Definição de visão geral do EAP-TLS, como funciona e seus benefícios

O Radius continua sendo um dos sistemas mais populares que as organizações usam para manter sua infraestrutura segura. Possui recursos louváveis ​​de autorização, autenticação e contabilidade. No entanto, você pode levar todo o conceito um entalhe, aproveitando o raio ao lado do EAP-TLS.

Este artigo se concentra no EAP-TLS. Destacaremos seus benefícios, por que você pode precisar para sua organização, como o EAP-TLS funciona e o quão seguro é.

Mas primeiro, vamos definir e entender o que é EAP-TLS.

O que é EAP-TLS?

Geralmente referido como Extensible Authentication Protocol-Transport Layer Security, o EAP-TLS é um padrão aberto desenvolvido pela IETF e definido na RFC 5216. Ele fornece autenticação mútua baseada em certificado. Esse protocolo de autenticação geralmente é útil para redes WPA2-Enterprise, pois ajuda essas redes a se tornarem compatíveis com X.509 certificados digitais.

Este protocolo usa o Certificado de Autenticação Público TLS Public na estrutura EAP para fornecer autenticações de servidor a cliente ou cliente a servidor. Embora seja sem dúvida um dos mecanismos de autenticação mais ultra-seguros, ainda não é tão difundido quanto os outros protocolos. Além disso, a estrutura de autenticação padrão -ouro é viável para processos de integração de dispositivos automatizados para MDM e BYOD.

Alguns dos recursos do EAP-TLS como um mecanismo de autenticação incluem:

• Oferece autenticação mútua, o que implica que pode fornecer uma autenticação servidor para cliente e autenticação cliente a servidor.
• Possui troca de chaves para estabelecer teclas TKIP ou teclas dinâmicas de WEP.
• Pode se fragmentar e remontar mensagens de EAP extremamente longas, caso haja uma necessidade.
• O protocolo permite uma reconexão rápida e eficiente via retomada de sessão TLS.

Como funciona o EAP-TLS

Apesar de ser o padrão-ouro para a segurança da rede, o EAP-TLS não é tão difícil de usar quanto você pode pensar. A estrutura de autenticação não depende de esquemas de criptografia complicados. Em vez disso, depende da força da criptografia de chave pública.

A criptografia usada neste mecanismo de autenticação é uma criptografia assimétrica única que aproveita os pares de chave pública-privada para gerar a criptografia simétrica sobre canais inseguros. Este sistema elimina a necessidade de passar as chaves pré-compartilhadas.

Embora o EAP-TLS apresente uma arquitetura semelhante a quase todos os outros tipos de EAP, requer autenticação mútua. Além disso, o X.509 certificados são versáteis e melhora drasticamente a experiência de segurança e usuário. Esses certificados também permitem que a configuração do SSO facilite uma gama mais ampla de serviços.

E, como destacado anteriormente, este protocolo usa um mecanismo de autenticação mútua baseada em certificado. Isso implica que os lados do cliente e do servidor exigem certificados para autenticação. O processo começa com a identificação dos certificados antes de criar as chaves baseadas em sessão para o servidor e o cliente concluir o processo de login.

As seguintes medidas ocorrem:

1. Os usuários solicitam o acesso à rede por meio de um aplicativo autenticador ou um ponto de acesso sem fio.
2. O aplicativo autenticador ou ponto de acesso sem fio (AP) solicitará as credenciais de identidade do usuário.
3. O sistema transferirá as informações de identidade do usuário do AP para o servidor de autenticação da rede.
4. O servidor solicita a verificação de identificação do AP.
5. O AP busca a validação e envia os detalhes de volta ao servidor de autenticação.
6. O sistema estabelece uma conexão e o usuário se conectará diretamente à rede.

Como configurar Freeradius para trabalhar com EAP-TLs no Linux

É vital observar os tipos de hardware e software que você precisa para tornar funcional entender esse protocolo de autenticação. Entre as coisas que você precisa incluir:

• Uma infraestrutura de chave pública
• Um ponto de acesso ou AP
• O protocolo RADIUS
• Um diretório de usuário

E a configuração envolve as seguintes etapas:

Etapa 1: Instale o Freeradius em seu sistema

Comece instalando um raio livre usando o seguinte comando:

Etapa 2: Crie uma lista de revogação de certificados

Os certificados não vêm automaticamente. Assim, você precisará criá -los manualmente. A melhor maneira é usar os tutoriais do Freeradius. No entanto, você ainda pode conseguir isso criando a lista de revogação usando o seguinte comando:

Etapa 3: Crie um novo arquivo para manter os arquivos e arquivos de autoridade de certificação revogados

Prossiga para criar um preenchimento que detém os arquivos CA (Autoridade de Certificação) e Revogados. O comando a seguir deve ser útil:

Etapa 4: configure o raio usando o/etc/raddb/clientes.COMANDO CONF

Configure o raio. Entre as principais coisas que você deve fazer é adicionar um cliente. O cliente será seu wifi ap.

Etapa 5: Configurar EAP usando o comando/etc/raddb/mods-inabled/eap

Depois de obter o arquivo ao digitar o comando, verifique se o seu arquivo EAP possui apenas as seguintes linhas, excluindo qualquer outra coisa que não esteja nesta lista:

Conclusão

EAP-TLS é de longe um sistema de autenticação mais seguro. É melhor do que usar WPA2 ou chaves pré-compartilhadas que geralmente são propensas a ataques cibernéticos. No entanto, é vital usar certificados separados para cada um de seus dispositivos na rede.