EAP

Dit artikel is qua opmaak nog niet in overeenstemming met de conventies van Wikipedia. U wordt uitgenodigd deze pagina aan te passen.

---

Inhoud 1 Ontstaan 2 Wat 3 EAP authenticatie proces 4 Formaat EAP-pakketten 4.1 Algemeen 4.2 Formaat Request en Response pakketten 4.3 Formaat Succes en Failure pakketten 5 EAP-infrastructuur 5.1 EAP-MD5 5.2 EAP-TLS 5.3 EAP-RADIUS

[bewerk] Ontstaan

Om toegang te krijgen tot het internet zullen de meeste gebruikers d.m.v. een modem inbellen bij hun ISP. Hiervoor wordt gebruik gemaakt van het PPP2-protocol. Dit protocol kent 2 authenticatie methoden, n.l. PAP en CHAP. In het geval van PAP wordt een wachtwoord in clear-text over de verbinding gestuurd. In het geval van CHAP wordt gewerkt met challenge-response mechanisme, maar ook dit wordt niet als zeer veilig beschouwd. Het uitbreiden van het PPP-protocol met andere authenticatie mechanismen was echter onmogelijk daar dit een probleem schepte voor de op dat moment in gebruik zijnde “PPP compliant” apparatuur.

Een 2e probleem dat zich stelt bij het inbellen is het authenticeren bij een centrale server ingeval de ISP werkt met meerdere POPs. Hier wordt meestal gebruik gemaakt van het RADIUS-protocol. Daarom heeft men naast PAP en CHAP (toegepast in PPP) EAP toegevoegd. EAP staat voor Extensible Authentication Protocol, waarbij extensible verwijst naar de mogelijkheid om in de toekomst andere authenticatie methoden toe te voegen.

Tevens heeft men de nodige voorzieningen getroffen opdat EAP ook samen met RADIUS kan worden gebruikt.

[bewerk] Wat

EAP voorziet in een standaard mechanisme dat verschillende authenticatie methoden ondersteund, zowel voor bedrade als draadloze netwerken. Een authenticator (ook wel AAA-client (Authenticatie, Autorisatie en Accounting) , peer of NAS (Network Acces Server) genoemd) zal de authenticatie-boodschappen tussen de supplicant (of te authenticeren peer) en de authentication server (of AAA-server) doorgeven (tunneling). De authenticator zal dus enkel bij het starten en stoppen van het EAP authenticatie proces actief tussen komen, voor de rest van de tijd worden de boodschappen gewoon doorgeven. Daar EAP van oorsprong niet bedoeld was om over een LAN te gebruiken zullen we de EAP-pakketten moet versturen onder de vorm van data van een ander protocol. Voor de verbinding supplicant/authenticator zullen we gebruik maken van EAP over Lan (EAPOL), voor de verbinding authenticator/autentication server van EAP over RADIUS.

[bewerk] EAP authenticatie proces

Als een supplicant een verbinding met het bedrijfsnetwerk wenst te bekomen via de authenticator, dan zal hij als hij al niet is opgemerkt door de authenticator, bijv. door het inpluggen van de netwerkkabel, de aandacht trekken door het sturen van een EAPOL-Start boodschap (zie verder). Hierop zal de authenticator de identiteit van de supplicant opvragen. Afhankelijk van de gebruikte authenicatie methode zal de supplicant hierop antwoorden met een login naam, een MAC-adres, een certificaat, ... . De authenticator zal deze identiteit doorsturen naar de authentication server waarna afhankelijk van de gebruikte authenticatie methode wachtwoorden, certificaten, ... worden opgevraagd en gecontroleerd. Wordt de identiteit door de authentication server bevestigd dan wordt de authenticatie-procedure beeindigd met een EAP-succes boodschap naar authenticator, die deze op zijn beurt doorstuurt naar de supplicant. De authenticator zal ook zorgen dat de supplicant toegang krijgt tot het netwerk. Wordt de toegang geweigerd, dan wordt een EAP-failure gestuurd.

[bewerk] Formaat EAP-pakketten

[bewerk] Algemeen

   0                   1                   2                   3
   0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  |     Code      |  Identifier   |            Length             |
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  |    Data ...
  +-+-+-+-+

• Code: Het type van EAP-boodschap:
  • 1: Request
  • 2: Response
  • 3: Success
  • 4: Failure
• Identifier: Wordt gebruik voor het koppelen request/response pakketten.
• Length: Totale lengte van het pakket.
• Data: Afhankelijk van het code veld.

[bewerk] Formaat Request en Response pakketten

   0                   1                   2                   3
   0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  |     Code      |  Identifier   |            Length             |
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  |     Type      |  Type-Data ...
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

• Code:
  • 1 for Request
  • 2 for Response
• Type: Types 1-4 moet altijd geïmplementeerd worden.
  • 1: Identity
  • 2: Notification
  • 3: Nak (Response only)
  • 4: MD5-Challenge
  • 5: One Time Password (OTP)
  • 6: Generic Token Card (GTC)
  • 13: TLS
  • 254: Expanded Types
  • 255: Experimental use
• Type-Data: Data afhankelijk van het type

[bewerk] Formaat Succes en Failure pakketten

   0                   1                   2                   3
   0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  |     Code      |  Identifier   |            Length             |
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

• Code:
  • 3 for Success
  • 4 for Failure

[bewerk] EAP-infrastructuur

EAP bestaat uit een reeks interne onderdelen die architectonische ondersteuning voor de EAP-typen bieden in de vorm van een module. Voor een succesvolle verificatie moet bij de RAS-client en de verificator dezelfde EAP-verificatiemodule zijn geïnstalleerd. Hieronder enkele voorbeelden van EAP-typen.

[bewerk] EAP-MD5

EAP-MD5 is een vereist EAP-type dat hetzelfde controlehandshakeprotocol gebruikt als het op PPP gebaseerde CHAP, maar de controles en reacties worden als EAP-berichten verzonden.

[bewerk] EAP-TLS

EAP-TLS (EAP-Transport Level Security) maakt gebruik van volgende concepten van PKI (Private Key Infrastructure):

• De supplicant moet in het bezit zijn van een geldig certificaat om zijn identiteit te bewijzen.
• Een authentication server moet beschikken over een geldig certificaat om zijn identiteit te bewijzen. Deze eis vervalt meestal in het geval van bedrade netwerken omdat hier de identiteit van het netwerk vastgelegd wordt door de bekabeling.
• De benodigde CA-certificaten (Certificate Authority) moeten ter beschikking zijn.

EAP-TLS maakt gebruik van het TLS-protocol (RFC2246) (dat de IETF versie is van het Secure Socket Layer protocol 3.0 (SSL)). TLS laat toe certificaten te gebruiken om zowel gebruiker als server te authenticeren en dynamisch sessie sleutels te generen, zoals vereist bij WLAN.

[bewerk] EAP-RADIUS

EAP-RADIUS zal ons toelaten om een radius-server te gebruiken voor authenticatie.

RADIUS werd oorspronkelijk gebruikt om dialin gebruikers te authenticeren. De NAS communiceert hiertoe d.m.v. het radius-protocol met de radius-server die een database van toe te laten gebruikers bevat. Het radius-protocol voorziet o.a. in encryptie voor eventueel over te zenden wachtwoorden. Hiervoor maakt het gebruik van een gedeelde sleutel. EAP berichten kunnen worden doorgegeven d.m.v. RADIUS zodat EAP ook gebruikt kan maken van Radius-server.