At sikre, at netværksbrugere kan autentificere sig sikkert til det trådløse netværk, er afgørende for den overordnede sikkerhed og tryghed i din organisation. De mest udbredte protokoller til trådløse netværk i dag er de Extensible Authentication Protocols (EAP), der anvendes i WPA2-Enterprise. Anvendelse af en EAP-godkendelsesmetode sikrer, at brugernes oplysninger sendes over-the-air ved hjælp af kryptering og undgår aflytning.

To af de mest almindelige EAP-metoder, EAP-TLS og PEAP-MSCHAPv2, er almindeligt anvendte og accepterede som sikre godkendelsesmetoder, men hvordan fungerer de? Og hvordan adskiller de sig fra hinanden med hensyn til at give sikkerhed?

Konfiguration af den sikre EAP-metode

Mens konfigurationsprocessen for både EAP-TLS og PEAP-MSCHAPv2 er forskellig, har de én ting til fælles; du bør ikke tillade brugere at konfigurere deres enheder manuelt til netværksadgang. Når de overlades til deres egne enheder, har den gennemsnitlige netværksbruger rig mulighed for at fejlkonfigurere deres enhed, hvilket gør dem åbne for MITM- og Evil Twin-angreb.

Processen for EAP-TLS indebærer tilmelding til og installation af et digitalt certifikat, og begge protokoller kræver konfiguration af servercertifikatvalidering for at forblive effektive mod over-the-air-angreb på legitimationstyveri. Og dette dækker næppe alle de involverede trin. For den gennemsnitlige netværksbruger er processen kompliceret for begge, og manuel konfiguration bør undgås for enhver pris.

For at omgå de supportbilletter og sikkerhedsrisici, der er forbundet med manuel konfiguration, anbefales det, at du implementerer en onboarding-software til automatisk konfiguration af nye brugere. SecureW2’s JoinNow onboarding-løsning konfigurerer brugerne nøjagtigt med få trin. De skal blot identificere sig selv, og når de er godkendt, bliver deres enheder sikkert konfigureret til netværksadgang ved hjælp af EAP-TLS eller PEAP-MSCHAPv2-godkendelse. Processen er hurtig, enkel og sikrer, at alle brugere er korrekt konfigureret.

Autentifikation med EAP-TLS og PEAP-MSCHAPv2

Både protokoller betragtes som EAP-metoder, så de sender hver især identifikationsoplysninger gennem den krypterede EAP-tunnel. Denne krypterede tunnel forhindrer enhver udenforstående bruger i at læse de oplysninger, der sendes over-the-air.

Den proces, som slutbrugeren skal følge, adskiller sig imidlertid væsentligt mellem de to protokoller. Med PEAP-MSCHAPv2 skal brugeren indtaste sine legitimationsoplysninger, som sendes til RADIUS-serveren, der verificerer legitimationsoplysningerne og autentificerer dem for netværksadgang. EAP-TLS anvender certifikatbaseret autentificering. I stedet for at sende legitimationsoplysninger til RADIUS-serveren over-the-air bruges legitimationsoplysningerne til en engangsregistrering af et certifikat, og certifikatet sendes til RADIUS-serveren til autentificering. I løbet af brugerens levetid i organisationen er det en stor fordel for brugeroplevelsen at kunne autentificere sig selv uden at skulle huske en adgangskode eller opdatere på grund af en politik for ændring af adgangskoden.

Mens de oplysninger, der udveksles mellem klientenheden, adgangspunktet (AP) og RADIUS-serveren, kan være forskellige mellem EAP-TLS og PEAP-MSCHAPv2, gennemgår de begge en TLS-håndtrykning. Dette er den kommunikationsproces, hvor serveren og klienten udveksler identifikationsoplysninger. De to parter verificerer hinandens identitet, etablerer krypteringsalgoritmer og aftaler sessionsnøgler for at sikre autentificering til netværket. Nedenfor er der billeder fra Certified Wireless Security Professional Study Guide, der beskriver processen for begge autentifikationsprotokoller.

Den primære forskel, der skal fremhæves mellem de ovenstående autentifikationsprocesser, er antallet af involverede trin. EAP-TLS-processen har næsten halvt så mange trin for at autentificere.

På et individuelt autentifikationsgrundlag er dette en ekstremt kort tidsforskel. For en enkelt autentificerende bruger er forskellen næsten umærkelig. Der, hvor denne forskel i antal trin kommer i spil, er i tilfælde af en stor autentifikationsbegivenhed.

Hvis der er en situation, hvor et stort antal brugere forsøger at autentificere sig på samme tid, bliver den forkortede proces en betydelig fordel. Der er en meget mindre chance for, at der opstår en forsinkelse i godkendelsen. Hvis din RADIUS er overbelastet med godkendelsesanmodninger og ikke har redundansforanstaltninger, kan dit netværk desuden opleve afvisninger af anmodninger og tidskrævende forsinkelser. Af hensyn til produktiviteten kan en kortere proces gøre en stor forskel.

Hvor er autentifikationsmetoderne i fare?

Sammenligning af sikkerhedsrisikoen ved certifikatbaseret autentifikation og legitimationsbaseret autentifikation viser, at certifikater er langt mere sikre end legitimationsoplysninger. Ud fra et identitetssynspunkt er legitimationsoplysninger ikke pålidelige. Certifikater kan ikke overføres eller stjæles, fordi de er knyttet til enhedens og brugerens identitet, mens stjålne legitimationsoplysninger kan bruges uden en metode til at identificere, om den autentificerede bruger rent faktisk er den, han eller hun hævder at være.

Overfor identitetsproblemer er der flere angrebsmetoder til at stjæle gyldige legitimationsoplysninger. Et man-in-the-middle-angreb kan bruges til at opdrætte legitimationsoplysninger fra brugere, der autentificerer sig til det forkerte netværk. Et ordbogsangreb kan udføres eksternt ved at sende utallige autentificeringsanmodninger, indtil den korrekte adgangskode sendes. Og phishing er en meget almindelig psykologisk angrebsmetode til at narre brugere til at opgive deres adgangskoder. Alt i alt kan svage adgangskoder og simple hackerangreb true integriteten af et sikkert netværk.

I modsætning hertil kan certifikater ikke stjæles over-the-air eller bruges af en ekstern aktør. De er beskyttet med kryptering af private nøgler og kan ikke bruges af en anden enhed. Den eneste legitime udnyttelse til at omgå certifikatsikkerheden er en indviklet proces, hvor hackeren udgiver sig for at være en medarbejder og narrer en PKI-leverandør til at uddele dem et gyldigt certifikat. Processen er ekstremt vanskelig og kan undgås ved at lufte din leverandør og sikre, at de anvender grundlæggende bedste sikkerhedspraksis.

Selv om begge EAP-metoder beskytter de data, der sendes over-the-air, adskiller de sig fra hinanden med hensyn til den overordnede sikkerhed, effektivitet og brugeroplevelse. EAP-TLS med certifikatbaseret godkendelse er simpelthen mere sikker og giver en bedre brugeroplevelse med fordele i form af effektivitet og beskyttelse. Hvis du er på udkig efter den gyldne standard for autentificering, tilbyder SecureW2 en nøglefærdig EAP-TLS-løsning, der omfatter onboarding-software til enheder, administrerede PKI-tjenester og en Cloud RADIUS-server. Tjek vores prisside for at se, om SecureW2’s løsninger passer til din organisation.

The post EAP-TLS vs. PEAP-MSCHAPv2: Which Authentication Protocol is Superior? appeared first on SecureW2.

*** This is a Security Bloggers Network syndicated blog from SecureW2 authored by Jake Ludin. Læs det oprindelige indlæg på: https://www.securew2.com/blog/eap-tls-vs-peap-mschapv2-which-authentication-protocol-is-superior/