Протоколы аутентификации

от

«Аутентификация кажется решённой задачей: просто вводишь пароль или сертификат, и всё работает. Но под этим лежит целый мир стандартов, протоколов и инженерных решений, которые определяют, насколько устойчива ваша сеть к современным угрозам. Правильный выбор протокола, это не про галочку для ФСТЭК, а про архитектурное решение, которое влияет на безопасность каждого подключённого устройства.»

Почему протокол, это важнее, чем пароль

Аутентификация, это первая линия обороны, которая проверяет, является ли пользователь или устройство тем, за кого себя выдаёт. Самый сложный пароль ничего не стоит, если его передать по открытому каналу. Именно протокол определяет, как будут переданы учётные данные, насколько защищён канал связи и какие методы проверки можно использовать. Это основа для любого дальнейшего контроля доступа в соответствии с требованиями, например, 152-ФЗ, где критично подтверждение подлинности.

Каркас и его расширения: семейство EAP

Представьте, что EAP, это универсальный разъём для аутентификации. Сам по себе это не метод, а каркас, определяющий формат обмена сообщениями. Он не шифрует данные, но позволяет «вкрутить» практически любой нужный метод проверки.

Extensible Authentication Protocol (EAP): Универсальный адаптер

Работая на канальном уровне модели OSI, EAP отделяет процесс проверки подлинности от передачи данных. Клиент и сервер аутентификации обмениваются структурированными пакетами, что позволяет реализовать сложные сценарии, от одноразовых паролей до биометрии. Его модульность сделала его стандартом для защищённых Wi-Fi сетей (WPA2/WPA3 Enterprise).

Когда нужен туннель: PEAP и EAP-TTLS

Базовый EAP уязвим для прослушивания. Ответом стали протоколы, которые сначала строят защищённый канал, и только внутри него проводят аутентификацию.

  • Protected EAP (PEAP): Сначала устанавливается TLS-сессия с проверкой сертификата сервера. Все последующие данные, включая логин и пароль клиента, передаются внутри этого зашифрованного туннеля. Это надёжная защита от перехвата в общественных сетях.
  • EAP-Tunneled TLS (EAP-TTLS): Идёт ещё дальше. Внутри внешнего TLS-туннеля можно использовать не только EAP, но и устаревшие, но широко распространённые методы, такие как PAP или CHAP. Это даёт гибкость при миграции унаследованных систем без ущерба для безопасности.

Сертификаты против общих секретов: EAP-TLS и EAP-FAST

Два противоположных подхода к доверию.

Протокол Основа доверия Усилие развёртывания Уровень безопасности
EAP-TLS Двусторонние сертификаты (PKI) Высокое Максимальный
EAP-FAST Предустановленный общий секрет (PAC) Низкое Высокий

EAP-TLS считается эталоном. Он требует наличия доверенного центра сертификации и выдачу сертификатов как серверу, так и каждому устройству-клиенту. Это исключает спуфинг и атаки «человек посередине».

EAP-FAST, разработанный Cisco, обходит сложность PKI. Сервер генерирует защищённые учётные данные (PAC), которые один раз безопасно доставляются клиенту. Все последующие сеансы используют этот PAC для быстрого установления туннеля. Это упрощает масштабирование, но требует безопасного механизма первоначальной выдачи PAC.

Контроль на самом порту: IEEE 802.1X

EAP решает, кто подключается, а 802.1Xгде и когда он получит доступ к сети. Это стандарт контроля доступа на основе портов.

Пока устройство не прошло аутентификацию через выбранный метод EAP, коммутатор держит его порт в «гостевом» сегменте VLAN, часто с доступом только к серверу аутентификации. После успешной проверки порт переводится в рабочий VLAN. Это позволяет физически разделять трафик авторизованных и неавторизованных устройств прямо на коммутаторе — ключевое требование для сегментации сетей.

Федерация: когда доверие выходит за пределы домена

В распределённых средах — облаках, образовательных или государственных сетях — возникает задача дать доступ пользователю из одной организации к ресурсам другой. RADIUS Federation решает эту проблему.

Сервер RADIUS в домашней организации (IdP — провайдер идентичности) аутентифицирует своего пользователя и, выступая в роли прокси, перенаправляет подтверждение его подлинности серверу RADIUS в целевой организации (SP — поставщик услуг). Это основа для реализации безопасного единого входа между юридически независимыми структурами без синхронизации баз учётных записей.

Как выбирать протокол для российского IT-ландшафта

Выбор зависит не от абстрактной «безопасности», а от конкретных условий и ограничений.

  • Высокозащищённые сегменты (АСУ ТП, серверный доступ): EAP-TLS с обязательной двусторонней проверкой сертификатов и собственным или доверенным УЦ.
  • Корпоративная беспроводная сеть: PEAP (если есть PKI для серверных сертификатов) или EAP-TTLS. Это баланс безопасности и удобства для пользователей с логинами-паролями.
  • Крупномасштабные развёртывания IoT или гостевой доступ: EAP-FAST может быть оправдан для снижения операционных издержек на управление сертификатами.
  • Контроль проводного доступа (офис, ЦОД): IEEE 802.1X в связке с выбранным EAP-методом для всех пользовательских портов.

Глубина внедрения 802.1X и использование федеративных решений прямо влияют на соответствие требованиям к защите персональных данных, так как позволяют реализовать принцип минимальных привилегий и контролировать все точки входа в сеть.

Вывод: архитектура доверия

Протоколы аутентификации создают архитектуру доверия в вашей сети. EAP предоставляет инструментарий, 802.1X — точки приложения этого инструментария, а федерация расширяет зону доверия. Игнорирование этого уровня и фокус только на «силе пароля» оставляет широкие возможности для атак на уровне передачи данных. Интеграция современных протоколов аутентификации в сетевую инфраструктуру, это не дополнительная опция, а необходимый этап построения устойчивой к угрозам IT-среды.

Оставьте комментарий