web-dev-qa-db-fra.com

Validation de certificat avec 802.1x PEAP

J'ai récemment appris comment fonctionne WPA-PSK. Si je comprends bien, la poignée de main à 4 voies permet au protocole d'assurer la possession mutuelle de la PMK (et de celui-ci, de la PSK) sans envoyer le PMK/PSK. De cette façon, ce n'est pas susceptible d'une attaque homme-midi.

Ma question est de savoir comment l'authentification mutuelle est-elle assurée en cas de WPA-Enterprise? Je cours 802.1x avec Freeradius et PEAP chez mon réseau à domicile (tout comme un projet de passe-temps) et ça marche, mais je ne suis pas sûr si je comprends Comment Cela fonctionne.

J'utilise PEAP, les clients sont donc authentifiés avec des noms d'utilisateur et des mots de passe. Mais les clients s'assurent-ils que le réseau WiFi qu'ils parlent ne sont pas un homme au milieu? Le serveur d'authentification a un certificat SSL/TLS, mais il est auto-signé. Le certificat Root CA ne devrait-il pas être installé auprès des clients pour que cela fonctionne? Ce n'est pas le cas dans ma configuration, mais tous mes Android Clients se connectent tout simplement bien.

Si ma compréhension susmentionnée est correcte, cela signifierait que WPA-Enterprise avec PEAP est moins sécurisé que WPA-PSK car une attaque homme-intermédiaire est possible d'intercepter les mots de passe. Cela me semble étrange. Y a-t-il une faille dans ma compréhension?

ÉDITER:

J'ai trouvé une réponse partielle dans cet article . Cependant, j'ai toujours des questions sans réponse.

  • Cela signifie-t-il vraiment que ma configuration WPA2-Enterprise PAEP est moins sécurisée que le WPA2-PSK uni? Semble vraiment contre-intuitif car WPA2-PSK est tellement plus simple et nécessite un secret partagé. Comment est possible que WPA2-PSK puisse assurer une authentification mutuelle avec un secret partagé, tandis que WPA2-Enterprise n'est pas?
  • Devrais-je m'inquiéter (et procéder à améliorer/sécuriser ma configuration) ou n'est-ce pas probablement que cela puisse être exploité?
  • Comment rendre les clients validez-vous le certificat du serveur? Est le seul moyen d'installer manuellement les certificats sur tous les clients? (Dans ce cas, si j'ai besoin de distribuer des certificats de toute façon, je peux mieux passer à EAP-TLS)
  • Ou est-il possible d'utiliser un certificat public comme avec HTTPS? Comment cela fonctionnerait-il? Avec HTTPS, votre certificat est "ancré" à votre domaine, que vous avez prouvé à l'autorité de certification. Comment cela fonctionne-t-il avec RADIUS serveurs?

ÉDITER:

Trouvé plus de réponses.

EAP-MS-CHAP-V2 (Protocole d'authentification Microsoft Challenge-Handshake Handshake 2) est une méthode d'authentification mutuelle prenant en charge l'authentification de l'utilisateur ou de l'ordinateur basée sur le mot de passe. Lors du processus d'authentification EAP-MS-CHAP V2, le client et le RADIUS Server doit prouver qu'ils ont une connaissance du mot de passe de l'utilisateur pour une authentification pour réussir. L'authentification mutuelle est fournie en incluant un authentificateur Le paquet est retourné au client après une authentification réussie du serveur.

(Je ne peux pas poster plus de 2 liens, je ne pourrai donc pas fournir une source pour cette citation)

Il est expliqué ici que la deuxième étape/protocole d'authentification interne, MS-CHAPV2, est également un protocole d'authentification mutuelle également. Cela a du sens maintenant.

Cependant, cet article suggère que MS-CHAPV2 n'est plus en sécurité. Depuis que je vous félicite sur les propriétés d'authentification mutuelles de MS-CHAPV2 dans ma configuration WPA2-Enterprise, existe-t-il des alternatives à MS-CHAPV2 qui sont plus sécurisées?

ÉDITER:

Je viens de découvrir que EAP-PWD, un nouveau protocole d'authentification EAP à un seul étage censé être plus fort que PEAPV0/EAP-MSCHAPV2, fournit une authentification mutuelle et n'a pas besoin de certificats SSL/TLS.

EAP-PWD est hautement sécurisé (le mot de passe n'est jamais transmis, même sous forme cryptée), et ne nécessite pas de certificats PKI, et ne nécessite également que 3 voyages ronds d'authentification. Il est donc jugé efficace de déployer par exemple Eduroam et d'autres environnements. Nécessite que la base de données utilisateur du radiateur ait accès au mot de passe en clairon.

Le seul problème semble être que ce n'est pas encore largement adopté. =Android (> 4.0) fait le supporte cependant, ce qui est agréable. Mais je n'ai toujours pas pu trouver beaucoup d'informations À ce sujet et par le look de celui-ci, Windows ne le supporte pas.

authenticationwifiwpa2radiuspeap
4
Compizfox

Comment rendre les clients validez-vous le certificat du serveur? Est le seul moyen d'installer manuellement les certificats sur tous les clients? (Dans ce cas, si j'ai besoin de distribuer des certificats de toute façon, je peux mieux passer à EAP-TLS)

Il vous suffit d'installer le certificat public de l'autorité de certification sur votre appareil. Mon RADIUS utilise un certificat de serveur auto-roulant émis par une CA auto-signée et fonctionne simplement bien. Lors de l'importation de certificats sur mon Android, je devais choisir entre "VPN et applications" et "WLAN ". Ce dernier est le bon pour le certificat de CA à utiliser pour la connexion d'un réseau WiFi.

En outre, voici un petit conseil. J'ai désactivé des protocoles faibles sur mon freeradius et que mes clients ne peuvent donc pas se connecter à mon réseau WiFi sans le certificat de l'autorité de certification.

0
christopher westburry