Asigurarea faptului că utilizatorii rețelei sunt capabili să se autentifice în siguranță la rețeaua fără fir este esențială pentru siguranța și securitatea generală a organizației dumneavoastră. Cele mai utilizate protocoale de rețea fără fir la ora actuală sunt protocoalele de autentificare extensibile (EAP) utilizate în WPA2-Enterprise. Utilizarea unei metode de autentificare EAP asigură faptul că informațiile utilizatorilor sunt trimise pe calea aerului folosind criptarea și evită interceptarea.

Două dintre cele mai comune metode EAP, EAP-TLS și PEAP-MSCHAPv2, sunt utilizate în mod obișnuit și acceptate ca metode de autentificare sigure, dar cum funcționează acestea? Și cum diferă ele în ceea ce privește asigurarea securității?

Configurarea metodei EAP securizate

În timp ce procesul de configurare atât pentru EAP-TLS, cât și pentru PEAP-MSCHAPv2 este diferit, acestea au un lucru în comun; nu trebuie să permiteți utilizatorilor să își configureze manual dispozitivele pentru accesul la rețea. Atunci când este lăsat să se descurce singur, utilizatorul mediu al rețelei are numeroase ocazii de a-și configura greșit dispozitivul, lăsându-l expus atacurilor MITM și Evil Twin.

Procesul pentru EAP-TLS implică înscrierea și instalarea unui certificat digital, iar ambele protocoale necesită o configurare de validare a certificatului serverului pentru a rămâne eficiente împotriva atacurilor de furt de credențiale over-the-air. Iar acest lucru acoperă cu greu toți pașii implicați. Pentru utilizatorul mediu de rețea, procesul este complicat pentru ambele și configurarea manuală ar trebui evitată cu orice preț.

Pentru a ocoli biletele de asistență și riscurile de securitate ale configurării manuale, este recomandat să implementați un software de îmbarcare pentru a configura automat noii utilizatori. Soluția de onboarding JoinNow de la SecureW2 configurează utilizatorii cu exactitate în câțiva pași. Aceștia se identifică pur și simplu și, odată aprobate, dispozitivele lor sunt configurate în siguranță pentru accesul la rețea folosind autentificarea EAP-TLS sau PEAP-MSCHAPv2.. Procesul este rapid, simplu și asigură că toți utilizatorii sunt configurați corect.

Autentificare cu EAP-TLS și PEAP-MSCHAPv2

Ambele protocoale sunt considerate metode EAP, astfel încât fiecare dintre ele trimite informații de identificare prin tunelul EAP criptat. Acest tunel criptat împiedică orice utilizator din exterior să citească informațiile trimise pe calea aerului.

Cu toate acestea, procesul pentru utilizatorul final diferă semnificativ între cele două protocoale. Cu PEAP-MSCHAPv2, utilizatorul trebuie să introducă acreditările sale pentru a fi trimise la serverul RADIUS care verifică acreditările și le autentifică pentru accesul la rețea. EAP-TLS utilizează o autentificare bazată pe certificate. În loc să se trimită acreditările către serverul RADIUS pe calea aerului, acreditările sunt utilizate pentru o înscriere unică a certificatului, iar certificatul este trimis către serverul RADIUS pentru autentificare. Pe parcursul întregii vieți a utilizatorului în cadrul organizației, posibilitatea de a se autentifica automat fără a fi nevoit să memoreze o parolă sau să o actualizeze datorită unei politici de schimbare a parolei reprezintă un beneficiu imens pentru experiența utilizatorului.

În timp ce informațiile schimbate între dispozitivul client, punctul de acces (AP) și serverul RADIUS pot fi diferite între EAP-TLS și PEAP-MSCHAPv2, ambele sunt supuse unui TLS Handshake. Acesta este procesul de comunicare în care serverul și clientul fac schimb de informații de identificare. Cele două părți își vor verifica reciproc identitatea, vor stabili algoritmi de criptare și vor conveni asupra cheilor de sesiune pentru a se autentifica în siguranță în rețea. Mai jos sunt imagini din Ghidul de studiu Certified Wireless Security Professional care detaliază procesul pentru ambele protocoale de autentificare.

Diferența principală care trebuie evidențiată între procesele de autentificare de mai sus este numărul de pași implicați. Procesul EAP-TLS are aproape jumătate din numărul de pași pentru autentificare.

Pe baza unei autentificări individuale, aceasta este o diferență de timp extrem de mică. Pentru un singur utilizator care se autentifică, diferența este aproape imperceptibilă. În cazul în care această diferență de pași intră în joc este în timpul unui eveniment de autentificare de mari dimensiuni.

Dacă există o situație în care un număr mare de utilizatori încearcă să se autentifice în același timp, procesul scurtat devine un avantaj semnificativ. Există o șansă mult mai mică să apară o încetinire a procesului de autentificare. În plus, în cazul în care RADIUS este supraîncărcat cu cereri de autentificare și nu dispune de măsuri de redundanță, rețeaua dvs. s-ar putea confrunta cu refuzuri de cereri și întârzieri consumatoare de timp. De dragul productivității, un proces mai scurt poate face o mare diferență.

Unde sunt expuse la risc metodele de autentificare?

Compararea riscurilor de securitate ale autentificării pe bază de certificate și ale autentificării pe bază de credențiale relevă faptul că certificatele sunt mult mai sigure decât acreditările. Din punct de vedere al identității, acreditările nu sunt fiabile. Certificatele nu pot fi transferate sau furate, deoarece sunt legate de identitatea dispozitivului și a utilizatorului; între timp, acreditările furate pot fi utilizate fără o metodă de identificare dacă utilizatorul autentificat este într-adevăr cel care pretinde că este.

Peste problemele de identitate, există mai multe metode de atac pentru furtul acreditărilor valide. Un atac de tip man-in-the-middle poate fi folosit pentru a exploata acreditările de la utilizatorii care se autentifică în rețeaua incorectă. Un atac de dicționar poate fi efectuat de la distanță prin trimiterea a nenumărate cereri de autentificare până când este trimisă parola corectă. Iar phishing-ul este o metodă de atac psihologic extrem de răspândită pentru a păcăli utilizatorii și a-i determina să își divulge parolele. În general, parolele slabe și atacurile simple de hacking pot amenința integritatea unei rețele securizate.

În schimb, certificatele nu pot fi furate pe calea aerului sau folosite de un actor extern. Ele sunt protejate prin criptare cu cheie privată și nu pot fi folosite de un alt dispozitiv. Singurul exploit legitim pentru a ocoli securitatea certificatelor este un proces întortocheat în care hackerul se dă drept un angajat și păcălește un furnizor PKI pentru a-i distribui un certificat valabil. Procesul este extrem de dificil și poate fi evitat dacă vă descărcați vânzătorul și vă asigurați că acesta utilizează cele mai bune practici de securitate de bază.

În timp ce ambele metode EAP protejează datele trimise pe calea aerului, ele diferă în ceea ce privește securitatea generală, eficiența și experiența utilizatorului. EAP-TLS cu autentificare bazată pe certificat este pur și simplu mai sigură și oferă o experiență superioară pentru utilizator, cu beneficii în materie de eficiență și protecție. Dacă sunteți în căutarea standardului de aur pentru autentificare, SecureW2 oferă o soluție EAP-TLS la cheie care include software de integrare a dispozitivelor, servicii PKI gestionate și un server RADIUS în cloud. Consultați pagina noastră de prețuri pentru a vedea dacă soluțiile SecureW2 sunt potrivite pentru organizația dumneavoastră.

The post EAP-TLS vs. PEAP-MSCHAPv2: Care protocol de autentificare este superior? appeared first on SecureW2.

*** Acesta este un blog sindicalizat de Security Bloggers Network de la SecureW2, scris de Jake Ludin. Citiți postarea originală la: https://www.securew2.com/blog/eap-tls-vs-peap-mschapv2-which-authentication-protocol-is-superior/