EAP-godkendelsesmetoder

Indlæg af Hanne Mølgaard Plasc

  Når computere etablerer netværkskommunikation med hinanden, skal hver computer give autentificering, hvilket viser at computere er de enheder, de hævder at være. Uden godkendelse kan andre brugere muligvis konfigurere deres egne computere for at efterligne ægte computere, der er involveret i kommunikation og aflytning af data. Extensible Authentication Protocol, eller EAP, bruges af Microsoft Windows-computere til at levere en godkendelsesmetode, som computere kan bruge til at identificere hinanden, før der etableres netværksforbindelse.

EAP TLS

Ved hjælp af EAP kan du konfigurere godkendelse mellem computere skal finde sted ved hjælp af Transport Layer Security eller TLS. Det betyder, at autentificeringen mellem de kommunikerende computere finder sted på transportlaget, et af de syv lag i OSI eller Open Systems Interconnection, model for netværkskommunikation.

På dette lag af OSI-modellen identificerer computere hinanden ved hjælp af koder, der er indlejret i smartkort, og computere med tilsluttede smartkortlæsere skal bruges til at oprette forbindelse til andre, der kræver godkendelse af smartkort. En anden stærk godkendelsesmetode ved transportlaget, som understøttes af EAP, er certifikatbaseret godkendelse. I dette tilfælde genererer en computer et digitalt certifikat, som er installeret på en computer, der skal kommunikere med den. EAP er derefter konfigureret på begge computere, der kræver brug af digitale certifikater med henblik på identifikation.

En computer, der forsøger at etablere kommunikation med en computer, der er konfigureret til at bruge certifikatbaseret godkendelse, skal fremlægge sit eget digitale certifikat, før den computer gør det muligt at etablere kommunikation. Digitale certifikater er vanskelige at reproducere, det betragtes som en meget sikker godkendelsesmetode.

EAP MD5

Message Digest 5 eller MD5 er en udfordringsbaseret godkendelsesmetode. I et netværk, der bruger MD5-godkendelse, sender en computer ikke en adgangskode på tværs af netværket, når en computer forsøger at etablere kommunikation med en anden computer, hvilket kan blive fanget af uautoriserede brugere. I stedet sender den anden computer tilbage en række tegn, som den kommunikerende computer behandler, ved hjælp af den adgangskode, der er nødvendig for at kommunikationen skal etableres. Resultatet af denne behandling sendes tilbage til den anden computer, og hvis den første computer har brugt et gyldigt kodeord for at opnå den resulterende kode, tillader den anden computer at blive etableret.

MS CHAP v2

MS CHAP v2 eller Microsoft Challenge Handshake Authentication Protocol version 2, er en metode til EAP til godkendelse af kommunikationscomputere. Det er en tovejs autentificeringsmetode, hvilket betyder at begge computere skal autentificere med hinanden. Processen involverer en klientcomputer, der forbinder med en server, først og fremmest modtager en udfordringsbesked fra serveren. Udfordringen indeholder en række tegn.

Klientcomputeren anvender en aritmetisk proces, der er kendt som en algoritme for at forklare udfordringsmeddelelsen. Denne proces er kendt som 'hashing', og den anvendte algoritme er en Secure Hash Algorithm eller SHA. Klienten sender derefter den resulterende hashed-streng af tegn tilbage til serveren og sender også en udfordringsstreng af sig selv. Serveren verificerer, at oplysningerne er korrekte, så bruger den kun sin egen SHA til udfordringen udstedt af klienten.

Serveren sender den resulterende hashed-streng af tegn tilbage til klienten. Klienten verificerer de modtagne oplysninger tilbage fra serveren, og hvis den er korrekt, kan den begynde at bruge den forbindelse, der er etableret. Hvis den ikke genkender svaret fra serveren, bryder den forbindelsen.