安全

なぜPEAPの代わりにEAP-TTLSを使用するのですか?



Why Would You Use Eap Ttls Instead Peap



解決:

解決策1:解決策1:

クライアントの制限

  • iOSクライアント サポートしませんEAP-TTLSPAP(のみMsCHAPv2)手動で(コンピューターを介して)プロファイルをインストールしない限り。

  • Windowsクライアント サポートしませんIntelワイヤレスカードがない限り、EAP-TTLSはすぐに使用できます(secure2wなどのソフトウェアをインストールする必要があります)。



  • アンドロイド のほぼすべての組み合わせをサポートEAPとPEAP。

パスワードデータベースの制限

したがって、本当の問題はパスワードの保存方法です。



彼らがいる場合:

  • Active Directory 、その後、あなたは使用することができますEAP-PEAP-MsCHAPv2(Windowsボックス)およびEAP-TTLS-MsCHAPv2(iOSクライアントを使用)。

  • パスワードを保存する場合 LDAP 、使用できますEAP-TTLS-PAP(Windowsボックス)ですが、iOSについては迷います。



重要なセキュリティ上の懸念

  • 両方EAP-TTLSおよびPEAPの使用TLS(Transport Layer Security)overEAP(拡張認証プロトコル)。

ご存知かもしれませんが、TLSはの新しいバージョンですSSLであり、信頼できる中央機関(認証局-CA)によって署名された証明書に基づいて機能します。

を確立するにはTLSトンネルの場合、クライアントは正しいサーバー(この場合、ユーザーの認証に使用されるRADIUSサーバー)と通信していることを確認する必要があります。これは、サーバーが信頼できるCAによって発行された有効な証明書を提示したかどうかを確認することによって行われます。

問題は次のとおりです。通常、信頼できるCAによって発行された証明書はありませんが、この目的のためだけに作成したアドホックCAによって発行された証明書があります。運用システムは、CAとユーザー(あなたが指示した)が喜んでそれを受け入れることを知らないことをユーザーに不平を言います。

しかし、これは大きなセキュリティリスクをもたらします。

誰かがあなたのビジネス内に(バッグやラップトップでさえ)不正なAPをセットアップし、自分のRADIUSサーバー(自分のラップトップまたは自分の不正なAPで実行)と通信するように構成できます。

クライアントは、このAPの信号がアクセスポイントよりも強いと判断した場合、接続を試みます。不明なCA(ユーザーが受け入れる)が表示され、TLSトンネルは、このトンネルで認証情報を送信し、不正な半径がそれをログに記録します。

ここで重要な部分: プレーンテキスト認証スキームを使用している場合(たとえば、PAP)、不正なRADIUSサーバーはユーザーのパスワードにアクセスできます。

これは、iOS、Windows(およびAndroid)の両方の信頼で認証局によって発行された有効な証明書を使用することで解決できます。または、CAルート証明書をユーザーに配布し、証明書の問題が発生したときに接続を拒否するようにユーザーに通知することもできます(幸運を祈ります)。

解決策2:解決策2:

PEAPv0、PEAPv1、およびTTLSのセキュリティプロパティは同じです。

PEAPは、EAPを伝送するEAPのSSLラッパーです。 TTLSは、RADIUS認証属性を保持する直径TLVのSSLラッパーです。

EAP-TTLS-PAPは、バックエンド認証データベースがbigcryptやMSCHAP(NT-OWF)と互換性のない形式など、元に戻せないハッシュ形式で資格情報を保存する場合に役立ちます(EAP-PEAPやEAP-TTLSではありません)。 CHAPベースの方法を使用して認証できない場合。

EAP-PEAPv1-GTCを使用してPAPをエミュレートすることもできますが、これはクライアントによって広くサポートされていません。

PEAPには、PEAPバージョンネゴシエーションの頭痛の種やPEAPv1の歴史的な非互換性(PRFからマスターキーを取得するときのクライアントマジックなど)の形で、TTLSを介していくつかの追加の手荷物があり、初期の実装に移行しました。

私は通常、ラップトップコンピューターや携帯電話でより多く使用されているPEAPを備えたワイヤレスギアのサブスクライバーモジュールなどの組み込みクライアントにEAP-TTLSが実装されているのを目にします。

EAP-TTLSはこれまで、サードパーティのソフトウェアをインストールせずにWindowsクライアントでサポートされていませんでした。 EAP-TTLSは、Windows8以降でサポートされるようになりました。

いくつかの追加の考え:

EAP-TTLSは、RADIUSベンダーによって発明されました。 EAP-PEAPv0はMicrosoftによって発明されました。 EAP-PEAPv1はIETFプロセスから生まれました。

PEAPv2にはいくつかの追加のIETF作業があり、内部認証方法への暗号化バインディングによってシステムをより安全にしました。これは私が知る限りどこにも行っていません。

解決策3:解決策3:

ディスクイーターが書いたように、人々がTTLSを使用する主な理由は、RADIUSサーバーにクリアテキストパスワードをそのように表示させることができるためです。これは、認証バックエンドによっては便利です。

PEAPを支持する可能性のある新しい考慮事項は、SoHがAFAICTであり、RADIUSサーバーが要求した場合にのみ提示され、Microsoftシステムで要求する唯一の方法はPEAPセッション中です。したがって、エージェントレス評価からエージェントのような評価を取得したい場合(おそらく今後より多くのAVベンダーによるサポートが予定されています)、PEAPが必要ですが、裸のパスワードを使用して1要素のOAUTHバックエンドを回避しようとしている場合(一体、国内避難民サービスを提供しない大きなIDPはそれ以上の価値があり、ユーザーはそれを入力するのに十分な無知です)TTLSを使用します。