Сетевое железо - статьи

       

Аутентификация


В настоящее время в различном сетевом оборудовании, в том числе в беспроводных устройствах, широко применяется более современный по сравнению со стандартами 1997-1998 годов способ аутентификации, который определен в стандарте 802.1х. Принципиальное отличие его от прежних способов аутентификации заключается в следующем: пока не будет проведена взаимная проверка пользователь не может ни принимать, ми передавать никаких данных. Стандарт предусматривает также динамическое управление ключами шифровании, что, естественно, затрудняет пассивную атаку на WEP.

Ряд разработчиков используют для аутентификации в своих устройствах протоколы EAP-TLS и PEAP, но более широко к проблеме подходит Cisco Systems, предлагая для своих беспроводных сетей, помимо упомянутых, следующие протоколы:

  • EAP-TLS - стандарт IETF, обеспечивающий аутентичность путем двустороннего обмена цифровыми сертификатами;
  • РЕАР - пока предварительный стандарт (draft) IETF, предусматривающий обмен цифровыми сертификатами и дополнительную проверку имени и пароля по специально созданному шифрованному туннелю;
  • LEAP- фирменный протокол Cisco Systems, представляющим собой "легкий" протокол взаимной аутентификации, похожий на двусторонний Challenge Authentification Protokol (CHAP). Использует разделяемый ключ, поэтому требует продуманной политики генерации паролей (в противном случае, как и любой другой способ Pre-Shared Keys, подвержен атакам по словарю);
  • EAP-FAST - разработан Cisco на основании предварительного стандарта (draft) IETF для защиты от атак по словарю и имеет высокую надежность. Принцип работы схож с LEAP, но аутентификация производится по защищенному туннелю.

    Все современные способы аутентификации (см. таблицу) подразумевают поддержку динамических ключей. Однако если сравнивать эти стандарты и по остальным параметрам, та способы EAP-TLS и РЕАР оказываются более тяжеловесными. Они больше подходят для применения в сетях, настроенных на базе оборудования различных производителей.

    Способы аутентификации, разработанные Cisco, выглядят привлекательнее. Особую прелесть им придает поддержка технологии Fast Secure Roaming, позволяющей переключаться между различными точками доступа (время переключений составляет примерно 100 мс), что особенно важно при передаче голосового трафика. При работе с EAP-TLS и РЕАР повторная аутентификация займет существенно больше времени и, как следствие, разговор прервется. Главный недостаток LEAP и EAP-FAST очевиден - эти протоколы поддерживаются в основном в оборудовании Cisco Systems.


    Структура пакета 802.11x при использовании TKIP-PPK, MIC и шифрации по WEP.



    Содержание раздела