Extensible Authentication Protocol

Van Wikipedia

Op EAP staat tekst die in dit artikel ingevoegd zou moeten worden. Daarna kan dát artikel een redirect worden. (Hier melden: Overleg).

Extensible Authentication Protocol (EAP) is een universeel raamwerk voor authenticatie gedefinieerd in Request For Comments (RFC) 3748. Het werkt op de data link layer van het OSI-model en is ontworpen voor gebruik bij Point to Point Protocol-verbindingen. Het heeft het Internetprotocol (IP) niet nodig en zorgt zelf voor retransmissie van verloren gegane pakketten of verwijdering van duplicaten. EAP beperkt zich niet tot, maar wordt wel het meest gebruikt bij draadloze netwerken (IEEE 802.X).

De structuur van een EAP-pakket is als volgt:

1. Code. 1 octet. Hieruit wordt opgemaakt welk type pakket is wat wordt gebruikt om het dataveld te bekijken. Het kan een van de vier waarden 1 request, 2 response, 3 success, 4 failure bevatten. Andere waarden dienen te worden genegeerd.
2. Identifier. 1 octet. Een unsigned integer gebruikt om request aan responses te koppelen. Retransmissies gebruiken dezelfde integer.
3. Length. 2 octetten. Bevat de lengte van het pakket. Bij sommige link layer protocollen is het nodig om padding te gebruiken. EAP negeert data die groter is dan beschreven in het lengteveld.
4. Data. Het data veld is het enige veld met variabele lengte, en kan ook 0 bytes groot zijn. De interpretatie van het data veld is gebaseerd op de waarde van het codeveld.

EAP verstrekt enkele gemeenschappelijke functies en een onderhandelingsmethode voor het gewenste authentificatiemechanisme. Dergelijke mechanismen worden methodes genoemd. EAP beschikt over ongeveer 40 verschillende methodes. De Wi-Fi Protected Access (WPA) en WPA2 standaarden kunnen officieel gebruik maken van vijf verschillende EAP methodes voor het authenticatiemechanisme.

Inhoud 1 EAP-TLS 2 EAP-MD5 3 Request For Comments 4 Zie ook

[bewerk] EAP-TLS

EAP-TLS is een open standaard, gedefinieerd in RFC 2716 van de Internet Engineering Task Force (IETF), en wordt door fabrikanten van draadloze apparatuur goed ondersteund. Het gebruikt de Transport Layer Security (TLS), de opvolger van Secure Sockets Layer (SSL), en wordt in het algemeen als veilig beschouwd. Het maakt gebruik van een Public Key Infrastructure om verbindingen met een RADIUS authenticatie-server te beveiligen.

EAP-TLS is het oorspronkelijke standaard Wireless LAN EAP authenticatieprotocol en maakt gebruik van volgende concepten van PKI:

• De supplicant moet in het bezit zijn van een geldig certificaat om zijn identiteit te bewijzen.
• Een authenticatie-server moet beschikken over een geldig certificaat om zijn identiteit te bewijzen. Deze eis vervalt meestal in het geval van bedrade netwerken omdat hier de identiteit van het netwerk vastgelegd wordt door de bekabeling.
• De benodigde certificate authority-certificaten moeten ter beschikking zijn.

Het opzetten van deze infrastructuur kan een lastige klus zijn en is daarom weinig toegepast hoewel het een hoge standaard van beveiliging biedt. Een kwaadwillende heeft niet alleen een wachtwoord nodig maar ook een certificaat dat bijvoorbeeld op een smartcard is opgeslagen. Verlies van een smartcard zal in het algemeen sneller worden opgemerkt dan 'diefstal' van een wachtwoord. Tot 2005 was dit de enige EAP-soort die een fabrikant moest aanbieden om het WPA of WPA2 logo te mogen gebruiken.

Na de handshake wordt per sessie een willekeurig sleutel gegenereerd die gebruikt wordt voor de versleuteling van de data overdracht. Dit proces wordt op willekeurige tijdstippen herhaald. Een EAP-TLS pakket is als volgt opgebouwd:

• Code. 1 octet. Waarde 1 (request) / 2 (response).
• Identifier. 1 octet. Helpt bij het koppelen van request en responses.
• Length. 2 octets. De lengte van het pakket.
• Type. 1 octet. Waarde 13 //EAP-TLS.
• Data. De rest van het pakket.

Er zijn client en server implementaties voor Microsoft, Cisco, Apple, Linux en in openbroncode. Het wordt standaard ondersteund door Mac OS 10.3 en later, Windows 2000 SP4, Windows XP, Windows Vista, Windows Server 2003, Windows Mobile 2003 en hoger, en Windows CE 4.2

[bewerk] EAP-MD5

EAP-MD5, gedefinieerd in RFC 3748, is ook een IETF open standaard maar biedt minimale beveiliging. De MD5 hashfunctie is kwetsbaar voor woordenlijstaanvallen en biedt geen ondersteuning voor wederkerige authenticatie or sleutel-generatie waardoor het ongeschikt is voor gebruik in een Wired Equivalent Privacy (WEP) of WPA/WPA2 omgeving.

De werking van de authenticatie is analoog met PPP Challenge Handshake Authentication Protocol (CHAP) (RFC 1994) en verloopt als volgt:

1. De authenticatie-server stuurt een zogenaamde challenge message via de authenticator naar de supplicant (clientcomputer).
2. De supplicant berekent een waarde door middel van de hash in combinatie met en geheim (wachtwoord) en stuurt dit als antwoord.
3. De authenticatie-server vergelijkt zijn eigen berekende waarde met de via de authenticator ontvangen waarde. Komen beiden overeen dan wordt de authenticatie bevestigd en wordt de supplicant tot het netwerk toegelaten, zoniet, dan wordt de verbinding verbroken.
4. Op willekeurige tijdstippen wordt een nieuwe challenge gestuurd en herhaalt zich het proces.

De opbouw van een EAP-MD5 pakket is als volgt:

• De eerste drie velden zijn identiek aan die van EAP-TLS
• Type is 4
• Het EAP-TLS veld "data" is hier "Type-Data"
  • Value-Size, 1 octet, geeft de lengte van de inhoud
  • Value. De challenge.
  • Name. Identificatie van de verzendende computer.

[bewerk] Request For Comments

• RFC 3748 - Extensible Authentication Protocol (EAP)
• RFC 2716 - PPP EAP TLS Authentication Protocol
• RFC 1994 - PPP Challenge Handshake Authentication Protocol (CHAP)

[bewerk] Zie ook

PEAP - PAP