Indietro

ⓘ Extensible Authentication Protocol




Extensible Authentication Protocol
                                     

ⓘ Extensible Authentication Protocol

Extensible Authentication Protocol è un framework di autenticazione utilizzato spesso sugli access point e nelle connessioni PPP. Lutilizzo di EAP allinterno di una rete wireless, ad esempio, prevede che non sia laccess point ad autenticare il client: esso redirige la richiesta di autenticazione avanzata dal client ad uno specifico server, configurato per questo scopo come un RADIUS.

Definito nella Request for Comments RFC 2284 e aggiornato nella RFC 3748 e nella RFC 4017, è uno standard altamente flessibile che può essere implementato in numerose differenti modalità; 802.1x ha ereditato tale flessibilità per raggiungere svariati obiettivi di sicurezza.

802.1x racchiude un range di metodi di autenticazione EAP, inclusi MD5, TLS, TTLS, LEAP, PEAP, SecurID, SIM e AKA. Ciascuno di questi metodi EAP ha vantaggi e svantaggi a seconda dellambiente.

                                     

1.1. Metodi di autenticazione EAP-TLS

Il Transport Layer Security TLS offre un processo di autenticazione particolarmente sicuro, che sostituisce le semplici password con certificati lato client e lato server tramite lutilizzo della infrastruttura a chiave pubblica Public Key Infrastructure o PKI. Un certificato è un record di informazioni relative ad unentità verificato tramite un algoritmo matematico asimmetrico. È supportata la mutua autenticazione, le chiavi di sessione dinamiche. TLS è una buona scelta quando si richiede un elevato livello di autenticazione e sicurezza ed è presente una infrastruttura a chiave pubblica. Comunque, lutilizzo di una PKI, in cui ciascun client ha il suo proprio certificato, è oneroso se comparato ai sistemi basati su password. Tale onere deriva dagli strumenti software richiesti affinché il sistema sia efficace.

                                     

1.2. Metodi di autenticazione EAP-TTLS

Tunnelled Transport Layer Security TTLS è unestensione del TLS ed è stato sviluppato per superare la necessità, generata dal TLS, di certificati lato client sono invece richiesti certificati lato server. Così come laltro dei due metodi attualmente disponibili di autenticazione tramite tunnel laltro è il PEAP, TTLS è un metodo a due passaggi. Nel primo, un algoritmo asimmetrico basato sulle chiavi del server è utilizzato per verificare lidentità del server e per creare il tunnel di crittazione simmetrica. Il secondo passaggio riguarda la verifica dellidentità del client utilizzando un secondo metodo di autenticazione tramite il tunnel di crittazione simmetrica per lattuale negoziazione dellautenticazione. Questo secondo metodo di autenticazione utilizzato con il tunnel può essere un tipo di EAP spesso MD5 o un metodo di vecchio tipo come PAP, CHAP, MS-CHAP, o MS-CHAP V2. Il tunnel a crittazione simmetrica del TTLS è utilizzato solo per proteggere il metodo di autenticazione del client. Una volta verificato, il tunnel collassa.

                                     

1.3. Metodi di autenticazione EAP-LEAP

Lightweight Extensible Authentication Protocol sviluppato dalla Cisco, deriva da EAP. LEAP si basa su un protocollo di autenticazione chiamato "reciproco consenso" che in poche parole significa che sia il client sia laccess point a cui il client richiede la connessione devono autenticarsi prima di avere accesso allinterno della rete. In questo modo si previene laccesso non autorizzato di access point estranei alla rete.

                                     

1.4. Metodi di autenticazione Altri

  • PEA

. P

  • EAP-SIM
  • EAP-FAST
  • EAP-AKA
  • EAP-SRP
  • EAP-SecurID