Garantizar que los usuarios de la red puedan autenticarse de forma segura en la red inalámbrica es primordial para la seguridad general de su organización. Los protocolos de red inalámbrica más utilizados hoy en día son los protocolos de autenticación extensibles (EAP) utilizados en WPA2-Enterprise. La utilización de un método de autenticación EAP garantiza que la información de los usuarios se envíe por el aire mediante encriptación y evita la interceptación.

Dos de los métodos EAP más comunes, EAP-TLS y PEAP-MSCHAPv2, se utilizan y aceptan habitualmente como métodos de autenticación seguros, pero ¿cómo funcionan? Aunque el proceso de configuración de EAP-TLS y PEAP-MSCHAPv2 es diferente, tienen una cosa en común: no se debe permitir que los usuarios configuren manualmente sus dispositivos para acceder a la red. Cuando se deja a sus propios dispositivos, el usuario medio de la red tiene muchas oportunidades de configurar mal su dispositivo, dejándolo abierto a los ataques MITM y Evil Twin.

El proceso para EAP-TLS implica la inscripción e instalación de un certificado digital, y ambos protocolos requieren la configuración de la validación del certificado del servidor con el fin de seguir siendo eficaz contra los ataques de robo de credenciales en el aire. Y esto apenas cubre todos los pasos involucrados. Para el usuario medio de la red, el proceso es complicado para ambos y la configuración manual debería evitarse a toda costa.

Para evitar los tickets de soporte y los riesgos de seguridad de la configuración manual, se recomienda desplegar un software de onboarding para configurar automáticamente a los nuevos usuarios. La solución de onboarding JoinNow de SecureW2 configura a los usuarios con precisión en unos pocos pasos. Simplemente se identifican y, una vez aprobados, sus dispositivos se configuran de forma segura para el acceso a la red mediante la autenticación EAP-TLS o PEAP-MSCHAPv2. El proceso es rápido, sencillo y garantiza que todos los usuarios estén correctamente configurados.

Autenticación con EAP-TLS y PEAP-MSCHAPv2

Ambos protocolos se consideran métodos EAP, por lo que cada uno envía información de identificación a través del túnel EAP cifrado. Este túnel cifrado impide que cualquier usuario externo pueda leer la información que se envía por el aire.

Sin embargo, el proceso para el usuario final difiere significativamente entre los dos protocolos. Con PEAP-MSCHAPv2, el usuario debe introducir sus credenciales para enviarlas al servidor RADIUS que verifica las credenciales y las autentifica para el acceso a la red. EAP-TLS utiliza la autenticación basada en certificados. En lugar de enviar las credenciales al Servidor RADIUS por el aire, las credenciales se utilizan para una inscripción de certificado única, y el certificado se envía al servidor RADIUS para la autenticación. A lo largo de la vida del usuario con la organización, ser capaz de auto-autenticarse sin tener que memorizar una contraseña o actualizarla debido a una política de cambio de contraseña es un gran beneficio para la experiencia del usuario.

Aunque la información intercambiada entre el dispositivo cliente, el Punto de Acceso (AP) y el servidor RADIUS puede ser diferente entre EAP-TLS y PEAP-MSCHAPv2, ambos se someten a un Handshake TLS. Este es el proceso de comunicación en el que el servidor y el cliente intercambian información de identificación. Las dos partes verificarán la identidad de la otra, establecerán algoritmos de cifrado y acordarán las claves de sesión para autenticarse de forma segura en la red. A continuación se muestran imágenes de la guía de estudio Certified Wireless Security Professional que detallan el proceso de ambos protocolos de autenticación.

La principal diferencia a destacar entre los procesos de autenticación anteriores es el número de pasos involucrados. El proceso EAP-TLS tiene casi la mitad de pasos para la autenticación.

En una base de autenticación individual, esta es una cantidad de tiempo extremadamente corta. Para un solo usuario que se autentifica, la diferencia es casi imperceptible. Donde esta diferencia de pasos entra en juego es durante el evento de una gran autenticación.

Si hay una situación en la que un gran número de usuarios están intentando autenticarse al mismo tiempo, el proceso acortado se convierte en una ventaja significativa. Hay una posibilidad mucho menor de que se produzca una ralentización de la autenticación. Además, si su RADIUS está sobrecargado de solicitudes de autenticación y no cuenta con medidas de redundancia, su red podría experimentar denegaciones de solicitudes y retrasos que consumen mucho tiempo. En aras de la productividad, un proceso más corto puede suponer una gran diferencia.

¿Dónde están en riesgo los métodos de autenticación?

La comparación de los riesgos de seguridad de la autenticación basada en certificados y la autenticación basada en credenciales revela que los certificados son mucho más seguros que las credenciales. Desde el punto de vista de la identidad, las credenciales no son fiables. Los certificados no pueden ser transferidos o robados porque están vinculados a la identidad del dispositivo y del usuario; mientras tanto, las credenciales robadas pueden ser utilizadas sin un método para identificar si el usuario autenticado es realmente quien dice ser.

Además de los problemas de identidad, existen varios métodos de ataque para robar credenciales válidas. Un ataque «man-in-the-middle» puede ser utilizado para obtener las credenciales de los usuarios que se autentican en la red incorrecta. Un ataque de diccionario puede realizarse de forma remota enviando innumerables solicitudes de autenticación hasta que se envíe la contraseña correcta. Y el phishing es un método de ataque psicológico muy común para engañar a los usuarios para que entreguen sus contraseñas. En general, las contraseñas débiles y los simples ataques de hacking pueden amenazar la integridad de una red segura.

En cambio, los certificados no pueden ser robados por el aire ni utilizados por un actor externo. Están protegidos con un cifrado de clave privada y no pueden ser utilizados por otro dispositivo. La única forma legítima de burlar la seguridad de los certificados es un complicado proceso en el que el hacker se hace pasar por un empleado y engaña a un proveedor de PKI para que le distribuya un certificado válido. El proceso es extremadamente difícil y puede evitarse si se informa al proveedor y se asegura de que utiliza las mejores prácticas de seguridad básicas.

Aunque ambos métodos EAP protegen los datos que se envían por el aire, difieren en cuanto a la seguridad general, la eficiencia y la experiencia del usuario. EAP-TLS con autenticación basada en certificados es simplemente más seguro y ofrece una experiencia de usuario superior con beneficios en eficiencia y protección. Si busca el estándar de oro para la autenticación, SecureW2 ofrece una solución EAP-TLS llave en mano que incluye software de incorporación de dispositivos, servicios PKI gestionados y un servidor RADIUS en la nube. Consulte nuestra página de precios para ver si las soluciones de SecureW2 son adecuadas para su organización.

El post EAP-TLS vs. PEAP-MSCHAPv2: ¿Qué protocolo de autenticación es superior? appeared first on SecureW2.

*** This is a Security Bloggers Network syndicated blog from SecureW2 authored by Jake Ludin. Lea el post original en: https://www.securew2.com/blog/eap-tls-vs-peap-mschapv2-which-authentication-protocol-is-superior/