जैसा कि मुझे समझ आया कि वायरलेस नेटवर्क में लागू होने पर EAP-TTLS और PEAP समान स्तर की सुरक्षा साझा करते हैं। दोनों केवल सर्टिफिकेट के माध्यम से सर्वर साइड प्रमाणीकरण प्रदान करते हैं।

ईएपी-टीटीएलएस का दोष माइक्रोसॉफ्ट विंडोज में गैर देशी समर्थन हो सकता है इसलिए प्रत्येक उपयोगकर्ता को अतिरिक्त सॉफ़्टवेयर स्थापित करना होगा।

ईएपी-टीटीएलएस का लाभ कम सुरक्षित प्रमाणीकरण तंत्र (पीएपी, सीएचएपी, एमएस-सीएचपी) के लिए समर्थन हो सकता है लेकिन आपको आधुनिक और ठीक से सुरक्षित वायरलेस सिस्टम में उनकी आवश्यकता क्यों होगी?

क्या राय हैं? मुझे PEAP के बजाय EAP-TTLS क्यों लागू करना चाहिए? मान लीजिए कि मेरे पास अधिकांश विंडोज उपयोगकर्ता, मध्यम लिनक्स उपयोगकर्ता और कम से कम आईओएस, ओएसएक्स उपयोगकर्ता हैं।

आप दोनों का समर्थन कर सकते हैं, यदि आपका RADIUS बैकेंड इसका समर्थन करता है। हालांकि कुछ क्लाइंट "ऑटो" -connects (उदाहरण के लिए Mac OS X> = 10.7 + iOS), और यदि आप एक से अधिक प्रकार का समर्थन करते हैं, तो वे इष्टतम से कम काम कर सकते हैं, क्योंकि वे उनमें से किसी एक के काम करने तक विभिन्न संयोजनों का प्रयास करते हैं अर्थात वे कनेक्ट होते हैं कम परेशानी के साथ अगर कनेक्ट करने का केवल एक ही तरीका है।

तो मूल रूप से: PEAP केवल का समर्थन करें, या PEAP + TTLS यदि आपके पास ऐसे क्लाइंट हैं जिन्हें TTLS की आवश्यकता है।

ग्राहक प्रतिबंध

• iOS क्लाइंट (केवल ) के EAP-TTLSसाथ समर्थन नहीं करेगा जब तक कि आप मैन्युअल रूप से (कंप्यूटर के माध्यम से) एक प्रोफ़ाइल स्थापित न करें।PAPMsCHAPv2

• विंडोज क्लाइंटEAP-TTLS आउट-ऑफ-द-बॉक्स का समर्थन नहीं करेंगे (जब तक कि आपके पास इंटेल वायरलेस कार्ड न हो, आपको सिक्योर 2w जैसे सॉफ़्टवेयर स्थापित करने की आवश्यकता होगी)।

• एंड्रॉइडEAP और के लगभग सभी संयोजनों का समर्थन करता है PEAP।

पासवर्ड डेटाबेस प्रतिबंध

इस प्रकार, वास्तविक समस्या यह है कि आपके पासवर्ड कैसे संग्रहीत किए जाते हैं।

यदि वे इसमें हैं:

• सक्रिय निर्देशिका , फिर आप EAP-PEAP-MsCHAPv2(विंडोज बक्से) और EAP-TTLS-MsCHAPv2(आईओएस ग्राहकों के साथ ) का उपयोग कर सकते हैं ।

• यदि आप LDAP पर पासवर्ड स्टोर करते हैं , तो आप EAP-TTLS-PAP(विंडोज बॉक्स) का उपयोग कर सकते हैं, लेकिन आप iOS के बारे में खो जाएंगे।

महत्वपूर्ण सुरक्षा चिंताएं

• दोनों EAP-TTLSऔर PEAPउपयोग TLS(ट्रांसपोर्ट लेयर सिक्योरिटी) से अधिक EAP(एक्सटेंसिबल ऑथेंटिकेशन प्रोटोकॉल)।

जैसा कि आप जानते हैं, एक विश्वसनीय केंद्रीय प्राधिकरण (प्रमाणन प्राधिकरण - CA) द्वारा हस्ताक्षरित प्रमाणपत्रों के आधार पर TLSएक नया संस्करण है SSLऔर काम करता है।

TLSसुरंग स्थापित करने के लिए , ग्राहक को यह पुष्टि करनी चाहिए कि वह सही सर्वर से बात कर रहा है (इस मामले में, उपयोगकर्ताओं को प्रमाणित करने के लिए त्रिज्या सर्वर का उपयोग किया जाता है)। ऐसा होता है कि जाँच करके कि क्या सर्वर ने एक मान्य प्रमाणपत्र प्रस्तुत किया है, एक विश्वसनीय सीए द्वारा जारी किया गया है।

समस्या यह है: आम तौर पर, आपके पास एक विश्वसनीय सीए द्वारा जारी किया गया प्रमाण पत्र नहीं होगा, लेकिन आपके द्वारा इस उद्देश्य के लिए बनाए गए तदर्थ सीए द्वारा जारी किया गया। ऑपरेशनल सिस्टम उपयोगकर्ताओं को शिकायत करेगा कि यह नहीं जानता कि सीए और उपयोगकर्ता (आपके द्वारा उन्मुख) खुशी से स्वीकार करेंगे।

लेकिन इससे एक बड़ा सुरक्षा जोखिम बनता है:

कोई आपके व्यवसाय के अंदर (एक थैले में या लैपटॉप पर भी) एक दुष्ट एपी को सेटअप कर सकता है, अपने स्वयं के त्रिज्या सर्वर से बात करने के लिए इसे कॉन्फ़िगर कर सकता है (अपने लैपटॉप पर या स्वयं दुष्ट एपी में चल रहा है)।

यदि आपके क्लाइंट को यह AP अधिक मजबूत संकेत लगता है तो आपके एक्सेस पॉइंट्स, वे इसे कनेक्ट करने का प्रयास करेंगे। एक अज्ञात सीए (उपयोगकर्ताओं को स्वीकार करते हैं) देखेंगे, एक TLSसुरंग स्थापित करेंगे, इस सुरंग पर प्रमाणीकरण जानकारी भेजेंगे और बदमाश त्रिज्या इसे लॉग इन करेगा।

अब महत्वपूर्ण हिस्सा: यदि आप एक सादा पाठ प्रमाणीकरण योजना ( PAPउदाहरण के लिए) का उपयोग कर रहे हैं , तो दुष्ट त्रिज्या सर्वर के पास आपके उपयोगकर्ता पासवर्ड तक पहुंच होगी।

आप प्रमाणीकरण प्राधिकारी द्वारा जारी किए गए वैध प्रमाण पत्र का उपयोग करके iOS, Windows (और Android) ट्रस्ट दोनों को हल कर सकते हैं। या, आप अपने उपयोगकर्ताओं को CA रूट प्रमाणपत्र वितरित कर सकते हैं और उन्हें सूचित करने से मना कर सकते हैं कि जब वे प्रमाण पत्र की समस्याओं (उस के साथ सौभाग्य) को देखते हुए कनेक्ट करने से इनकार कर दें।

PEAPv0, PEAPv1 और TTLS में समान सुरक्षा गुण हैं।

पीईएपी ईएपी ले जाने वाले ईएपी के चारों ओर एक एसएसएल रैपर है। TTLS एक SSL आवरण है जिसमें व्यास TLV के चारों ओर RADIUS प्रमाणीकरण विशेषताएँ हैं।

ईएपी-टीटीएलएस-पीएपी ईएपी-पीईएपी से अधिक उपयोगी हो सकता है यदि बैकएंड प्रमाणीकरण डेटाबेस एक गैर-प्रतिवर्ती हैश प्रारूप में क्रेडेंशियल्स को स्टोर करता है जैसे कि बिग क्रिप्ट या कोई भी फॉर्म MSCHAP (NT-OWF) के साथ संगत नहीं है। इस मामले में इसका उपयोग करना प्रमाणित करना संभव नहीं है। CHAP आधारित विधियों में से कोई भी।

हालांकि आप EAP-PEAPv1-GTC का उपयोग करके PAP का अनुकरण कर सकते हैं क्योंकि यह ग्राहकों द्वारा व्यापक रूप से समर्थित नहीं है।

PEAP में PEAP संस्करण बातचीत सिरदर्द और ऐतिहासिक असंगति PEAPv1 (जैसे क्लाइंट मैजिक जब PRF से मास्टर कुंजी प्राप्त कर रहे हैं) के रूप में TTLS पर कुछ अतिरिक्त सामान है, जो प्रारंभिक कार्यान्वयन में अपना रास्ता बना चुके हैं।

मैं आमतौर पर ईएपी-टीटीएलएस को एम्बेडेड क्लाइंट में कार्यान्वित देखता हूं जैसे कि PEAP के साथ वायरलेस गियर में सब्सक्राइबर मॉड्यूल लैपटॉप कंप्यूटर और मोबाइल हैंडसेट द्वारा अधिक उपयोग किया जाता है।

ईएपी-टीटीएलएस को तीसरे पक्ष के सॉफ़्टवेयर को स्थापित किए बिना ऐतिहासिक रूप से विंडोज क्लाइंट में समर्थित नहीं किया गया है। EAP-TTLS अब विंडोज 8 के साथ शुरू होने का समर्थन किया गया है।

कुछ अतिरिक्त विचार:

EAP-TTLS एक RADIUS विक्रेता द्वारा आविष्कार किया गया था। EAP-PEAPv0 का आविष्कार Microsoft द्वारा किया गया था। EAP-PEAPv1 IETF प्रक्रिया से बाहर आया।

PEAPv2 पर कुछ अतिरिक्त IETF कार्य थे, जो क्रिप्टो बाइंडिंग के माध्यम से आंतरिक प्रमाणीकरण विधियों के माध्यम से सिस्टम को अधिक सुरक्षित बनाते थे। यह कहीं नहीं गया है जितना कि मैं बता सकता हूं।

जैसा कि डिस्क खाने वाले ने लिखा है, मुख्य कारण जो लोग टीटीएलएस का उपयोग करते हैं, वह यह है कि आप अपने त्रिज्या सर्वर को क्लीयरटेक्स्ट पासवर्ड को देखने की अनुमति दे सकते हैं, जो आपके प्रमाणीकरण बैकएंड के आधार पर उपयोगी हो सकता है।

PEAP का पक्ष लेने वाला एक नया विचार यह है कि SoH AFAICT केवल RADIUS सर्वर को प्रस्तुत किया जाता है यदि यह इसके लिए कहता है, और Microsoft सिस्टम पर इसके लिए पूछने का एकमात्र तरीका PEAP सत्र के दौरान है। इसलिए यदि आप एजेंटलेस मूल्यांकन से बाहर एजेंट की तरह मूल्यांकन प्राप्त करना चाहते हैं (अधिक ए वी विक्रेताओं द्वारा समर्थन संभवत: आगामी) आप पीईएपी चाहते हैं, हालांकि अगर आप नग्न फैक्टर लेकर एक 1-कारक OAUTH बैकएंड पर काम करना चाहते हैं (क्योंकि बिल्ली, बड़ी आईडीपी जो एक आंतरिक सुरंग सेवा प्रदान नहीं करेगी वह कम नहीं है और उनके उपयोगकर्ता इसे टाइप करने के लिए पर्याप्त हैं) टीटीएलएस का उपयोग करते हैं।

आपको इस बात पर विचार करना होगा कि ग्राहक ईएपी के तरीकों को अतिरिक्त सॉफ्टवेयर के साथ देशी बनाम किस आंतरिक प्रमाणीकरण विधियों का समर्थन करता है।

PEAP और EAP-TTLS आपको सर्वर की पहचान को मान्य करने के लिए डिज़ाइन किए गए हैं, लेकिन आपको यह सुनिश्चित करना होगा कि प्रमाणपत्र को मान्य करने के लिए क्लाइंट ठीक से कॉन्फ़िगर किए गए हों।

PEAP और MS-CHAPv2 ग्राहकों द्वारा अच्छी तरह से समर्थित हैं, लेकिन यदि आपका सर्वर MS-CHAPv2 का समर्थन नहीं करता है (क्योंकि आप क्लीयरटेक्स्ट पासवर्ड स्टोर नहीं करते हैं), तो आपको एक और समाधान के साथ आना होगा। यह मुख्य कारण है कि आप लोगों को ईएपी-टीटीएलएस और पीएपी का उपयोग करते देखेंगे।

मुझे लगता है कि ऑटो-कनेक्ट दोनों विकल्पों से लाभान्वित होगा, अधिक विकल्प कम परेशानी ... जैसे। यदि ऑटो-कनेक्ट पहले TTLS-PAP और फिर PEAP-MSCHAP की कोशिश करता है, तो TTLS-PAP उपलब्ध होने के साथ ऑटो-कनेक्ट तेज़ होता है। तो मूल रूप से: दोनों का समर्थन, मैं एक नुकसान नहीं देख सकता।

चूंकि MSCHAPs सुरक्षा टूटी हुई है (ttls के माध्यम से क्लीयरटेक्स्ट पासवर्ड के साथ "क्रैक mschap" के लिए पप) PEAP-MSCHAP के समान सुरक्षा स्तर है।

मुझे ईएपी-टीटीएलएस और पीईएपी के बीच सुरक्षा में कोई अंतर नहीं पता है, इसलिए यह मूल रूप से समर्थन के लिए नीचे आता है, जहां पीईएपी विजेता है।