Приложение
D
Беспроводные
сети
Руководство
пользователя
для
серии
NXC
470
•
Учет
-
Ответ
(Accounting-Response)
Инициируется
сервером
RADIUS
для
индикации
начала
или
остановки
операции
учета
.
Для
обеспечения
безопасности
сети
точка
доступа
и
сервер
RADIUS
используют
общий
секретный
ключ
,
то
есть
пароль
,
который
известен
им
обоим
.
Этот
ключ
не
пересылается
по
сети
.
Помимо
использования
секретного
ключа
производится
шифрование
информации
о
пароле
,
которой
обмениваются
стороны
,
чтобы
защитить
сеть
от
несанкционированного
доступа
.
Типы
аутентификации
EAP
В
этом
разделе
рассматриваются
некоторые
популярные
типы
аутентификации
: EAP-MD5, EAP-
TLS, EAP-TTLS, PEAP
и
LEAP.
Беспроводное
устройство
,
возможно
,
поддерживает
не
все
из
перечисленных
типов
аутентификации
.
EAP (Extensible Authentication Protocol) –
это
протокол
аутентификации
,
который
действует
поверх
транспортного
механизма
IEEE 802.1x,
обеспечивая
поддержку
различных
типов
аутентификации
пользователей
.
Используя
протокол
EAP
для
взаимодействия
с
EAP-
совместимым
сервером
RADIUS,
точка
доступа
помогает
беспроводной
станции
и
серверу
RADIUS
выполнить
аутентификацию
.
Используемый
тип
аутентификации
зависит
от
сервера
RADIUS
и
промежуточной
точки
(
или
точек
)
доступа
,
которая
поддерживает
стандарт
IEEE 802.1x. .
При
использовании
аутентификации
типа
EAP-TLS
необходимо
вначале
подключиться
к
сети
по
проводному
соединению
и
получить
сертификат
(
или
сертификаты
)
от
центра
сертификации
.
Сертификат
(
именуемый
также
цифровым
идентификатором
)
может
использоваться
для
аутентификации
пользователей
.
Центр
сертификации
выпускает
сертификаты
и
гарантирует
подлинность
владельца
каждого
сертификата
.
EAP-MD5 (Message-Digest Algorithm 5)
Аутентификация
MD5 –
это
простейший
односторонний
метод
аутентификации
.
Сервер
аутентификации
отправляет
запрос
(challenge)
беспроводному
клиенту
.
Беспроводной
клиент
«
подтверждает
»,
что
ему
известен
пароль
, –
он
шифрует
пароль
вместе
с
запросом
и
отправляет
результирующую
информацию
обратно
.
Пароль
не
пересылается
в
обычном
текстовом
виде
.
Однако
у
аутентификации
MD5
есть
некоторые
недостатки
.
Серверу
аутентификации
необходимо
получать
пароли
в
виде
обычного
текста
,
поэтому
пароли
необходимо
хранить
.
Соответственно
,
доступ
к
файлу
пароля
может
получить
кто
-
то
еще
,
кроме
сервера
аутентификации
.
Кроме
того
,
злоумышленник
может
изобразить
сервер
аутентификации
,
поскольку
метод
аутентификации
MD5
не
предусматривает
взаимной
аутентификации
.
Наконец
,
метод
аутентификации
MD5
не
поддерживает
шифрование
данных
с
помощью
динамического
сессионного
ключа
.
Для
шифрования
данных
необходимо
настроить
ключи
шифрования
WEP.
EAP-TLS (Transport Layer Security,
безопасность
транспортного
уровня
)
При
использовании
аутентификации
типа
EAP-TLS
и
серверу
,
и
беспроводным
клиентам
необходимы
цифровые
сертификаты
для
взаимной
аутентификации
.
Сервер
предоставляет
сертификат
клиенту
.
После
проверки
подлинности
сервера
клиент
отправляет
серверу
другой
сертификат
.
Обмен
сертификатами
происходит
в
открытом
режиме
,
до
создания
защищенного