观点

您需要哪些IEP类型的身份项目?

不同EAP类型的底漆,适用于不同的身份项目。

我对正在使用身份项目入门的客户的互动越多,我意识到需要简单的解释和EAP类型之间的差异的比较。

例如,我从客户获得的一般意见是EAP-TLS是最安全的EAP类型,因为它是基于X.509的证书。好的,我可以接受这种意见;但是你是否意识到EAP-TL也可能用作PEAP或EAP-FAST的内部方法?不,不是剪切版本,但可以在PEAP或EAP-FAST隧道中使用相同的可用于隔离的EAP-TLS协议。

因此,对于此博客条目,我想检查主要(最常见的)EAP类型及其用途。

EAP是一个身份验证框架,用于定义身份凭据的传输和使用情况。EAP封装了客户端正在发送的用户名,密码,证书,令牌,OTPS等。事实上,你知道802.1x真的“只是”在局域网里定义了EAP?

有许多不同的EAP类型,每个人都有自己的好处和下行。

本机EAP. Aaron Woland.

图1 - 本机EAP类型

  • EAP-MD5:使用“消息摘要算法”隐藏哈希中的凭据。哈希被发送到服务器,在那里它与本地哈希相比,以查看凭据是否准确无误。但是,EAP-MD5没有用于相互认证的机制。这意味着服务器正在验证客户端,但客户端没有验证服务器(即:不检查它是否应相信服务器)。EAP-MD5在IP电话上很常见,有些开关也可能会使用EAP-MD5发送MAC认证旁路(MAB)请求。
  • EAP-TLS:使用TLS(传输层安全性)提供安全身份事务的EAP类型。这与SSL非常类似,并且在您的Web浏览器和安全网站之间形成加密方式。EAP-TLS具有开放的IETF标准,并被视为“普遍支持”。EAP-TLS使用X.509证书,并提供支持相互身份验证的功能,客户必须信任服务器的证书,反之亦然。它被认为是最安全的EAP类型,因为密码捕获不是一个选项;端点仍必须具有私钥。注意:EAP-TLS在企业中支持BYOD时,EAP-TLS正在迅速成为EAP类型的选择。

隧道EAP类型

上面的EAP类型立即传输其凭据。这些接下来的两个EAP类型首先形成加密的隧道,然后在隧道内传输凭据。

隧道EAPS. Aaron Woland.

图2 - 隧道EAP类型

  • PEAP:受保护的EAP。最初由微软提出,这种EAP隧道类型很快成为世界上最受欢迎和广泛部署的方法。PEAP将在客户端和服务器之间形成潜在加密的TLS隧道,在服务器上使用X.509证书在Web浏览器和安全网站之间建立了SSL隧道。在形成隧道之后,PEAP将使用另一种EAP类型作为“内部方法” - 在外隧道内使用EAP进行验证客户端。
    • EAP-MSCHAPv2:使用此内部方法,客户端的凭据被发送到MSCHAPv2会话中加密的服务器。这是最常见的内部方法,因为它允许简单地将用户名和密码传输到RADIUS服务器的用户名和密码,甚至计算机名和计算机密码,这又将其验证到Active Directory。
    • EAP-GTC:EAP通用令牌卡(GTC)。该内部方法由Cisco创建作为MSCHAPv2的替代方法,它允许通用身份验证几乎任何身份存储,包括一次性密码(OTP)令牌服务器,LDAP,Novell E-Directory等。
    • EAP-TLS:虽然很少使用,但不广泛的已知,PEAP能够使用EAP-TL作为内部方法。

EAP-FAST:通过安全隧道(快速)灵活身份验证与PEAP非常相似。Cisco Systems的FAST创建为PEAP的替代方案,允许更快的重新认证并支持更快的无线漫游。就像PEAP一样,快速形成TLS外隧道,然后在该TLS隧道内传输客户端凭据。从PEAP的快速不同的情况下,能够使用受保护的访问凭据(PACS)。PAC可以被认为是一个安全的“cookie”,在主机上本地存储为成功认证的“证明”。

  • EAP-MSCHAPv2:使用此内部方法,客户端的凭据被发送到MSCHAPv2会话中加密的服务器。这是最常见的内部方法,因为它允许简单地将用户名和密码传输,甚至将计算机名和计算机密码传输到RADIUS服务器,从而将它们验证到Active Directory。
  • EAP-GTC:EAP-Generic Token Card(GTC)。该内部方法由Cisco创建作为MSCHAPv2的替代方法,它允许通用身份验证几乎任何身份存储,包括一次性密码(OTP)令牌服务器,LDAP,Novell E-Directory等。
  • EAP-TLS:EAP-FAST能够使用EAP-TLS作为内部方法。这变得非常受EAP-inaing。

EAP与EAP-FASTV2链接:随着对EAP-FAST的增强,使差异化具有用户PAC和机器PAC。在成功的机器身份验证后,ISE将向客户端发出机器 - PAC。然后,在处理用户身份验证时,ISE将请求机器 - PAC以证明机器也已成功认证。这是802.1x历史中的第一次,多个凭据已经能够在单个EAP事务中进行身份验证,并且称为“EAP链接”。IETF正在创建基于EAP-FASTV2的新开放标准,并且在我写这个博客帖子时,它将被称为“EAP-TEAP”(隧道EAP),这应该最终得到所有主要供应商的支持。

加入网络世界社区有个足球雷竞技appFacebooklinkedin.评论是最重要的主题。
有关的:

Aaron Woland,CCIE No. 20113,是思科系统的主要工程师。他的主要工作职责包括具有ISE,解决方案增强,标准开发和期货的安全访问和身份部署。

本博客中表达的意见是亚伦Woland的意见,不一定代表思科系统。

版权所有©2012.Raybet2

SD-WAN采购商指南:要询问供应商(和您自己)的关键问题