TLS-тунель між клієнтом і сервером аутентифікації. А вже всередині цього тунелю здійснюється сама аутентифікація, з використанням як стандартного EAP (MD5, TLS), або старі не-EAP методів (PAP, CHAP, MS-CHAP, MS-CHAP v2), останні працюють тільки з EAP-TTLS (PEAP використовується тільки спільно з EAP методами). Попереднє тунелювання підвищує безпеку аутентифікації, захищаючи від атак типу В«man-in-middleВ», В«session hihackingВ» або атаки за словником. p> Протокол PPP засвітився там тому, що спочатку EAP планувався до використання поверх PPP тунелів. Але так як використання цього протоколу тільки для аутентифікації по локальній мережі - зайва надмірність, EAP-повідомлення упаковуються в В«EAP over LANВ» (EAPOL) пакети, які і використовуються для обміну інформацією між клієнтом і аутентифікатором (точкою доступу). p>
Схема аутентифікації Вона складається з трьох компонентів:
Supplicant - софт, запущений на клієнтській машині, яка намагається підключитися до мережі
Authenticator - вузол доступу, аутентифікатор (бездротова точка доступу або провідний комутатор з підтримкою протоколу 802.1x)
Authentication Server - сервер аутентифікації (звичайно це RADIUS-сервер)
Тепер розглянемо сам процес аутентифікації. Він складається з наступних стадій:
Клієнт може послати запит на аутентифікацію (EAP-start message) убік точки доступу.
Точка доступу (Аутентифікатор) у відповідь посилає клієнту запит на ідентифікацію клієнта (EAP-request/identity message). Аутентифікатор може послати EAP-request самостійно, якщо побачить, що-небудь з його портів перейшов в активний стан.
Клієнт у відповідь висилає EAP-response packet з необхідними даними, який точка доступу (аутентифікатор) перенаправляє у бік Radius-сервера (сервера аутентифікації). p> Сервер аутентифікації посилає аутентифікатору (точці доступу) challenge-пакет (запит інформації про автентичності клієнта). Аутентифікатор пересилає його клієнту. p> Далі відбувається процес взаємної ідентифікації сервера і клієнта. Кількість стадій пересилки пакетів туди-сюди варіюється залежно від методу EAP, але для безпроводових мереж підходить лише В«strongВ» аутентифікація зі взаємною аутентифікацією клієнта і сервера (EAP-TLS, EAP-TTLS, EAP-PEAP) і попередніми шифруванням каналу зв'язку. p> Наступного стадії, сервер аутентифікації, отримавши від клієнта необхідну інформацію, дозволяє (accept) або забороняє (reject) того доступ, з пересилкою даного повідомлення аутентифікатору. Аутентифікатор (точка доступу) відкриває порт для Supplicant-а, якщо з боку RADIUS-сервера прийшла позитивна відповідь (Accept). p> Порт відкривається, аутентифікатор пересилає клієнту повідомлення про успішне завершення процесу і клієнт отримує доступ в мережу. p> Після відключення клієнта, порт на точці доступа знову переходить у стан В«закритоВ». p> Для комунікації між клієнтом (Supplicant) і точкою доступу (authenticator) використовуються пакети EAPOL. Протокол RADIUS використовується для обміну інформацією між аутентифікатором (Точкою доступу) і RADIUS-сервером (сервером аутентифікації). При транзитній пересилці інформації між клієнтом і сервером аутентифікації пакети EAP переупаковуються з одного формату в інший на аутентифікаторі. br/>
Типи аутентифікації
В
TLS
Тип методу аутентифікації, що використовує протокол EAP і протокол безпеки, іменований протоколом захисту транспортного рівня (Transport Layer Security - TLS). EAP-TLS використовує сертифікати на основі паролів. Аутентифікація EAP-TLS підтримує динамічне управління WEP-ключем. Протокол TLS необхідний для захисту і аутентифікації комунікацій у мережах загального користування шляхом шифрування даних. Протокол квітірованія TLS дозволяє клієнту і серверу до посилки даних провести взаємну аутентифікацію і виробити алгоритм і ключі шифрування.
TTLS
Ці установки визначають протокол і ідентифікаційну інформацію, що використовується для аутентифікації користувача. У аутентифікації TTLS (Tunneled Transport Layer Security) клієнт використовує EAP-TLS для перевірки автентичності сервера і створення каналу між сервером і клієнтом, шифрованого з допомогою TLS. Клієнт може використовувати інший аутентифікаційний протокол. Звичайно протоколи на основі паролів використовуються через необ'являемий, захищений TLS-шифрований канал. В даний час TTLS підтримує всі методи, застосовувані в ЕАР, а також деякі більш старі методи (PAP, CHAP, MS-CHAP і MS-CHAP-V2). TTLS легко розширюється для роботи з новими протоколами допомогою установки нових атрибутів для опису нових протоколів.
PEAP
PEAP - це новий аутентифікаційний протокол EAP (Extensible Authentication Protocol - EAP) стандарту IEEE 802.1X, розроблений для поліпшення системи захисту EAP-Transport Layer Security (EAP-TLS) і підтримки різних методів аутентифікації, що включають паролі користувачів, одноразові паролі і карти доступу (Generic Token ...