Warum sollten Sie EAP-TTLS anstelle von PEAP verwenden?

11

Wie ich verstanden habe, teilen EAP-TTLS und PEAP die gleiche Sicherheitsstufe, wenn sie in drahtlosen Netzwerken implementiert werden. Beide bieten nur eine serverseitige Authentifizierung über ein Zertifikat.

Der Nachteil von EAP-TTLS kann die nicht native Unterstützung in Microsoft Windows sein, sodass jeder Benutzer zusätzliche Software installieren muss.

Der Vorteil von EAP-TTLS kann die Unterstützung weniger sicherer Authentifizierungsmechanismen (PAP, CHAP, MS-CHAP) sein. Warum sollten Sie diese jedoch in modernen und ordnungsgemäß sicheren drahtlosen Systemen benötigen?

Was sind deine Meinungen? Warum sollte ich EAP-TTLS anstelle von PEAP implementieren? Angenommen, ich habe die meisten Windows-Benutzer, mittlere Linux-Benutzer und am wenigsten iOS- und OSX-Benutzer.

Ivan Macek
quelle

Antworten:

2

Sie können beide unterstützen, wenn Ihr RADIUS-Backend dies unterstützt. Einige Clients stellen jedoch "automatische" Verbindungen her (z. B. Mac OS X> = 10.7 + iOS), und sie funktionieren möglicherweise nicht optimal, wenn Sie mehr als einen Typ unterstützen, da sie nur verschiedene Kombinationen ausprobieren, bis einer von ihnen funktioniert, dh sie verbinden mit weniger Aufwand, wenn es nur einen Weg gibt, eine Verbindung herzustellen.

Grundsätzlich gilt: Nur PEAP oder PEAP + TTLS unterstützen, wenn Sie Clients haben, die TTLS benötigen.

Felix Heyn-Johnsen
quelle
11

Client-Einschränkungen

  • iOS - Clients werden nicht unterstützt EAP-TTLSmit PAP(nur MsCHAPv2) , wenn Sie manuell (über einen Computer) installieren Sie ein Profil.

  • Windows-Clients unterstützen EAP-TTLSOut-of-Box nicht (Sie müssen eine Software wie Secure2W installieren), es sei denn, sie verfügen über Intel Wireless-Karten.

  • Android unterstützt fast alle Kombinationen von EAPund PEAP.


Einschränkungen der Kennwortdatenbank

Das eigentliche Problem ist also, wie Ihre Passwörter gespeichert werden.

Wenn sie in sind:

  • Active Directory , dann können Sie EAP-PEAP-MsCHAPv2(Windows-Boxen) und EAP-TTLS-MsCHAPv2(mit iOS-Clients) verwenden.

  • Wenn Sie Kennwörter in LDAP speichern , können Sie diese verwenden EAP-TTLS-PAP(Windows-Boxen), aber Sie werden über iOS verloren gehen.


Wichtige Sicherheitsbedenken

  • Beides EAP-TTLSund PEAPverwenden TLS(Transport Layer Security) über EAP(Extensible Authentication Protocol).

Wie Sie vielleicht wissen, TLShandelt es sich um eine neuere Version von SSLund basiert auf Zertifikaten, die von einer vertrauenswürdigen zentralen Behörde (Certification Authority - CA) signiert wurden.

Um einen TLSTunnel einzurichten, muss der Client bestätigen, dass er mit dem richtigen Server spricht (in diesem Fall dem Radius-Server, der zur Authentifizierung von Benutzern verwendet wird). Dazu wird überprüft, ob der Server ein gültiges Zertifikat vorgelegt hat, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

Das Problem ist: Normalerweise wird kein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt, sondern eines von einer Ad-hoc-Zertifizierungsstelle, die Sie nur für diesen Zweck erstellt haben. Das Betriebssystem wird sich bei den Benutzern beschweren, dass es nicht weiß, dass CA und Benutzer (wie von Ihnen orientiert) dies gerne akzeptieren.

Dies birgt jedoch ein großes Sicherheitsrisiko:

Jemand kann einen Rogue-AP in Ihrem Unternehmen einrichten (in einer Tasche oder sogar auf einem Laptop) und ihn so konfigurieren, dass er mit seinem eigenen Radius-Server (der auf seinem Laptop oder auf dem eigenen Rogue-AP ausgeführt wird) kommuniziert.

Wenn Ihre Kunden feststellen, dass dieser AP ein stärkeres Signal als Ihre Access Points hat, versuchen sie, eine Verbindung zu ihm herzustellen. Wird eine unbekannte Zertifizierungsstelle sehen (Benutzer akzeptieren), wird einen TLSTunnel einrichten , Authentifizierungsinformationen zu diesem Tunnel senden und der Schurkenradius wird diese protokollieren.

Jetzt der wichtige Teil: Wenn Sie beispielsweise ein Nur-Text-Authentifizierungsschema verwenden PAP, hat der Rogue-Radius-Server Zugriff auf die Kennwörter Ihrer Benutzer.

Sie können dieses Problem lösen, indem Sie ein gültiges Zertifikat verwenden, das von einer Zertifizierungsstelle sowohl für iOS als auch für Windows (und Android) ausgestellt wurde. Sie können das CA-Stammzertifikat auch an Ihre Benutzer verteilen und sie darüber informieren, die Verbindung zu verweigern, wenn sie Zertifikatsprobleme feststellen (viel Glück damit).

motobói
quelle
1
wirklich tolles Zeug & danke, dass
du
8

PEAPv0, PEAPv1 und TTLS haben dieselben Sicherheitseigenschaften.

PEAP ist ein SSL-Wrapper um EAP, der EAP trägt. TTLS ist ein SSL-Wrapper um TLVs mit Durchmesser, die RADIUS-Authentifizierungsattribute tragen.

EAP-TTLS-PAP kann über EAP-PEAP nützlich sein, wenn Anmeldeinformationen der Backend-Authentifizierungsdatenbank in einem nicht umkehrbaren Hash-Format wie Bigcrypt oder einer anderen Form, die nicht mit MSCHAP (NT-OWF) kompatibel ist, gespeichert werden. In diesem Fall ist eine Authentifizierung mit nicht möglich eine der CHAP-basierten Methoden.

Sie können PAP auch mit EAP-PEAPv1-GTC emulieren, dies wird jedoch von Clients nicht so häufig unterstützt.

PEAP hat etwas zusätzliches Gepäck über TTLS in Form von Kopfschmerzen bei der Aushandlung von PEAP-Versionen und historischen Inkompatibilitäten in PEAPv1 (z. B. Client-Magie beim Ableiten des Hauptschlüssels von PRF), die Eingang in frühe Implementierungen gefunden haben.

Normalerweise wird EAP-TTLS in eingebetteten Clients wie Teilnehmermodulen in drahtlosen Geräten implementiert, wobei PEAP häufiger von Laptops und Mobiltelefonen verwendet wird.

EAP-TTLS wurde in Windows-Clients in der Vergangenheit nicht unterstützt, ohne dass Software von Drittanbietern installiert werden musste. EAP-TTLS wird jetzt ab Windows 8 unterstützt.

Einige zusätzliche Gedanken:

EAP-TTLS wurde von einem RADIUS-Anbieter erfunden. EAP-PEAPv0 wurde von Microsoft erfunden. EAP-PEAPv1 ist aus dem IETF-Prozess hervorgegangen.

Es gab einige zusätzliche IETF-Arbeiten an einem PEAPv2, die das System durch Kryptobindungen an innere Authentifizierungsmethoden sicherer gemacht hätten. Dies ist nicht annähernd so nahe gekommen, wie ich es beurteilen kann.

Scheibenfresser
quelle
2

Wie der Festplattenfresser schrieb, besteht der Hauptgrund für die Verwendung von TTLS darin, dass Sie Ihrem Radius-Server erlauben können, das Klartext-Kennwort auf diese Weise anzuzeigen, was abhängig von Ihrem Authentifizierungs-Backend nützlich sein kann.

Eine neuere Überlegung, die PEAP begünstigen könnte, ist, dass SoH AFAICT nur dann dem RADIUS-Server präsentiert wird, wenn er danach fragt, und die einzige Möglichkeit, auf Microsoft-Systemen danach zu fragen, ist während einer PEAP-Sitzung. Wenn Sie also eine agentenähnliche Bewertung aus einer agentenlosen Bewertung herausholen möchten (Unterstützung durch weitere AV-Anbieter wahrscheinlich in Kürze), möchten Sie PEAP. Wenn Sie jedoch ein 1-Faktor-OAUTH-Backend umgehen möchten, indem Sie ein nacktes Passwort verwenden (weil Zum Teufel, die großen IDPs, die keinen inneren Tunnelservice anbieten, verdienen nicht weniger und ihre Benutzer sind ahnungslos genug, um TTLS zu verwenden.

Kufen
quelle
1

Sie müssen überlegen, welche EAP-Methoden der Client nativ im Vergleich zu zusätzlicher Software unterstützt und welche inneren Authentifizierungsmethoden der Server unterstützt.

Mit PEAP und EAP-TTLS können Sie die Identität des Servers überprüfen. Sie müssen jedoch sicherstellen, dass die Clients für die Überprüfung des Zertifikats ordnungsgemäß konfiguriert sind.

PEAP und MS-CHAPv2 werden von Clients gut unterstützt. Wenn Ihr Server jedoch MS-CHAPv2 nicht unterstützt (weil Sie keine Klartextkennwörter speichern), müssen Sie eine andere Lösung finden. Dies ist der Hauptgrund, warum Benutzer EAP-TTLS und PAP verwenden.

Jason Luther
quelle
1

Ich denke, die automatische Verbindung würde von beiden Optionen profitieren. Je mehr Optionen, desto weniger Aufwand ... z. Wenn die automatische Verbindung zuerst TTLS-PAP und dann PEAP-MSCHAP versucht, ist die automatische Verbindung mit verfügbarem TTLS-PAP schneller. Also im Grunde: beide unterstützen, ich sehe keinen Nachteil.

Da die Sicherheit von MSCHAPs beeinträchtigt ist (Google für "crack mschap"), hat pap mit Klartextkennwort über ttls die gleiche Sicherheitsstufe wie PEAP-MSCHAP.

user212628
quelle
-3

Ich kenne keine Sicherheitsunterschiede zwischen EAP-TTLS und PEAP, daher kommt es im Wesentlichen auf den Support an, bei dem PEAP der Gewinner ist.

mgorven
quelle