Ikhtisar 802.1X dan Jenis EAP
Catatan | Data ini tidak dimaksudkan untuk pengguna rumah atau kantor kecil yang biasanya tidak menggunakan fitur keamanan tingkat lanjut seperti yang dibahas dalam halaman ini. Namun, pengguna ini mungkin menemukan topik yang menarik untuk tujuan informasi. |
Ikhtisar 802.1X
802.1X adalah protokol akses port untuk melindungi jaringan melalui autentikasi. Akibatnya, metode autentikasi semacam ini sangat berguna di lingkungan Wi-Fi karena sifat medianya. Jika pengguna Wi-Fi diautentikasi melalui 802.1X untuk akses jaringan, port virtual dibuka pada titik akses yang memungkinkan komunikasi. Jika tidak berhasil diotorisasi, port virtual tidak tersedia dan komunikasi diblokir.
Ada tiga bagian dasar untuk autentikasi 802.1X:
- Lebih Baik Klien perangkat lunak yang berjalan di stasiun kerja Wi-Fi.
- Autentikator Titik akses Wi-Fi.
- Server Autentikasi Basis data autentikasi, biasanya server jari-jari seperti Cisco ACS*, Funk Steel-Belted RADIUS*, atau Microsoft IAS*.
Extensible Authentication Protocol (EAP) digunakan untuk menyampaikan informasi autentikasi antara stasiun kerja Wi-Fi (workstation Wi-Fi) dan server autentikasi (Microsoft IAS atau lainnya). Jenis EAP sebenarnya menangani dan menentukan autentikasi. Titik akses yang bertindak sebagai authenticator hanyalah proksi untuk memungkinkan server autentikasi dan patuh berkomunikasi.
Mana yang harus saya gunakan?
Jenis EAP yang akan diterapkan, atau apakah akan mengimplementasikan 802.1X sama sekali, tergantung pada tingkat keamanan yang dibutuhkan organisasi, overhead administratif, dan fitur yang diinginkan. Mudah-mudahan deskripsi di sini dan bagan perbandingan akan mengurangi kesulitan dalam memahami berbagai jenis EAP yang tersedia.
Jenis autentikasi Extensible Authentication Protocol (EAP)
Karena keamanan Wi-Fi Local Area Network (WLAN) sangat penting dan jenis autentikasi EAP menyediakan sarana yang berpotensi lebih baik untuk mengamankan koneksi WLAN, vendor dengan cepat mengembangkan dan menambahkan jenis autentikasi EAP ke titik akses WLAN mereka. Beberapa jenis autentikasi EAP yang paling umum diterapkan meliputi EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast, dan Cisco LEAP.
- EAP-MD-5 (Message Digest) Challenge adalah jenis autentikasi EAP yang menyediakan dukungan EAP tingkat dasar. EAP-MD-5 biasanya tidak disarankan untuk implementasi LAN Wi-Fi karena mungkin memungkinkan kata sandi pengguna diturunkan. Ini hanya menyediakan autentikasi satu arah - tidak ada autentikasi bersama dari klien Wi-Fi dan jaringan. Dan yang sangat penting tidak menyediakan sarana untuk mendapatkan kunci privasi berkabel (WEP) yang dinamis per sesi.
- EAP-TLS (Transport Layer Security) menyediakan otentikasi berbasis sertifikat dan saling autentikasi klien dan jaringan. Hal ini bergantung pada sisi klien dan sertifikat sisi server untuk melakukan autentikasi dan dapat digunakan secara dinamis menghasilkan kunci WEP berbasis pengguna dan berbasis sesi untuk mengamankan komunikasi berikutnya antara klien WLAN dan titik akses. Salah satu kekurangan EAP-TLS adalah sertifikat harus dikelola pada sisi klien dan server. Untuk instalasi WLAN besar, ini bisa menjadi tugas yang sangat rumit.
- EAP-TTLS (Tunneled Transport Layer Security) dikembangkan oleh Funk Software* dan Certicom*, sebagai ekstensi dari EAP-TLS. Metode keamanan ini menyediakan otentikasi bersama klien dan jaringan berbasis sertifikat melalui kanal terenkripsi (atau terowongan), serta sarana untuk memperoleh kunci WEP per sesi per pengguna yang dinamis. Tidak seperti EAP-TLS, EAP-TTLS hanya memerlukan sertifikat sisi server.
- EAP-FAST (Flexible Authentication via Secure Tunneling) dikembangkan oleh Cisco*. Alih-alih menggunakan sertifikat untuk mencapai autentikasi bersama. EAP-FAST mengotentikasi dengan cara PAC (Protected Access Credential) yang dapat dikelola secara dinamis oleh server autentikasi. PAC dapat disediakan (dibagikan satu kali) kepada klien baik secara manual atau otomatis. Penyediaan manual adalah pengiriman ke klien melalui diska atau metode distribusi jaringan yang aman. Penyediaan otomatis adalah in-band, melalui udara, distribusi.
- Metode Extensible Authentication Protocol untuk GSM Subscriber Identity (EAP-SIM) adalah mekanisme untuk autentikasi dan distribusi kunci sesi. Sistem Ini menggunakan Modul Identitas Pelanggan (SIM) Sistem Global untuk Komunikasi Seluler (GSM). EAP-SIM menggunakan kunci WEP berbasis sesi dinamis, yang berasal dari adaptor klien dan server RADIUS, untuk mengenkripsi data. EAP-SIM mengharuskan Anda memasukkan kode verifikasi pengguna, atau PIN, untuk komunikasi dengan kartu Subscriber Identity Module (SIM). Kartu SIM adalah kartu pintar khusus yang digunakan oleh jaringan seluler digital berbasis Sistem Global untuk Komunikasi Mobile (GSM).
- EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) adalah mekanisme EAP untuk autentikasi dan distribusi kunci sesi, menggunakan Modul Identitas Pelanggan Sistem Telekomunikasi Mobile (UMTS) Universal (USIM). Kartu USIM adalah kartu pintar khusus yang digunakan dengan jaringan seluler untuk memvalidasi pengguna tertentu dengan jaringan.
- LEAP (Lightweight Extensible Authentication Protocol), adalah jenis autentikasi EAP yang digunakan terutama pada Cisco Aironet* WLANs. Teknologi ini mengenkripsi transmisi data menggunakan kunci WEP yang dihasilkan secara dinamis, dan mendukung autentikasi bersama. Untuk itu, Cisco telah menglisensikan LEAP ke berbagai produsen lain melalui program Cisco Compatible Extensions.
- PEAP (Protected Extensible Authentication Protocol) menyediakan metode untuk memindahkan data autentikasi secara aman, termasuk protokol berbasis kata sandi lama, melalui jaringan Wi-Fi 802.11. PEAP melakukannya dengan menggunakan tunneling antara klien PEAP dan server autentikasi. Seperti Tunneled Transport Layer Security (TTLS) standar yang bersaing, PEAP mengautentikasi klien LAN Wi-Fi hanya menggunakan sertifikat sisi server, sehingga menyederhanakan implementasi dan administrasi LAN Wi-Fi yang aman. Microsoft, Cisco, dan RSA Security mengembangkan PEAP.
Jenis EAP 802.1X Fitur/Manfaat | Md5 (Di dekat Esa --- Ringkasan Pesan 5 | Tls --- Keamanan Tingkat Transportasi | TTLS (Di dekat TTLS) --- Keamanan Tingkat Transportasi terob tunnel | PEAP (Di dekat Peap) --- Keamanan Tingkat Transportasi yang Dilindungi | Cepat | Lompatan --- Protokol Autentikasi Extensible Ringan |
Sertifikat sisi klien wajib diisi | Tidak | Ya | Tidak | Tidak | Tidak (PAC) | Tidak |
Sertifikat sisi server wajib diisi | Tidak | Ya | Ya | Ya | Tidak (PAC) | Tidak |
Manajemen utama WEP | Tidak | Ya | Ya | Ya | Ya | Ya |
Deteksi AP rogue | Tidak | Tidak | Tidak | Tidak | Ya | Ya |
Penyedia | Ms | Ms | Funk | Ms | Cisco | Cisco |
Atribut Otentikasi | Salah satu cara | Saling | Saling | Saling | Saling | Saling |
Kesulitan Penerapan | Mudah | Sulit (karena penerapan sertifikat klien) | Moderat | Moderat | Moderat | Moderat |
Keamanan Wi-Fi | Miskin | Sangat Tinggi | Tinggi | Tinggi | Tinggi | Tinggi saat kata sandi yang kuat digunakan. |
Tinjauan diskusi dan tabel di atas biasanya memberikan kesimpulan berikut:
- MD5 biasanya tidak digunakan karena hanya melakukan autentikasi satu arah, dan mungkin lebih penting lagi tidak mendukung distribusi otomatis dan perputaran kunci WEP sehingga tidak ada yang dapat mengurangi beban administratif pemeliharaan kunci WEP manual.
- TLS, sekaligus sangat aman, mengharuskan sertifikat klien untuk diinstal pada setiap stasiun kerja Wi-Fi. Pemeliharaan infrastruktur PKI memerlukan keahlian dan waktu administratif tambahan selain mempertahankan WLAN itu sendiri.
- TTLS mengatasi masalah sertifikat dengan melakukan tunneling TLS, sehingga tidak memerlukan sertifikat di sisi klien. Menjadikannya pilihan yang sering dipilih. Funk Software* adalah promotor utama TTLS, dan ada biaya untuk perangkat lunak server yang mudah digunakan dan autentikasi.
- LEAP memiliki sejarah terpanjang, dan sementara sebelumnya hak milik Cisco (hanya bekerja dengan adaptor Cisco Wi-Fi), Cisco telah menglisensikan LEAP ke berbagai produsen lain melalui program Cisco Compatible Extensions. Kebijakan kata sandi yang kuat harus diterapkan ketika LEAP digunakan untuk autentikasi.
- EAP-FAST kini tersedia untuk perusahaan yang tidak dapat menegakkan kebijakan kata sandi yang kuat dan tidak ingin menerapkan sertifikat untuk autentikasi.
- PEAP terbaru bekerja mirip dengan EAP-TTLS di dalamnya tidak memerlukan sertifikat di sisi klien. PEAP didukung oleh Cisco dan Microsoft dan tersedia tanpa biaya tambahan dari Microsoft. Jika ingin transisi dari LEAP ke PEAP, server autentikasi ACS Cisco akan menjalankan keduanya.
Opsi lain adalah VPN
Alih-alih mengandalkan LAN Wi-Fi untuk autentikasi dan privasi (enkripsi), banyak perusahaan menerapkan VPN. Hal ini dilakukan dengan menempatkan titik akses di luar api api perusahaan dan terowongan pengguna masuk melalui Gateway VPN - sama seperti pengguna jarak jauh. Kelemahan penerapan solusi VPN adalah biaya, kompleksitas instalasi awal, dan overhead administrasi yang sedang berlangsung.