怎樣為WLAN選擇最佳EAP

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

在建立企業(yè)WLAN時(shí)，為無(wú)線(xiàn)網(wǎng)絡(luò)選擇合適的可擴(kuò)展認(rèn)證協(xié)議（EAP）方式是一項(xiàng)關(guān)鍵的安全決定，并且常常是不容易做出的決定?？紤]到一些EAP方式（如LEAP、EAP-MD5）存在固有的安全缺陷，最好不要輕易使用它們，不過(guò)要在PEAPv0（保護(hù)性EAP）、PEAPv1、TTLS（隧道傳輸層安全協(xié)議）和EAP/TLS（傳輸層安全協(xié)議）中做出選擇也并非易事。

實(shí)際上，選擇一種EAP的標(biāo)準(zhǔn)常常歸結(jié)于是否支持企業(yè)中已部署的基礎(chǔ)設(shè)施。在對(duì)客戶(hù)機(jī)的EAP支持方面，主要客戶(hù)機(jī)的操作系統(tǒng)將對(duì)EAP的選擇產(chǎn)生重要影響。Windows XP等客戶(hù)機(jī)操作系統(tǒng)內(nèi)置對(duì)PEAP和EAP/TLS的支持，但卻不支持TTLS或EAP-SIM。如果想使用后兩種EAP，可以使用第三方軟件，但這樣做會(huì)令管理員不能發(fā)揮Windows XP的優(yōu)勢(shì)，如組策略控制等。而對(duì)認(rèn)證服務(wù)器的支持來(lái)說(shuō)，并不是所有類(lèi)型的EAP都支持企業(yè)網(wǎng)絡(luò)中使用的各種認(rèn)證證書(shū)。例如，PEAPv0局限在使用MS-CHAPv2認(rèn)證的用戶(hù)，而EAP/TLS則依靠客戶(hù)端數(shù)字證書(shū)進(jìn)行認(rèn)證。TTLS在這方面最為靈活，它允許用戶(hù)使用任意數(shù)量的認(rèn)證證書(shū)。

哪種EAP方式最適合你的企業(yè)？這還取決于進(jìn)行無(wú)線(xiàn)認(rèn)證的主要出發(fā)點(diǎn)。如果安全性是首選因素，那么EAP/TLS是最安全EAP機(jī)制，但它需要為所有最終用戶(hù)部署PKI（公共鑰密基礎(chǔ)設(shè)施）。如果你主要考慮靈活性，TTLS可以適應(yīng)幾乎所有的認(rèn)證協(xié)議，包括一次性密碼、基于令牌的認(rèn)證和各種流行的口令認(rèn)證機(jī)制。PEAPv0則是以Windows為中心的網(wǎng)絡(luò)的明智選擇，它內(nèi)置對(duì)客戶(hù)機(jī)和Windows Active Directory認(rèn)證源的支持。

謹(jǐn)慎選擇EAP類(lèi)型是你無(wú)線(xiàn)戰(zhàn)略的重要組成部分。同IT業(yè)中的很多決定一樣，你必須根據(jù)自身的需求，在安全性、靈活性和簡(jiǎn)易性之間做出選擇。這個(gè)過(guò)程很像是在挑選某種數(shù)字產(chǎn)品，你很清楚不會(huì)買(mǎi)到一件完美的東西，但在令人眼花的柜臺(tái)面前，你卻可以作出一個(gè)完美的選擇，最好的方法就是從需求出發(fā)，從最關(guān)注的功能出發(fā)。實(shí)際上EAP的誕生正是由用戶(hù)的實(shí)際安全需求所驅(qū)動(dòng)的，在IEEE 802.1x本身并不提供實(shí)際認(rèn)證機(jī)制的情況下，需要擴(kuò)展認(rèn)證協(xié)議也就是EAP的配合來(lái)解決無(wú)線(xiàn)局域網(wǎng)用戶(hù)的接入認(rèn)證問(wèn)題。同樣，當(dāng)用戶(hù)面對(duì)不同種類(lèi)的EAP方式時(shí)，最終還是要回到最初的需求角度作出選擇。