EAP(Extensible Authentication Protocol)
EAP(Extensible Authentication Protocol), birçok kablosuz ağ güvenliği metodunun temelini oluşturan protokoldür. EAP protokolü üzerinden geliştirilen PEAP, LEAP, EAP-TLS, EAP-FAST metotları bunlara örnek olarak gösterilebilir. Bunlardan her biri EAP’i temel alır, fakat kimlik denetimi için farklı referanslar kullanırlar. Bazılarında ek güvenlik özellikleri mevcuttur.
LEAP(Lightweight EAP)
Cisco tarafından geliştirilmiş bir protokol olan LEAP’te AP’ler kullanıcıların kimlik denetimlerini bir RADIUS(Remote Authentication In User Server/Service) üzerinden gerçekleştirirler. Kimlik denetimi için kullanıcı adı ve şifre kullanılır.
LEAP ayrıca WEP’i kullanarak veri güvenliğini de sağlar. Her kablozuz ağ kullanıcısı için dinamik olarak RADIUS sunucu tarafından bir WPA anahtarı üretilir. Böylece kullanıcı bazlı veri güvenliği sağlanmış olur.
EAP-TLS
EAP-TLS metodu, güvenli kimlik denetimi için TLS( Transport Layer Security) protokolünü kullanır. TLS’in temeli güvenli web oturumları sağlamak için kullanılan SSL(Security Socket Layer) protokolüne dayanır. EAP-TLS kimlik denetimi için dijital sertifikaları kullanır. Bu yüzden her AP’nin ve her kullanıcının sertifika otoritesi tarafından üretilmiş bir sertifikaya ihtiyacı vardır.
EAP-TLS; sunucu, kullanıcıyı her yeniden kimlik denetiminden geçmeye zorladığında otomatik olarak WEP anahtarı üreterek veri güvenliğini de sağlar. Kimlik denetiminden geçen her kullanıcı için TLS oturum anahtarı, WEP anahtarını üretmek için kullanılır ve veri güvenliği sağlanır.
PEAP(Protected EAP)
PEAP’te de EAP-TLS’te olduğu gibi kimlik denetimi için TLS oturumu temel alınır. Fakat PEAP’te dijital seritifikaya sadece kimlik denetimi sunucusunda gerek duyulur. Kullanıcılar kimlik denetiminden geçmek için MSCHAPv2’yi(Microsoft Challenge Handshake Authentication Protocol version 2) kullaırlar.
EAP-FAST(EAP Flexible Authentication via Secure Tunneling)
EAP-FAST Cisco tarafından geliştirilmiş bir protokoldür. Yönetimsel karışıklıkları azalttığı için esnek bir protokoldür. Kullanıcıların dijital sertifikalar kullanmasına ve güçlü şifre kurallarına gerek yoktur.
EAP-FAST ile kimlik denetim sunucusu ve kullanıcı arasında güvenli bir tünel oluşturulur. Tüneli oluşturmak için PAC(Protected Access Crediental) adında bir referansa ihtiyaç duyular. PAC bir PAC sunucusu vasıtasıyla veya EAP-FAST fazlarında dinamik olarak oluşturulabilir. Tünel bir kez kurulduğunda, kullanıcılar kullanıcı adı ve şifreleriyle kimlik denetiminden geçerler.
Ayrıca PEAP’te WEP sayesinde veri güvenliği de garanti altına alınabilir.
