TLS en la capa 4 PERO 802.1X EAP-TLS en la capa 2?

5

En los libros de CISSP, SSL / TLS ha revisado los argumentos y ha descansado en la capa de transporte 2 en lugar de la sesión. OK - bien.

El puerto de seguridad 802.1X y EAP es un mecanismo de autenticación de capa 2 de enlace de datos. Dado que EAP es un marco, consta de EAP-TLS (entre otros, como EAP-TTLS, PEAP y LEAP).

Tal vez me falte algo tonto, pero ¿cómo puede el libro llamar a EAP-TLS un mecanismo de autenticación de capa 2 cuando TLS ni siquiera aparece en la imagen hasta la capa 4?

    
pregunta Abdu 02.05.2011 - 04:54
fuente

1 respuesta

11

Las "capas" son de una antigua clasificación abstracta ISO que se ha aplicado a cómo funcionan las cosas en el mundo físico, a menudo con el equivalente retórico de un martillo. No debes tratar de seguir capas como el evangelio, a menudo te llevará a la confusión.

SSL / TLS es un protocolo que se puede aplicar a través de un túnel de datos bidireccional, y que proporciona un túnel de datos bidireccional, con autenticación (servidor por cliente o mutua), confidencialidad (mediante cifrado) y la integridad verificada. En términos de "capas", va justo entre la capa 4 y la capa 6 del modelo OSI, lo que muestra que el concepto de "capas" no logra capturar la posición real de SSL / TLS.

Sucede que la parte de autenticación de SSL / TLS (el "apretón de manos") consiste en una serie de mensajes, que se intercambian en una secuencia alternativa; consulte la especificación TLS , página 36, para ver un diagrama que muestra esa secuencia. En SSL / TLS "normal", los mensajes se intercambian a través de cualquier túnel de datos bidireccional en el que se aplique SSL / TLS, generalmente una conexión TCP. Sin embargo, las propiedades criptográficas del protocolo de enlace provienen del contenido del mensaje, no de cómo se envían. En ese punto, considere EAP: este es un marco para los protocolos de autenticación, que consiste en mensajes; EAP está destinado a ser usado sobre cualquier mecanismo de transporte que pueda enviar mensajes ("capa 2" si realmente quiere pensarlo en capas). Por lo tanto, se ha definido EAP-TLS: este es un protocolo de autenticación, que consiste en una secuencia de mensajes que son los especificados para el protocolo de enlace SSL / TLS, pero que se envían como tantos mensajes a través del mecanismo de transporte utilizado por EAP. EAP-TLS no es TLS, no proporciona un túnel para datos; es un protocolo que reutiliza partes de el protocolo de enlace que se produce al comienzo de una conexión TLS.

    
respondido por el Thomas Pornin 02.05.2011 - 14:49
fuente

Lea otras preguntas en las etiquetas