7. Вопросы безопасности
В этом разделе описана базовая модель угроз, а также параметры защиты методов EAP, позволяющие смягчить эти угрозы.
Предполагается, что базовая модель угроз и параметры защиты будут применяться для определения требований к методам EAP при использовании в конкретных средах. Пример такого анализа требований имеется в стандарте [IEEE-802.11i-req]. Раздел описания параметров защиты является обязательным в спецификации метода EAP и требования для некоторых методов могут просто совпадать.
7.1. Модель угроз
Протокол EAP был разработан для использования PPP [RFC1661], а позднее его адаптировали для проводных сетей IEEE 802 [IEEE-802] в стандарте [IEEE-802.1X]. Впоследствии EAP было предложено использовать в беспроводных ЛВС и Internet. Во всех случаях применения протокола атакующий может получить доступ к каналу, по которому передаются пакеты EAP. Например, атаки на телефонную инфраструктуру описаны в работе [DECEPTION].
Атакующий с доступом к каналу, может организовать множество атак, включая перечисленные ниже.
- Попытка раскрытия идентификационных данных пользователей путем перлюстрации трафика.
- Попытка изменения или подмены пакетов EAP.
- Атаки на отказ служб за счет подмены индикации нижележащего уровня или пакетов Success/Failure, повторного использования пакетов EAP или генерации пакетов с перекрывающимися идентификаторами.
- Попытка раскрытия паролей с помощью атак по словарю для собранных в канале данных.
- Попытка убедить идентифицируемый узел присоединиться к сети без доверия путем организации MITM-атаки.
- Попытка нарушения процесса согласования EAP для принуждения к выбору более слабого метода идентификации.
- Попытка восстановления ключей при использовании недостаточно стойких способов создания ключей в методах EAP.
- Попытка воспользоваться слабостью крипотографического набора после завершения транзакции EAP.
- Попытка снизить уровень стойкости при согласовании криптографического набора, используемого для идентификации EAP.
- Прелоставление некорректной информации партнеру и/или серверу EAP от имени «идентифицирующей стороны» за счет использования сторонних механизмов (например, через AAA или протокол нижележащего уровня). К таким атакам относятся также «подмена» идентифицирующей стороны или предоставление противоречивой информации партнеру или серверу EAP.
В зависимости от нижележащего уровня такие атаки могут требовать или не требовать доступа к каналу на физическом уровне. При использовании EAP в беспроводных сетях пакеты EAP могут пересылаться идентифицирующими узлами (например, для предварительной идентификации) так, что атакующему не нужно находиться в области покрытия идентифицирующей стороны для организации атаки на идентифицируемые узлы. При использовании EAP в Internet атаки могут осуществляться на значительно большем удалении.