Espero no hacerme ver como un idiota, pero intentaré ayudar a explicar esto desde que lo entiendo. Debo tener en cuenta que este no es mi trabajo de tiempo completo, así que, por favor, sean amables si tengo algo fuera de lugar :)
Estos protocolos, y creo que eap es un protocolo, peap está protegido eap, por lo que probablemente sea el mismo protocolo con cifrado adicional, se utilizan para autenticar en la capa 2. Esto significa que el cliente tiene que comunicar la información de autenticación a los dispositivos que está directamente conectado a. En los viejos tiempos, esto era bastante básico, marques a través de una línea telefónica y envías tu nombre de usuario y contraseña generalmente en texto claro.
Cuando salió Wireless tenían el mismo problema que resolver, tenían que autenticar a las personas para que dieran acceso a la red, así que usaron lo que sabían, ppp u otros protocolos que se autentican en la capa 2, ha pasado demasiado tiempo desde que Usé el acceso telefónico por lo que no recuerdo las diferentes opciones. El problema ahora era que se trataba de un medio compartido, a diferencia de una línea telefónica, por lo que tuvieron que desarrollar mejores formas de proteger el nombre de usuario y la contraseña. También iniciaron esto en el acceso telefónico, pero no era una gran preocupación porque la mayoría de las personas no se preocupaban. acerca de su línea siendo explotada.
Entonces, comenzaron a construir estos métodos más seguros de autentificación sobre la Capa 2, por lo tanto, nació eap. Ahora de eap, creo, eap TTLS es el más seguro pero el más difícil de configurar correctamente. EAP-FAST es un derivado de TLS, ya que también utiliza tokens / certs, pero en lugar de una forma fuera de banda para implementarlos, se negocia dentro de la banda, lo que puede hacerlo menos seguro, creo que no se recomienda el uso de LEAP. Se utiliza para la comunicación AP a AP. De todos modos, todos estos utilizan diferentes métodos para establecer una sesión EAP de manera segura para transferir el nombre de usuario y la contraseña de forma cifrada. Con la excepción de TLS, TTLS y PEAP, los métodos utilizados establecen claves a través de la negociación, no a través de algo definido fuera de banda, de los fuera de banda que PEAP puede configurarse para no verificar certificados, por lo que creo que es menos seguro TLS y TTLS. Una vez que se establezca el túnel cifrado, o las claves, el nombre de usuario y la contraseña se envían utilizando el protocolo interno, que puede ser texto claro, MSCap o algunos otros, no los conozco de antemano, lo importante para esta discusión es se cifran en la capa 2 del dispositivo de acceso y luego se cifran a través de PSK desde el dispositivo de acceso al servidor RADIUS. Si se aprende el PSK y el método interno es texto claro, entonces cualquiera puede oler el cable y leer la contraseña en wireshark.
Por lo tanto, la otra parte de esto es la administración centralizada, ya que estos dispositivos de comunicaciones de capa 2 no pueden acceder directamente a su servidor RADIUS back-end para autenticar correctamente, por lo que parte del rol de 802.1x es que su cliente habla con el dispositivo de acceso. cableado o inalámbrico, el dispositivo de acceso luego habla en la capa 3 (IP) al servidor RADIUS que realiza la autenticación y devuelve atributos para el control de acceso y el estado de autenticación, pero es el dispositivo de acceso el que establece el control de acceso y negocia con el cliente directamente.
Entonces, ¿cómo encaja esto en la seguridad de hoy?
-
Permite la administración centralizada segura
-
Ofrece cifrado de punta a punta
-
Facilita la concesión segura del control de acceso a las redes, a través de asignaciones de vlan y ACL's descargables
-
Extrae la fuente de autenticación del dispositivo, es decir, el servidor RADIUS nunca es accesible desde el dispositivo antes de la autenticación.
-
Si se hace correctamente, ofrece una mayor seguridad de capa 2 y luego conexiones cableadas (aunque esto es discutible en mi mente)
Por último, la pregunta en negrita:
¿Es EAP una forma en que los protocolos inalámbricos están de acuerdo con los algoritmos, y cada dispositivo proporciona su propia implementación conforme a este marco?
EAP se utiliza para definir las claves que utilizarán sus algoritmos de cifrado simétrico. Creo que, como parte de la negociación EAP, también negocia el algoritmo de cifrado simétrico. Por supuesto, esto sucedería después de que el EAP autentique al usuario.
Así que hace 2 cosas, intercambia nombre de usuario / contraseña y transfiere de forma segura claves simétricas de algoritmos negociados.