怎樣為WLAN選擇最佳EAP

文章來源：泛普軟件

在建立企業(yè)WLAN時，為無線網絡選擇合適的可擴展認證協(xié)議（EAP）方式是一項關鍵的安全決定，并且常常是不容易做出的決定?？紤]到一些EAP方式（如LEAP、EAP-MD5）存在固有的安全缺陷，最好不要輕易使用它們，不過要在PEAPv0（保護性EAP）、PEAPv1、TTLS（隧道傳輸層安全協(xié)議）和EAP/TLS（傳輸層安全協(xié)議）中做出選擇也并非易事。

實際上，選擇一種EAP的標準常常歸結于是否支持企業(yè)中已部署的基礎設施。在對客戶機的EAP支持方面，主要客戶機的操作系統(tǒng)將對EAP的選擇產生重要影響。Windows XP等客戶機操作系統(tǒng)內置對PEAP和EAP/TLS的支持，但卻不支持TTLS或EAP-SIM。如果想使用后兩種EAP，可以使用第三方軟件，但這樣做會令管理員不能發(fā)揮Windows XP的優(yōu)勢，如組策略控制等。而對認證服務器的支持來說，并不是所有類型的EAP都支持企業(yè)網絡中使用的各種認證證書。例如，PEAPv0局限在使用MS-CHAPv2認證的用戶，而EAP/TLS則依靠客戶端數字證書進行認證。TTLS在這方面最為靈活，它允許用戶使用任意數量的認證證書。

哪種EAP方式最適合你的企業(yè)？這還取決于進行無線認證的主要出發(fā)點。如果安全性是首選因素，那么EAP/TLS是最安全EAP機制，但它需要為所有最終用戶部署PKI（公共鑰密基礎設施）。如果你主要考慮靈活性，TTLS可以適應幾乎所有的認證協(xié)議，包括一次性密碼、基于令牌的認證和各種流行的口令認證機制。PEAPv0則是以Windows為中心的網絡的明智選擇，它內置對客戶機和Windows Active Directory認證源的支持。

謹慎選擇EAP類型是你無線戰(zhàn)略的重要組成部分。同IT業(yè)中的很多決定一樣，你必須根據自身的需求，在安全性、靈活性和簡易性之間做出選擇。這個過程很像是在挑選某種數字產品，你很清楚不會買到一件完美的東西，但在令人眼花的柜臺面前，你卻可以作出一個完美的選擇，最好的方法就是從需求出發(fā)，從最關注的功能出發(fā)。實際上EAP的誕生正是由用戶的實際安全需求所驅動的，在IEEE 802.1x本身并不提供實際認證機制的情況下，需要擴展認證協(xié)議也就是EAP的配合來解決無線局域網用戶的接入認證問題。同樣，當用戶面對不同種類的EAP方式時，最終還是要回到最初的需求角度作出選擇。