EAP - Extensible Authentication Protocol

Das Extensible Authentication Protocol, kurz EAP, ist eine Erweiterung von PPP und wird innerhalb von IEEE 802.1x verwendet. Die Aufgabe von EAP ist sicherzustellen, dass eine Verbindung mit PPP oder der Zugang zu einem Netzwerk erst nach erfolgreich abgeschlossener Authentifizierung möglich ist.
Im Gegensatz zu PPP ist EAP nicht auf Internet-Zugänge über Analogmodem- und ISDN-Verbindungen oder Festverbindungen beschränkt. Es findet zum Beispiel auch Anwendung im LAN und WLAN. Außerdem bietet EAP sicherere Verschlüsselungsverfahren an, als sie von PPP unterstützt werden. Geschickterweise ist EAP ein Framework, dass sich jederzeit um weitere Verfahren erweitern lässt.

EAP ist ein einfaches Protokoll. Es kennt nur Authentifizierungs-Requests und -Replies. Es arbeitet üblicherweise auf der Schicht 2 des OSI-Schichtenmodells. Allerdings ist es nicht an diese Schicht gebunden. Je nach dem, auf welcher Schicht EAP arbeitet, überträgt es die Authentifizierunggsdaten im Klartext. Das macht den Authentifizierunggsprozess nicht besonders sicher. Allerdings gibt es EAP-Varianten, die eine verschlüsselte und gesicherte EAP-Kommunikation vorsehen.

EAP implementiert verschiedene Verfahren zur Nutzer-Authentifizierung:

• Nutzerkennung/Passwort
• Challenge/Response-Verfahren
• Signaturkarten-Systeme (Authentifizierung des Netzes gegenüber dem Client möglich)

EAP-Varianten

Das ursprüngliche EAP gilt als nicht besonders sicher. Daher wurden sicherere Varianten entwickelt. EAP unterstützt verschiedene kryptografisch gesicherte Methoden. So kann im LAN oder WLAN, zum Beispiel EAP over LAN (EAPoL) oder EAP-TLS verwendet werden.

• LEAP - Lightweight EAP (von Cisco)
• EAP-TLS - EAP mit TLS (Kryptoschutz)
• EAP-TTLS - EAP mit Tunnelled TLS (Variante von EAP-TLS)
• PEAP - Protected EAP (geschütztes EAP)