在建立企业WLAN时,为无线网络选择合适的可扩展认证协议(EAP)方式是一项关键的安全决定,并且常常是不容易做出的决定。考虑到一些EAP方式(如LEAP、EAP-MD5)存在固有的安全缺陷,最好不要轻易使用它们,不过要在PEAPv0(保护性EAP)、PEAPv1、TTLS(隧道传输层安全协议)和EAP/TLS(传输层安全协议)中做出选择也并非易事。
实际上,选择一种EAP的标准常常归结于是否支持企业中已部署的基础设施。在对客户机的EAP支持方面,主要客户机的操作系统将对EAP的选择产生重要影响。Windows XP等客户机操作系统内置对PEAP和EAP/TLS的支持,但却不支持TTLS或EAP-SIM。如果想使用后两种EAP,可以使用第三方软件,但这样做会令管理员不能发挥Windows XP的优势,如组策略控制等。而对认证服务器的支持来说,并不是所有类型的EAP都支持企业网络中使用的各种认证证书。例如,PEAPv0局限在使用MS-CHAPv2认证的用户,而EAP/TLS则依靠客户端数字证书进行认证。TTLS在这方面最为灵活,它允许用户使用任意数量的认证证书。
哪种EAP方式最适合你的企业?这还取决于进行无线认证的主要出发点。如果安全性是首选因素,那么EAP/TLS是最安全EAP机制,但它需要为所有最终用户部署PKI(公共钥密基础设施)。如果你主要考虑灵活性,TTLS可以适应几乎所有的认证协议,包括一次性密码、基于令牌的认证和各种流行的口令认证机制。PEAPv0则是以Windows为中心的网络的明智选择,它内置对客户机和Windows Active Directory认证源的支持。
谨慎选择EAP类型是你无线战略的重要组成部分。同IT业中的很多决定一样,你必须根据自身的需求,在安全性、灵活性和简易性之间做出选择。这个过程很像是在挑选某种数字产品,你很清楚不会买到一件完美的东西,但在令人眼花的柜台面前,你却可以作出一个完美的选择,最好的方法就是从需求出发,从最关注的功能出发。实际上EAP的诞生正是由用户的实际安全需求所驱动的,在IEEE 802.1x本身并不提供实际认证机制的情况下,需要扩展认证协议也就是EAP的配合来解决无线局域网用户的接入认证问题。同样,当用户面对不同种类的EAP方式时,最终还是要回到最初的需求角度作出选择。
几种EAP方式的特点对照表
|
EAP方式
|
Windows XP操作系统
|
认证
|
特性
|
PEAPv0
|
支持
|
MS-CHAPv2认证
|
适合Windows为中心的网络
|
TTLS
|
不支持
|
任意的认证证书
|
灵活性高
|
EAP/TLS
|
支持
|
客户端数字证书
|
安全性高
|
-- 原文链接: http://www.wifi-club.com/n2317c11.aspx
|