Pembatasan klien
Klien iOS tidak akan mendukung EAP-TTLS
dengan PAP
(hanya MsCHAPv2
) kecuali Anda secara manual (melalui komputer) memasang profil.
Klien Windows tidak akan mendukung EAP-TTLS
out-of-box (Anda harus menginstal perangkat lunak seperti secure2w), kecuali mereka memiliki kartu nirkabel Intel.
Android mendukung hampir semua kombinasi EAP
dan PEAP
.
Batasan basis data kata sandi
Jadi, masalah sebenarnya adalah bagaimana kata sandi Anda disimpan.
Jika mereka ada di:
Direktori Aktif , maka Anda dapat menggunakan EAP-PEAP-MsCHAPv2
(kotak Windows) dan EAP-TTLS-MsCHAPv2
(dengan klien iOS).
Jika Anda menyimpan kata sandi di LDAP , Anda dapat menggunakan EAP-TTLS-PAP
(kotak Windows) tetapi Anda akan kehilangan tentang iOS.
Masalah Keamanan Penting
- Keduanya
EAP-TTLS
dan PEAP
gunakan TLS
(Transport Layer Security) over EAP
(Extensible Authentication Protocol).
Seperti yang Anda ketahui, TLS
adalah versi yang lebih baru SSL
dan berfungsi berdasarkan sertifikat yang ditandatangani oleh otoritas pusat tepercaya (Otoritas Sertifikasi - CA).
Untuk membangun sebuah TLS
terowongan, klien harus mengonfirmasi sedang berbicara ke server yang benar (Dalam hal ini, server radius digunakan untuk mengautentikasi pengguna). Itu dilakukan dengan memeriksa apakah server menyajikan sertifikat yang valid, yang dikeluarkan oleh CA yang tepercaya.
Masalahnya adalah: biasanya, Anda tidak akan memiliki sertifikat yang dikeluarkan oleh CA tepercaya, tetapi sertifikat yang dikeluarkan oleh CA ad-hoc yang Anda buat hanya untuk tujuan ini. Sistem operasional akan mengeluh kepada pengguna bahwa ia tidak tahu bahwa CA dan pengguna (yang berorientasi pada Anda) akan dengan senang hati menerimanya.
Tetapi ini menimbulkan risiko keamanan utama:
Seseorang dapat memasang AP nakal di dalam bisnis Anda (dalam tas atau bahkan di laptop), mengkonfigurasinya untuk berbicara dengan server radius sendiri (berjalan di laptop-nya atau di AP nakal sendiri).
Jika klien Anda menemukan AP ini memiliki sinyal yang lebih kuat dari titik akses Anda, mereka akan mencoba menghubungkannya. Akan melihat CA yang tidak dikenal (pengguna menerima), akan membuat TLS
terowongan, akan mengirim informasi otentikasi pada terowongan ini dan jari-jari jahat akan mencatatnya.
Sekarang bagian yang penting: jika Anda menggunakan skema otentikasi teks biasa ( PAP
misalnya), server radius nakal akan memiliki akses ke kata sandi pengguna Anda.
Anda dapat mengatasinya dengan menggunakan sertifikat yang valid yang dikeluarkan oleh Otoritas Sertifikasi yang dipercaya oleh iOS, Windows (dan Android). Atau, Anda dapat mendistribusikan sertifikat root CA untuk pengguna Anda dan memberi tahu mereka untuk menolak koneksi ketika mereka melihat masalah sertifikat (semoga sukses dengan itu).
PEAPv0, PEAPv1 dan TTLS memiliki sifat keamanan yang sama.
PEAP adalah pembungkus SSL di sekitar EAP yang membawa EAP. TTLS adalah pembungkus SSL di sekitar TLV berdiameter yang membawa atribut otentikasi RADIUS.
EAP-TTLS-PAP dapat berguna daripada EAP-PEAP jika backend otentikasi database menyimpan kredensial dalam format hash yang tidak dapat dibalik seperti bigcrypt atau bentuk apa pun yang tidak kompatibel dengan MSCHAP (NT-OWF). Dalam hal ini tidak mungkin untuk mengotentikasi menggunakan salah satu metode berbasis CHAP.
Meskipun Anda juga bisa meniru PAP menggunakan EAP-PEAPv1-GTC ini tidak didukung secara luas oleh klien.
PEAP memiliki beberapa bagasi tambahan atas TTLS dalam bentuk sakit kepala negosiasi versi PEAP dan ketidakcocokan historis dalam PEAPv1 (Seperti sihir klien ketika mendapatkan kunci utama dari PRF) yang telah membuat jalan mereka ke implementasi awal.
Saya biasanya melihat EAP-TTLS diimplementasikan pada klien yang tertanam seperti modul pelanggan pada peralatan nirkabel dengan PEAP yang lebih banyak digunakan oleh komputer laptop dan ponsel.
EAP-TTLS secara historis tidak didukung di klien Windows tanpa harus menginstal perangkat lunak pihak ketiga. EAP-TTLS sekarang didukung mulai dengan Windows 8.
Beberapa pemikiran tambahan:
EAP-TTLS ditemukan oleh vendor RADIUS. EAP-PEAPv0 diciptakan oleh Microsoft. EAP-PEAPv1 keluar dari proses IETF.
Ada beberapa pekerjaan IETF tambahan pada PEAPv2 yang akan membuat sistem lebih aman dengan cara pengikatan kripto dengan metode otentikasi dalam. Ini belum terjadi sejauh yang saya tahu.
sumber
Sebagai pemakan disk menulis, alasan utama orang menggunakan TTLS adalah Anda dapat mengizinkan server radius Anda untuk melihat kata sandi cleartext seperti itu, yang dapat berguna tergantung pada backend otentikasi Anda.
Pertimbangan yang lebih baru yang mungkin mendukung PEAP adalah bahwa SoH adalah AFAICT hanya disajikan ke server RADIUS jika memintanya, dan satu-satunya cara untuk memintanya pada sistem Microsoft adalah selama sesi PEAP. Jadi jika Anda ingin mendapatkan penilaian seperti agen dari penilaian tanpa agen (dukungan oleh lebih banyak vendor AV mungkin akan hadir), Anda ingin PEAP, namun jika Anda mencari untuk bekerja di sekitar backend 1-faktor OAUTH dengan mengambil kata sandi telanjang (karena heck, IDP besar yang tidak akan menyediakan layanan terowongan batin layak tidak kurang dan penggunanya cukup tahu untuk mengetiknya) menggunakan TTLS.
sumber
Anda harus mempertimbangkan metode EAP apa yang didukung klien secara native vs dengan perangkat lunak tambahan dan metode otentikasi internal apa yang didukung server.
PEAP dan EAP-TTLS dirancang untuk memungkinkan Anda memvalidasi identitas server, tetapi Anda harus memastikan bahwa klien dikonfigurasi dengan benar untuk memvalidasi sertifikat.
PEAP dan MS-CHAPv2 didukung dengan baik oleh klien, tetapi jika server Anda tidak mendukung MS-CHAPv2 (karena Anda tidak menyimpan kata sandi cleartext), Anda harus membuat solusi lain. Itulah alasan utama Anda akan melihat orang menggunakan EAP-TTLS dan PAP.
sumber
Saya pikir terhubung otomatis akan mendapat manfaat dari kedua opsi, semakin banyak pilihan semakin sedikit kerumitan ... misalnya. jika koneksi otomatis mencoba TTLS-PAP terlebih dahulu dan kemudian PEAP-MSCHAP, koneksi otomatis lebih cepat dengan TTLS-PAP tersedia. Jadi pada dasarnya: mendukung keduanya, saya tidak dapat melihat kerugian.
Karena keamanan MSCHAP rusak (google untuk "crack mschap") pap dengan kata sandi teks-bersih melalui ttls memiliki tingkat keamanan yang sama dengan PEAP-MSCHAP.
sumber
Saya tidak tahu ada perbedaan dalam keamanan antara EAP-TTLS dan PEAP, jadi pada dasarnya turun untuk mendukung, di mana PEAP adalah pemenangnya.
sumber