Ikhtisar 802.1X dan Jenis EAP

Ikhtisar 802.1X

802.1X adalah protokol akses port untuk melindungi jaringan melalui autentikasi. Akibatnya, jenis metode autentikasi ini sangat berguna di lingkungan Wi-Fi karena sifat media. Jika pengguna Wi-Fi diautentikasi melalui 802.1X untuk akses jaringan, port virtual dibuka di titik akses yang memungkinkan komunikasi. Jika tidak berhasil diotorisasi, port virtual tidak tersedia dan komunikasi diblokir.

Ada tiga potongan dasar untuk autentikasi 802.1X:

1. Pemohon Klien perangkat lunak yang berjalan di stasiun kerja Wi-Fi.
2. Autentikator Titik akses Wi-Fi.
3. Server Autentikasi Database autentikasi, biasanya server radius seperti Cisco ACS*, Funk Steel-Belted RADIUS*, atau Microsoft IAS*.

Extensible Authentication Protocol (EAP) digunakan untuk menyampaikan informasi autentikasi antara pemohon (stasiun kerja Wi-Fi) dan server autentikasi (Microsoft IAS atau lainnya). Jenis EAP sebenarnya menangani dan menentukan autentikasi. Titik akses yang bertindak sebagai autentikator hanya proksi yang memungkinkan pemohon dan server autentikasi untuk berkomunikasi.

Mana yang harus saya gunakan?

Jenis EAP mana yang akan diterapkan, atau apakah akan menerapkan 802.1X sama sekali, tergantung pada tingkat keamanan yang dibutuhkan organisasi, overhead administratif, dan fitur yang diinginkan. Semoga deskripsi di sini dan bagan perbandingan akan memudahkan kesulitan dalam memahami berbagai jenis EAP yang tersedia.

Jenis autentikasi Authentication Protocol (EAP) yang dapat diperluas

Karena keamanan Wi-Fi Local Area Network (WLAN) merupakan hal penting dan jenis autentikasi EAP memberikan cara yang berpotensi lebih baik untuk mengamankan koneksi WLAN, vendor secara cepat mengembangkan dan menambahkan jenis autentikasi EAP ke titik akses WLAN mereka. Beberapa jenis autentikasi EAP yang paling umum diterapkan termasuk EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast, dan Cisco LEAP.

• EAP-MD-5 (Message Digest) Challenge adalah jenis autentikasi EAP yang menyediakan dukungan EAP tingkat dasar. EAP-MD-5 biasanya tidak disarankan untuk implementasi LAN Wi-Fi karena memungkinkan kata sandi pengguna berasal. Ini hanya menyediakan autentikasi satu arah - tidak ada autentikasi bersama klien Wi-Fi dan jaringan. Dan sangat penting, hal ini tidak memberikan cara untuk memperoleh kunci privasi yang dinamis per sesi yang setara dengan kabel (WEP).
• EAP-TLS (Transport Layer Security) memberikan autentikasi bersama klien berbasis sertifikat dan bersama serta jaringan. Hal ini mengandalkan sertifikat sisi klien dan sisi server untuk melakukan autentikasi dan dapat digunakan untuk menghasilkan kunci WEP berbasis pengguna dan berbasis sesi secara dinamis untuk mengamankan komunikasi selanjutnya antara klien WLAN dan titik akses. Satu kelemahan dari EAP-TLS adalah sertifikat harus dikelola baik di sisi klien maupun server. Untuk instalasi WLAN yang besar, ini bisa menjadi tugas yang sangat rumit.
• EAP-TTLS (Tunneled Transport Layer Security) dikembangkan oleh Funk Software* dan Certicom*, sebagai perpanjangan dari EAP-TLS. Metode keamanan ini memberikan autentikasi bersama klien dan jaringan berbasis sertifikat melalui saluran terenkripsi (atau terowongan), serta sarana untuk memperoleh kunci WEP yang dinamis, per pengguna, per sesi. Tidak seperti EAP-TLS, EAP-TTLS hanya memerlukan sertifikat sisi server.
• EAP-FAST (Flexible Authentication via Secure Tunneling) dikembangkan oleh Cisco*. Alih-alih menggunakan sertifikat untuk mencapai autentikasi bersama. EAP-FAST mengautentikasi melalui PAC (Protected Access Credential) yang dapat dikelola secara dinamis oleh server autentikasi. PAC dapat disediakan (didistribusikan satu kali) ke klien baik secara manual atau otomatis. Penyediaan manual dikirimkan ke klien melalui disk atau metode distribusi jaringan yang aman. Provisi otomatis adalah in-band, di udara, distribusi.
• Metode Protokol Autentikasi yang Dapat Diperluas untuk GSM Subscriber Identity (EAP-SIM) adalah mekanisme untuk autentikasi dan distribusi kunci sesi. Ini menggunakan Sistem Global untuk Modul Identitas Pelanggan (SIM) Mobile Communications (GSM). EAP-SIM menggunakan kunci WEP berbasis sesi dinamis, yang berasal dari adaptor klien dan server RADIUS, untuk mengenkripsi data. EAP-SIM mengharuskan Anda untuk memasukkan kode verifikasi pengguna, atau PIN, untuk komunikasi dengan kartu Subscriber Identity Module (SIM). Kartu SIM adalah kartu pintar khusus yang digunakan oleh Jaringan seluler digital berbasis Sistem Global untuk Komunikasi Mobile (GSM).
• EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) adalah mekanisme EAP untuk autentikasi dan distribusi kunci sesi, menggunakan Universal Mobile Telecommunications System (UMTS) Subscriber Identity Module (USIM). Kartu USIM adalah kartu pintar khusus yang digunakan dengan jaringan seluler untuk memvalidasi pengguna tertentu dengan jaringan.
• LEAP (Lightweight Extensible Authentication Protocol), adalah jenis autentikasi EAP yang digunakan terutama di Cisco Aironet* WLANs. Teknologi ini mengenkripsi transmisi data menggunakan kunci WEP yang dihasilkan secara dinamis, dan mendukung autentikasi bersama. Cisco telah melisensi LEAP ke berbagai produsen lain melalui program Ekstensi Kompatibel Cisco mereka.
• PEAP (Protected Extensible Authentication Protocol) memberikan metode untuk memindahkan data autentikasi dengan aman, termasuk protokol berbasis kata sandi lama, melalui jaringan Wi-Fi 802.11. PEAP menyelesaikan ini dengan menggunakan tunneling antara klien PEAP dan server autentikasi. Seperti Tunneled Transport Layer Security (TTLS) standar yang bersaing, PEAP mengautentikasi klien LAN Wi-Fi hanya menggunakan sertifikat sisi server, sehingga menyederhanakan implementasi dan administrasi LAN Wi-Fi yang aman. Microsoft, Cisco, dan RSA Security mengembangkan PEAP.

Tinjauan diskusi dan tabel di atas biasanya memberikan kesimpulan berikut:

• MD5 biasanya tidak digunakan karena hanya melakukan autentikasi satu arah, dan mungkin bahkan lebih penting lagi tidak mendukung distribusi otomatis dan rotasi kunci WEP sehingga tidak ada guna mengurangi beban administratif pemeliharaan kunci WEP manual.
• TLS, meskipun sangat aman, mengharuskan sertifikat klien untuk diinstal pada setiap stasiun kerja Wi-Fi. Pemeliharaan infrastruktur PKI memerlukan keahlian administratif tambahan dan waktu selain mempertahankan WLAN itu sendiri.
• TTLS mengatasi masalah sertifikat dengan membuat tunneling TLS, sehingga menghilangkan kebutuhan sertifikat di sisi klien. Menjadikannya pilihan yang sering disukai. Funk Software* adalah promotor utama TTLS, dan ada biaya untuk pemohon dan perangkat lunak server autentikasi.
• LEAP memiliki sejarah terpanjang, dan sementara sebelumnya pemilik Cisco (hanya bekerja dengan adaptor Cisco Wi-Fi), Cisco telah melisensi LEAP ke berbagai produsen lain melalui program Ekstensi Kompatibel Cisco mereka. Kebijakan kata sandi yang kuat harus ditegakkan ketika LEAP digunakan untuk autentikasi.
• EAP-FAST kini tersedia untuk perusahaan yang tidak dapat menegakkan kebijakan kata sandi yang kuat dan tidak ingin menerapkan sertifikat untuk autentikasi.
• PEAP yang lebih baru berfungsi mirip dengan EAP-TTLS karena tidak memerlukan sertifikat di sisi klien. PEAP didukung oleh Cisco dan Microsoft dan tersedia tanpa biaya tambahan dari Microsoft. Jika ingin bertransisi dari LEAP ke PEAP, server autentikasi ACS Cisco akan menjalankan keduanya.

Opsi lainnya adalah VPN

Alih-alih mengandalkan LAN Wi-Fi untuk autentikasi dan privasi (enkripsi), banyak perusahaan menerapkan VPN. Ini dilakukan dengan menempatkan titik akses di luar firewall perusahaan dan membuat terowongan pengguna melalui VPN Gateway - sama seperti pengguna jarak jauh. Kelemahan penerapan solusi VPN adalah biaya, kompleksitas instalasi awal, dan overhead administrasi yang sedang berlangsung.