рерахованих вище, слід зазначити наступні два методи, EAP-TTLS і EAP-PEAP. На відміну від попередніх, ці два методи перед безпосередньою аутентифікацією користувача спочатку утворюють TLS-тунель між клієнтом і сервером аутентифікації. А вже всередині цього тунелю здійснюється сама аутентифікація, з використанням як стандартного EAP (MD5, TLS), або старі не-EAP методів (PAP, CHAP, MS-CHAP, MS-CHAP v2), останні працюють тільки з EAP-TTLS (PEAP використовується тільки спільно з EAP методами). Попереднє тунелювання підвищує безпеку аутентифікації, захищаючи від атак типу «man-in-middle», «session hihacking» або атаки за словником.
. Протокол PPP засвітився там тому, що спочатку EAP планувався до використання поверх PPP тунелів. Але так як використання цього протоколу тільки для аутентифікації по локальній мережі - зайва надмірність, EAP-повідомлення упаковуються в «EAP over LAN» (EAPOL) пакети, які і використовуються для обміну інформацією між клієнтом і аутентифікатором (точкою доступу).
Схема аутентифікації складається з трьох компонентів: - софт, запущений на клієнтській машині, яка намагається підключитися до мережі - вузол доступу, аутентифікатор (бездротова точка доступу або провідний комутатор з підтримкою протоколу 802.1x) Server - сервер аутентифікації ( зазвичай це RADIUS-сервер).
Процес аутентифікації складається з наступних стадій:
Клієнт може послати запит на аутентифікацію (EAP-start message) у бік точки доступу
Точка доступу (Аутентифікатор) у відповідь посилає клієнту запит на ідентифікацію клієнта (EAP-request/identity message). Аутентифікатор може послати EAP-request самостійно, якщо побачить, що який-небудь з його портів перейшов в активний стан.
Клієнт у відповідь висилає EAP-response packet з потрібними даними, який точка доступу (аутентифікатор) перенаправляє в бік Radius-сервера (сервера аутентифікації).
Сервер аутентифікації посилає аутентифікатору (точці доступу) challenge-пакет (запит інформації про справжність клієнта). Аутентифікатор пересилає його клієнту.
Далі відбувається процес взаємної ідентифікації сервера і клієнта. Кількість зтадій пересилки пакетів туди-сюди варіюється залежно від методу EAP, але для безпроводових мереж підходить лише «strong» аутентифікація з взаємною аутентифікацією клієнта і сервера (EAP-TLS, EAP-TTLS, EAP-PEAP) і попередніми шифруванням каналу зв'язку.
На наступний стадії, сервер аутентифікації, отримавши від клієнта необхідну інформацію, дозволяє (accept) або забороняє (reject) того доступ, з пересилкою даного повідомлення аутентифікатору. Аутентифікатор (точка доступу) відкриває порт для Supplicant-а, якщо з боку RADIUS-сервера прийшла позитивна відповідь (Accept).
Порт відкривається, аутентифікатор пересилає клієнту повідомлення про успішне завершення процесу і клієнт отримує доступ в мережу.
Після відключення клієнта, порт на точці доступа знову переходить у стан «закритий».
Для комунікації між клієнтом (supplicant) і точкою доступу (authenticator) використовуються пакети EAPOL. Протокол RADIUS використовується для обміну інформацією між аутентифікатором (точкою доступу) і RADIUS-сервером (сервером аутентифікації). При транзитній пересилці інформації між клієнтом і сервером аутентифікації пакети EAP переупаковуються з одного формату в інший на аутентифікаторі.
Первісна аутентифікація проводиться на основі загальних даних, про які знають і клієнт, і сервер аутентифікації (як то логін/пароль, сертифікат і т.д.) - на цьому етапі генерується Master Key. Використовуючи Master Key, сервер аутентифікації і клієнт генерують Pairwise Master Key (парний майстер ключ), який передається аутентифікатору з боку сервера аутентифікації. А вже на основі Pairwise Master Key і генеруються всі інші динамічні ключі, яким і закривається переданий трафік. Необхідно відзначити, що сам Pairwise Master Key теж підлягає динамічної зміні. (Wired Equivalent Privacy) - старий метод забезпечення безпеки мережі. Він все ще доступний для підтримки застарілих пристроїв, але використовувати його не рекомендується. При включенні протоколу WEP виконується настройка ключа безпеки мережі. Цей ключ здійснює шифрування інформації, яку комп'ютер передає через мережу іншим комп'ютерам. Однак захист WEP відносно легко зламати.
Існує два типи методів захисту WEP: перевірка справжності у відкритій системі та перевірка справжності з використанням загальних ключів. Жоден з них не забезпечує високий рівень безпеки, але метод перевірки автентичності з використанням загальних ключів є менш безпечним. Для більшості комп'ютерів і точок доступу бездротової мережі, ключ перевірки автентичності з використанням загальн...
