无线安全x和EAP类型.doc

无线安全- 和 EAP 类型
按字母表示的 EAP 类型- MD5、LEAP、PEAP、FAST、TLS 和 TTLS
注: 该数据不适用于家庭或小型办公室用户,他们通常不使用高级安全功能(如本页中讨论的功能).不过这些用户可能会发现它很有参考价值.
概述
它是一种通过认证保护网络的端口访问协议. 此类型的验证方法在无线环境中因该媒体的性质而特别有用. 如果无线用户通过 网络访问验证,接入点上会打开一个用于通信的虚拟端口. 如果验证不成功,则不会提供虚拟端口,并将阻断通信.
验证分为 3 个基本部分:
请求者- 在无线工作站上运行的软件客户端
验证者- 无线接入点
认证服务器- 一个认证数据库,通常是一个 Radius 服务器(例如 Cisco ACS*、Funk Steel-Belted RADIUS* 或 Microsoft* IAS*)
EAP (可扩展验证协议) 用于在请求者(无线工作站)和验证服务器((Microsoft IAS 或其它)之间传输验证信息. 实际验证有 EAP 类型定义和处理. 作为验证者的接入点只是一个允许请求者和验证服务器之间进行通信的代理.
使用哪一个?
应用哪一类 EAP 或是否应用 取决于机构所需的安全级别和期望的管理开支/功能. 此处的说明和比较表将帮助减少了解各种可用 EAP 类型的困难.
可扩展验证协议(EAP) 验证类型
由于 WLAN 安全是非常必要,EAP 验证类型提供了一种更好地保障 WLAN 连接的方式,经销商正在迅速开发和添加 EAP 验证类型至他们的 WLAN 接入点. 部分最常部署的 EAP 验证类型包括 EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-Fast 和 Cisco LEAP.
EAP-MD-5 (消息摘要) 质询是一种提供基本级别 EAP 支持的 EAP 验证类型. EAP-MD-5 通常不建议用于无线 LAN 执行,因为它可能衍生用户密码. 它仅提供单向验证- 无法进行无线客户端和网络之间的互相验证. 更为重要的是,它不提供衍生动态、按对话有限对等保密(WEP)密钥的方法.
EAP-TLS (传输层安全) 提供为客户端和网络提供基于证书及相互的验证. 它依赖客户断和服务器方面的证书进行验证,可用于动态生成基于用户和通话的 WEP 密钥以保障 WLAN 客户端和接入点之间的通信. EAP-TLS 的不足之处在于必须由客户端和服务器端双方管理证书. 对于较大的 WLAN 安装,则是比较重的任务.
EAP-TTLS (隧道传输层安全)是由 Funk Software and 开发的,作为 EAP-TLS 的扩展. 此安全方法通过加密通道(或“隧道”)为客户端和网络之间提供基于证书的相互验证,同时作为衍生动态及按用户和对话的 WEP 密钥. 与 EAP-TLS 不同,EAP-TTLS 仅需要服务器方面的证书.
EAP-FAST (通过安全隧道灵活认证) 是由 Cisco PAC (保护访问资格)而不是使用证书实现的,PAC 可以由认证服务器动态管理,既可手动也可自动配备(一次性分发)