Quindi spero di non farmi sembrare un idiota, ma cercherò di aiutare a spiegarlo dalla mia comprensione. Dovrei notare, questo non è il mio lavoro a tempo pieno quindi per favore sii gentile se ho qualcosa di veramente off:)
Questi protocolli, e credo che eap sia un protocollo, peap è protetto eap, quindi è probabilmente lo stesso protocollo con crittografia aggiuntiva, vengono usati per autenticare a livello 2. Ciò significa che il client deve comunicare le informazioni di autenticazione ai dispositivi è direttamente collegato a. In passato era piuttosto semplice, ti collegavi su una linea telefonica e inviavi il tuo nome utente e la password di solito in testo chiaro.
Quando Wireless è uscito hanno avuto lo stesso problema da risolvere, hanno dovuto autenticare le persone per consentire l'accesso alla rete in modo che usassero ciò che conoscevano, ppp o altri protocolli che si autenticano sul layer 2, è passato troppo tempo da quando usato dialup quindi non ricordo le diverse opzioni. Il problema ora era che si trattava di un mezzo condiviso, a differenza di una linea telefonica, quindi dovevano sviluppare modi migliori per proteggere il nome utente e la password, hanno iniziato anche questo in dial-up ma non era una preoccupazione enorme perché la maggior parte delle persone non si preoccupava sulla loro linea che viene TAPpata.
Così hanno iniziato a costruire questi metodi più sicuri di autenticazione su Layer 2, quindi è nato eap. Ora di eap, credo, eap TTLS è il più sicuro ma il più difficile da configurare correttamente. EAP-FAST è uno spin-off di TLS in quanto utilizza anche token / certificati ma invece di un modo fuori banda per distribuirli è negoziare questo inband che può renderlo meno sicuro, LEAP credo non sia raccomandato per essere usato ed è stato principalmente utilizzato per la comunicazione AP-AP. In ogni caso, tutti questi metodi utilizzano diversi metodi per stabilire una sessione EAP in modo sicuro al fine di trasferire il nome utente e la password in modo crittografato. Con l'eccezione di TLS, TTLS e PEAP, i metodi usati stabiliscono chiavi attraverso la negoziazione non attraverso qualcosa definito fuori banda, di fuori banda che PEAP può essere configurato per non verificare i certificati, quindi è per questo che credo sia meno sicuro di TLS e TTLS. Una volta stabilito il tunnel crittografato, o le chiavi, il nome utente e la password vengono inviati utilizzando il protocollo interno che può essere chiaro, mschap o altri, non li conoscono in cima alla mia testa, la cosa importante per questa discussione è che sono crittografati al livello 2 del dispositivo di accesso, quindi crittografati tramite PSK dal dispositivo di accesso al server RADIUS. Se la PSK viene appresa e il metodo interno è chiaro, chiunque può annusare il filo e leggere la password in wireshark.
Quindi l'altro lato di questo è la gestione centralizzata, poiché questi dispositivi di comunicazione di livello 2 non possono accedere direttamente al tuo server RADIUS di back-end per autenticare correttamente, quindi parte del ruolo di 802.1x è che il tuo client parla al dispositivo di accesso, cablato o wireless, il dispositivo di accesso parla quindi al livello 3 (IP) al server RADIUS che esegue l'autenticazione e restituisce gli attributi per il controllo degli accessi e lo stato dell'autenticazione, ma è il dispositivo di accesso che imposta il controllo di accesso e negozia con il client direttamente.
Quindi, come si inserisce questo nella sicurezza di oggi?
-
Consente una gestione centralizzata sicura
-
Offre crittografia end-to-end
-
Facilita la concessione sicura del controllo degli accessi alle reti, tramite assegnazioni di vlan e ACL scaricabili
-
Assorbe la fonte di autenticazione dal dispositivo, ovvero il server RADIUS non è mai raggiungibile dal dispositivo prima dell'autenticazione.
-
Se fatto bene offre una sicurezza di livello superiore 2 connessioni cablate (anche se questo è discutibile nella mia mente)
Infine, la domanda in grassetto:
EAP è un modo per i protocolli wireless di concordare algoritmi e ogni dispositivo fornisce la propria implementazione conforme a questo framework?
EAP viene utilizzato per definire le chiavi che devono essere utilizzate dagli algoritmi di crittografia simmetrica, credo che come parte della negoziazione EAP negozia anche l'algoritmo di crittografia simmetrica. Ovviamente ciò avverrebbe dopo che l'EAP autentica l'utente.
Quindi fa 2 cose, scambia username / password e trasferisce in modo sicuro le chiavi simmetriche dagli algoritmi negoziati.