Серверы radius
Серверы
RADIUS различаются главным образом набором
поддерживаемых операционных систем,
методов аутентификации (с применением
EAP) и серверных баз данных, содержащих
информацию о пользователях. Как
выяснилось, не существует сервера
RADIUS, способного без дополнительной
настройки поддерживать любую комбинацию
продуктов перечисленных категорий.
Разносторонняя
техническая поддержка Funk и Hewlett-Packard
позволяет реализовать на серверах этих
компаний некоторые функции, до которых
обычный пользователь, читающий стандартную
документацию, просто никогда не доберется.
Вместе с тем исследование самых
разнообразных сочетаний методов
аутентификации, то есть намеренного
создания для серверов такой уровень
нагрузки, который вряд ли встречается
в обычных условиях. Как правило, в
корпоративной беспроводной сети
используется один, от силы два метода
аутентификации, что существенно упрощает
процесс проектирования и развертывания
средств поддержки стандарта 802.1x.
При
выборе сервера аутентификации стоит
получить от производителей самую свежую
информацию о возможностях предлагаемых
ими продуктов, поскольку сегодня они
развиваются гораздо динамичнее остальных
компонентов, формирующих инфраструктуру
802.1x в беспроводной сети.
Сравнение различных протоколов
Возможности
протоколов шифрования, используемых
в беспроводных сетях |
Протокол |
Open
System |
Shared
Key |
WPA-PSK |
WPA-EAP |
WPA2-PSK |
WPA2-EAP |
Алгоритм
шифрования |
RC4 |
RC4 |
RC4 |
RC4 |
AES
(CTR) |
AES
(CTR) |
Аутентификация |
Отсутств. |
Preshared
Key |
Preshared
Key |
IEEE
802.1x |
Preshared
Key |
IEEE
802.1x |
Длина
ключа, бит |
64
или 128 |
64
или 128 |
128
(шифров.), 64 (аутент.) |
128
(шифров.), 64 (аутент.) |
128 |
128 |
Повторяемость
ключа |
24-битовый
IV |
24-битовый
IV |
48-битовый
TSC |
48-битовый
TSC |
48-битовый
PN |
48-битовый
PN |
Целостность
данных |
CRC-32 |
CRC-32 |
Michael |
Michael |
AES
(CBC-MAC) |
AES
(CBC-MAC) |
Целостность
заголовка |
Отсутств. |
Отсутств. |
Michael |
Michael |
AES
(CBC-MAC) |
AES
(CBC-MAC) |
Управление
ключами |
Статические
для всей сети |
На
основе EAP |
Статич.
для всей сети |
На
основе EAP |
Применимость
различных способов обеспечения
безопасности в зависимости от типа
сети |
|
Тип сети |
Корпоративная
сеть |
Сеть
Hot-Spot |
Мостовое
соединение |
Использование
WPA2 |
+ |
– |
– |
WPA |
+ |
– |
– |
802.1x |
+ |
– |
– |
WEP |
+ |
+ |
+ |
VPN |
– |
– |
+ |
Вынос
точки доступа за брандмауэр |
+ |
+ |
+ |
Использование
IDS |
+ |
+ |
+ |
Аутентификация
на пограничном ресурсе |
+ |
+ |
– |
Фильтрация
по MAC-адресам |
+ |
– |
+ |
Отключение
рассылки SSID |
+ |
– |
+ |