Eap-tls (безопасность на транспортном уровне), Peap (защищенный eap) – Инструкция по эксплуатации Zyxel NBG334W

Приложение E Беспроводные локальные сети

Руководство пользователя интернет-центра NBG334W

244

EAP-MD5 (Алгоритм представления сообщения в краткой форме 5)

Аутентификация по методу MD5 – это простейший способ односторонней
аутентификации. Сервер аутентификации отправляет беспроводному устройству запрос.
Беспроводное устройство подтверждает знание пароля, для чего оно шифрует его и
отправляет серверу в качестве ответа на запрос. Пароль не отправляется в виде
обычного текста.
Однако метод MD5 имеет слабые стороны. Дело в том, что поскольку серверу
аутентификации пароль нужен в виде обычного текста, его необходимо где-то
сохранять. Следовательно, доступ к файлу с паролями может получить не только сервер
аутентификации. Кроме того, сервер аутентификации можно сымитировать, т. е. выдать
себя за него (поскольку метод MD5 не выполняет двусторонней аутентификации).
И, наконец, метод MD5 не поддерживает шифрование данных с помощью
динамического сеансового ключа. Чтобы зашифровать данные, необходимо настроить
ключи шифрования WEP.

EAP-TLS (Безопасность на транспортном уровне)

При использовании метода EAP-TLS серверу и беспроводным устройствам для
двусторонней аутентификации необходимы цифровые удостоверения. Сервер
предоставляет клиентскому устройству свое удостоверение. После идентификации
сервера клиентское устройство отправляет серверу свое удостоверение. До создания
защищенного туннеля обмен удостоверениями производится в открытую. Это делает
пользователя уязвимым для пассивных атак. Цифровое удостоверение – это электронная
ID-карта, идентифицирующая отправителя. Однако для использования метода EAP-TLS
необходимо иметь дело с центром сертификации (CA), которое занимается обработкой
удостоверений, что влечет за собой административные издержки.

EAP-TTLS (Защита туннелированного транспортного уровня)

Метод EAP-TTLS представляет собой расширенную версию метода EAP-TLS. Для
установления безопасного соединения удостоверения используются для аутентифи-
кации только со стороны сервера. Аутентификация клиента производится путем
отправки имени пользователя и пароля через безопасное соединение (таким образом
обеспечивается защита клиента). Метод EAP-TTLS поддерживает методы аутентифи-
кации клиента EAP и традиционные методы аутентификации, такие как PAP, CHAP,
MS-CHAP и MS-CHAP v2.

PEAP (Защищенный EAP)

Как и в методе EAP-TTLS, для создания безопасного соединения здесь используется
аутентификация удостоверений на стороне сервера, затем для аутентификации клиентов
используются обычные методы проверки имени пользователя и пароля через созданное
безопасное соединение. Таким образом защищаются персональные данные клиентов.
Однако метод PEAP поддерживает лишь методы аутенификации клиента EAP, такие как
EAP-MD5, EAP-MSCHAPv2 и EAP-GTC. Метод EAP-GTC реализует только корпорация
Cisco.