È possibile che una rete 802.1x (PEAP / MSCHAPv2) non abbia un certificato?

1

È possibile che una rete 802.1x (PEAP / MSCHAPv2) non abbia alcun certificato (CA, utente o altro)?

Se sì, quali sono le implicazioni per la sicurezza?

Il motivo per cui lo chiedo è: mi collego regolarmente alla WLAN di una particolare organizzazione e ho l'impressione che non ci sia un certificato in uso. Non ricordo di averne accettato uno e la configurazione del client è la seguente:

    
posta tjt263 29.03.2018 - 06:16
fonte

2 risposte

2

Is it possible for an 802.1x network (PEAP/MSCHAPv2) to have no certificate (CA, user, or otherwise)?

PEAP / MSCHAPv2 in genere non utilizza i certificati client né utilizza direttamente i certificati CA per stabilire una connessione TLS (* vedi sotto). Tuttavia richiede certamente l'uso di un certificato server (PEAP è un protocollo EAP con tunnel TLS).

If so, what are the security implications?

L'immagine che hai fornito indica che probabilmente stai usando qualche forma di * nix che ti offre due opzioni di certificato.

Affrontando prima la seconda opzione (certificato client), la maggior parte degli utenti che si connettono al wireless con una rete che utilizza PEAP / MSCHAPv2 non avrà mai bisogno di questo campo (ho configurato / distribuito migliaia di AP in numerosi ambienti e non ho mai visto questo usato personalmente).

L'opzione importante è la prima, il campo del certificato CA. Perché? Perché questo aiuta a ridurre in modo significativo la possibilità di connettersi a una rete wireless falsa o canaglia cercando di impersonare quello a cui intendi connetterti.

Questo fa sorgere la domanda su come il certificato CA aiuta. Tenere presente che prima di eseguire correttamente l'autenticazione sulla rete, il client non ha accesso alla rete o alle risorse su di esso. L'AP o il controller wireless che funge da NAS (server di accesso alla rete) sta effettuando il proxy della connessione dai dispositivi client EAP supplicant al server di autenticazione RADIUS. Il certificato CA viene utilizzato per aiutare a convalidare l'identità del server di autenticazione RADIUS a cui il supplicant EAP sta autenticando.

In generale, il richiedente EAP deve decidere se inviare il nome utente / password al server di autenticazione senza essere connesso alla rete. Ciò significa che è in grado di funzionare solo con le informazioni che possiede e le informazioni fornite dal server di autenticazione, non può uscire su Internet per controllare un'altra fonte fino a quando non si è autenticata ed è troppo tardi per mantenere il tuo nome utente / password.

Il supplicant EAP fa questo principalmente controllando due cose (con un paio di opzioni presenti in molti supplicant EAP come Windows e OSX, ma spesso non su dispositivi mobili come tablet e telefoni):

  1. Il certificato fornisce al server di autenticazione un certificato valido emesso da una CA attendibile dal dispositivo client?
  2. (Opzionale) Il certificato è emesso dalle CA designate nel supplicant EAP?
  3. Il nome host elencato nel certificato corrisponde al nome host fornito dal server di autenticazione?
  4. (Opzionale) Il nome host fornito dal server di autenticazione è uno dei nomi host consentiti nella configurazione del supplicant EAP?

Le altre opzioni per il richiedente EAP sono che il sistema operativo richieda all'utente di "controllare e approvare" il certificato (cattiva idea) o di non convalidare affatto il certificato (idea peggiore) prima di inviare nome utente / password.

Quindi fornire il certificato CA nella configurazione del supplicant EAP ti aiuterà a utilizzare il # 2 sopra per convalidare l'identità del server RADIUS in aggiunta a # 1 e # 3. Dovresti essere in grado di ottenere le informazioni e / o il certificato CA corretti dal tuo reparto IT.

Nota: porzioni di questa risposta sono state copiate da un'altra delle mie risposte .

    
risposta data 30.03.2018 - 22:22
fonte
-1

Da cisco wesite puoi leggere ( link ):

PEAP is based on server side EAP-TLS authentication. With PEAP many organizations can avoid the issues associated with installing digital certificates on every client device as required by EAP-TLS; instead, they can select the methods of client authentication, such as logon passwords or OTPs that best suit their corporate needs. Also PEAP is an enhancement of EAP-TLS authentication, PEAP encapsulates a second-phase authentication transaction within the TLS framework

Quindi è possibile, ma tieni presente che non controllare il certificato del server sul client rende il sistema vulnerabile al MITM che può portare a intercettazioni.

    
risposta data 30.03.2018 - 15:42
fonte

Leggi altre domande sui tag