怎样为WLAN选择最佳的EAP?

互联网 | 编辑: 吴杰平 2006-08-01 12:00:00转载

在建立企业WLAN时,为无线网络选择合适的可扩展认证协议(EAP)方式是一项关键的安全决定,并且常常是不容易做出的决定。考虑到一些EAP方式(如LEAP、EAP-MD5)存在固有的安全缺陷,最好不要轻易使用它们,不过要在PEAPv0(保护性EAP)、PEAPv1、TTLS(隧道传输层安全协议)和EAP/TLS(传输层安全协议)中做出选择也并非易事。

实际上,选择一种EAP的标准常常归结于是否支持企业中已部署的基础设施。在对客户机的EAP支持方面,主要客户机的操作系统将对EAP的选择产生重要影响。Windows XP等客户机操作系统内置对PEAP和EAP/TLS的支持,但却不支持TTLS或EAP-SIM。如果想使用后两种EAP,可以使用第三方软件,但这样做会令管理员不能发挥Windows XP的优势,如组策略控制等。而对认证服务器的支持来说,并不是所有类型的EAP都支持企业网络中使用的各种认证证书。例如,PEAPv0局限在使用MS-CHAPv2认证的用户,而EAP/TLS则依靠客户端数字证书进行认证。TTLS在这方面最为灵活,它允许用户使用任意数量的认证证书。

哪种EAP方式最适合你的企业?这还取决于进行无线认证的主要出发点。如果安全性是首选因素,那么EAP/TLS是最安全EAP机制,但它需要为所有最终用户部署PKI(公共钥密基础设施)。如果你主要考虑灵活性,TTLS可以适应几乎所有的认证协议,包括一次性密码、基于令牌的认证和各种流行的口令认证机制。PEAPv0则是以Windows为中心的网络的明智选择,它内置对客户机和Windows Active Directory认证源的支持。

谨慎选择EAP类型是你无线战略的重要组成部分。同IT业中的很多决定一样,你必须根据自身的需求,在安全性、灵活性和简易性之间做出选择。这个过程很像是在挑选某种数字产品,你很清楚不会买到一件完美的东西,但在令人眼花的柜台面前,你却可以作出一个完美的选择,最好的方法就是从需求出发,从最关注的功能出发。实际上EAP的诞生正是由用户的实际安全需求所驱动的,在IEEE 802.1x本身并不提供实际认证机制的情况下,需要扩展认证协议也就是EAP的配合来解决无线局域网用户的接入认证问题。同样,当用户面对不同种类的EAP方式时,最终还是要回到最初的需求角度作出选择。


几种EAP方式的特点对照表

EAP方式

Windows XP操作系统

认证

特性

PEAPv0

支持

MS-CHAPv2认证

适合Windows为中心的网络

TTLS

不支持

任意的认证证书

灵活性高

EAP/TLS

支持

客户端数字证书

安全性高

 


相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑