Supongamos que tenemos dos configuraciones empresariales WPA2 utilizando un servidor RADIUS. Si ambas implementaciones usan MSCHAPV2 y las mismas credenciales. Cuál de los dos sería más seguro y en qué se diferencian estas dos implementaciones.
La diferencia entre estas 2 implementaciones es que una usa TLS tunelizado (TTLS) y la otra PEAP.
Por seguro me refiero a la protección de:
La respuesta más votada:
PEAPv0, PEAPv1 y TTLS tienen las mismas propiedades de seguridad.
PEAP es un contenedor SSL alrededor de EAP que transporta EAP. TTLS es un contenedor SSL Alrededor de los TLV de diámetro que llevan atributos de autenticación RADIUS.
EAP-TTLS-PAP puede ser útil sobre EAP-PEAP si la autenticación de back-end las credenciales del almacén de base de datos en un formato hash no reversible, como Bigcrypt o cualquier forma no compatible con MSCHAP (NT-OWF) En este caso no es posible autenticarse usando ninguno de los basados en CHAP métodos.
Si bien también puede emular PAP utilizando EAP-PEAPv1-GTC, esto no es tan ampliamente soportado por los clientes.
PEAP tiene un poco de equipaje adicional sobre TTLS en forma de versión PEAP dolores de cabeza de negociación e incompatibilidades históricas en PEAPv1 (Tales como cliente mágico al derivar la clave maestra de PRF) que han hecho su camino hacia implementaciones tempranas.
Normalmente veo EAP-TTLS implementado en clientes integrados, como Módulos de suscriptor en equipo inalámbrico con PEAP usado más por computadora portátil Computadoras y teléfonos móviles.
Históricamente, los clientes de Windows no han admitido EAP-TTLS Sin necesidad de instalar software de terceros. EAP-TTLS es ahora admitido a partir de Windows 8.
Algunos pensamientos adicionales:
EAP-TTLS fue inventado por un proveedor de RADIUS. EAP-PEAPv0 fue inventado por Microsoft EAP-PEAPv1 salió del proceso IETF.
Hubo algún trabajo adicional de IETF en un PEAPv2 que habría hecho El sistema es más seguro por medio de enlaces criptográficos al interior. Métodos de autenticación. Esto no ha ido tan lejos como puedo decir.
La respuesta aceptada fue:
Puede admitir ambos, si su backend RADIUS lo admite. Sin embargo, algunos clientes "auto" -conecta (Mac OS X > = 10.7 + iOS por ejemplo), y podría funcionar menos que óptimo si admite más de un tipo, ya que simplemente prueban diferentes combinaciones hasta que una de ellas funciona, es decir, conéctate con menos problemas si solo hay una manera de conectarte.
Básicamente: solo es compatible con PEAP o PEAP + TTLS si tiene clientes que requiere TTLS.
Lea otras preguntas en las etiquetas encryption wpa2 radius peap