Die Gewährleistung, dass sich Netzwerkbenutzer sicher beim drahtlosen Netzwerk authentifizieren können, ist für die allgemeine Sicherheit Ihres Unternehmens von größter Bedeutung. Die heute am weitesten verbreiteten drahtlosen Netzwerkprotokolle sind die in WPA2-Enterprise verwendeten Extensible Authentication Protocols (EAP). Die Verwendung einer EAP-Authentifizierungsmethode stellt sicher, dass die Informationen der Benutzer verschlüsselt über die Luft übertragen werden und nicht abgefangen werden können.

Zwei der gebräuchlichsten EAP-Methoden, EAP-TLS und PEAP-MSCHAPv2, werden allgemein verwendet und als sichere Authentifizierungsmethoden akzeptiert, aber wie funktionieren sie? Und wie unterscheiden sie sich in Bezug auf die Sicherheit?

Konfiguration der sicheren EAP-Methode

Während sich der Konfigurationsprozess für EAP-TLS und PEAP-MSCHAPv2 unterscheidet, haben sie eines gemeinsam: Sie sollten den Benutzern nicht erlauben, ihre Geräte für den Netzwerkzugang manuell zu konfigurieren. Wenn man sie sich selbst überlässt, hat der durchschnittliche Netzwerkbenutzer reichlich Gelegenheit, sein Gerät falsch zu konfigurieren und es so für MITM- und Evil Twin-Angriffe anfällig zu machen.

Der Prozess für EAP-TLS umfasst die Anmeldung und Installation eines digitalen Zertifikats, und beide Protokolle erfordern eine Konfiguration der Serverzertifikatsvalidierung, um gegen Angriffe zum Diebstahl von Anmeldeinformationen wirksam zu sein. Und dies deckt kaum alle Schritte ab, die erforderlich sind. Für den durchschnittlichen Netzwerkbenutzer ist der Prozess für beide kompliziert, und eine manuelle Konfiguration sollte um jeden Preis vermieden werden.

Um die Support-Tickets und die Sicherheitsrisiken einer manuellen Konfiguration zu umgehen, empfiehlt es sich, eine Onboarding-Software zur automatischen Konfiguration neuer Benutzer einzusetzen. Die Onboarding-Lösung JoinNow von SecureW2 konfiguriert die Benutzer in wenigen Schritten genau. Sie müssen sich nur identifizieren, und nach der Genehmigung werden ihre Geräte sicher für den Netzwerkzugang mit EAP-TLS- oder PEAP-MSCHAPv2-Authentifizierung konfiguriert. Der Prozess ist schnell und einfach und stellt sicher, dass alle Benutzer korrekt konfiguriert sind.

Authentifizierung mit EAP-TLS und PEAP-MSCHAPv2

Beide Protokolle gelten als EAP-Methoden, d. h. sie senden jeweils Identifizierungsinformationen durch den verschlüsselten EAP-Tunnel. Dieser verschlüsselte Tunnel verhindert, dass ein außenstehender Benutzer die über die Luft gesendeten Informationen lesen kann.

Der Prozess für den Endbenutzer unterscheidet sich jedoch erheblich zwischen den beiden Protokollen. Bei PEAP-MSCHAPv2 muss der Benutzer seine Anmeldedaten eingeben, die an den RADIUS-Server gesendet werden, der die Anmeldedaten überprüft und den Benutzer für den Netzzugang authentifiziert. EAP-TLS verwendet eine zertifikatsbasierte Authentifizierung. Anstatt die Anmeldedaten per Funk an den RADIUS-Server zu senden, werden die Anmeldedaten für eine einmalige Zertifikatsregistrierung verwendet, und das Zertifikat wird zur Authentifizierung an den RADIUS-Server gesendet. Im Laufe der Lebenszeit des Benutzers in der Organisation ist die Möglichkeit der automatischen Authentifizierung, ohne dass er sich ein Kennwort merken oder aufgrund einer Kennwortänderungsrichtlinie aktualisieren muss, ein großer Vorteil für die Benutzererfahrung.

Die zwischen dem Client-Gerät, dem Access Point (AP) und dem RADIUS-Server ausgetauschten Informationen können sich zwar zwischen EAP-TLS und PEAP-MSCHAPv2 unterscheiden, aber beide durchlaufen einen TLS-Handshake. Dabei handelt es sich um den Kommunikationsprozess, bei dem der Server und der Client Identifizierungsinformationen austauschen. Die beiden Seiten überprüfen die Identität des jeweils anderen, legen Verschlüsselungsalgorithmen fest und vereinbaren Sitzungsschlüssel, um sich sicher gegenüber dem Netz zu authentifizieren. Nachfolgend finden Sie Bilder aus dem Certified Wireless Security Professional Study Guide, die den Prozess für beide Authentifizierungsprotokolle detailliert beschreiben.

Der Hauptunterschied zwischen den oben genannten Authentifizierungsprozessen ist die Anzahl der beteiligten Schritte. Der EAP-TLS-Prozess hat fast halb so viele Schritte zur Authentifizierung.

Bei einer individuellen Authentifizierung ist dies ein extrem geringer Zeitunterschied. Für einen einzelnen authentifizierenden Benutzer ist der Unterschied fast nicht wahrnehmbar. Wenn eine große Anzahl von Benutzern gleichzeitig versucht, sich zu authentifizieren, wird der verkürzte Prozess zu einem bedeutenden Vorteil. Die Wahrscheinlichkeit, dass die Authentifizierung verlangsamt wird, ist viel geringer. Wenn Ihr RADIUS mit Authentifizierungsanfragen überlastet ist und keine Redundanzmaßnahmen vorsieht, kann es in Ihrem Netzwerk zu Ablehnungen von Anfragen und zeitraubenden Verzögerungen kommen. Im Interesse der Produktivität kann ein kürzerer Prozess einen großen Unterschied ausmachen.

Wo sind Authentifizierungsmethoden gefährdet?

Ein Vergleich der Sicherheitsrisiken von zertifikatsbasierter Authentifizierung und anmeldungsbasierter Authentifizierung zeigt, dass Zertifikate weitaus sicherer sind als Anmeldungen. Vom Standpunkt der Identität aus gesehen, sind Berechtigungsnachweise nicht zuverlässig. Zertifikate können nicht übertragen oder gestohlen werden, da sie mit der Identität des Geräts und des Benutzers verknüpft sind; gestohlene Anmeldedaten können hingegen ohne eine Methode zur Identifizierung verwendet werden, ob der authentifizierte Benutzer tatsächlich derjenige ist, der er vorgibt zu sein.

Abgesehen von Identitätsproblemen gibt es mehrere Angriffsmethoden, um gültige Anmeldedaten zu stehlen. Ein Man-in-the-Middle-Angriff kann verwendet werden, um Anmeldedaten von Benutzern zu ergaunern, die sich im falschen Netzwerk authentifizieren. Ein Wörterbuchangriff kann aus der Ferne durchgeführt werden, indem unzählige Authentifizierungsanfragen gesendet werden, bis das richtige Kennwort gesendet wird. Und Phishing ist eine sehr verbreitete psychologische Angriffsmethode, um Benutzer zur Preisgabe ihrer Passwörter zu verleiten. Insgesamt können schwache Passwörter und einfache Hackerangriffe die Integrität eines sicheren Netzes bedrohen.

Im Gegensatz dazu können Zertifikate nicht über die Luft gestohlen oder von einem externen Akteur verwendet werden. Sie sind mit einem privaten Schlüssel verschlüsselt und können nicht von einem anderen Gerät verwendet werden. Die einzige legitime Möglichkeit, die Zertifikatsicherheit zu umgehen, ist ein komplizierter Prozess, bei dem sich der Hacker als Mitarbeiter ausgibt und einen PKI-Anbieter dazu bringt, ihm ein gültiges Zertifikat auszustellen. Das Verfahren ist äußerst schwierig und kann vermieden werden, indem man sich an den Anbieter wendet und sicherstellt, dass er grundlegende bewährte Sicherheitspraktiken anwendet.

Beide EAP-Methoden schützen zwar die Daten, die drahtlos übertragen werden, unterscheiden sich aber in Bezug auf die allgemeine Sicherheit, Effizienz und Benutzerfreundlichkeit. EAP-TLS mit zertifikatsbasierter Authentifizierung ist einfach sicherer und bietet ein besseres Benutzererlebnis mit Vorteilen bei Effizienz und Schutz. Wenn Sie auf der Suche nach dem goldenen Standard für die Authentifizierung sind, bietet SecureW2 eine schlüsselfertige EAP-TLS-Lösung an, die Software für das Onboarding von Geräten, verwaltete PKI-Services und einen Cloud RADIUS-Server umfasst. Schauen Sie sich unsere Preisseite an, um zu sehen, ob die Lösungen von SecureW2 für Ihr Unternehmen geeignet sind.

The post EAP-TLS vs. PEAP-MSCHAPv2: Which Authentication Protocol is Superior? erschien zuerst auf SecureW2.

*** Dies ist ein vom Security Bloggers Network syndizierter Blog von SecureW2, verfasst von Jake Ludin. Lesen Sie den Originalbeitrag unter: https://www.securew2.com/blog/eap-tls-vs-peap-mschapv2-which-authentication-protocol-is-superior/