In che modo EAP / PEAP si integra con i moderni protocolli di sicurezza?

5

Come esattamente Extensible Authentication Protocol (EAP) / EAP protetto si integra nei moderni protocolli di sicurezza?

Quello che so (o non so) fino ad ora ...

Viene utilizzato dalle reti wireless che utilizzano metodi di autenticazione basati su Point to Point Protocol (PPP). Ho cercato, ma non riesco a trovare una risposta che abbia senso per me. Il nome implica che si tratta di un protocollo, ma da quello che ho letto gli articoli lo chiamano un Framework di autenticazione . Esistono definizioni di tutti i principali protocolli / algoritmi di sicurezza; per esempio. MD5, SHA1, ISAKMP, TLS, ecc.

Ho provato a guardare le acquisizioni di wireshark con il traffico di dati EAP. Esempio di CloudShark . Ma le descrizioni dei dati sono meno utili. Ecco una descrizione del "flusso di dati" del protocollo . L'immagine è molto utile, ma ciò che mi confonde sono gli scambi di "metodi EAP". Che sembrano quasi analoghi alle suite di crittografia SSL / TLS.

EAP è un modo per i protocolli wireless di concordare algoritmi e ogni dispositivo fornisce la propria implementazione conforme a questo framework?

In tal caso, perché esiste un EAP-TLS? Questo sembra mettere un altro strato aggiunto sul filo solo per l'esecuzione di TLS. Qualcuno può riempire le lacune per me?

    
posta RoraΖ 02.10.2014 - 21:27
fonte

3 risposte

4

La tua comprensione è già abbastanza buona. Come dici tu, ci sono una varietà di protocolli EAP: LEAP, PEAP, EAP-FAST, EAP-TLS, ecc. Ognuno funziona in modo diverso, ma tutti fanno la stessa cosa: autenticare un utente prima di consentire l'accesso a una rete wireless . Potresti chiamare EAP un protocollo o chiamarlo framework di protocolli, dove ogni variante come EAP-FAST è un protocollo. Non fa molta differenza, e trovo che i diversi documenti non sono sempre coerenti tra loro (o anche internamente!)

Per rispondere alla tua domanda in grassetto, in fondo è sì. Un client e un punto di accesso avranno determinati EAP abilitati e, se supportano lo stesso, il client può provare ad autenticarsi. Ogni EAP è un protocollo e avrà diverse implementazioni. per esempio. se l'iPhone sta effettuando l'accesso al punto di accesso Cisco utilizzando EAP-TLS, Apple EAP-TLS sta parlando con Cisco EAP-TLS e, poiché il protocollo è standardizzato, dovrebbe (dovrebbe) comunicare correttamente.

Perché c'è un EAP-TLS? Ricorda che l'EAP si verifica prima che al client sia consentito l'accesso alla rete. A quel punto non hanno un indirizzo IP, quindi non è possibile usare il normale TLS. Penso che riutilizzare TLS come parte di EAP sia un'ottima idea - i requisiti di sicurezza sono molto simili per EAP come per HTTPS, quindi ha senso usare un protocollo maturo (nonostante le rivelazioni recenti!).

Una sfida per EAP-TLS (e PEAP) è che il processo di rilascio e verifica dei certificati è meno chiaro. Normalmente l'amministratore di rete deve installare il certificato del punto di accesso su tutti i client. Se la verifica del certificato non viene eseguita, i client sono vulnerabili a un attacco Evil Twin .

    
risposta data 15.10.2014 - 15:44
fonte
1

Quindi spero di non farmi sembrare un idiota, ma cercherò di aiutare a spiegarlo dalla mia comprensione. Dovrei notare, questo non è il mio lavoro a tempo pieno quindi per favore sii gentile se ho qualcosa di veramente off:)

Questi protocolli, e credo che eap sia un protocollo, peap è protetto eap, quindi è probabilmente lo stesso protocollo con crittografia aggiuntiva, vengono usati per autenticare a livello 2. Ciò significa che il client deve comunicare le informazioni di autenticazione ai dispositivi è direttamente collegato a. In passato era piuttosto semplice, ti collegavi su una linea telefonica e inviavi il tuo nome utente e la password di solito in testo chiaro.

Quando Wireless è uscito hanno avuto lo stesso problema da risolvere, hanno dovuto autenticare le persone per consentire l'accesso alla rete in modo che usassero ciò che conoscevano, ppp o altri protocolli che si autenticano sul layer 2, è passato troppo tempo da quando usato dialup quindi non ricordo le diverse opzioni. Il problema ora era che si trattava di un mezzo condiviso, a differenza di una linea telefonica, quindi dovevano sviluppare modi migliori per proteggere il nome utente e la password, hanno iniziato anche questo in dial-up ma non era una preoccupazione enorme perché la maggior parte delle persone non si preoccupava sulla loro linea che viene TAPpata.

Così hanno iniziato a costruire questi metodi più sicuri di autenticazione su Layer 2, quindi è nato eap. Ora di eap, credo, eap TTLS è il più sicuro ma il più difficile da configurare correttamente. EAP-FAST è uno spin-off di TLS in quanto utilizza anche token / certificati ma invece di un modo fuori banda per distribuirli è negoziare questo inband che può renderlo meno sicuro, LEAP credo non sia raccomandato per essere usato ed è stato principalmente utilizzato per la comunicazione AP-AP. In ogni caso, tutti questi metodi utilizzano diversi metodi per stabilire una sessione EAP in modo sicuro al fine di trasferire il nome utente e la password in modo crittografato. Con l'eccezione di TLS, TTLS e PEAP, i metodi usati stabiliscono chiavi attraverso la negoziazione non attraverso qualcosa definito fuori banda, di fuori banda che PEAP può essere configurato per non verificare i certificati, quindi è per questo che credo sia meno sicuro di TLS e TTLS. Una volta stabilito il tunnel crittografato, o le chiavi, il nome utente e la password vengono inviati utilizzando il protocollo interno che può essere chiaro, mschap o altri, non li conoscono in cima alla mia testa, la cosa importante per questa discussione è che sono crittografati al livello 2 del dispositivo di accesso, quindi crittografati tramite PSK dal dispositivo di accesso al server RADIUS. Se la PSK viene appresa e il metodo interno è chiaro, chiunque può annusare il filo e leggere la password in wireshark.

Quindi l'altro lato di questo è la gestione centralizzata, poiché questi dispositivi di comunicazione di livello 2 non possono accedere direttamente al tuo server RADIUS di back-end per autenticare correttamente, quindi parte del ruolo di 802.1x è che il tuo client parla al dispositivo di accesso, cablato o wireless, il dispositivo di accesso parla quindi al livello 3 (IP) al server RADIUS che esegue l'autenticazione e restituisce gli attributi per il controllo degli accessi e lo stato dell'autenticazione, ma è il dispositivo di accesso che imposta il controllo di accesso e negozia con il client direttamente.

Quindi, come si inserisce questo nella sicurezza di oggi?

  1. Consente una gestione centralizzata sicura

  2. Offre crittografia end-to-end

  3. Facilita la concessione sicura del controllo degli accessi alle reti, tramite assegnazioni di vlan e ACL scaricabili

  4. Assorbe la fonte di autenticazione dal dispositivo, ovvero il server RADIUS non è mai raggiungibile dal dispositivo prima dell'autenticazione.

  5. Se fatto bene offre una sicurezza di livello superiore 2 connessioni cablate (anche se questo è discutibile nella mia mente)

Infine, la domanda in grassetto:

EAP è un modo per i protocolli wireless di concordare algoritmi e ogni dispositivo fornisce la propria implementazione conforme a questo framework?

EAP viene utilizzato per definire le chiavi che devono essere utilizzate dagli algoritmi di crittografia simmetrica, credo che come parte della negoziazione EAP negozia anche l'algoritmo di crittografia simmetrica. Ovviamente ciò avverrebbe dopo che l'EAP autentica l'utente.

Quindi fa 2 cose, scambia username / password e trasferisce in modo sicuro le chiavi simmetriche dagli algoritmi negoziati.

    
risposta data 17.10.2014 - 18:51
fonte
0

L'analogo di PPP nel mondo EAP è 802.1x o EAPoL (EAP over LAN). È un protocollo multicast molto semplice che si trova in cima ai frame Ethernet e che è disponibile solo sull'interfaccia stessa.

Da quel momento in poi, spetta all'autenticatore (più comunemente noto come Access Point o NAS) per propagare le informazioni di autenticazione ad un livello superiore (come una delle sub-varianti di EAP), o per inoltrarlo su un server AAA tramite un altro protocollo come RADIUS o Diameter.

Lo stesso protocollo EAP è molto molto di base. Lo scopo è quello di essere il più semplice possibile, in modo che possa essere eseguito sul firmware a bassa specifica che normalmente si trova sui punti di accesso alla rete. EAP espone solo abbastanza a questo attore per determinare se il client è stato autenticato, rifiutato o sono necessarie ulteriori informazioni.

I livelli superiori vengono quindi elaborati da un'autorità centralizzata di livello superiore "più intelligente" sotto forma di server AAA.

Ho spesso pensato a me stesso che questo è un po 'come una bruta guardia di sicurezza in un night-club, che è pagato solo per essere muscoloso, e non si preoccupa veramente di chi sei o da dove vieni. Dietro di lui sullo sfondo c'è una figura oscura che conosce tutte queste cose e quando chiedi alla guardia di entrare guarda al suo capo che annuisce o scuote la testa (o potrebbe venire a parlare con te per ottenere maggiori informazioni se non è sicuro)

Alla guardia, tutto ciò che è importante è il cenno del capo o del micromosso; la figura dell'autorità probabilmente ha molto altro da fare, come valutare il tuo aspetto, vedere se potresti essere un produttore di problemi, o forse il tuo nome è sulla sua lavagna.

Anche questo si ridimensiona bene, perché se la folla diventa più grande puoi aggiungere più guardie, ma hai ancora solo bisogno della singola autorità centrale.

Ok, suppongo che questa intera metafora possa applicarsi davvero a qualsiasi protocollo di autenticazione decentralizzato, ma immagino che il punto che sto cercando di fare sia la semplicità della tua interazione con la guardia e la sua semplice comprensione della situazione.

I diversi metodi con cui l'autorità centrale può determinare la tua idoneità per l'ammissione sono come le versioni specifiche di EAP (EAP-SIM, EAP-MD5). EAP ha solo il compito di supportare un sottoinsieme di base di quelli disponibili, e se il tuo dispositivo non parla quello che è accettato non entrerà (un po 'come sventolare la tua gold-card per il club lungo la strada). / p>

EAP ha anche capacità limitate di tunneling, che possono essere utilizzate per impostare un tunnel tra il tuo dispositivo e l'autorità usando TLS / SSL che può quindi portare un dialogo di autenticazione più dettagliato, magari usando certificati (EAP-TLS), un altro strato di EAP (PEAP) o qualche altro protocollo AAA arbitrario (tunneling su EAP-TTLS). Suppongo che questo sia analogo alla figura dell'autorità che si avvicina a te stesso, sotto l'occhio vigile della guardia.

Suppongo che il punto chiave da prendere sia che tutti capiscano prontamente "Sì", "No" o "maggiori informazioni richieste". Questo è EAP di base. Il ragionamento più sofisticato con cui qualcuno potrebbe ammetterti nella loro Rete è più sfumato ... tipicamente segreto ... e centralizzato, e il mezzo con cui questo viene determinato è incarnato nelle varianti EAP più specifiche che si trovano in cima all'EAP di base.

    
risposta data 17.10.2014 - 17:46
fonte

Leggi altre domande sui tag