بروتوكول المصادقة القابل للتوسيع (EAP) هو بروتوكول للشبكات اللاسلكية يعمل على توسيع نطاق المصادقة الأساليب المستخدمة من قبل بروتوكول نقطة إلى نقطة، وهو بروتوكول يستخدم غالبًا عند توصيل جهاز كمبيوتر بالإنترنت. يتم استخدام EAP على الشبكات المشفرة لتوفير طريقة آمنة لإرسال معلومات التعريف لتوفير مصادقة الشبكة. وهو يدعم طرق المصادقة المختلفة، بما في ذلك بطاقات الرمز المميز، البطاقات الذكيةوالشهادات وكلمات المرور لمرة واحدة و تشفير المفتاح العام.
تعمل أساليب EAP على حماية بوابة معينة بحيث لا يتمكن سوى المستخدمين الذين لديهم مفتاح مصادقة أو كلمة مرور من الوصول إلى الشبكة. تحد هذه الأساليب من عدد المستخدمين وتساعد على منع ازدحام الشبكة، مما يجعل الشبكات أسرع وأكثر أمانًا. يمكن للمؤسسات استخدام أساليب EAP للتكيف مع احتياجات الخصوصية المحددة وإرشادات الشركة.
ومع تقدم التكنولوجيا، يستمر EAP في التطور، مع ظهور أساليب جديدة لمواجهة التحديات الأمنية الحديثة. تجعل قابلية التوسعة هذه EAP بروتوكولًا أساسيًا لأمن الشبكات عبر الصناعات.
ميزات بروتوكول المصادقة القابل للتوسيع
تعد القابلية للتوسعة سمة أساسية لإطار عمل EAP. بعض الميزات الرئيسية للبروتوكول هي ما يلي:
- فهو يوفر الإطار الذي تعمل من خلاله طرق المصادقة المختلفة.
- يتكيف مع الاحتياجات الأمنية المستقبلية.
- يمكن أن يبقى الأمر بسيطًا إذا كان هذا هو المطلوب.
تتيح مرونة EAP له دعم متطلبات المصادقة البسيطة والمعقدة، مما يجعله الخيار المفضل للبيئات ذات الاحتياجات الأمنية المتنوعة.
كيف يعمل بروتوكول المصادقة القابل للتوسيع؟
يستخدم EAP معيار 802.1X كآلية مصادقة خاصة به عبر شبكة المنطقة المحلية أو شبكة LAN لاسلكية (WLAN). هناك ثلاثة مكونات أساسية لمصادقة 802.1X:
- الجهاز اللاسلكي الخاص بالمستخدم.
- نقطة الوصول اللاسلكية (ا ف ب) أو الموثق.
- قاعدة بيانات المصادقة أو خادم المصادقة.
يجب على المؤسسة أو المستخدم اختيار نوع EAP الذي سيتم استخدامه بناءً على متطلباته. يقوم EAP بنقل معلومات المصادقة بين المستخدم وقاعدة بيانات أو خادم المصادق.
تعمل عملية EAP على النحو التالي:
- يطلب المستخدم الاتصال بشبكة لاسلكية من خلال نقطة الوصول – وهي محطة ترسل البيانات وتستقبلها، تُعرف أحيانًا باسم جهاز الإرسال والاستقبال.
- تطلب نقطة الوصول بيانات التعريف من المستخدم وترسل تلك البيانات إلى خادم المصادقة.
- يطلب خادم المصادقة من AP إثبات صحة معلومات التعريف.
- تحصل نقطة الوصول على التحقق من المستخدم وترسله مرة أخرى إلى خادم المصادقة.
- المستخدم متصل بالشبكة حسب الطلب.
قد تقوم أنواع EAP المختلفة بتعديل هذه العملية قليلاً لتحسين الأمان أو تلبية متطلبات معينة للشبكة. تحدد المؤسسات عادةً نوع EAP استنادًا إلى عوامل مثل مستوى الأمان المطلوب وسهولة التنفيذ والتوافق مع البنية التحتية الحالية.
لماذا نستخدم EAP في الشبكات الحديثة؟
لقد أصبح EAP ضروريًا للشبكات الحديثة، خاصة مع ظهور واي فاي و أجهزة إنترنت الأشياء (IoT).، فضلاً عن الحاجة إلى الوصول الآمن للمؤسسات. فهو يتيح حلول مصادقة شاملة ومرنة وقابلة للتطوير تساعد على منع الوصول غير المصرح به وحماية البيانات الحساسة عبر بيئات الشركة.
ومع استمرار تطور التهديدات السيبرانية، فإن قابلية توسيع EAP لا تقدر بثمن، مما يمكّن المؤسسات من تنفيذ أساليب أمنية جديدة للبقاء في صدارة المهاجمين.
طرق بروتوكول المصادقة القابلة للتوسيع عبر النفق
هناك ما يصل إلى 40 طريقة EAP، بما في ذلك العديد من الأساليب شائعة الاستخدام والتي يتم استدعاؤها غالبًا الأساليب الداخلية أو طرق EAP النفقية. وتشمل هذه ما يلي.
EAP-TLS (أمان طبقة النقل)
EAP-TLS يوفر على أساس الشهادة، المصادقة المتبادلة للشبكة والعميل. يجب أن يكون لدى كل من العميل والخادم شهادات لإجراء هذه المصادقة. يقوم EAP-TLS بشكل عشوائي بإنشاء خصوصية مكافئة سلكية قائمة على المستخدم (WEP) مفاتيح. تعمل هذه المفاتيح على تأمين الاتصالات بين AP وعميل WLAN.
يعتبر EAP-TLS واحدًا من أكثر أنواع EAP أمانًا ولكنه يتطلب بنية تحتية معقدة لإدارة شهادات العميل والخادم، الأمر الذي قد يمثل تحديًا للمؤسسات الكبيرة.
EAP-TTLS (TLS النفقي)
مثل EAP-TLS، يوفر EAP-TTLS طريقة أمان موسعة مع مصادقة متبادلة قائمة على الشهادات. ومع ذلك، بدلاً من أن يطلب كل من العميل والخادم شهادة، فإن جانب الخادم فقط هو الذي يفعل ذلك. يمكّن EAP-TTLS شبكات WLAN من إعادة استخدام قواعد بيانات مصادقة المستخدم القديمة بشكل آمن، مثل Active Directory.
LEAP (EAP خفيف الوزن)
أنشأت Cisco هذا النوع من مصادقة EAP الخاص للمصادقة المتبادلة بين العميل والخادم على شبكات WLAN الخاصة بها. يرسل خادم LEAP إلى العميل اختبارًا عشوائيًا، ويقوم العميل بإرجاع كلمة المرور المجزأة. بمجرد المصادقة، يطلب العميل من الخادم كلمة المرور، ويتبع ذلك تبادل المفاتيح.
PEAP (EAP المحمي)
تم إنشاء PEAP كإصدار أكثر أمانًا من LEAP. مثل EAP-TTLS، يقوم PEAP بمصادقة العملاء باستخدام شهادات من جانب الخادم. يقوم بإنشاء نفق TLS من الخادم إلى العميل بحيث يمكن مصادقة العميل من خلال هذا النفق المشفر. بخلاف EAP-TTLS، مع PEAP، يجب على العميل استخدام نوع EAP مختلف. يتم اعتماد PEAP على نطاق واسع لأنه يوفر حلاً آمنًا، مع تقليل تعقيد إدارة الشهادات من جانب العميل.
EAP-FAST (المصادقة المرنة عبر الأنفاق الآمنة)
قامت شركة Cisco بإنشاء EAP-FAST ليحل محل LEAP. يستخدم EAP-FAST نفقًا لتوفير المصادقة المتبادلة مثل PEAP وEAP-TTLS. لا يتطلب EAP-FAST أن يقوم الخادم بمصادقة نفسه بشهادة رقمية. وبدلاً من ذلك، فإنه يستخدم بيانات اعتماد الوصول المحمي، التي تنشئ تبادل التزويد لمرة واحدة مع سر مشترك أو مفتاح PAC. يعالج مفتاح PAC المصادقة.
EAP-SIM (وحدة هوية المشترك)
يعتمد نوع المصادقة هذا على النظام العالمي للاتصالات المتنقلة (جي إس إم) بطاقة SIM المستخدمة في الهواتف المحمولة. ويستخدم مفتاح WEP لكل جلسة عمل لتشفير البيانات. تتطلب طريقة المصادقة هذه من العميل إدخال رمز التحقق لتمكين الاتصال مع بطاقة SIM. تمر طلبات EAP-SIM 802.1X عبر بوابة التجوال الخاصة بشركة الاتصالات إلى خادم مصادقة GSM. يتم استخدامه لمصادقة الأجهزة التي تتجول بين نقاط اتصال 802.11 التجارية وشبكات GSM.
EAP-MD5 (ملخص الرسائل 5)
يوفر EAP-MD5 مستوى أساسيًا من الدعم ولا يوصى به عند تنفيذ شبكة WLAN. من الأسهل على جهات التهديد تحديد كلمة مرور المستخدم أو العميل بهذه الطريقة. كما أنه يوفر فقط مصادقة أحادية الاتجاه بدلاً من المصادقة المتبادلة، ولا توجد طريقة لتطوير مفاتيح WEP لكل جلسة أو تقديم دوران وتوزيع مستمر لمفاتيح WEP. يمكن أن تشكل الصيانة اليدوية لمفاتيح WEP تحديات. نظرًا لتعرضه للهجمات المستندة إلى كلمة المرور، أصبح EAP-MD5 قديمًا إلى حد كبير ونادرًا ما يستخدم في بيئات المؤسسات.
مستقبل EAP وأساليب الأمان الناشئة
يعد الأمان جانبًا مهمًا في بنية الشبكة العامة. وهذا أمر أكثر أهمية من أي وقت مضى بالنظر إلى مدى سرعة تغير تكنولوجيا الاتصالات وتطور 5G. تتضمن ميزات الأمان في 5G دعمًا أصليًا لـ EAP. تعتبر المصادقة في شبكات 5G غير قابلة للوصول، لذلك يتم استخدام نفس الأساليب الثالث مشروع شراكة الأجيال وشبكات الوصول غير 3GPP.
مع تزايد احتياجات أمان الشبكات اللاسلكية، من المتوقع أن يتكيف EAP مع المعايير والأساليب الجديدة. قد تتضمن تطبيقات EAP المستقبلية المصادقة البيومتريةأو التحليل السلوكي أو حتى blockchain التكنولوجيا لزيادة الأمان في إنترنت الأشياء وشبكات الهاتف المحمول. وتضمن قدرة EAP على التكيف بقاءه إطارًا حيويًا لمصادقة الشبكة الآمنة، حتى مع التطور السريع لتكنولوجيا الشبكة.
تعرف على المزيد عن طريق التحقق من نظرة عامة على طرق مصادقة 802.1X وEAP. استكشف الاختلافات بين الأمان اللاسلكي WEP وWi-Fi Protected Access وWPA2 وWPA3. اقرأ عن PEAP، والذي يعمل على توسيع EAP عن طريق تغليف اتصال EAP داخل نفق TLS.
