Omówienie EAP-TLS Definicja, jak to działa i jego korzyści

Omówienie EAP-TLS Definicja, jak to działa i jego korzyści
Radius pozostaje jednym z najpopularniejszych systemów, których organizacje wykorzystują do zapewnienia bezpieczeństwa infrastruktury. Zawiera godne pochwały upoważnienie, uwierzytelnianie i funkcje księgowe. Możesz jednak podjąć całą koncepcję wyżej, wykorzystując promień wraz z EAP-TLS.

Ten artykuł koncentruje się na EAP-TLS. Podkreślimy jego korzyści, dlaczego możesz go potrzebować dla swojej organizacji, jak działa EAP-TLS i jak bezpieczne jest.

Ale najpierw zdefiniujmy i zrozummy, czym jest EAP-TLS.

Co to jest EAP-TLS?

Powszechnie określany jako rozszerzalny protokół uwierzytelniania bezpieczeństwa warstwy transportu, EAP-TLS jest otwartym standardem opracowanym przez IETF i zdefiniowanym w RFC 5216. Zapewnia wzajemne uwierzytelnianie oparte na certyfikatach. Ten protokół uwierzytelniania często przydaje się do sieci WPA2-Enderprise, ponieważ pomaga tym sieciom kompatybilny z x.509 certyfikatów cyfrowych.

Ten protokół wykorzystuje certyfikat uwierzytelniania klucza publicznego TLS w ramach EAP, aby dostarczyć uwierzytelniania Mutual Server-to-Client lub klientów. Chociaż jest to niewątpliwie jednym z najbardziej ultrańskich mechanizmów uwierzytelniania, nadal nie jest tak powszechna jak inne protokoły. Poza tym ramy uwierzytelniania złotego jest opłacalne w przypadku automatycznych procesów wdrażania urządzeń dla MDM i BYOD.

Niektóre z funkcji EAP-TL jako mechanizmu uwierzytelniania obejmują:

  • Oferuje wzajemne uwierzytelnianie, które sugeruje, że może zapewnić uwierzytelnianie serwera i uwierzytelnianie klienta do serwera.
  • Zawiera wymianę kluczy w celu ustalenia klawiszy TKIP lub dynamicznych klawiszy WEP.
  • Może fragmentować i ponownie złożyć bardzo długie wiadomości EAP, jeśli będzie potrzeba.
  • Protokół pozwala na szybkie i wydajne ponowne połączenie za pomocą wznowienia sesji TLS.

Jak działa EAP-TLS

Pomimo tego, że jest złotym standardem bezpieczeństwa sieci, EAP-TLS nie jest tak trudny w użyciu, jak myślisz. Framework uwierzytelniania nie opiera się na skomplikowanych schematach szyfrowania. Zamiast tego opiera się na sile kryptografii klucza publicznego.

Kryptografia zastosowana w tym mechanizmie uwierzytelniania jest unikalną kryptografią asymetryczną, która wykorzystuje pary kluczy publiczno-prywatnych w celu wygenerowania symetrycznej kryptografii nad niebezpiecznymi kanałami. Ten system eliminuje potrzebę przekazywania klawiszy wstępnych.

Chociaż EAP-TLS ma podobną architekturę do prawie wszystkich innych typów EAP, wymaga wzajemnego uwierzytelnienia. Poza tym x.509 certyfikatów jest wszechstronne i radykalnie poprawia bezpieczeństwo i wrażenia użytkownika. Te certyfikaty pozwalają również konfiguracji SSO ułatwić szerszy zakres usług.

I jak podkreślono wcześniej, ten protokół wykorzystuje oparty na certyfikatach mechanizm wzajemnego uwierzytelniania. Oznacza to, że zarówno po stronie klienta, jak i serwera wymagają certyfikatów do uwierzytelnienia. Proces zaczyna się od zidentyfikowania certyfikatów przed utworzeniem klawiszy opartych na sesji zarówno dla serwera, jak i klienta w celu ukończenia procesu logowania.

Odbywają się następujące kroki:

  1. Użytkownicy żądają dostępu do sieci za pośrednictwem aplikacji uwierzytelniającego lub bezprzewodowego punktu dostępu.
  2. Aplikacja uwierzytelniającego lub bezprzewodowy punkt dostępu (AP) zażąda poświadczeń tożsamości użytkownika.
  3. System przeniesie informacje o tożsamości użytkownika z AP na serwer uwierzytelniania sieci.
  4. Następnie serwer żąda weryfikacji identyfikacji z AP.
  5. AP pobiera sprawdzanie poprawności i wysyła szczegóły z powrotem na serwer uwierzytelniania.
  6. System ustanawia połączenie, a użytkownik połączy się bezpośrednio z siecią.

Jak skonfigurować Freeradius do pracy z EAP-TLS w Linux

Ważne jest, aby zwrócić uwagę na rodzaj sprzętu i oprogramowania, którego potrzebujesz, aby funkcjonować, aby zrozumieć ten protokół uwierzytelnienia. Wśród rzeczy, których potrzebujesz, to:

  • Infrastruktura klucza publicznego
  • Punkt dostępu lub AP
  • Protokół promienia
  • Katalog użytkowników

A konfiguracja obejmuje następujące kroki:

Krok 1: Zainstaluj Freeradius w swoim systemie

Zacznij od zainstalowania promienia wolnego za pomocą następującego polecenia:

Krok 2: Utwórz listę odwołania certyfikatów

Certyfikaty nie przychodzą automatycznie. Zatem będziesz musiał je stworzyć ręcznie. Najlepszym sposobem jest użycie samouczków Freeradius. Jednak nadal możesz to osiągnąć, tworząc listę odwołania za pomocą następującego polecenia:

Krok 3: Utwórz nowy plik, aby przechowywać cofnięte pliki i pliki Authority Certificate

Kontynuuj utworzenie wypełnienia, które posiada zarówno CA (Urząd Świadectwa), jak i cofnął pliki. Pomocne powinno być następujące polecenie:

Krok 4: Skonfiguruj promień za pomocą klientów/etc/raddb/.Conf Command

Skonfiguruj promień. Wśród najlepszych rzeczy, które powinieneś zrobić, jest dodanie klienta. Klient będzie Twoim Wi -Fi AP.

Krok 5: Skonfiguruj EAP za pomocą polecenia/etc/raddb/mods-obsługującego/EAP

Po uzyskaniu pliku po wpisaniu polecenia upewnij się, że Twój plik EAP ma tylko następujące wiersze, usuwając wszystko, co nie ma na tej liście:

Wniosek

EAP-TLS jest zdecydowanie bezpieczniejszym systemem uwierzytelniania. Jest lepszy niż używanie klawiszy WPA2 lub przed wylaniem się, które często są podatne na cyberataki. Jednak ważne jest użycie osobnych certyfikatów dla każdego z twoich urządzeń w sieci.