Eğer istemci bilgileri sunucu tarafından doğrulanırsa istediği ağ
hizmetlerinden faydalanabilir (ağ yöneticisinin izni doğrultusunda) . Genelde
bu tür kimlik doğrulama işlemleri e-posta, intranet ve diğer özel uygulamalarda
kullanılır.
Bu istemci-sunucu arasındaki kimlik doğrulama işlemi ağ kaynaklarını korumak için kendini kanıtlamış bir metot olsa da; yetkilendirilmemiş girişleri engelleyen, tam bir ağ güvenlik mekanizması oluşturamamıştır. Bunun üzerine sağlayıcılar ağ tabanlı idari çözümler üretti(VLAN,ACL ve MAC locks gibi). VLAN, ACL, MAC locks gibi yöntemler etkili olmalarına karşın yönetici ihtiyaçlarına bağlı olarak kullanılırlar. Bu yöntemlerin her birinin tek avantajı olmasına rağmen sağlayıcılar sadece birini kullanırlar. 802.1x in var olan metotlarla kullanımı ağı çok daha güvenli bir hale getirmiştir.
802.1x mimarisinde üç temel öğe bulunur:
1. İstemci (Supplicant,
Station) : Kimlik sorgulaması yapılcak kişi
2. Kimlik denetleyici
(Authenticator) : istemciyle kimlik denetleme sunucusunun arasında bulunur.
Ethernet anahtarlayıcı (Ethernet switch), Erişim noktası (Access Point)
3. Kimlik denetleme sunucusu
(authentication server): kimlik denetleme işlemini gerçekleştiren asıl
sunucu.(Örnek: RADIUS Sunucusu)
1. EAP MD5(Message Digest): EAP’ın en temel halidir. Kablosuz ağlarda
şifrenin açık gitmesinden dolayı önerilmez. Daha çok kablolu ağlarda
kullanılır. Tek yönlü kimlik doğrulaması yapılır (one way authentication).
2. EAP-TLS(Transport Layer Security): İstemci ile ağ arasında sertifika
temelli (certificate-based) , karşılıklı (mutual) kimlik doğrulama sağlar. Tam
güvenliği sağlamak için hem istemci hem de sunucu sertifikası kullanılabilir.
Bu sertifikalar dinamik olabilir. Dezavantajı sertifikaların yönetim
gerektirmesidir. Çok geniş kablosuz ağlarda büyük sorunlar yaratabilir.
3. EAP-TTLS (Tunneled Transport Layer Security): Funk Software and
Certicom tarafından EAP-TLS’in genişletilmişi olarak tasarlanmıştır. TLS’ten
farklı olarak sadece sunucu bazlı sertifika kullanır ve doğrulama işlemini
şifrelenmiş, güvenli bir tünelin (encrypted tunnel) içinden geçirerek yapar.
4. EAP-FAST (Flexible Authentication via Secure Tunneling): Cisco
tarafından tasarlanan EAP-FAST; karşılıklı doğrulamayı serifika kullanmak
yerine, sunucu tarafından dinamik olarak yönetilen PAC (Protected Access
Credential) ile sağlar.
5. LEAP (Lightweight Extensible Authentication Protocol): Özellikle
Cisco Aironet WLANs da kullanılan bir metottur. Data transferini her
şifrelemede değişen WEP (wired equivalent privacy) anahtarı ile şifreler ve
karşılıklı kimlik doğrulamayı sağlar. Bu mettotun lisansı halen Cisco’dadır.
6. PEAP (Protected Extensible Authentication Protocol): Microsoft, Cisco ve RSA Security nin geliştirdiği bir metottur. Kablosuz ağlarda güvenli bir şekilde kimlik doğrulama bilgilerini taşımak için eski şifrelemeye dayalı protokolleri (legacy password-based protocols) kullanan metottur. PEAP bu güvenli transferi istemci ile sunucu arasına kurduğu tünel ile sağlar. Aynı TTLS de olduğu gibi PEAP da kablosuz ağ istemcisinin sadece sunucu bazlı sertifika kullanarak kimliğini doğrular. Bu da yönetimsel olarak büyük bir kolaylık sağlar.
6. PEAP (Protected Extensible Authentication Protocol): Microsoft, Cisco ve RSA Security nin geliştirdiği bir metottur. Kablosuz ağlarda güvenli bir şekilde kimlik doğrulama bilgilerini taşımak için eski şifrelemeye dayalı protokolleri (legacy password-based protocols) kullanan metottur. PEAP bu güvenli transferi istemci ile sunucu arasına kurduğu tünel ile sağlar. Aynı TTLS de olduğu gibi PEAP da kablosuz ağ istemcisinin sadece sunucu bazlı sertifika kullanarak kimliğini doğrular. Bu da yönetimsel olarak büyük bir kolaylık sağlar.
802.1x EAP Types
Feature / Benefit
|
MD5
--- (Message Digest 5) |
TLS
--- (Transport Level Security) |
TTLS
--- (Tunneled Transport Level Security) |
PEAP
--- (Protected Transport Level Security) |
FAST
--- (Flexible Authentication via Secure Tunneling) |
LEAP
--- (Lightweight Extensible Authentication Protocol) |
İstemci bazlı
sertifika
|
Yok
|
Var
|
Yok
|
Yok
|
Yok
(PAC) |
Yok
|
Sunucu bazlı
Sertifika
|
Yok
|
Var
|
Yok
|
Var
|
Var
(PAC) |
Yok
|
WEP anahtar
Yönetimi
|
Yok
|
Var
|
Var
|
Var
|
Var
|
Var
|
Sağlayıcı
|
MS
|
MS
|
Funk
|
MS
|
Cisco
|
Cisco
|
Kimlik doğrulama
şekli
|
Tek yönlü
|
Karşılıklı
|
Karşılıklı
|
Karşılıklı
|
Karşılıklı
|
Karşılıklı
|
Kullanım zorluğu
|
Kolay
|
Zor (istemci bazlı
sertifika kullanılmasından dolayı)
|
Orta kolaylıkta
|
Orta kolaylıkta
|
Orta
kolaylıkta
|
Orta
kolaylıkta
|
Kablosuz ağ
güvenliği
|
Zayıf
|
Çok güvenli
|
Güvenli
|
Güvenli
|
Güvenli
|
Güvenli (Komplex
şifreler kullanıldığında
|
Hiç yorum yok:
Yorum Gönderme