Для обеспечения защиты информации необходимо решить всего три проблемы для трафика беспроводной сети:
- конфиденциальность (данные должны быть надежно зашифрованы);
- целостность (данные должны быть гарантированно не изменены третьим лицом);
- аутентичность (уверенность в том, что данные получены от правильного источника).
Рассмотрим, например, каким образом решает эти проблемы фирма Cisco Systems. Как и некоторые другие разработчики, компания Cisco Systems использует для аутентификации в своих устройствах (коммутаторах и маршрутизаторах) протоколы EAP-TLS и PEAP, но подходит к проблеме более "широко", предлагая для своих беспроводных сетей, наряду с указанными, еще и ряд других протоколов:
- Extensible Authentication Protocol - Transport Layer Security (EAP-TLS) - это стандарт IETF, который обеспечивает аутентичность путем двустороннего обмена цифровыми сертификатами;
- Protected EAP (PEAP) - пока предварительный стандарт (draft) IETF. Он предусматривает обмен цифровыми сертификатами и дополнительную проверку имени и пароля по специально созданному шифрованному туннелю;
- Lightweight EAP (LEAP) - фирменный протокол Cisco Systems. "Легкий" протокол взаимной аутентификации, похожий на двусторонний Challenge Authentication Protocol (CHAP). Использует разделяемый ключ, поэтому требует определенной разумности при генерации паролей. В противном случае, как и любой другой способ PreShared Key, подвержен атакам по словарю;
- EAP - Flexible Authentication via Secure Tunneling (EAP-FAST) - разработан Cisco на основании предварительного стандарта (draft) IETF для защиты от атак по словарю и имеет высокую надежность. Требует от администратора минимума усилий для поддержки. Принцип его работы схож с LEAP, но аутентификация проводится по защищенному туннелю. Поддерживается, начиная с версий ПО IOS 12.2(11)JA, VxWorks 12.01T, Cisco Secure ACS 3.2.3.
Все способы аутентификации (см. табл. 1) подразумевают поддержку динамических ключей. В то же время, если сравнивать все эти стандарты и по остальным параметрам, то способы EAP-TLS и PEAP кажутся более тяжеловесными. Поэтому они больше подходят для применения в сетях, построенных на базе оборудования различных производителей.
Таблица 1. Особенности способов аутентификации
Показатель |
Способ |
|||
LEAP |
EAP-FAST |
PEAP |
EAP-TLS |
|
Поддержка современных ОС |
Да |
Да |
Не все |
Не все |
Сложность ПО и ресурсоемкость аутентификации |
Низкая |
Низкая |
Средняя |
Высокая |
Сложность управления |
Низкая |
Низкая |
Средняя |
Средняя |
Single Sign on (однократная регистрация в Windows) |
Да |
Да |
Нет |
Да |
Динамические ключи |
Да |
Да |
Да |
Да |
Одноразовые пароли |
Нет |
Да |
Да |
Нет |
Поддержка баз пользователей не в формате Microsoft Windows |
Нет |
Да |
Да |
Да |
Fast Secure Roaming |
Да |
Да |
Нет |
Нет |
Возможность локальной аутентификации |
Да |
Да |
Нет |
Нет |
Способы аутентификации, разработанные Cisco, более привлекательны. Так, поддержка технологии Fast Secure Roaming при аутентификации, позволяет переключаться между различными точками доступа (время переключения примерно 100 мс), что особенно важно при передаче голосового трафика. При работе с EAP-TLS и PEAP повторная аутентификация займет существенно больше времени, и, в результате, разговор прервется. Главный недостаток LEAP и LEAP-FAST очевиден - эти протоколы поддерживаются только в оборудовании Cisco Systems.