+设为首页 +添加到收藏夹
思科的leap(轻型可扩展身份验证协议)是一个专有的、ieee 802.1x端口访问协议标准批准之前的变体。802.1x是一个框架,让一台身份识别服务器在批准无线用户进入接入点的分布式网络(也就是接入点连接的有线网络)之前验证那个无线用户的证书。802.1x能够与许多不同的证书一起使用,如口令、令牌与证书等。这是通过让802.1x的请求与回答携带任何种类的eap(可扩展身份验证协议)来完成的。
遗憾的是,leap容易受到字典攻击。首先,用户名是在没有加密的情况下发送的,每一个人都可以发现它。第二,使用字典中的词汇生成的hash值比较客户机发出的hash就能够破解(或者猜出)口令。还有一些共享的软件工具能够自动进行破解。这些软件工具包括anwrap、asleap与thc-leapcracker。使用非常长的、随机的口令有助于阻止字典攻击。但是,这种绕过漏洞的方法是不实际的,因为许多wlan与现有的用户名(如windows域名)与口令一起使用leap。事实上,这就是leap为什么容易部署的原因。 【相关文章:安装Windows Vista前的准备要】
思科leap是这些种类的eap之一,旨在提供口令身份识别。当使用leap的时候,接入点查验这个客户机的用户名,在客户机与身份识别服务器转发radius(远程认证拨入用户服务)信息。这台身份认证服务器使用ms-chap(微软质询握手身份验证协议)查验客户机的口令。这台客户机不发送其口令,它使用这个口令与盘问生成一个hash(哈希)。这台服务器生成自己的hash,并且将这个hash与客户机发来的hash值进行比较。如果相匹配,这个客户机就被接受了。然后,另一个ms-chap交换让客户机识别服务器的身份。当双方都满意时,客户机与服务器就交换加密的密钥,这样,在这个过程中发送的数据就可以受到wep的保护。 【扩展阅读:微软改口:Vista可随意重安装不限次(】
还有许多能够与802.1x一起使用的其它陌生的eap类型。... 下一页
