EAP-TLS mot PEAP-MSCHAPv2: Vilket autentiseringsprotokoll är bäst?
Att se till att nätverksanvändare på ett säkert sätt kan autentisera sig till det trådlösa nätverket är av största vikt för organisationens övergripande säkerhet och trygghet. De mest använda protokollen för trådlösa nätverk idag är Extensible Authentication Protocols (EAP) som används i WPA2-Enterprise. Genom att använda en EAP-autentiseringsmetod säkerställs att användarnas information sänds via luften med hjälp av kryptering och att avlyssning undviks.
Två av de vanligaste EAP-metoderna, EAP-TLS och PEAP-MSCHAPv2, är vanligt förekommande och accepterade som säkra autentiseringsmetoder, men hur fungerar de? Och hur skiljer de sig åt när det gäller säkerhet?
Konfiguration av den säkra EAP-metoden
Och även om konfigurationsprocessen för både EAP-TLS och PEAP-MSCHAPv2 skiljer sig åt har de en sak gemensamt; du bör inte låta användarna konfigurera sina enheter manuellt för nätverksåtkomst. När de lämnas åt sina egna enheter har den genomsnittlige nätverksanvändaren stora möjligheter att felkonfigurera sin enhet, vilket gör den öppen för MITM- och Evil Twin-attacker.
Processen för EAP-TLS innebär att man måste registrera och installera ett digitalt certifikat, och båda protokollen kräver en konfiguration för validering av servercertifikatet för att förbli effektiva mot attacker med stöld av autentiseringsuppgifter över luften. Och detta täcker knappast alla steg. För den genomsnittlige nätverksanvändaren är processen komplicerad för båda och manuell konfiguration bör undvikas till varje pris.
För att kringgå supportbiljetterna och säkerhetsriskerna med manuell konfiguration rekommenderas att du använder en programvara för onboarding som automatiskt konfigurerar nya användare. SecureW2:s JoinNow onboarding-lösning konfigurerar användare exakt med några få steg. De identifierar sig helt enkelt och när de har godkänts konfigureras deras enheter säkert för nätverksåtkomst med hjälp av EAP-TLS eller PEAP-MSCHAPv2-autentisering. Processen är snabb och enkel och säkerställer att alla användare är korrekt konfigurerade.
Autentisering med EAP-TLS och PEAP-MSCHAPv2
Båda protokollen betraktas som EAP-metoder, så båda skickar identifieringsinformation genom den krypterade EAP-tunneln. Denna krypterade tunnel förhindrar att någon utomstående användare kan läsa informationen som skickas över luften.
Däremot skiljer sig processen för slutanvändaren avsevärt mellan de två protokollen. Med PEAP-MSCHAPv2 måste användaren ange sina autentiseringsuppgifter som skickas till RADIUS-servern som verifierar autentiseringsuppgifterna och autentiserar dem för nätverksåtkomst. EAP-TLS använder sig av certifikatbaserad autentisering. I stället för att skicka autentiseringsuppgifter till RADIUS-servern via luften används autentiseringsuppgifterna för en engångscertifikatsregistrering, och certifikatet skickas till RADIUS-servern för autentisering. Under användarens livstid i organisationen är det en stor fördel för användaren att kunna autentisera sig automatiskt utan att behöva memorera ett lösenord eller uppdatera det på grund av en policy för lösenordsändringar.
Men även om den information som utbyts mellan klientenheten, åtkomstpunkten (AP) och RADIUS-servern kan skilja sig åt mellan EAP-TLS och PEAP-MSCHAPv2, så genomgår de båda ett TLS-handskakning. Detta är den kommunikationsprocess där servern och klienten utbyter identifieringsinformation. De två sidorna verifierar varandras identitet, fastställer krypteringsalgoritmer och kommer överens om sessionsnycklar för att på ett säkert sätt autentisera sig i nätverket. Nedan finns bilder från Certified Wireless Security Professional Study Guide som beskriver processen för båda autentiseringsprotokollen.
Den primära skillnaden som bör lyftas fram mellan autentiseringsprocesserna ovan är antalet steg som ingår. EAP-TLS-processen har nästan hälften så många steg för att autentisera.
Om en enskild autentisering är detta en extremt kort tidsskillnad. För en enskild autentiserande användare är skillnaden nästan omärklig. Där denna skillnad i antal steg kommer in i bilden är vid en stor autentiseringshändelse.
Om det finns en situation där ett stort antal användare försöker autentisera sig samtidigt blir den förkortade processen en betydande fördel. Det finns en mycket mindre risk för att en fördröjning av autentiseringen inträffar. Om ditt RADIUS överbelastas med autentiseringsförfrågningar och inte har redundansåtgärder kan ditt nätverk dessutom drabbas av nekade förfrågningar och tidskrävande fördröjningar. För produktivitetens skull kan en kortare process göra stor skillnad.
Var är autentiseringsmetoderna i riskzonen?
En jämförelse av säkerhetsriskerna med certifikatsbaserad autentisering och autentisering med referenser visar att certifikat är mycket säkrare än referenser. Ur identitetssynpunkt är referenser inte tillförlitliga. Certifikat kan inte överföras eller stjälas eftersom de är kopplade till enhetens och användarens identitet, medan stulna autentiseringsuppgifter kan användas utan en metod för att identifiera om den autentiserade användaren verkligen är den han eller hon påstår sig vara.
Bortsett från identitetsfrågor finns det flera angreppsmetoder för att stjäla giltiga autentiseringsuppgifter. En man-in-the-middle-attack kan användas för att odla autentiseringsuppgifter från användare som autentiserar sig i det felaktiga nätverket. En ordboksattack kan utföras på distans genom att skicka otaliga autentiseringsförfrågningar tills rätt lösenord skickas. Phishing är en mycket vanlig psykologisk attackmetod för att lura användare att lämna ut sina lösenord. Sammantaget kan svaga lösenord och enkla hackerattacker hota integriteten hos ett säkert nätverk.
Däremot kan certifikat inte stjälas över radio eller användas av en utomstående aktör. De är skyddade med kryptering av privata nycklar och kan inte användas av en annan enhet. Det enda legitima sättet att kringgå certifikatsäkerheten är en invecklad process där hackaren utger sig för att vara en anställd och lurar en PKI-leverantör att dela ut ett giltigt certifikat till honom eller henne. Processen är extremt svår och kan undvikas genom att ventilera din leverantör och se till att de använder grundläggande bästa praxis för säkerhet.
Som båda EAP-metoderna skyddar data som sänds via luften, skiljer de sig åt när det gäller övergripande säkerhet, effektivitet och användarupplevelse. EAP-TLS med certifikatbaserad autentisering är helt enkelt säkrare och erbjuder en överlägsen användarupplevelse med fördelar när det gäller effektivitet och skydd. Om du letar efter den gyllene standarden för autentisering erbjuder SecureW2 en nyckelfärdig EAP-TLS-lösning som inkluderar mjukvara för inpassering av enheter, förvaltade PKI-tjänster och en RADIUS-server i molnet. Kolla in vår prissida för att se om SecureW2:s lösningar passar din organisation.
The post EAP-TLS vs PEAP-MSCHAPv2: Which Authentication Protocol is Superior? appeared first on SecureW2.
*** This is a Security Bloggers Network syndicated blog from SecureW2 authored by Jake Ludin. Läs det ursprungliga inlägget på: https://www.securew2.com/blog/eap-tls-vs-peap-mschapv2-which-authentication-protocol-is-superior/