¿Cómo se integra EAP / PEAP con los protocolos de seguridad modernos?

5

¿Cómo funciona exactamente Protocolo de autenticación extensible (EAP) / Protected EAP ¿Se integra en los protocolos de seguridad modernos?

Lo que sé (o no sé) hasta ahora ...

Es utilizado por redes inalámbricas que utilizan métodos de autenticación basados en el Protocolo Punto a Punto (PPP). He buscado, pero no puedo encontrar una respuesta que tenga sentido para mí. El nombre implica que es un protocolo, pero por lo que he leído, los artículos lo llaman un marco de autenticación . Hay definiciones de todos los principales protocolos / algoritmos de seguridad; p.ej. MD5, SHA1, ISAKMP, TLS, etc.

He intentado ver capturas de Wirehark con tráfico de datos EAP. Ejemplo de CloudShark . Pero las descripciones de los datos son menos que útiles. Aquí hay una descripción del "flujo de datos" del protocolo . La imagen es muy útil, pero lo que me confunde es el intercambio de "Métodos EAP". Lo que parece casi análogo a las suites de cifrado SSL / TLS.

¿Es EAP una forma en que los protocolos inalámbricos están de acuerdo con los algoritmos, y cada dispositivo proporciona su propia implementación conforme a este marco?

¿En qué caso, por qué hay un EAP-TLS? Esto parece poner otra capa agregada en el cable para simplemente realizar TLS. ¿Alguien puede llenar los vacíos por mí?

    
pregunta RoraΖ 02.10.2014 - 21:27
fuente

3 respuestas

4

Tu comprensión ya es bastante buena. Como usted dice, hay una variedad de protocolos EAP: LEAP, PEAP, EAP-FAST, EAP-TLS, etc. Cada uno funciona de manera diferente, pero todos hacen lo mismo: autentican a un usuario antes de permitirle el acceso a una red inalámbrica . Podría llamar a EAP un protocolo, o podría llamarlo un marco de protocolos, donde cada variante como EAP-FAST es un protocolo. No hace mucha diferencia, y me parece que los diferentes documentos no siempre son coherentes entre sí (¡o incluso internamente!)

Para responder a tu pregunta en negrita, básicamente es sí. Un cliente y un punto de acceso tendrán ciertos EAP habilitados, y si admiten el mismo, el cliente puede intentar autenticarse. Cada EAP es un protocolo, y tendrá diferentes implementaciones. p.ej. Si su iPhone está iniciando sesión en su punto de acceso de Cisco mediante EAP-TLS, entonces Apple EAP-TLS está hablando con Cisco EAP-TLS, y debido a que el protocolo está estandarizado, se deben comunicar con éxito.

¿Por qué hay un EAP-TLS? Recuerde que el EAP se produce antes de que el cliente pueda acceder a la red. En ese momento no tienen una dirección IP, por lo que no es posible utilizar TLS normal. Creo que reutilizar TLS como parte de EAP es una muy buena idea: los requisitos de seguridad son muy similares para EAP que para HTTPS, por lo que tiene sentido usar un protocolo que sea maduro (¡a pesar de las recientes revelaciones!).

Un desafío para EAP-TLS (y PEAP) es que el proceso de emisión y verificación del certificado es menos claro. Normalmente, el administrador de la red necesita instalar el certificado del punto de acceso en todos los clientes. Si no se realiza la verificación del certificado, entonces los clientes son vulnerables a un Evil Twin .

    
respondido por el paj28 15.10.2014 - 15:44
fuente
1

Espero no hacerme ver como un idiota, pero intentaré ayudar a explicar esto desde que lo entiendo. Debo tener en cuenta que este no es mi trabajo de tiempo completo, así que, por favor, sean amables si tengo algo fuera de lugar :)

Estos protocolos, y creo que eap es un protocolo, peap está protegido eap, por lo que probablemente sea el mismo protocolo con cifrado adicional, se utilizan para autenticar en la capa 2. Esto significa que el cliente tiene que comunicar la información de autenticación a los dispositivos que está directamente conectado a. En los viejos tiempos, esto era bastante básico, marques a través de una línea telefónica y envías tu nombre de usuario y contraseña generalmente en texto claro.

Cuando salió Wireless tenían el mismo problema que resolver, tenían que autenticar a las personas para que dieran acceso a la red, así que usaron lo que sabían, ppp u otros protocolos que se autentican en la capa 2, ha pasado demasiado tiempo desde que Usé el acceso telefónico por lo que no recuerdo las diferentes opciones. El problema ahora era que se trataba de un medio compartido, a diferencia de una línea telefónica, por lo que tuvieron que desarrollar mejores formas de proteger el nombre de usuario y la contraseña. También iniciaron esto en el acceso telefónico, pero no era una gran preocupación porque la mayoría de las personas no se preocupaban. acerca de su línea siendo explotada.

Entonces, comenzaron a construir estos métodos más seguros de autentificación sobre la Capa 2, por lo tanto, nació eap. Ahora de eap, creo, eap TTLS es el más seguro pero el más difícil de configurar correctamente. EAP-FAST es un derivado de TLS, ya que también utiliza tokens / certs, pero en lugar de una forma fuera de banda para implementarlos, se negocia dentro de la banda, lo que puede hacerlo menos seguro, creo que no se recomienda el uso de LEAP. Se utiliza para la comunicación AP a AP. De todos modos, todos estos utilizan diferentes métodos para establecer una sesión EAP de manera segura para transferir el nombre de usuario y la contraseña de forma cifrada. Con la excepción de TLS, TTLS y PEAP, los métodos utilizados establecen claves a través de la negociación, no a través de algo definido fuera de banda, de los fuera de banda que PEAP puede configurarse para no verificar certificados, por lo que creo que es menos seguro TLS y TTLS. Una vez que se establezca el túnel cifrado, o las claves, el nombre de usuario y la contraseña se envían utilizando el protocolo interno, que puede ser texto claro, MSCap o algunos otros, no los conozco de antemano, lo importante para esta discusión es se cifran en la capa 2 del dispositivo de acceso y luego se cifran a través de PSK desde el dispositivo de acceso al servidor RADIUS. Si se aprende el PSK y el método interno es texto claro, entonces cualquiera puede oler el cable y leer la contraseña en wireshark.

Por lo tanto, la otra parte de esto es la administración centralizada, ya que estos dispositivos de comunicaciones de capa 2 no pueden acceder directamente a su servidor RADIUS back-end para autenticar correctamente, por lo que parte del rol de 802.1x es que su cliente habla con el dispositivo de acceso. cableado o inalámbrico, el dispositivo de acceso luego habla en la capa 3 (IP) al servidor RADIUS que realiza la autenticación y devuelve atributos para el control de acceso y el estado de autenticación, pero es el dispositivo de acceso el que establece el control de acceso y negocia con el cliente directamente.

Entonces, ¿cómo encaja esto en la seguridad de hoy?

  1. Permite la administración centralizada segura

  2. Ofrece cifrado de punta a punta

  3. Facilita la concesión segura del control de acceso a las redes, a través de asignaciones de vlan y ACL's descargables

  4. Extrae la fuente de autenticación del dispositivo, es decir, el servidor RADIUS nunca es accesible desde el dispositivo antes de la autenticación.

  5. Si se hace correctamente, ofrece una mayor seguridad de capa 2 y luego conexiones cableadas (aunque esto es discutible en mi mente)

Por último, la pregunta en negrita:

¿Es EAP una forma en que los protocolos inalámbricos están de acuerdo con los algoritmos, y cada dispositivo proporciona su propia implementación conforme a este marco?

EAP se utiliza para definir las claves que utilizarán sus algoritmos de cifrado simétrico. Creo que, como parte de la negociación EAP, también negocia el algoritmo de cifrado simétrico. Por supuesto, esto sucedería después de que el EAP autentique al usuario.

Así que hace 2 cosas, intercambia nombre de usuario / contraseña y transfiere de forma segura claves simétricas de algoritmos negociados.

    
respondido por el Brett Littrell 17.10.2014 - 18:51
fuente
0

El análogo de PPP en el mundo EAP es 802.1x o EAPoL (EAP sobre LAN). Es un protocolo de multidifusión muy básico que se coloca sobre las tramas de Ethernet y que solo está disponible en la propia interfaz.

A partir de ese momento, corresponde al Autenticador (más conocido como el Punto de acceso o NAS) propagar la información de autenticación a una capa superior (como una de las variantes de EAP), o transmitirla en algún servidor AAA a través de otro protocolo como RADIUS o Diameter.

El protocolo EAP en sí mismo es muy muy básico. Su propósito es ser lo más simple posible, de modo que pueda ejecutarse en el firmware de baja especificación que normalmente se encuentra en los puntos de acceso a la red. EAP solo expone lo suficiente a este actor para determinar si el cliente ha sido autenticado, rechazado o se requiere más información.

Las capas superiores luego son procesadas por una autoridad centralizada de nivel superior "más inteligente" en la forma del servidor AAA.

A menudo he pensado que esto es como un guardia de seguridad brutal en un club nocturno, a quien se le paga solo por ser musculoso, y realmente no le importa quién eres o de dónde vienes. Detrás de él, en el fondo, hay una figura sombría que sabe todo esto, y cuando le pides al guardia que ingrese, él mira a su jefe, que o bien asiente o niega con la cabeza (o puede venir a hablar con usted para hablar con usted). más información si no está seguro).

Para el guardia, todo lo que importa es la inclinación o la sacudida; es probable que la figura de autoridad tenga mucho más en marcha, como evaluar su apariencia, ver si podría ser un creador de problemas, o quizás su nombre esté en su portapapeles.

Esto también se ajusta muy bien, porque si las multitudes se hacen más grandes, puedes agregar más guardias, pero solo necesitas la única autoridad central.

De acuerdo, supongo que toda esta metáfora podría aplicarse a cualquier protocolo de autenticación descentralizado, pero supongo que el punto que trato de señalar es la simplicidad de su interacción con el guardia y su mera comprensión de la situación. p>

Los distintos métodos mediante los cuales la autoridad central puede determinar su elegibilidad para la admisión son como las versiones específicas de EAP (EAP-SIM, EAP-MD5). EAP solo tiene la obligación de admitir un subconjunto básico de los disponibles, y si su dispositivo no habla el aceptado, no entrará (como agitar su tarjeta de oro para el club en el futuro). / p>

EAP también tiene una capacidad limitada de tunelización, que se puede usar para configurar un túnel entre su dispositivo y la autoridad que usa TLS / SSL, que luego puede llevar un diálogo de autenticación más detallado, tal vez usando certificados (EAP-TLS), otra capa de EAP (PEAP) o algún otro protocolo AAA arbitrario (canalizado sobre EAP-TTLS). Supongo que esto es análogo a la figura de autoridad que viene a ti mismo, bajo la vigilancia de la guardia.

Supongo que el punto clave es que todo el mundo entiende "Sí", "No" o "más información requerida". Esto es básico EAP. El razonamiento más sofisticado por el cual alguien podría admitirlo en su Red es más matizado ... típicamente secreto ... y centralizado, y los medios por los cuales esto se determina están incorporados en las variantes de EAP más específicas que se sientan sobre EAP básico.

    
respondido por el robert 17.10.2014 - 17:46
fuente

Lea otras preguntas en las etiquetas