מהו EAP?
Extensible Authentication Protocol (EAP) הוא פרוטוקול אימות (Authentication) גמיש,
המשמש ברובו בתצורות רשת שונות על גבי שכבת החיבור (Link Layer).
EAP אינו מנגנון אימות בודד, אלא מסגרת כללית (Framework) המגדירה את המבנה
והתהליך הבסיסי של אימות, ומאפשרת שילוב של שיטות אימות שונות (“EAP methods”).
באופן טיפוסי, EAP מיושם בשילוב עם 802.1X על גבי רשתות מקומיות (LAN), בעיקר רשתות אלחוטיות (Wi-Fi),
אך ניתן ליישמו גם בפרוטוקולים אחרים כגון PPP (Point-to-Point Protocol).
התפקיד העיקרי של EAP הוא ליצור מתווה מאובטח וסטנדרטי לתקשורת אימות בין “Supplicant”
(הגורם המבקש גישה לרשת, כמו מחשב או סמארטפון) לבין “Authentication Server” (לדוגמה, שרת RADIUS).
EAP נועד להיות גמיש ולהתאים למגוון רחב של צרכים ותרחישים,
החל מאימות מבוסס סיסמה ועד אימות מבוסס תעודות דיגיטליות או אפילו אימות באמצעות כרטיסי SIM.
כיצד EAP עובד?
שלב ראשוני (Discovery/Initiation):
ה-Supplicant (למשל תחנת עבודה אלחוטית) מנסה להתחבר ל-Access Point (או לנתב),
אשר משמש כ-Authenticator.
במקביל, קיים שרת אימות (Authentication Server) ברקע, שרץ על שרת ייעודי
(כמו שרת RADIUS).
בחירת שיטת האימות (EAP Method Negotiation):
ה-Supplicant וה-Authenticator מחליפים מידע לגבי שיטות אימות נתמכות.
לאחר מכן, הם מסכימים על שיטת EAP ספציפית המשמשת בפועל.
תהליך אימות (Authentication Exchange):
בהתאם לשיטת EAP שנבחרה, מתנהל פרוטוקול האימות עצמו.
זה כולל החלפת סיסמאות, תעודות דיגיטליות, קריאות/תגובות (Challenge/Response) וכדומה.
תוצאה והחלטת גישה (Success/Failure):
אם האימות מצליח, נשלחת הודעת Success והתחנה מורשית לגשת לרשת.
אם האימות כושל, נשלחת הודעת Failure ואין גישה.
מאחר ש-EAP עצמו הוא רק “שלד” המשמש לניהול תהליך האימות,
ישנם סוגים שונים (או “שיטות”) המתארגנות תחת המטרייה הזו.
השיטות השונות מספקות רמות שונות של אבטחה, מורכבות, ותאימות לצרכים ספציפיים.
סוגים נפוצים של EAP
EAP-MD5
אחת השיטות הבסיסיות והוותיקות ביותר.
עושה שימוש בפונקציית הגיבוב (Hash) MD5 על מנת לאמת את זהות המשתמש.
היתרון העיקרי הוא פשטות ומהירות, אולם יש לה חיסרון אבטחתי משמעותי,
היא אינה מספקת הצפנה של התקשורת עצמה ואינה עמידה מספיק כנגד התקפות מתקדמות.
EAP-TLS (Transport Layer Security)
זוהי אחת השיטות המאובטחות והמקובלות ביותר בארגונים גדולים.
היא עושה שימוש בתעודות דיגיטליות (Certificates) עבור הלקוח ועבור השרת.
התקשורת מתבצעת בערוץ מוצפן לחלוטין (TLS).
החיסרון הוא הצורך בהקמת תשתית תעודות (Public Key Infrastructure – PKI),
שמורכבת לניהול ולתחזוקה, אך היא מספקת רמת אבטחה גבוהה במיוחד.
EAP-TTLS (Tunneled TLS)
דומה ל-EAP-TLS, אולם דורשת תעודה דיגיטלית רק בצד השרת,
בעוד בצד הלקוח ניתן להשתמש בשיטות אימות אחרות (כמו סיסמה).
זה מפשט את התהליך עבור המשתמשים,
כי לא כל לקוח חייב לקבל תעודה. עם זאת, נדרש עדיין ערוץ TLS מאובטח בתחילת התהליך.
PEAP (Protected EAP)
פותח על ידי מייקרוסופט, Cisco ו-RSA.
בדומה ל-EAP-TTLS, גם PEAP משתמש ב-TLS להקמת ערוץ מאובטח (“Tunnel”) ביניים,
שלאחריו ניתן לבצע אימות משתמש עם פרוטוקולים נוספים כמו MS-CHAPv2.
היתרון הוא פשטות ההקמה וסודיות המידע המועבר, אך יש לשים לב להגדרות נכונות כדי למנוע חשיפות.
EAP-FAST (Flexible Authentication via Secure Tunneling)
פותח על ידי Cisco, ומטרתו לספק “מנהרה מאובטחת” לצורך העברת נתוני אימות רגישים.
הוא יכול לעבוד ללא תעודת שרת (אם כי מומלץ להשתמש בתעודה לשיפור האבטחה).
היתרון של EAP-FAST הוא ביצועים מהירים יותר והפחתת התלות ב-PKI,
אך יש להתייחס לסיכוני אבטחה כאשר פועלים ללא תעודה.
EAP-SIM, EAP-AKA
מיועדים בעיקר לרשתות סלולר (GSM/UMTS).
משתמשים במידע הקיים בכרטיס ה-SIM או USIM לאימות,
ללא צורך בסיסמה או בתעודות דיגיטליות ייעודיות למשתמש.
מתאימים לתרחישים שבהם נדרש לשלב בין רשתות סלולר ורשתות Wi-Fi באופן חלק.
אילו ארגונים זקוקים ל-EAP?
ארגונים בעלי רשת אלחוטית (Wi-Fi Enterprise)
כמעט כל ארגון שמחזיק רשת אלחוטית פנימית המיועדת לעובדים או אורחים
נדרש להגן עליה מפני גישה לא מורשית.
פרוטוקול EAP, בשילוב 802.1X, מאפשר לשלוט בגישה לרשת ולוודא שכל משתמש מזוהה ומאומת.
ארגונים פיננסיים או ממשלתיים
מוסדות בנקאיים, חברות אשראי, משרדי ממשלה וגופים ציבוריים הנדרשים לתקן אבטחה גבוה,
משתמשים בתצורות מאובטחות כמו EAP-TLS.
הצורך בתיעוד, שקיפות ושליטה מפורטת בזהויות ובמדיניות הגישה הופך את EAP לכלי קריטי.
חברות המבצעות ניהול זהויות מתקדם (IAM)
ארגונים שמחזיקים פתרונות IAM (Identity and Access Management)
דורשים לרוב אימות חזק במגוון שיטות.
EAP מתחבר היטב לשרתי RADIUS/LDAP או Active Directory,
ולכן הוא מהווה נדבך חשוב בארכיטקטורת אבטחה כוללת.
ספקי שירותי אינטרנט (ISP) ורשתות סלולר
במקרים של חיבורי Broadband בתצורת PPPoE,
או לצורך שיטות אימות בסלולר (כגון EAP-SIM/EAP-AKA),
ספקי האינטרנט והרשת הסלולרית נעזרים בפרוטוקול EAP.
ארגונים גלובליים עם תשתית PKI
כאשר ארגון כבר מחזיק תשתית PKI חזקה ומנוהלת
(בעיקר ארגונים גלובליים, חברות הייטק, גופים צבאיים או ביטחוניים),
שילוב של EAP-TLS מספק שכבת אבטחה גבוהה ואחידה לכלל המשתמשים והסניפים.
יתרונות ואתגרים בשימוש ב-EAP
יתרונות מרכזיים
גמישות:
EAP הוא פרוטוקול מורחב (Extensible) ולכן ניתן להוסיף או להחליף
שיטות אימות בהתאם לצרכים.
אבטחה גבוהה:
עם שיטות כמו EAP-TLS או PEAP, ניתן להצפין את התקשורת ולהגן מפני התקפות
מסוג Man-in-the-Middle, האזנות או פענוח סיסמאות.
אינטגרציה עם מערכות קיימות:
ארגונים המשתמשים ב-Active Directory, שרתי LDAP או שרתי RADIUS ימצאו פתרונות
מובנים המבוססים על EAP המתחברים בצורה חלקה.
סטנדרט תעשייתי:
מאומץ על ידי יצרנים רבים של ציוד רשת, מה שמבטיח תאימות רחבה בין מוצרי חומרה ותוכנה.
אתגרים ומגבלות
מורכבות בהקמה וניהול:
הקמת PKI, הגדרות נכונות של שרתי RADIUS, ניהול תעודות והפצה למשתמשים,
כולם דורשים משאבי זמן וכוח אדם מקצועי.
הבדלי תאימות:
לא כל התקן תומך בכל שיטות EAP. לעתים יש צורך בעדכוני תוכנה
או שימוש בדרייברים מסוימים.
היבטי חוויית משתמש:
תהליכי התחברות מאובטחים (למשל הזנת תעודה או PIN) יכולים לסבך את המשתמשים.
שאלות ותשובות בנושא EAP
ש: כיצד בוחרים את שיטת ה-EAP המתאימה ביותר?
ת: התשובה תלויה במספר משתנים:
האם יש לארגון תשתית PKI מוכנה (Certificate Authority)?
אם כן, EAP-TLS או EAP-TTLS יכולות להיות בחירה טובה.
מהי רמת האבטחה הנדרשת? אם הדגש הוא על סודיות מקסימלית וחסינות מפני התקפות,
עדיף לבחור בשיטת הצפנה כמו TLS.
מהי רמת המורכבות שמוכנים לנהל? אם נרצה תפעול פשוט יותר,
ייתכן ש-PEAP או EAP-FAST יתאימו יותר.
ש: האם ניתן לשלב EAP עם אימות דו-שלבי (2FA) או פתרונות MFA אחרים?
ת: בהחלט. EAP עצמו הוא פרוטוקול מסגרת. ישנם ספקים המאפשרים שילוב
של MFA (Multi-Factor Authentication) בתוך ערוץ ה-EAP, או במקביל.
לדוגמה, ניתן להשתמש בתעודה דיגיטלית (גורם ראשון) ובנוסף אפליקציית OTP (One-Time Password)
בסמארטפון (גורם שני).
ש: כיצד מתמודדים עם הנפקה וניהול של תעודות למשתמשים עבור EAP-TLS?
ת: נדרשת מערכת ניהול תעודות (CA) פנימית או חיצונית.
הכרחי לקבוע מדיניות מחמירה של ניהול מחזור החיים של התעודה (הנפקה, ביטול, חידוש).
לעתים משתמשים בפלטפורמות MDM (Mobile Device Management) או
כלים אוטומטיים להפצת תעודות לאלפי מכשירים.
ש: מה ההבדל בין PEAP ל-EAP-TTLS?
ת: שניהם יוצרים מנהרה מוצפנת באמצעות TLS לפני העברת נתוני האימות.
ההבדל העיקרי טמון בפרוטוקולי המשנה (Inner Methods) הנתמכים.
PEAP לרוב משתמש ב-MS-CHAPv2 לצורך אימות משתמש,
ואילו EAP-TTLS תומך במגוון רחב יותר
(כגון PAP, CHAP, MS-CHAP, MS-CHAPv2 או אפילו EAP נוסף).
בפועל PEAP נפוץ יותר בסביבת Windows ו-Active Directory,
בעוד TTLS נפוץ בסביבת Unix ולינוקס או פתרונות קוד-פתוח.
ש: איך מונעים התקפות Man-in-the-Middle בפרוטוקול EAP?
ת: ראשית, יש להשתמש בשיטה מוצפנת (כמו EAP-TLS או PEAP),
המאמתת את השרת והלקוח בצורה הדדית.
חשוב לוודא שהלקוח בודק את התעודה של השרת
(ולא לוחץ “Accept” על תעודה שאינה מוכרת).
הגדרת נקודות גישה (Access Points) מורשות ופריסת רשת מאובטחת בהתאם
לפרקטיקות המומלצות (כגון שימוש ב-WPA2-Enterprise או WPA3-Enterprise)
מורידות את הסיכון.
ש: האם יש יתרון ל-EAP-FAST בארגונים ללא תשתית PKI?
ת: כן. EAP-FAST מנצל מנגנון שנקרא PAC (Protected Access Credential),
סוג של סיסמת מפתח משותפת בין הלקוח לשרת, במקום תעודה דיגיטלית מלאה.
זה יכול להקל על ההקמה כי אין צורך בהקמת CA ולהפצת תעודות רחבה.
כשלא משתמשים בתעודת שרת, רמת האבטחה עלולה להיות מעט נמוכה יותר,
וחשוב ליישם מדיניות ניהול PAC קפדנית.
