802.1x và EAP—bảo mật cấp cao

Một phần của tài liệu nghiên cứu vềbảo mật cho WLAN (Trang 94 - 97)

802.11x cung cấp một Framework nhận thực cho các WLAN, cho phép một người sử dụng được nhận thực bởi một trung tâm nhận thực. Thuật tốn thực tế được sử dụng để xác định một người sử dụng là đúng hoặc sai và cĩ thể ghép nhiều thuật tốn với nhau.

802.11x sử dụng EAP, một giao thực sẵn cĩ làm việc trên Ethernet, Token Ring, hoặc các WLAN cho việc trao đổi bản tin trong thời gian tiến trình nhận thực.

3.5.6 Nhn thc cng mng 802.1x :

Nhận thực 802.1 x cho các WLAN cĩ ba thành phần chính : Supplicant (thường là các phần mềm máy khách), bộ nhận thực (AP), và AS (thơng thường là một server RADIUS). Các bộ nhận thực kết nối tới mạng LA. Hình 3-14 minh họa tiến trình này.

Network Supplicant (in latop) Authentaction Server (Radius) WLAN Other Trafic EAP Only LAN Authenticator (Access Ponit) Hình 3-14 : Nhận thực 802.1x

Dạng thơng thường cho một nhân thực 802.11x như sau : Supplicant (trong máy khách ) thử kết nối tới AP bằng cách gửi một bản tin bắt đầu. AP tìm ra Supplicant và làm cho các cổng supplicant trong trạng thái khơng được phép, vì vậy chỉ các bản tin 802.1x/EAP được chuyển tiếp. Tất cả các lưu lượng khác bị chặn.

Supplicant sau đĩ gửi một bản tin EAP khởi động. AP tin tưởng vào một bản tin tồn vẹn EAP - Yêu cầu để giành được nhận dạng Supplicant. Gĩi tin EAP – Trả lời của máy khách bao gồm nhận dạng Supplicant để chuyển tiếp tới AS.

AS nhận thực Supplicant và các trả lời khác bằng cách chấp nhận hoặc loại bỏ Supplicant.

3.5.7 Giao thc nhn thc m rng (EAP)

3.5.7.1 Gii thiu

Để thiết lập liên lạc trên một liên kết Point – to – Point, mỗi đầu cuối của của liên kết PPP đầu tiên phải gửi các gĩi tin LCP đểđịnh cấu hình liên kết dữ liệu trong thời gian thiết lập liên kết. Sau khi các kết nối đã thiết lập, PPP cung cấp một giai đoạn nhận thực tùy chọn trước khi đi đến giai đoạn giao thức tầng mạng.

Mặc định rằng, nhận thực là khơngbắt buộc. Nếu nhận thực của liên kết được mong muốn, một thực thi phải chỉ rõ tùy chọn cấu hình giao thức nhận thực trong thời gian Phase thiết lập liên kết.

Các giao thức nhận thực này được chỉ định cho sử dụng đầu tiên bởi các Host và các router kết nối tới một server mạng PPP qua các chuyển mạch hoặc các đường dial – up, nhưng cĩ thểđược chấp nhận để xác định các kết nối. Server cĩ thể sử dụng sự nhận dạng của kết nối host hoặc router trong sự lựa chọn các tùy chọn cho tầng mạng.

3.5.7.2. Giao thc nhn thc cĩ th m rng đim ti đim (EAP)

Giao thức nhận thực cĩ thể mở rộng (EAP) là một giao thức bảo mật tầng giao vận của mơ hình OSI, nĩi chung là một giao thức cho nhận thực PPP hỗ trợ nhiều kĩ thuật nhận thực. EAP khơng lựa chọn một cơ chế nhận thực cụ thể tại Giai đoạn điều khiển liên kết (Link Control Phase), đúng hơn là nĩ trì hỗn điều này cho đến giai đoạn nhận thực. Điều này cho phép bộ nhận thực yêu cầu thêm thơng tin trước khi xác định cơ chế nhận thực rõ ràng. Điều này cũng chấp nhận sự sử dụng một server “back - end” thi hành nhiều cơ chế khác nhau trong khi server PPP chỉđơn thuần đi qua tổng đài nhận thực.

1. Sau khi giai đoạn thiết lập kết nối được hồn thành, bộ nhận thực gửi một hoặc nhiều Request để nhận thực điểm. Request cĩ một trường Type để xác định những gì đang được yêu cầu. Ví dụ về các loại Request bao gồm Identity, MD5-challenge, One-Time Passwords, Generic Thẻ bài Card… Thơng thường, bộ nhận thực sẽ gửi một Indentity Request theo sau bởi một hoặc nhiều Request cho thơng tin nhận thực. Tuy nhiên, một Indentity Request khơng được yêu cầu, và cĩ thể bỏ qua trong các trường hợp Indentity là đốn được.

2. Điểm (Peer) gửi một gĩi tin Response trong trường Reply cho mỗi Request. Cũng như gĩi tin Request, gĩi tin Respone bao gồm một trường Type tương ứng với trường Type của Request.

3. Bộ nhận thực chấm dứt giai đoạn nhận thực với một gĩi tin thành cơng hoặc thất bại (Succes or Failure packet).

Ưu đim

Giao thức EAP cĩ thể hỗ trợ nhiều cơ chế nhận thực khơng phải thực hiện giai đoạn tiền đàm phán một cách riêng biệt trong giai đoạn LCP.

Các thiết bị khơng cần thiết phải hiểu mỗi loại Request và cũng cĩ thểđơn giản các hoạt động như một tác nhân passthrough cho một server “back - end” trên một host. Thiết bị chỉ cần xem mã thành cơng/ thất bại để kết thúc giai đoạn nhận thực.

Các nhược đim

EAP thực hiện yêu cầu bổ sung một loại nhận thực mới cho LCP và vì thế các thực thi PPP sẽ cần thiết phải được sửđổi để sử dụng nĩ. Nĩ cũng đi lạc khỏi mơ hình nhận thực PPP trước đĩ của một cơ chế nhận thực rõ ràng trong thời gian LCP.

3.5.7.3 Cu hình khuơn dng tùy chn

Cấu hình khuơn dạng tổng quát tùy chọn như sau:

Hình 3-15 : Khuơng dạng tổng quát gĩi tin

Type 3

Length 4

Một phần của tài liệu nghiên cứu vềbảo mật cho WLAN (Trang 94 - 97)

Tải bản đầy đủ (PDF)

(104 trang)