Definizione panoramica di EAP-TLS, come funziona e i suoi benefici

Il raggio rimane uno dei sistemi più popolari che le organizzazioni utilizzano per mantenere sicure le loro infrastrutture. Presenta levabili capacità di autorizzazione, autenticazione e contabilità. Tuttavia, puoi prendere in più l'intero concetto in più sfruttando il raggio insieme agli EAP-TLS.

Questo articolo si concentra su EAP-TLS. Metteremo in evidenza i suoi vantaggi, perché potresti averne bisogno per la tua organizzazione, come funziona EAP-TLS e quanto sia sicuro.

Ma prima, definiamo e comprendiamo cosa sia EAP-TLS.

Cos'è EAP-TLS?

Comunemente indicato come Sicurezza del livello di trasporto di protocollo di autenticazione estensibile, EAP-TLS è uno standard aperto sviluppato da IETF e definito in RFC 5216. Fornisce autenticazione reciproca basata su certificati. Questo protocollo di autenticazione è spesso utile per le reti WPA2-Enterprise in quanto aiuta queste reti a diventare compatibili con x.509 certificati digitali.

Questo protocollo utilizza il certificato di autenticazione della chiave pubblica TLS all'interno del framework EAP per fornire autenticazione da server-cliente o client-server. Mentre è senza dubbio uno dei meccanismi di autenticazione più ultra-sicuri, non è ancora così diffuso come gli altri protocolli. Inoltre, il framework di autenticazione del gold standard è praticabile per i processi automatizzati di onboarding per MDM e BYOD.

Alcune delle caratteristiche di EAP-TLS come meccanismo di autenticazione includono:

• Offre un'autenticazione reciproca che implica che può fornire un'autenticazione da server a cliente e autenticazione client-server.
• Presenta uno scambio chiave per stabilire tasti TKIP o tasti WEP dinamici.
• Può frammento e rimborsare i messaggi EAP estremamente lunghi qualora ci fosse bisogno.
• Il protocollo consente una riconnessione rapida ed efficiente tramite la ripresa della sessione TLS.

Come funziona EAP-TLS

Nonostante sia il gold standard per la sicurezza della rete, EAP-TLS non è così difficile da usare come si potrebbe pensare. Il framework di autenticazione non si basa su complicati schemi di crittografia. Invece, si basa sulla forza della crittografia chiave pubblica.

La crittografia utilizzata in questo meccanismo di autenticazione è una crittografia asimmetrica unica che sfrutta le coppie di chiavi pubblico-privato per generare la crittografia simmetrica sui canali non sicuri. Questo sistema elimina la necessità di passare sulle chiavi pre-condivise.

Sebbene EAP-TLS presenta un'architettura simile a quasi tutti gli altri tipi EAP, richiede autenticazione reciproca. Inoltre, la X.509 certificati sono versatili e migliorano drasticamente l'esperienza di sicurezza e utente. Questi certificati consentono inoltre alla configurazione SSO di facilitare una gamma più ampia di servizi.

E come evidenziato in precedenza, questo protocollo utilizza un meccanismo di autenticazione reciproca basata sul certificato. Ciò implica che sia i lati del client che il server richiedono certificati per l'autenticazione. Il processo inizia con l'identificazione dei certificati prima di creare le chiavi basate sulla sessione sia per il server che per il client per completare il processo di accesso.

Si svolgono i seguenti passaggi:

1. Gli utenti richiedono l'accesso alla rete tramite un'app di autenticatore o un punto di accesso wireless.
2. L'app Authenticator o il punto di accesso wireless (AP) richiederà le credenziali di identità dell'utente.
3. Il sistema trasferirà le informazioni sull'identità dell'utente dall'AP al server di autenticazione della rete.
4. Il server richiede quindi la verifica di identificazione da AP.
5. L'AP recupera la convalida e invia i dettagli al server di autenticazione.
6. Il sistema stabilisce una connessione e l'utente si connetterà direttamente alla rete.

Come configurare Freeradius per lavorare con EAP-TLS su Linux

È fondamentale notare i tipi di hardware e software di cui è necessario per renderlo funzionale per comprendere questo protocollo di autenticazione. Tra le cose che hai bisogno includono:

• Un'infrastruttura chiave pubblica
• Un punto di accesso o AP
• Il protocollo del raggio
• Una directory utente

E la configurazione prevede i seguenti passaggi:

Passaggio 1: installa freeradius nel tuo sistema

Inizia installando un raggio libero utilizzando il seguente comando:

Passaggio 2: creare un elenco di revoca del certificato

I certificati non arrivano automaticamente. Quindi, dovrai crearli manualmente. Il modo migliore è usare i tutorial Freeradius. Tuttavia, puoi comunque raggiungere questo obiettivo creando l'elenco di revoca usando il seguente comando:

Passaggio 3: creare un nuovo file per contenere i file revocati e i file dell'autorità di certificazione

Procedere a creare un riempimento che contiene sia i file CA (Autorità del certificato) che. Il seguente comando dovrebbe essere utile:

Passaggio 4: configurare il raggio utilizzando/etc/raddb/client.comando conf

Configurare il raggio. Tra le migliori cose che dovresti fare è aggiungere un cliente. Il cliente sarà il tuo AP wifi.

Passaggio 5: configurare EAP utilizzando il comando/etc/raddb/mod-abilita

Una volta ottenuto il file al momento della digitazione del comando, assicurati che il tuo file EAP abbia solo le seguenti righe eliminando qualsiasi altra cosa che non sia in questo elenco:

Conclusione

EAP-TLS è di gran lunga un sistema di autenticazione più sicuro. È meglio che usare wPA2 o chiavi pre-condivise che sono spesso soggette a attacchi informatici. Tuttavia, è fondamentale utilizzare certificati separati per ciascuno dei dispositivi nella rete.