveur d’authentification communiquer.

Lequel utiliser ?
Quel type de protocole EAP à mettre en œuvre, ou s’il faut mettre en œuvre 802. 1 x, varie selon le niveau de sécurité dont l’entreprise a besoin et les frais d’administration/fonctionnalités vous le souhaitez. Nous espérons que la description ici et un tableau comparatif facilitera les difficultés dans la compréhension des différents types EAP disponibles.

Types d’authentification extensible authentication protocol (EAP)
Sécurité Wi-Fi réseau Local (WLAN) est essentielle et types d’authentification EAP fournissent un moyen éventuellement, une meilleure de sécurisation de la connexion WLAN, fournisseurs sont rapidement développer et à ajouter des types EAP d’authentification à leurs points d’accès WLAN. Certains types d’authentification EAP plus répandus incluent EAP-MD-5, EAP-TLS, EAP PEAP, EAP-TTLS, EAP-Fast et Cisco LEAP.

  • EAP-MD-5 (Message Digest) Challenge est un type d’authentification EAP qui fournit la prise en charge du niveau de base EAP. EAP-MD-5 n’est généralement pas recommandé aux implémentations Wi-Fi LAN, car il n’autorise pas le mot de passe doivent être dérivées. Elle ne prévoit que l’authentification de l’une des façons : il n’est pas une authentification mutuelle de Wi-Fi client et le réseau. Et, très important, il ne fournit pas un moyen de dériver dynamique, par session filaire clés equivalent privacy (WEP).
  • EAP-TLS (Transport Layer Security) offre pour l’authentification mutuelle et basée sur le certificat du client et le réseau. Il s’appuie sur le côté client et côté serveur pour effectuer l’authentification des certificats et peut servir à générer de façon dynamique des clés WEP utilisateur et de session pour sécuriser les communications entre le client WLAN et le point d’accès. L’inconvénient de EAP-TLS est que les certificats doivent être gérés sur le client et le serveur principal. Pour une installation de grande taille WLAN, cela peut être une tâche très fastidieux.
  • EAP-TTLS (Tunneled Transport Layer Security) a été développé par Funk Software * et Certicom *, comme une extension de EAP-TLS. Cette méthode de sécurité offre pour l’authentification mutuelle, basée sur le certificat du client et du réseau via un canal chiffré (ou « tunnel »), ainsi qu’un moyen de dériver dynamiques par utilisateur, les clés WEP par session. Contrairement au protocole EAP-TLS, EAP-TTLS nécessite uniquement les certificats de serveur.
  • EAP-FAST (Flexible Authentication via Secure Tunneling) a été développé par Cisco *. Au lieu d’utiliser un certificat, l’authentification mutuelle est obtenue par le biais d’une clé PAC (Protected Access Credential) qui peut-elle être géré de façon dynamique par le serveur d’authentification. La clé PAC peut être mis en service (distribuée une seule fois) au client manuellement ou automatiquement. Mise à disposition manuelle est livraison au client via le disque ou d’une méthode de distribution de réseau sécurisé. Mise à disponibilité automatique est une dans la bande à distance, distribution.
  • Méthode de protocole d’authentification extensible for GSM Subscriber Identity (EAP-SIM) est un mécanisme de distribution des clés d’authentification et de la session. Il utilise le système Global de Communications mobiles (GSM) Module SIM (Subscriber Identity). EAP-SIM utilise une clé dynamique de session WEP, dérivée de la carte client et le serveur RADIUS, pour chiffrer les données. EAP-SIM requiert la saisie d’un code de vérification utilisateur ou code PIN, pour communiquer avec le Module SIM (Subscriber Identity). Une carte SIM est une carte à puce spéciale utilisée par le système Global pour communication GSM (Mobile) en fonction des réseaux cellulaires numériques.
  • EAP-AKA (Extensible Authentication Protocol mode UMTS Authentication and Key Agreement) est un mécanisme EAP, pour la distribution des clés d’authentification et de la session, utilisant le Module de l’identité abonné (USIM) de Universal Mobile Telecommunications System (UMTS). La carte SIM est une carte à puce spéciale utilisée avec les réseaux cellulaires pour valider un utilisateur donné sur le réseau.
  • LEAP (Lightweight Extensible Authentication Protocol), est un type d’authentification EAP utilisé principalement dans Cisco Aironet * réseaux locaux sans fil. Elle chiffre les transmissions de données à l’aide des clés WEP générés de façon dynamique et prend en charge une authentification mutuelle. Jusqu’ici propriétaires, Cisco a fourni sous licence LEAP pour de nombreux autres fabricants dans leur programme Cisco Compatible Extensions.
  • PEAP (Protected Extensible Authentication Protocol) fournit un moyen de transport en toute sécurité les données d’authentification, y compris les protocoles de mot de passe existants, via des 802.11 réseaux Wi-Fi. PEAP y parvient à l’aide de tunneling entre les clients PEAP et un serveur d’authentification. Comme la concurrence standard couche de sécurité TTLS (Tunneled Transport), PEAP authentifie Wi-Fi LAN les clients à l’aide de certificats de serveur uniquement, ce qui simplifie la mise en œuvre et l’administration d’un réseau local Wi-Fi sécurisé. Microsoft, Cisco et RSA Security a développé PEAP.

Types EAP 802. 1

Fonction / avantages

MD5
---
Message Digest 5
TLS
---
Transport Level Security
TTLS
---
Tunneled Transport Level Security
PEAP
---
Protected Transport Level Security

RAPIDE
---
Authentification flexible via tunnel sécurisé

LEAP
---
Lightweight Extensible Authentication Protocol
Certificat côté client requisAucunOuiAucunAucunAucun
PAC (IDENTITÉ)
Aucun
Certificat côté serveur requisAucunOuiAucunOuiAucun
PAC (IDENTITÉ)
Aucun
Gestion des clés WEPAucunOuiOuiOuiOuiOui
Détection des points d’accès non autorisésAucunAucunAucunAucunOuiOui
FournisseurMSMSFunkMSCiscoCisco
Attributs d’authentificationUn moyenMutuelleMutuelleMutuelleMutuelleMutuelle
Difficulté de déploiementSimpleDifficile (en raison de déploiement d’un certificat client)ModéréModéréModéréModéré
Sécurité Wi-FiMauvaise qualitéTrès élevéHauteHauteHauteHaute lorsque des mots de passe sont utilisés.
 

Un examen des discussions et tableau ci-dessus fournissent généralement aux conclusions suivantes :

  • MD5 n’est généralement pas utilisée car elle ne procède à une authentification à sens unique, et peut-être plus important encore n'est pas prise en charge de la distribution automatique et rotation des clés WEP alors ne fait rien pour alléger la charge administrative de maintenance manuelle des clés WEP.
  • TLS, en très sécurisé, nécessite de certificats client se trouvent à être installé sur chaque poste de travail Wi-Fi. Maintenance d’une infrastructure PKI requiert des compétences d’administration et l’heure en plus que de maintenir le WLAN lui-même.
  • TTLS résout le problème de certificat par tunnel TLS et ce qui élimine la nécessité d’un certificat sur le côté client. Ce qui en fait une option souvent préférée. TTLS est promu principalement par Funk et est une charge pour les logiciels de serveur de demandeur et d’authentification.
  • LEAP est l’évolution la plus longue, et lors de la propriété Cisco précédemment (fonctionne avec les cartes Cisco Wi-Fi uniquement), Cisco a concédés sous licence LEAP pour de nombreux autres fabricants dans leur programme Cisco Compatible Extensions. Une stratégie de mot de passe doit être appliquée lorsque LEAP est utilisé pour l’authentification.
  • EAP-FAST est désormais disponible pour les entreprises qui ne peut pas mettre en œuvre une stratégie de mot de passe fort et ne souhaitent pas déployer les certificats d’authentification.
  • La plus récente PEAP fonctionne similaire au protocole EAP-TTLS dans la mesure où elle ne nécessite pas d’un certificat sur le côté client. PEAP est soutenu par Cisco et Microsoft et est disponible, sans surcoût de Microsoft. Si vous le souhaitez pour effectuer la transition à partir de LEAP à PEAP, serveur d’authentification de Cisco ACS exécutera les deux.

Une autre option, VPN
Au lieu de s’appuyer sur les réseaux locaux Wi-Fi pour l’authentification et de confidentialité (chiffrement), de nombreuses entreprises mettre en place un réseau privé virtuel. Cela en plaçant les points d’accès à l’extérieur du pare-feu de l’entreprise et disposer de l’utilisateur du tunnel via une passerelle VPN - comme s’il s’agissait d’un utilisateur distant. Les inconvénients de l’implémentation d’une solution VPN sont coût, la complexité de l’installation initiale et charge d’administration en cours.

- Ces informations, traduites en français, sont le résultat d'une association de traductions humaines et électroniques du contenu originel et vous sont fournies à titre de commodité. Ce contenu vous est fourni à titre informatif seulement et ne saurait être totalement exact ou complet.

Cet article concerne :