Расширяемый протокол аутентификации ( EAP ) — это структура аутентификации, часто используемая в сети и подключениях к Интернету. Он определен в RFC 3748, который сделал RFC 2284 устаревшим, и обновлен RFC 5247. EAP — это структура аутентификации для обеспечения транспортировки и использования материалов и параметров, сгенерированных методами EAP. В RFC определено множество методов, а также существует ряд методов и новых предложений, специфичных для поставщиков. EAP не является проводным протоколом; вместо этого он определяет только информацию из интерфейса и форматов. Каждый протокол, использующий EAP, определяет способ инкапсуляции пользователем сообщений EAP в сообщения этого протокола.
EAP широко используется. Например, в IEEE 802.11 (WiFi) стандарты WPA и WPA2 приняли IEEE 802.1X (с различными типами EAP) в качестве канонического механизма аутентификации.
EAP — это структура аутентификации, а не конкретный механизм аутентификации. [1] Он предоставляет некоторые общие функции и согласование методов аутентификации, называемых методами EAP. В настоящее время определено около 40 различных методов. Методы, определенные в RFC IETF , включают EAP-MD5, EAP-POTP, EAP-GTC, EAP-TLS, EAP-IKEv2, EAP-SIM, EAP-AKA и EAP-AKA'. Кроме того, существует ряд специфичных для поставщиков методов и новых предложений. Обычно используемые современные методы, способные работать в беспроводных сетях, включают EAP-TLS, EAP-SIM, EAP-AKA, LEAP и EAP-TTLS. Требования к методам EAP, используемым для аутентификации в беспроводной локальной сети, описаны в RFC 4017. Список типов и кодов пакетов, используемых в EAP, доступен в реестре IANA EAP. [2]
Стандарт также описывает условия, при которых могут быть удовлетворены требования управления ключами AAA, описанные в RFC 4962.
Метод облегченного расширяемого протокола аутентификации (LEAP) был разработан Cisco Systems до ратификации IEEE стандарта безопасности 802.11i . [3] Cisco распространяла протокол через CCX (Cisco Certified Extensions) в рамках внедрения 802.1X и динамического WEP в отрасли в отсутствие стандарта. Ни в одной операционной системе Windows нет встроенной поддержки LEAP , но он широко поддерживается сторонним клиентским программным обеспечением, которое чаще всего входит в состав устройств WLAN (беспроводной локальной сети). ПРЫГНУТЬподдержку Microsoft Windows 7 и Microsoft Windows Vista можно добавить, загрузив надстройку клиента от Cisco, которая обеспечивает поддержку как LEAP, так и EAP-FAST. Благодаря широкому распространению LEAP в сетевой индустрии многие другие поставщики WLAN [ who? ] заявить о поддержке LEAP.
LEAP использует модифицированную версию MS-CHAP , протокола аутентификации , в котором учетные данные пользователя не защищены строго и легко скомпрометированы; инструмент эксплойта под названием ASLEAP был выпущен в начале 2004 года Джошуа Райтом. [4] Cisco рекомендует клиентам, которым абсолютно необходимо использовать LEAP, делать это только с достаточно сложными паролями, хотя сложные пароли сложно администрировать и применять. В настоящее время Cisco рекомендует использовать более новые и надежные протоколы EAP, такие как EAP-FAST, PEAP или EAP-TLS.