怎樣為WLAN選擇最佳EAP

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

在建立企業(yè)WLAN時(shí)，為無線網(wǎng)絡(luò)選擇合適的可擴(kuò)展認(rèn)證協(xié)議（EAP）方式是一項(xiàng)關(guān)鍵的安全決定，并且常常是不容易做出的決定。考慮到一些EAP方式（如LEAP、EAP-MD5）存在固有的安全缺陷，最好不要輕易使用它們，不過要在PEAPv0（保護(hù)性EAP）、PEAPv1、TTLS（隧道傳輸層安全協(xié)議）和EAP/TLS（傳輸層安全協(xié)議）中做出選擇也并非易事。

實(shí)際上，選擇一種EAP的標(biāo)準(zhǔn)常常歸結(jié)于是否支持企業(yè)中已部署的基礎(chǔ)設(shè)施。在對(duì)客戶機(jī)的EAP支持方面，主要客戶機(jī)的操作系統(tǒng)將對(duì)EAP的選擇產(chǎn)生重要影響。Windows XP等客戶機(jī)操作系統(tǒng)內(nèi)置對(duì)PEAP和EAP/TLS的支持，但卻不支持TTLS或EAP-SIM。如果想使用后兩種EAP，可以使用第三方軟件，但這樣做會(huì)令管理員不能發(fā)揮Windows XP的優(yōu)勢(shì)，如組策略控制等。而對(duì)認(rèn)證服務(wù)器的支持來說，并不是所有類型的EAP都支持企業(yè)網(wǎng)絡(luò)中使用的各種認(rèn)證證書。例如，PEAPv0局限在使用MS-CHAPv2認(rèn)證的用戶，而EAP/TLS則依靠客戶端數(shù)字證書進(jìn)行認(rèn)證。TTLS在這方面最為靈活，它允許用戶使用任意數(shù)量的認(rèn)證證書。

哪種EAP方式最適合你的企業(yè)？這還取決于進(jìn)行無線認(rèn)證的主要出發(fā)點(diǎn)。如果安全性是首選因素，那么EAP/TLS是最安全EAP機(jī)制，但它需要為所有最終用戶部署PKI（公共鑰密基礎(chǔ)設(shè)施）。如果你主要考慮靈活性，TTLS可以適應(yīng)幾乎所有的認(rèn)證協(xié)議，包括一次性密碼、基于令牌的認(rèn)證和各種流行的口令認(rèn)證機(jī)制。PEAPv0則是以Windows為中心的網(wǎng)絡(luò)的明智選擇，它內(nèi)置對(duì)客戶機(jī)和Windows Active Directory認(rèn)證源的支持。

謹(jǐn)慎選擇EAP類型是你無線戰(zhàn)略的重要組成部分。同IT業(yè)中的很多決定一樣，你必須根據(jù)自身的需求，在安全性、靈活性和簡(jiǎn)易性之間做出選擇。這個(gè)過程很像是在挑選某種數(shù)字產(chǎn)品，你很清楚不會(huì)買到一件完美的東西，但在令人眼花的柜臺(tái)面前，你卻可以作出一個(gè)完美的選擇，最好的方法就是從需求出發(fā)，從最關(guān)注的功能出發(fā)。實(shí)際上EAP的誕生正是由用戶的實(shí)際安全需求所驅(qū)動(dòng)的，在IEEE 802.1x本身并不提供實(shí)際認(rèn)證機(jī)制的情況下，需要擴(kuò)展認(rèn)證協(xié)議也就是EAP的配合來解決無線局域網(wǎng)用戶的接入認(rèn)證問題。同樣，當(dāng)用戶面對(duì)不同種類的EAP方式時(shí)，最終還是要回到最初的需求角度作出選擇。