EAP-TLS Oversikt definisjon, hvordan det fungerer og fordelene

Radius er fortsatt et av de mest populære systemene som organisasjoner bruker for å holde infrastrukturen deres sikker. Den har prisverdig autorisasjon, autentisering og regnskapsmuligheter. Imidlertid kan du ta hele konseptet et hakk høyere ved å utnytte radius sammen med EAP-TLS.

Denne artikkelen fokuserer på EAP-TLS. Vi vil fremheve fordelene, hvorfor du kan trenge det for organisasjonen din, hvordan EAP-TLS fungerer og hvor sikker den er.

Men først, la oss definere og forstå hva EAP-TLS er.

Hva er EAP-TLS?

Vanligvis referert til som utvidbar autentiseringsprotokoll-transportlagssikkerhet, er EAP-TLS en åpen standard utviklet av IETF og definert i RFC 5216. Det gir sertifikatbasert gjensidig autentisering. Denne autentiseringsprotokollen kommer ofte godt med WPA2-Enterprise Networks, da det hjelper disse nettverkene til å bli kompatible med x.509 digitale sertifikater.

Denne protokollen bruker TLS Public Key Authentication Certificate innen EAP-rammeverket for å levere gjensidig server-til-klient eller klient-til-server-godkjenning. Selv om det utvilsomt er en av de mest ultrasikre autentiseringsmekanismene, er den fremdeles ikke så utbredt som de andre protokollene. Dessuten er Gold Standard Authentication Framework levedyktig for automatiserte ombordprosesser for MDM og BYOD for enheter for MDM og BYOD.

Noen av funksjonene til EAP-TLS som en godkjenningsmekanisme inkluderer:

• Det tilbyr gjensidig autentisering som innebærer at den kan gi en godkjenning av server-til-klient og autentisering av klient-til-server.
• Den har nøkkelutveksling for å etablere TKIP -nøkler eller dynamiske WEP -nøkler.
• Det kan fragmentere og samle ekstremt lange EAP -meldinger hvis det skulle være behov.
• Protokollen åpner for rask og effektiv tilkobling via TLS Session gjenopptakelse.

Hvordan EAP-TLS fungerer

Til tross for at de er gullstandarden for nettverkssikkerhet, er EAP-TLS ikke så vanskelig å bruke som du kanskje tror. Autentiseringsrammen er ikke avhengig av kompliserte krypteringsordninger. I stedet er det avhengig av styrken til den offentlige nøkkelkryptografien.

Kryptografien som brukes i denne autentiseringsmekanismen er unik asymmetrisk kryptografi som utnytter de offentlig-private nøkkelparene for å generere den symmetriske kryptografien over utrygge kanaler. Dette systemet eliminerer behovet for å passere over de delte nøklene.

Selv om EAP-TLS har en lignende arkitektur som nesten alle de andre EAP-typene, krever den gjensidig autentisering. Dessuten x.509 sertifikater er allsidige og forbedrer sikkerheten og brukeropplevelsen dramatisk. Disse sertifikatene lar også SSO -konfigurasjonen lette et bredere spekter av tjenester.

Og som fremhevet tidligere, bruker denne protokollen en sertifikatbasert gjensidig autentiseringsmekanisme. Dette innebærer at både klient- og serversiden krever sertifikater for autentisering. Prosessen begynner med å identifisere sertifikatene før du oppretter de sesjonsbaserte nøklene for både serveren og klienten for å fullføre påloggingsprosessen.

Følgende trinn finner sted:

1. Brukere ber om nettverkstilgang gjennom en autentisator -app eller et trådløst tilgangspunkt.
2. Authenticator -appen eller Wireless Access Point (AP) vil be om brukerens identitetsopplysning.
3. Systemet vil overføre brukerens identitetsinformasjon fra AP til nettverkets autentiseringsserver.
4. Serveren ber deretter om identifikasjonsverifisering fra AP.
5. AP henter valideringen og sender detaljene tilbake til godkjenningsserveren.
6. Systemet etablerer en tilkobling, og brukeren vil koble seg direkte til nettverket.

Hvordan konfigurere Freeradius til å jobbe med EAP-TLS på Linux

Det er viktig å merke seg hva slags maskinvare og programvare du trenger for å gjøre den funksjonell for å forstå denne autentiseringsprotokollen. Blant tingene du trenger inkluderer:

• En offentlig nøkkelinfrastruktur
• Et tilgangspunkt eller AP
• Radiusprotokollen
• En brukerkatalog

Og konfigurasjonen innebærer følgende trinn:

Trinn 1: Installer Freeradius i systemet ditt

Begynn med å installere en fri radius ved å bruke følgende kommando:

Trinn 2: Opprett en Certificate Revocation List

Sertifikater kommer ikke automatisk. Dermed må du lage dem manuelt. Den beste måten er å bruke Freeradius Tutorials. Imidlertid kan du fremdeles oppnå dette ved å opprette tilbakekallingslisten ved å bruke følgende kommando:

Trinn 3: Opprett en ny fil for å holde de tilbakekalte filene og sertifikatmyndighetsfilene

Fortsett med å lage et fyll som har både CA (Certificate Authority) og tilbakekalte filer. Følgende kommando skal være nyttig:

Trinn 4: Konfigurer radius ved hjelp av/etc/raddb/klienter.Conf Command

Konfigurer radius. Blant de beste tingene du bør gjøre er å legge til en klient. Klienten vil være din wifi AP.

Trinn 5: Konfigurer EAP ved hjelp av/etc/RadDB/MODS-aktivert/EAP-kommandoen

Når du har fått filen når du skriver kommandoen, må du forsikre deg om at EAP -filen din bare har følgende linjer ved å slette noe annet som ikke er i denne listen:

Konklusjon

EAP-TLS er uten tvil et sikrere autentiseringssystem. Det er bedre enn å bruke WPA2 eller forhåndsdelte nøkler som ofte er utsatt for cyberangrep. Det er imidlertid viktig å bruke separate sertifikater for hver av enhetene dine i nettverket.