web-dev-qa-db-ja.com

EAP対TLS認証

EAPのポイントがよくわかりません。

EAPは、EAP-TLS、EAP-TTLS、PEAPなどのいくつかのTLSベースのメソッドとカプセル化を定義する認証フレームワークです。これらはすべて、サーバー/認証システムが証明書を持っていることを必要とします(EAP-TLSは、クライアント/サプリカントもそれを持っている必要があります)。

  • TLSは、それ自体で証明書を使用して認証を提供します。では、EAPのポイントは何ですか?
  • EAPは何らかの点で優れていますか?
  • EAPの最も注目すべき使用法はWPAです。プレーンなTLSと比較して、有線接続でも使用することは有利ですか?
  • どちらを使用したいですか?
1
Sylvester

TLScanは、公開鍵証明書を使用して相互認証を提供します。ただし、認証にTLSで公開鍵証明書を使用する必要はありません。 TLSは、ユーザー認証メカニズムなしで、ネットワーク上で転送されるデータの暗号化(データの完全性とプライバシー)を提供するためにのみ使用できます。多くの場合、TLSシナリオでは、クライアントのみがサーバーを信頼/認証する必要がありますが、クライアントを匿名にすることもできます(インターネットブラウザーなど)。

認証層はTLSで使用でき、両方を相互に完全に分離できます。最新のエンタープライズシナリオでは、ユーザー認証はSAML 2.0またはKerberos/SPNegoによって処理され、TLSも使用されるシナリオでは両方のテクノロジーが使用されます。したがって、TLSは認証を強制せず、公開鍵証明書の厳密な使用も強制しません。

EAP-TLS認証プロトコル は、TLSと統合された認証プロトコルのもう1つの実装です。ここで重要なのは、TLSが認証を提供することではなく、TLSが認証プロトコルの暗号化(データの整合性とプライバシー)を提供することです。

EAPは通常、ポイントツーポイントプロトコル(PPP)やIEEE 802などのデータリンク層で直接実行される認証プロトコルであるため、両方の使用法はユースケースに依存すると結論付けることができます。 、IPを必要とせず 、TLSには完全に異なる目的があります。TLSプロトコルの 主な目的は、2つの通信するアプリケーション間でプライバシーとデータの整合性を提供することであるためです

2

TLSは、それ自体で証明書を使用して認証を提供します。

TLSは実際には多くのことを実行できますが、2つのエンドポイント間で暗号化されたセッション/トンネルを確立するために最も一般的に使用されます。

これは確かに認証の提供に使用できますが、TLSを使用する多くのEAPプロトコルは、サプリカントとサーバー間のトラフィックを暗号化して、認証が行われる安全なトンネルを提供するためにのみ使用します。

では、EAPのポイントは何ですか?

...

EAPは何らかの点で優れていますか?

「EAPは認証フレームワークです。」 EAPは、エンティティが独自の認証方法を自由に定義できる標準インターフェイスを提供するフレームワークを定義します。これにより、エンティティは、その標準フレームワークに適合すると思われる方法で認証サービスを提供できます。

2つのエンドポイント(オーセンティケーターとサプリカント)は、特定の方法を理解して使用できる必要がありますが、中間デバイスは、EAPトラフィックの処理方法を知るためにのみ必要です。つまり、中間デバイスは、使用中の実際の認証方法について何も知る必要がありません。

EAPの最も注目すべき使用法はWPAです。プレーンなTLSと比較して、有線接続でもそれを使用することは有利ですか?

それはあなたが知っているEAPの最も注目すべき使用法です。 EAPは、1998年に公開された RFC 2284 にさかのぼり、当初はPPP(Point-to-Point Protocol)接続用に設計されました。ワイヤレスとは何の関係もありませんでした。

この最初のEAPフレームワークは非常に説得力があり、2001年に802.1XのIEEEワーキンググループは、その目的で認証(EAPOLまたは "EAP over LAN"に拡張した)のベースとして使用することを決定しました。

802.1Xは当初イーサネットネットワークでの使用を目的としていましたが、2004年の802.11を含め、ネットワーク認証が必要なほぼすべてのメディアでネットワーク認証の基礎となりました(これは、EAP RFCが更新された年でもあります RFC 3784 )。 EAPは通常、モバイルデバイスをセルラーネットワーク(SIM、AKA、AKA 'など)に対して認証するためにも使用されます。

EAPをネットワーク以外で使用する場合、北米(およびおそらく他の地域)に住んでいる場合、車両に搭載されたトランスポンダを使用するほとんどの " open road tolling "システムは、実際にEAPメソッドを使用して「認証」します。料金所を通過します。

今日、世界中でEAPの使用例が他にもたくさんあると思います。そして、これらの用途のほとんどはWPA/WPA2を使用しません。

EAPのポイントがよくわかりません。

EAPのポイントは、デバイスがEAPトラフィックを、使用中のEAP認証方法を気にすることなくEAPトラフィックとして処理できるようにすることです。オーセンティケーター(つまり、認証サーバー、通常はRADIUS)と認証クライアント(つまり、サプリカント)のみが、使用中のEAP方式の理解を共有する必要があります。

ネットワークを構築するとします。デバイスは、接続するクライアントが認証する必要があることを理解し、すべてのデバイス(クライアント、認証サーバー、およびすべての中間デバイス)がこの認証ソリューションを理解して処理できるようにする独自のソリューションを選択します。

この認証ソリューションに欠陥があるか、この認証ソリューションを理解していない新しいタイプのクライアントを取得したとします。この解決策では、すべての中間デバイスへのアップグレードも必要になります。

代わりに、EAPを使用します。ネットワークは、EAPトラフィックの処理方法(つまり、認証サーバーへの転送)を認識しています。クライアントとサーバーは、使用するEAPメソッド(EAPフレームワークの操作によって定義される)をネゴシエートする方法を知っています。 EAP方式を変更する必要がある場合、または新しいEAP方式のみを認識するクライアントを追加する必要がある場合、調整する必要があるのは認証サーバーだけです。すべての中間デバイスは、他のEAPトラフィックと同様に処理します。

そのため、少し洞察を与えるために、さまざまな目的で、さまざまな組織(一部は現在廃止されているか脆弱であるもの)がEAPとともに長期間使用する認証方法のリストの例を次に示します。

  • PPP
  • PAP
  • CHAP
  • SPAP
  • MD5-Challenge
  • ワンタイムパスワード
  • ジェネリックトークン
  • TLS
  • PEAP
  • TTLS
  • LEAP
  • SIM
  • AKA
  • 別名
  • MSCHAPv2(PEAP/MSCHAPv2と間違えないでください)
  • PAX
  • PSK
  • PWD
  • 速い
  • IKEv2
  • TEAP
  • GTC
  • EKE

これは決して完全なリストではなく、個人的にこれらすべての方法に精通しているわけではありませんが、さまざまな容量のEAP(またはTTLSなどの他のEAP方法)で使用されるこれらの方法の多くを目にしました。

3
YLearn