web-dev-qa-db-fra.com

Pourquoi utiliseriez-vous EAP-TTLS au lieu de PEAP?

Comme j'ai compris le PEA-TTLS et PEEP, partagent le même niveau de sécurité lors de la mise en œuvre dans les réseaux sans fil. Les deux fournissent uniquement l'authentification du côté serveur via un certificat.

L'inconvénient de EAP-TTLS peut être une prise en charge non native dans Microsoft Windows, de sorte que chaque utilisateur doit installer des logiciels supplémentaires.

L'avantage des EAP-TTLS peut être un support pour des mécanismes d'authentification moins sécurisés (PAP, CHAP, MS-CHAP), mais pourquoi auriez-vous besoin d'eux dans un système sans fil moderne et correctement sécurisé?

Quels sont vos opinions? Pourquoi devrais-je implémenter EAP-TTLS au lieu de PEAP? Disons que j'ai la plupart des utilisateurs Windows, des utilisateurs de Linux moyennes et des moins d'utilisateurs d'OSX.

11
Ivan Macek

Vous pouvez prendre en charge les deux, si votre RADIUS Backend prend en charge. Cependant, certains clients "Auto" -Connects (Mac OS X> = 10,7 + iOS par exemple), et ils pourraient fonctionner moins que optimal si optimal si Vous prenez en charge plus d'un type, car ils utilisent simplement différentes combinaisons jusqu'à ce que l'un d'entre eux fonctionne, c'est-à-dire qu'ils se connectent avec moins de tracas s'il n'y a qu'un seul moyen de se connecter.

Donc, fondamentalement: Prise en charge de PEAP uniquement, ou PEAP + TTLS si vous avez des clients qui nécessitent des TTLS.

2
Felix Heyn-Johnsen

Restrictions client

  • CLIENTS IOS ne prendra pas en charge EAP-TTLS avec PAP (seulement MsCHAPv2) sauf si vous installez manuellement (via un ordinateur) installer un profil.

  • Clients Windows ne prendra pas en charge EAP-TTLS Out-of-Box (vous aurez besoin d'installer un logiciel comme Secure2W), à moins d'avoir des cartes sans fil Intel.

  • Android Supporte presque toutes les combinaisons de EAP et PEAP.


Restrictions de base de données de mot de passe

Ainsi, le vrai problème est de savoir comment vos mots de passe sont stockés.

S'ils sont dans:

  • Active Directory, alors vous pouvez utiliser EAP-PEAP-MsCHAPv2 (Boîtes Windows) et EAP-TTLS-MsCHAPv2 (avec des clients ios).

  • Si vous stockez des mots de passe sur [~ # ~] LDAP [~ # ~ ~], vous pouvez utiliser EAP-TTLS-PAP (Boîtes de fenêtres) mais vous serez perdu à propos de iOS.


Principaux préoccupations importantes

  • Les deux EAP-TTLS et PEAP utiliser TLS (sécurité de la couche de transport) sur EAP (protocole d'authentification extensible).

Comme vous le savez peut-être, TLS est une version plus récente de SSL et de travaux basés sur des certificats signés par une autorité centrale de confiance (autorité de certification - CA).

Pour établir un tunnel TLS, le client doit confirmer qu'elle parle au bon serveur (dans ce cas, le serveur Radius utilisé pour authentifier les utilisateurs). Cela fait cela en vérifiant si le serveur a présenté un certificat valide, émis par une autorité de certification approuvée.

Le problème est: Normalement, vous n'aurez pas de certificat délivré par une CA de confiance, mais l'une émise par un CA ad-hoc que vous avez faite à cette fin. Le système opérationnel se plaint aux utilisateurs qu'il ne sait pas que la CA et les utilisateurs (aussi orientés par vous) accepteront judicieusement cela.

Mais cela pose un risque de sécurité majeur:

Quelqu'un peut configurer un voyou AP dans votre entreprise (dans un sac ou même sur un ordinateur portable), configurez-le pour parler à son propre serveur Radius (en cours d'exécution sur son ordinateur portable ou à la propre conduite AP).

Si vos clients trouvent ce point d'accès pour avoir un signal plus fort, vos points d'accès vont essayer de le connecter. Voit verra une autorité de certification inconnue (les utilisateurs acceptera), établira un tunnel TLS, enverra des informations d'authentification sur ce tunnel et que le rayon de voyou se connectera.

Maintenant, la partie importante: Si vous utilisez un schéma d'authentification de texte brut (PAP par exemple), le serveur Rogue Radius aura accès aux mots de passe de vos utilisateurs.

Vous pouvez résoudre ce problème en utilisant un certificat valide émis par une autorité de certification IOS, Windows (et Android) Trust. Ou, vous pouvez distribuer le certificat de racine CA à vos utilisateurs et les informer pour refuser la connexion lorsqu'ils voient des problèmes de certificat (bonne chance avec cela).

11
motobói

PEPV0, PEAPV1 et TTLS ont les mêmes propriétés de sécurité.

PEP est un wrapper SSL autour de EAP portant EAP. TTLS est un wrapper SSL autour de diamètre TLVS portant RADIUS Attributs d'authentification.

EAP-TTLS-PAP peut être utile sur EAP-PEP Si la base de données de la base de données de Backend Authentification Store Les informations d'identification dans un format de hachage non inversable telle que BigCrypt ou tout formulaire non compatible avec MSCHAP (NT-OWF) dans ce cas, il n'est pas possible d'authentifier l'utilisation de n'importe laquelle des méthodes basées sur le chap.

Bien que vous puissiez également imiter PAP à l'aide de EAP-PAIRPV1-GTC, il n'est pas aussi largement pris en charge par les clients.

PEP a quelques bagages ajoutés sur TTLS sous la forme de maux de tête de négociation de la version PEAP et d'incompatibilités historiques dans Peacv1 (telle que la magie du client lorsqu'elle dérive la clé principale du FRP) qui se rendaient dans les premières implémentations.

Je vois normalement les EAP-TTLS implémentées dans des clients intégrés tels que des modules d'abonnés dans un équipement sans fil avec PEAP utilisé plus par des ordinateurs portables et des combinés mobiles.

EAP-TTLS n'a toujours pas été pris en charge dans Windows Clients sans avoir à installer des logiciels tiers. EAP-TTLS est maintenant pris en charge à partir de Windows 8.

Quelques réflexions supplémentaires:

EAP-TTLS a été inventé par un RADIUS Vendor. EAP-PAIRPV0 a été inventé par Microsoft. EAP-PAIRPV1 est sorti du processus IETF.

Il y avait quelques travaux d'IETF supplémentaires sur un PEAPV2 qui aurait rendu le système plus sécurisé à titre de liaison de crypto aux méthodes d'authentification intérieure. Cela n'est allé nulle part aussi près que je peux dire.

8
disk eater

En tant que mangeur de disque, la principale raison que les personnes utilisent TTLS. Vous pouvez autoriser votre serveur RADIUS de voir le mot de passe ClearText de cette manière, ce qui peut être utile en fonction de votre backend d'authentification.

Une considération récente qui pourrait favoriser PEAP est que SOH est Afaict uniquement présenté au fichier RADIUS Server si elle le demande, et le seul moyen de le demander sur Microsoft Systems est pendant une session de PAE. Donc, si vous souhaitez obtenir une évaluation ressemblant à un agent hors de l'évaluation sans agent (prise en charge par plus de fournisseurs AV probablement à venir), vous voudriez que Pe-Pep, cependant, si vous souhaitez travailler autour d'un facteur 1 OAUTH = Backend en prenant un mot de passe nue (parce que Heck, les gros IDPS qui ne fourniront pas de service de tunnel intérieur ne méritent pas moins et que leurs utilisateurs sont suffisamment désemparés pour le taper dans) Utiliser des TTLS.

2
skids

Vous devez déterminer quelles méthodes EAP le client prend en charge Nativement contre avec des logiciels supplémentaires et quelles méthodes d'authentification intérieures Le serveur prend en charge.

PEP et EAP-TTLS sont conçus pour vous permettre de valider l'identifiant du serveur, mais vous devez vous assurer que les clients sont correctement configurés pour valider le certificat.

PEAP et MS-CHAPV2 sont bien soutenus par des clients, mais si votre serveur ne prend pas en charge MS-CHAPV2 (car vous ne stockez pas de mots de passe ClearText), vous devez trouver une autre solution. C'est la raison principale que vous verrez que les gens utilisent EAP-TTLS et PAP.

1
Jason Luther

Je pense que AUTO-Connect bénéficierait des deux options, plus les options sont les plus haussées ... par exemple. Si Auto-Connect tente d'abord TTLS-PAP d'abord, puis de PEP-MSCHAP, l'auto-connexion est plus rapide avec TTLS-PAP disponible. Donc, fondamentalement: Soutenir les deux, je ne peux pas voir un inconvénient.

Puisque Mschaps Security est cassé (Google pour "Crack Mschap") Pap avec ClearText Mot de passe via TTLS a le même niveau de sécurité que PEAP-MSCHAP.

1
user212628