Client-Einschränkungen
iOS - Clients werden nicht unterstützt EAP-TTLS
mit PAP
(nur MsCHAPv2
) , wenn Sie manuell (über einen Computer) installieren Sie ein Profil.
Windows-Clients unterstützen EAP-TTLS
Out-of-Box nicht (Sie müssen eine Software wie Secure2W installieren), es sei denn, sie verfügen über Intel Wireless-Karten.
Android unterstützt fast alle Kombinationen von EAP
und PEAP
.
Einschränkungen der Kennwortdatenbank
Das eigentliche Problem ist also, wie Ihre Passwörter gespeichert werden.
Wenn sie in sind:
Active Directory , dann können Sie EAP-PEAP-MsCHAPv2
(Windows-Boxen) und EAP-TTLS-MsCHAPv2
(mit iOS-Clients) verwenden.
Wenn Sie Kennwörter in LDAP speichern , können Sie diese verwenden EAP-TTLS-PAP
(Windows-Boxen), aber Sie werden über iOS verloren gehen.
Wichtige Sicherheitsbedenken
- Beides
EAP-TTLS
und PEAP
verwenden TLS
(Transport Layer Security) über EAP
(Extensible Authentication Protocol).
Wie Sie vielleicht wissen, TLS
handelt es sich um eine neuere Version von SSL
und basiert auf Zertifikaten, die von einer vertrauenswürdigen zentralen Behörde (Certification Authority - CA) signiert wurden.
Um einen TLS
Tunnel einzurichten, muss der Client bestätigen, dass er mit dem richtigen Server spricht (in diesem Fall dem Radius-Server, der zur Authentifizierung von Benutzern verwendet wird). Dazu wird überprüft, ob der Server ein gültiges Zertifikat vorgelegt hat, das von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.
Das Problem ist: Normalerweise wird kein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt, sondern eines von einer Ad-hoc-Zertifizierungsstelle, die Sie nur für diesen Zweck erstellt haben. Das Betriebssystem wird sich bei den Benutzern beschweren, dass es nicht weiß, dass CA und Benutzer (wie von Ihnen orientiert) dies gerne akzeptieren.
Dies birgt jedoch ein großes Sicherheitsrisiko:
Jemand kann einen Rogue-AP in Ihrem Unternehmen einrichten (in einer Tasche oder sogar auf einem Laptop) und ihn so konfigurieren, dass er mit seinem eigenen Radius-Server (der auf seinem Laptop oder auf dem eigenen Rogue-AP ausgeführt wird) kommuniziert.
Wenn Ihre Kunden feststellen, dass dieser AP ein stärkeres Signal als Ihre Access Points hat, versuchen sie, eine Verbindung zu ihm herzustellen. Wird eine unbekannte Zertifizierungsstelle sehen (Benutzer akzeptieren), wird einen TLS
Tunnel einrichten , Authentifizierungsinformationen zu diesem Tunnel senden und der Schurkenradius wird diese protokollieren.
Jetzt der wichtige Teil: Wenn Sie beispielsweise ein Nur-Text-Authentifizierungsschema verwenden PAP
, hat der Rogue-Radius-Server Zugriff auf die Kennwörter Ihrer Benutzer.
Sie können dieses Problem lösen, indem Sie ein gültiges Zertifikat verwenden, das von einer Zertifizierungsstelle sowohl für iOS als auch für Windows (und Android) ausgestellt wurde. Sie können das CA-Stammzertifikat auch an Ihre Benutzer verteilen und sie darüber informieren, die Verbindung zu verweigern, wenn sie Zertifikatsprobleme feststellen (viel Glück damit).
PEAPv0, PEAPv1 und TTLS haben dieselben Sicherheitseigenschaften.
PEAP ist ein SSL-Wrapper um EAP, der EAP trägt. TTLS ist ein SSL-Wrapper um TLVs mit Durchmesser, die RADIUS-Authentifizierungsattribute tragen.
EAP-TTLS-PAP kann über EAP-PEAP nützlich sein, wenn Anmeldeinformationen der Backend-Authentifizierungsdatenbank in einem nicht umkehrbaren Hash-Format wie Bigcrypt oder einer anderen Form, die nicht mit MSCHAP (NT-OWF) kompatibel ist, gespeichert werden. In diesem Fall ist eine Authentifizierung mit nicht möglich eine der CHAP-basierten Methoden.
Sie können PAP auch mit EAP-PEAPv1-GTC emulieren, dies wird jedoch von Clients nicht so häufig unterstützt.
PEAP hat etwas zusätzliches Gepäck über TTLS in Form von Kopfschmerzen bei der Aushandlung von PEAP-Versionen und historischen Inkompatibilitäten in PEAPv1 (z. B. Client-Magie beim Ableiten des Hauptschlüssels von PRF), die Eingang in frühe Implementierungen gefunden haben.
Normalerweise wird EAP-TTLS in eingebetteten Clients wie Teilnehmermodulen in drahtlosen Geräten implementiert, wobei PEAP häufiger von Laptops und Mobiltelefonen verwendet wird.
EAP-TTLS wurde in Windows-Clients in der Vergangenheit nicht unterstützt, ohne dass Software von Drittanbietern installiert werden musste. EAP-TTLS wird jetzt ab Windows 8 unterstützt.
Einige zusätzliche Gedanken:
EAP-TTLS wurde von einem RADIUS-Anbieter erfunden. EAP-PEAPv0 wurde von Microsoft erfunden. EAP-PEAPv1 ist aus dem IETF-Prozess hervorgegangen.
Es gab einige zusätzliche IETF-Arbeiten an einem PEAPv2, die das System durch Kryptobindungen an innere Authentifizierungsmethoden sicherer gemacht hätten. Dies ist nicht annähernd so nahe gekommen, wie ich es beurteilen kann.
quelle
Wie der Festplattenfresser schrieb, besteht der Hauptgrund für die Verwendung von TTLS darin, dass Sie Ihrem Radius-Server erlauben können, das Klartext-Kennwort auf diese Weise anzuzeigen, was abhängig von Ihrem Authentifizierungs-Backend nützlich sein kann.
Eine neuere Überlegung, die PEAP begünstigen könnte, ist, dass SoH AFAICT nur dann dem RADIUS-Server präsentiert wird, wenn er danach fragt, und die einzige Möglichkeit, auf Microsoft-Systemen danach zu fragen, ist während einer PEAP-Sitzung. Wenn Sie also eine agentenähnliche Bewertung aus einer agentenlosen Bewertung herausholen möchten (Unterstützung durch weitere AV-Anbieter wahrscheinlich in Kürze), möchten Sie PEAP. Wenn Sie jedoch ein 1-Faktor-OAUTH-Backend umgehen möchten, indem Sie ein nacktes Passwort verwenden (weil Zum Teufel, die großen IDPs, die keinen inneren Tunnelservice anbieten, verdienen nicht weniger und ihre Benutzer sind ahnungslos genug, um TTLS zu verwenden.
quelle
Sie müssen überlegen, welche EAP-Methoden der Client nativ im Vergleich zu zusätzlicher Software unterstützt und welche inneren Authentifizierungsmethoden der Server unterstützt.
Mit PEAP und EAP-TTLS können Sie die Identität des Servers überprüfen. Sie müssen jedoch sicherstellen, dass die Clients für die Überprüfung des Zertifikats ordnungsgemäß konfiguriert sind.
PEAP und MS-CHAPv2 werden von Clients gut unterstützt. Wenn Ihr Server jedoch MS-CHAPv2 nicht unterstützt (weil Sie keine Klartextkennwörter speichern), müssen Sie eine andere Lösung finden. Dies ist der Hauptgrund, warum Benutzer EAP-TTLS und PAP verwenden.
quelle
Ich denke, die automatische Verbindung würde von beiden Optionen profitieren. Je mehr Optionen, desto weniger Aufwand ... z. Wenn die automatische Verbindung zuerst TTLS-PAP und dann PEAP-MSCHAP versucht, ist die automatische Verbindung mit verfügbarem TTLS-PAP schneller. Also im Grunde: beide unterstützen, ich sehe keinen Nachteil.
Da die Sicherheit von MSCHAPs beeinträchtigt ist (Google für "crack mschap"), hat pap mit Klartextkennwort über ttls die gleiche Sicherheitsstufe wie PEAP-MSCHAP.
quelle
Ich kenne keine Sicherheitsunterschiede zwischen EAP-TTLS und PEAP, daher kommt es im Wesentlichen auf den Support an, bei dem PEAP der Gewinner ist.
quelle