it-swarm.com.de

Kann ein 802.1x-Netzwerk (PEAP / MSCHAPv2) kein Zertifikat haben?

Kann ein 802.1x-Netzwerk (PEAP/MSCHAPv2) kein Zertifikat haben (Zertifizierungsstelle, Benutzer oder anderweitig)?

Wenn ja, welche Auswirkungen hat die Sicherheit?

Der Grund, den ich frage, ist: Ich verbinde mich regelmäßig mit dem WLAN einer bestimmten Organisation und habe den Eindruck, dass kein Zertifikat verwendet wird. Ich kann mich nicht erinnern, eine akzeptiert zu haben, und die Client-Konfiguration sieht folgendermaßen aus:

(enter image description here

4
voices

Kann ein 802.1x-Netzwerk (PEAP/MSCHAPv2) kein Zertifikat haben (Zertifizierungsstelle, Benutzer oder anderweitig)?

PEAP/MSCHAPv2 verwendet normalerweise weder Client-Zertifikate noch direkt CA-Zertifikate zum Herstellen einer TLS-Verbindung (* siehe unten). Es erfordert jedoch sicherlich die Verwendung eines Serverzertifikats (PEAP ist ein TLS-getunneltes EAP-Protokoll).

Wenn ja, welche Auswirkungen hat die Sicherheit?

Das von Ihnen bereitgestellte Bild zeigt an, dass Sie wahrscheinlich eine Form von * nix verwenden, die Ihnen zwei Zertifikatoptionen bietet.

Wenn Sie zuerst die zweite Option (Client-Zertifikat) ansprechen, wird die überwiegende Mehrheit der Benutzer, die über PEAP/MSCHAPv2 eine drahtlose Verbindung mit einem Netzwerk über PEAP/MSCHAPv2 herstellen, dieses Feld niemals benötigen (ich habe Tausende von APs in zahlreichen Umgebungen konfiguriert/bereitgestellt und habe dies noch nie persönlich gesehen). .

Die wichtige Option ist die erste, das CA-Zertifikatfeld. Warum? Dies trägt dazu bei, die Möglichkeit einer Verbindung zu einem gefälschten oder nicht autorisierten drahtlosen Netzwerk, das versucht, sich als das Netzwerk auszugeben, mit dem Sie eine Verbindung herstellen möchten, erheblich zu verringern.

Dies wirft die Frage auf, wie das CA-Zertifikat hilft. Beachten Sie, dass Ihr Client vor der erfolgreichen Authentifizierung beim Netzwerk keinen Zugriff auf das Netzwerk oder die darin enthaltenen Ressourcen hat. Der AP oder der drahtlose Controller, der als NAS (Netzwerkzugriffsserver)) fungiert, überträgt die Verbindung von Ihrem EAP-Supplicant Ihres Clientgeräts zum RADIUS Authentifizierungsserver. Die Zertifizierungsstelle Das Zertifikat wird verwendet, um die Identität des RADIUS Authentifizierungsservers, bei dem sich Ihr EAP-Supplicant authentifiziert) zu überprüfen.

Im Allgemeinen muss der EAP-Supplicant entscheiden, ob er Ihren Benutzernamen/Ihr Kennwort an den Authentifizierungsserver sendet, ohne mit dem Netzwerk verbunden zu sein. Dies bedeutet, dass es nur mit Informationen und Informationen arbeiten kann, die vom Authentifizierungsserver bereitgestellt werden. Es kann erst nach der Authentifizierung ins Internet gehen, um eine andere Quelle zu überprüfen, und es ist zu spät, Ihren Benutzernamen/zurückzuhalten. Passwort.

Der EAP-Supplicant überprüft dies in erster Linie durch zwei Dinge (mit einigen Optionen, die in vielen EAP-Supplicants wie Windows und OSX vorhanden sind, jedoch häufig nicht auf Mobilgeräten wie Tablets und Telefonen):

  1. Ist das vom Authentifizierungsserver bereitgestellte Zertifikat ein gültiges Zertifikat, das von einer vom Clientgerät vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde?
  2. (Optional) Wird das Zertifikat von der/den angegebenen Zertifizierungsstelle (n) im EAP-Supplicant ausgestellt?
  3. Entspricht der auf dem Zertifikat angegebene Hostname dem vom Authentifizierungsserver angegebenen Hostnamen?
  4. (Optional) Ist der vom Authentifizierungsserver angegebene Hostname einer der Hostnamen, die in der Konfiguration des EAP-Supplicant zulässig sind?

Die anderen Optionen für den EAP-Supplicant bestehen darin, dass der Benutzer vom Betriebssystem aufgefordert wird, das Zertifikat zu "überprüfen und zu genehmigen" (schlechte Idee) oder das Zertifikat überhaupt nicht zu validieren (schlechtere Idee), bevor Sie Ihren Benutzernamen/Ihr Kennwort senden.

Wenn Sie also das CA-Zertifikat in Ihrer EAP-Supplicant-Konfiguration bereitstellen, können Sie die Identität des Servers RADIUS Server zusätzlich zu # 1 und # 3) mit # 2 oben überprüfen. Dies sollte möglich sein um die richtigen CA-Informationen und/oder Zertifikate von Ihrer IT-Abteilung zu erhalten.

Hinweis: Teile dieser Antwort wurden kopiert aus einer anderen meiner Antworten .

5
YLearn