Extensible Authentication Protocol

Z Wikipedii

Protokół Extensible Authentication Protocol (EAP) opisany jest w dokumencie RFC 3748. Protokół ten umożliwia stosowanie oraz implementację różnorodnych metod uwierzytelniania w ujednolicony i niezależny od sprzętu pośredniczącego w komunikacji sposób. Architektura tego protokołu oparta jest o model klient/serwer. W terminologii EAP serwer pełni rolę autentykatora, natomiast klient rolę suplikanta.

Protokół ten ma bardzo małe wymagania odnośnie używanego medium transportowego. Jako warunek poprawnego funkcjonowania protokołu wymagane jest, aby warstwa transportowa gwarantowała uporządkowanie pakietów (niezawodność nie jest wymagana). Z tego względu protokół znalazł zastosowanie jako wygodny i elastyczny mechanizm uwierzytelniania użytkowników w takich protokołach, jak np. PPP, IEEE802. Proces uwierzytelniania przeprowadzany jest zanim nastąpi inicjalizacja warstwy IP.

W najczęściej spotykanych rozwiązaniach urządzenie dostępowe (autentykator) pracuje w roli pośrednika, pomiędzy użytkownikiem (suplikantem) a zewnętrznym serwerem uwierzytelniającym, przekazując jedynie pakiety EAP do i z zewnętrznego serwera.

Spis treści 1 Zastosowanie 2 Zalety 3 Wady 4 Metody EAP

[edytuj] Zastosowanie

Protokół EAP jest najczęściej używany w połączeniach:

• korzystających z protokołu PPP,
• korzystających z protokołu IEEE802 (wymagane są urządzenia sieciowe wspierające obsługę tego protokołu):
  • dla sieci przewodowych - IEEE802.1X,
  • dla sieci bezprzewodowych - IEEE802.11i.

Protokół EAP posiada wbudowane mechanizmy pozwalające na eliminację pojawiających się duplikatów pakietów i ponowną retransmisję zagubionych pakietów. Za retransmisję pakietów odpowiedzialny jest autentykator, natomiast suplikant musi zajmować się eliminacją duplikatów pakietów.

Niestety, bezpośrednio w protokole brak jest wsparcia dla mechanizmu fragmentacji. Jeśli jakaś metoda uwierzytelniania potrzebuje przesyłać porcje danych, które są większe niż maksymalny rozmiar ramki łącza danych, to fragmentacja musi być zrealizowana w ramach tej metody.

[edytuj] Zalety

Wśród zalet protokołu EAP należy wymienić:

• wsparcie dla różnorodnych metody uwierzytelniania,
• istnieje możliwość negocjacji używanej metody uwierzytelniania,
• ponieważ urządzenie dostępowe może pracować w roli pośrednika, możliwe jest wdrożenie nowej (lub aktualizacja) metody uwierzytelniania, bez ingerowania w jego konfigurację -- wymagana jest jedynie aktualizacja oprogramowania po stronie suplikanta i zewnętrznego serwera uwierzytelniania,
• separacja pomiędzy urządzeniem dostępowym a zewnętrznym serwerem uwierzytelniania ułatwia zarządzanie danymi poufnymi, takimi jak np. loginy i hasła użytkowników.

[edytuj] Wady

Najistotniejsze wady protokołu EAP to:

• nie wszystkie implementacje PPP wspierają uwierzytelnianie z wykorzystaniem protokołu EAP,
• sprzęt sieciowy (switche, access pointy) musi posiadać wsparcie dla protokołu IEEE802,
• ze względu na separacje urządzenia dostępowego od zewnętrznego serwera uwierzytelniania komplikuje się analiza zagadnień bezpieczeństwa.

[edytuj] Metody EAP

Dokument RFC 3748 wprowadza następujące obowiązkowe metody uwierzytelniania:

• MD5 Challange
• One Time Password (OTP)
• Generic Token Card (GTC)

Oprócz wyżej wymienionych metod istnieje wiele innych które są opisane w odrębnych dokumentach, np.:

• EAP-TLS - RFC 2716
• EAP-TTLS - draft-ietf-pppext-eap-ttls-01.txt
• EAP-IKEv2 - RFC 5106