Mengapa Anda menggunakan EAP-TTLS alih-alih PEAP?

11

Seperti yang saya pahami, EAP-TTLS dan PEAP berbagi tingkat keamanan yang sama ketika diterapkan dalam jaringan nirkabel. Keduanya hanya menyediakan otentikasi sisi server melalui sertifikat.

Kelemahan EAP-TTLS dapat berupa dukungan non-asli di Microsoft Windows sehingga setiap pengguna harus menginstal perangkat lunak tambahan.

Manfaat EAP-TTLS dapat menjadi dukungan untuk mekanisme otentikasi yang kurang aman (PAP, CHAP, MS-CHAP) tetapi mengapa Anda membutuhkannya dalam sistem nirkabel yang modern dan aman?

Apa pendapat anda Mengapa saya harus menerapkan EAP-TTLS alih-alih PEAP? Katakanlah saya memiliki sebagian besar pengguna Windows, pengguna Linux menengah dan pengguna iOS, OSX yang paling sedikit.

Ivan Macek
sumber

Jawaban:

2

Anda dapat mendukung keduanya, jika backend RADIUS Anda mendukungnya. Namun beberapa klien "otomatis" -koneksi (Mac OS X> = 10.7 + iOS misalnya), dan mereka mungkin bekerja kurang optimal jika Anda mendukung lebih dari satu jenis, karena mereka hanya mencoba kombinasi yang berbeda sampai salah satu dari mereka berfungsi yaitu mereka terhubung dengan lebih sedikit kerumitan jika hanya ada satu cara untuk terhubung.

Jadi Pada dasarnya: mendukung PEAP saja, atau PEAP + TTLS jika Anda memiliki klien yang membutuhkan TTLS.

Felix Heyn-Johnsen
sumber
11

Pembatasan klien

  • Klien iOS tidak akan mendukung EAP-TTLSdengan PAP(hanya MsCHAPv2) kecuali Anda secara manual (melalui komputer) memasang profil.

  • Klien Windows tidak akan mendukung EAP-TTLSout-of-box (Anda harus menginstal perangkat lunak seperti secure2w), kecuali mereka memiliki kartu nirkabel Intel.

  • Android mendukung hampir semua kombinasi EAPdan PEAP.


Batasan basis data kata sandi

Jadi, masalah sebenarnya adalah bagaimana kata sandi Anda disimpan.

Jika mereka ada di:

  • Direktori Aktif , maka Anda dapat menggunakan EAP-PEAP-MsCHAPv2(kotak Windows) dan EAP-TTLS-MsCHAPv2(dengan klien iOS).

  • Jika Anda menyimpan kata sandi di LDAP , Anda dapat menggunakan EAP-TTLS-PAP(kotak Windows) tetapi Anda akan kehilangan tentang iOS.


Masalah Keamanan Penting

  • Keduanya EAP-TTLSdan PEAPgunakan TLS(Transport Layer Security) over EAP(Extensible Authentication Protocol).

Seperti yang Anda ketahui, TLSadalah versi yang lebih baru SSLdan berfungsi berdasarkan sertifikat yang ditandatangani oleh otoritas pusat tepercaya (Otoritas Sertifikasi - CA).

Untuk membangun sebuah TLSterowongan, klien harus mengonfirmasi sedang berbicara ke server yang benar (Dalam hal ini, server radius digunakan untuk mengautentikasi pengguna). Itu dilakukan dengan memeriksa apakah server menyajikan sertifikat yang valid, yang dikeluarkan oleh CA yang tepercaya.

Masalahnya adalah: biasanya, Anda tidak akan memiliki sertifikat yang dikeluarkan oleh CA tepercaya, tetapi sertifikat yang dikeluarkan oleh CA ad-hoc yang Anda buat hanya untuk tujuan ini. Sistem operasional akan mengeluh kepada pengguna bahwa ia tidak tahu bahwa CA dan pengguna (yang berorientasi pada Anda) akan dengan senang hati menerimanya.

Tetapi ini menimbulkan risiko keamanan utama:

Seseorang dapat memasang AP nakal di dalam bisnis Anda (dalam tas atau bahkan di laptop), mengkonfigurasinya untuk berbicara dengan server radius sendiri (berjalan di laptop-nya atau di AP nakal sendiri).

Jika klien Anda menemukan AP ini memiliki sinyal yang lebih kuat dari titik akses Anda, mereka akan mencoba menghubungkannya. Akan melihat CA yang tidak dikenal (pengguna menerima), akan membuat TLSterowongan, akan mengirim informasi otentikasi pada terowongan ini dan jari-jari jahat akan mencatatnya.

Sekarang bagian yang penting: jika Anda menggunakan skema otentikasi teks biasa ( PAPmisalnya), server radius nakal akan memiliki akses ke kata sandi pengguna Anda.

Anda dapat mengatasinya dengan menggunakan sertifikat yang valid yang dikeluarkan oleh Otoritas Sertifikasi yang dipercaya oleh iOS, Windows (dan Android). Atau, Anda dapat mendistribusikan sertifikat root CA untuk pengguna Anda dan memberi tahu mereka untuk menolak koneksi ketika mereka melihat masalah sertifikat (semoga sukses dengan itu).

motobói
sumber
1
benar-benar hebat & terima kasih telah meningkatkan pengetahuan keamanan yang solid di sini
bourneN5years
8

PEAPv0, PEAPv1 dan TTLS memiliki sifat keamanan yang sama.

PEAP adalah pembungkus SSL di sekitar EAP yang membawa EAP. TTLS adalah pembungkus SSL di sekitar TLV berdiameter yang membawa atribut otentikasi RADIUS.

EAP-TTLS-PAP dapat berguna daripada EAP-PEAP jika backend otentikasi database menyimpan kredensial dalam format hash yang tidak dapat dibalik seperti bigcrypt atau bentuk apa pun yang tidak kompatibel dengan MSCHAP (NT-OWF). Dalam hal ini tidak mungkin untuk mengotentikasi menggunakan salah satu metode berbasis CHAP.

Meskipun Anda juga bisa meniru PAP menggunakan EAP-PEAPv1-GTC ini tidak didukung secara luas oleh klien.

PEAP memiliki beberapa bagasi tambahan atas TTLS dalam bentuk sakit kepala negosiasi versi PEAP dan ketidakcocokan historis dalam PEAPv1 (Seperti sihir klien ketika mendapatkan kunci utama dari PRF) yang telah membuat jalan mereka ke implementasi awal.

Saya biasanya melihat EAP-TTLS diimplementasikan pada klien yang tertanam seperti modul pelanggan pada peralatan nirkabel dengan PEAP yang lebih banyak digunakan oleh komputer laptop dan ponsel.

EAP-TTLS secara historis tidak didukung di klien Windows tanpa harus menginstal perangkat lunak pihak ketiga. EAP-TTLS sekarang didukung mulai dengan Windows 8.

Beberapa pemikiran tambahan:

EAP-TTLS ditemukan oleh vendor RADIUS. EAP-PEAPv0 diciptakan oleh Microsoft. EAP-PEAPv1 keluar dari proses IETF.

Ada beberapa pekerjaan IETF tambahan pada PEAPv2 yang akan membuat sistem lebih aman dengan cara pengikatan kripto dengan metode otentikasi dalam. Ini belum terjadi sejauh yang saya tahu.

pemakan disk
sumber
2

Sebagai pemakan disk menulis, alasan utama orang menggunakan TTLS adalah Anda dapat mengizinkan server radius Anda untuk melihat kata sandi cleartext seperti itu, yang dapat berguna tergantung pada backend otentikasi Anda.

Pertimbangan yang lebih baru yang mungkin mendukung PEAP adalah bahwa SoH adalah AFAICT hanya disajikan ke server RADIUS jika memintanya, dan satu-satunya cara untuk memintanya pada sistem Microsoft adalah selama sesi PEAP. Jadi jika Anda ingin mendapatkan penilaian seperti agen dari penilaian tanpa agen (dukungan oleh lebih banyak vendor AV mungkin akan hadir), Anda ingin PEAP, namun jika Anda mencari untuk bekerja di sekitar backend 1-faktor OAUTH dengan mengambil kata sandi telanjang (karena heck, IDP besar yang tidak akan menyediakan layanan terowongan batin layak tidak kurang dan penggunanya cukup tahu untuk mengetiknya) menggunakan TTLS.

meluncur
sumber
1

Anda harus mempertimbangkan metode EAP apa yang didukung klien secara native vs dengan perangkat lunak tambahan dan metode otentikasi internal apa yang didukung server.

PEAP dan EAP-TTLS dirancang untuk memungkinkan Anda memvalidasi identitas server, tetapi Anda harus memastikan bahwa klien dikonfigurasi dengan benar untuk memvalidasi sertifikat.

PEAP dan MS-CHAPv2 didukung dengan baik oleh klien, tetapi jika server Anda tidak mendukung MS-CHAPv2 (karena Anda tidak menyimpan kata sandi cleartext), Anda harus membuat solusi lain. Itulah alasan utama Anda akan melihat orang menggunakan EAP-TTLS dan PAP.

Jason Luther
sumber
1

Saya pikir terhubung otomatis akan mendapat manfaat dari kedua opsi, semakin banyak pilihan semakin sedikit kerumitan ... misalnya. jika koneksi otomatis mencoba TTLS-PAP terlebih dahulu dan kemudian PEAP-MSCHAP, koneksi otomatis lebih cepat dengan TTLS-PAP tersedia. Jadi pada dasarnya: mendukung keduanya, saya tidak dapat melihat kerugian.

Karena keamanan MSCHAP rusak (google untuk "crack mschap") pap dengan kata sandi teks-bersih melalui ttls memiliki tingkat keamanan yang sama dengan PEAP-MSCHAP.

pengguna212628
sumber
-3

Saya tidak tahu ada perbedaan dalam keamanan antara EAP-TTLS dan PEAP, jadi pada dasarnya turun untuk mendukung, di mana PEAP adalah pemenangnya.

Mgorven
sumber