EAP-TLS contro PEAP-MSCHAPv2: Quale protocollo di autenticazione è superiore?

Lug 30, 2021
admin

Assicurare che gli utenti della rete siano in grado di autenticarsi in modo sicuro alla rete wireless è fondamentale per la sicurezza generale della vostra organizzazione. I protocolli di rete wireless più usati oggi sono gli Extensible Authentication Protocols (EAP) usati in WPA2-Enterprise. L’utilizzo di un metodo di autenticazione EAP assicura che le informazioni degli utenti siano inviate via etere usando la crittografia ed evitando l’intercettazione.

Due dei metodi EAP più comuni, EAP-TLS e PEAP-MSCHAPv2, sono comunemente usati e accettati come metodi di autenticazione sicuri, ma come funzionano? E come differiscono nel fornire sicurezza?

Configurazione del metodo EAP sicuro

Mentre il processo di configurazione per EAP-TLS e PEAP-MSCHAPv2 è diverso, hanno una cosa in comune: non dovresti permettere agli utenti di configurare manualmente i loro dispositivi per l’accesso alla rete. Se lasciato ai propri dispositivi, l’utente medio della rete ha ampie opportunità di configurare male il proprio dispositivo, lasciandolo aperto agli attacchi MITM e Evil Twin.

Il processo per EAP-TLS comporta l’iscrizione e l’installazione di un certificato digitale, ed entrambi i protocolli richiedono la configurazione della convalida del certificato del server per rimanere efficaci contro gli attacchi di furto di credenziali over-the-air. E questo difficilmente copre tutti i passi coinvolti. Per l’utente medio della rete, il processo è complicato per entrambi e la configurazione manuale dovrebbe essere evitata a tutti i costi.

Per aggirare i ticket di supporto e i rischi di sicurezza della configurazione manuale, si raccomanda di implementare un software di onboarding per configurare automaticamente i nuovi utenti. La soluzione di onboarding JoinNow di SecureW2 configura accuratamente gli utenti in pochi passi. Si identificano semplicemente e una volta approvati, i loro dispositivi sono configurati in modo sicuro per l’accesso alla rete utilizzando l’autenticazione EAP-TLS o PEAP-MSCHAPv2. Il processo è veloce, semplice e assicura che tutti gli utenti siano configurati correttamente.

Autenticazione con EAP-TLS e PEAP-MSCHAPv2

Entrambi i protocolli sono considerati metodi EAP, quindi ciascuno invia informazioni di identificazione attraverso il tunnel EAP crittografato. Questo tunnel crittografato impedisce a qualsiasi utente esterno di leggere le informazioni inviate via etere.

Tuttavia, il processo per l’utente finale differisce significativamente tra i due protocolli. Con PEAP-MSCHAPv2, l’utente deve inserire le proprie credenziali da inviare al server RADIUS che verifica le credenziali e le autentica per l’accesso alla rete. EAP-TLS utilizza un’autenticazione basata sul certificato. Invece di inviare le credenziali al server RADIUS via etere, le credenziali sono utilizzate per un’iscrizione unica del certificato, e il certificato è inviato al server RADIUS per l’autenticazione. Nel corso della vita dell’utente con l’organizzazione, essere in grado di auto-autenticazione senza dover memorizzare una password o aggiornare a causa di una politica di cambiamento della password è un enorme vantaggio per l’esperienza dell’utente.

Mentre le informazioni scambiate tra il dispositivo client, Access Point (AP) e server RADIUS possono essere diverse tra EAP-TLS e PEAP-MSCHAPv2, entrambi subiscono un TLS Handshake. Questo è il processo di comunicazione in cui il server e il client si scambiano informazioni di identificazione. Le due parti verificheranno l’una l’identità dell’altra, stabiliranno algoritmi di crittografia e si accorderanno sulle chiavi di sessione per autenticarsi in modo sicuro alla rete. Di seguito ci sono delle immagini tratte dalla Certified Wireless Security Professional Study Guide che descrivono in dettaglio il processo di entrambi i protocolli di autenticazione.

Processo che descrive in dettaglio il protocollo di autenticazione EAP-TLS

Immagine che descrive in dettaglio il protocollo PEAP-MSCHAPv2

La differenza principale da evidenziare tra i processi di autenticazione sopra elencati è il numero di passi coinvolti. Il processo EAP-TLS ha quasi la metà dei passi per autenticarsi.

Su una base di autenticazione individuale, questa è una differenza di tempo estremamente breve. Per un singolo utente che si autentica, la differenza è quasi impercettibile. Dove questa differenza di passi entra in gioco è durante il caso di un grande evento di autenticazione.

Se c’è una situazione in cui un gran numero di utenti sta tentando di autenticarsi allo stesso tempo, il processo abbreviato diventa un vantaggio significativo. C’è una possibilità molto minore che si verifichi un rallentamento dell’autenticazione. Inoltre, se il vostro RADIUS è sovraccarico di richieste di autenticazione e non ha misure di ridondanza, la vostra rete potrebbe subire negazioni di richieste e ritardi che fanno perdere tempo. Per il bene della produttività, un processo più breve può fare una grande differenza.

Dove sono a rischio i metodi di autenticazione?

Confrontando i rischi di sicurezza dell’autenticazione basata su certificati e dell’autenticazione basata su credenziali, si nota che i certificati sono molto più sicuri delle credenziali. Dal punto di vista dell’identità, le credenziali non sono affidabili. I certificati non possono essere trasferiti o rubati perché sono legati all’identità del dispositivo e dell’utente; nel frattempo, le credenziali rubate possono essere utilizzate senza un metodo per identificare se l’utente autenticato è effettivamente chi dice di essere.

Oltre ai problemi di identità, ci sono diversi metodi di attacco per rubare credenziali valide. Un attacco man-in-the-middle può essere usato per farmare le credenziali dagli utenti che si autenticano sulla rete sbagliata. Un attacco a dizionario può essere eseguito in remoto inviando innumerevoli richieste di autenticazione fino a quando non viene inviata la password corretta. E il phishing è un metodo di attacco psicologico estremamente comune per ingannare gli utenti a dare le loro password. Nel complesso, password deboli e semplici attacchi di hacking possono minacciare l’integrità di una rete sicura.

Al contrario, i certificati non possono essere rubati over-the-air o utilizzati da un attore esterno. Sono protetti da una crittografia a chiave privata e non possono essere utilizzati da un altro dispositivo. L’unico exploit legittimo per aggirare la sicurezza dei certificati è un processo contorto in cui l’hacker impersona un dipendente e inganna un fornitore PKI per distribuirgli un certificato valido. Il processo è estremamente difficile e può essere evitato sfogandosi con il proprio fornitore e assicurandosi che utilizzi le migliori pratiche di sicurezza di base.

Mentre entrambi i metodi EAP proteggono i dati inviati via etere, differiscono in sicurezza generale, efficienza ed esperienza utente. EAP-TLS con autenticazione basata su certificato è semplicemente più sicuro e offre un’esperienza utente superiore con vantaggi in termini di efficienza e protezione. Se stai cercando il gold standard per l’autenticazione, SecureW2 offre una soluzione EAP-TLS chiavi in mano che include il software di onboarding del dispositivo, i servizi PKI gestiti e un server RADIUS in cloud. Controlla la nostra pagina dei prezzi per vedere se le soluzioni di SecureW2 sono adatte alla tua organizzazione.

The post EAP-TLS vs PEAP-MSCHAPv2: Quale protocollo di autenticazione è superiore? appeared first on SecureW2.

*** This is a Security Bloggers Network syndicated blog from SecureW2 authored by Jake Ludin. Leggi il post originale su: https://www.securew2.com/blog/eap-tls-vs-peap-mschapv2-which-authentication-protocol-is-superior/

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.