Architettura EAP
L’architettura IEEE 802,1X stabilisce la necessità di adottare EAP come soluzione generale per l’autenticazione, ma non definisce in maniera vincolante quale soluzione di autenticazione deve essere implementata per verificare le credenziali utente.
A seconda degli scenari di servizio e delle diverse esigenze di sicurezza, la realizzazione di una infrastruttura di rete può essere fondata su un controllo accessi basato sull’esibizione di una semplice password, su l’uso di certificati digitali o meccanismi di autenticazione basati su token o SIM telefoniche.
Il protocollo EAP è un’architettura aperta, i metodi di autenticazione disponibili al momento sono già numerosi.
Quelli maggiormente diffusi sono riportati di seguito.
- EAP-MD5 (definito in RFC 3748);
- LEAP (Lightweight Extensible Authentication Protocol) – metodo proprietario supportato dalla Cisco System;
- EAP-PSK (Pre-shared Key EAP, definito in RFC 4764);
- EAP-TLS (Transport Layer Security EAP, definito in RFC 2716);
- EAP-TTLS (Tunneled TLS EAP);
- PEAP (Protected EAP) – proposto come standard aperto da Cisco Systems, Microsoft e RSA Security;
- EAP-FAST (Flexible Authentication via Secure Tunneling) – proposto da Cisco per eliminare le debolezze riscontrate nel metodo LEAP;
- EAP-IKEv2 (basato su metodo di autenticazione integrato nel Internet Key Exchange Protocol versione 2);
- EAP-SIM (basato sullo stesso metodo di autenticazione usato per identificare utenti della rete GSM) (definito in RFC 4186);
- EAP-AKA (Authentication and Key Agreement, basato sullo stesso metodo di autenticazione usato per identificare utenti della rete UMTS) (Definito in RFC 4187).
L’architettura EAP è flessibile e non può essere escluso che il numero di metodi a disposizione di utenti e amministratori di rete possa aumentare considerevolmente nel prossimo futuro.
