EAP-TLS Présentation de la définition, comment cela fonctionne et ses avantages

Le rayon reste l'un des systèmes les plus populaires que les organisations utilisent pour garder leur infrastructure en sécurité. Il dispose d'autorisation, d'authentification et de capacités comptables louables. Cependant, vous pouvez prendre le concept entier une encoche plus élevée en tirant parti du rayon aux côtés de EAP-TLS.

Cet article se concentre sur EAP-TLS. Nous mettrons en évidence ses avantages, pourquoi vous en aurez peut-être besoin pour votre organisation, comment fonctionne EAP-TLS et à quel point il est sécurisé.

Mais d'abord, définissons et comprenons ce qu'est EAP-TLS.

Qu'est-ce que EAP-TLS?

Communément appelée Sécurité de la couche de transport d'authentification extensible, EAP-TLS est une norme ouverte développée par IETF et définie dans RFC 5216. Il fournit une authentification mutuelle basée sur un certificat. Ce protocole d'authentification est souvent utile pour les réseaux WPA2-Entrise car il aide ces réseaux à devenir compatibles avec x.509 certificats numériques.

Ce protocole utilise le certificat d'authentification de clé publique TLS dans le cadre EAP pour fournir des authentifications de serveur mutuel à client ou client à serveur. Bien qu'il soit sans aucun doute l'un des mécanismes d'authentification les plus ultra-sécurisés, il n'est toujours pas aussi répandu que les autres protocoles. En outre, le cadre d'authentification des normes Gold est viable pour les processus d'intégration des périphériques automatisés pour MDM et BYOD.

Certaines des caractéristiques de l'EAP-TLS en tant que mécanisme d'authentification comprennent:

• Il offre une authentification mutuelle qui implique qu'il peut fournir une authentification de serveur à client et l'authentification client-serveur.
• Il dispose d'échange de clés pour établir des touches TKIP ou des clés WEP dynamiques.
• Il peut se fragmenter et réassembler des messages EAP extrêmement longs en cas de besoin.
• Le protocole permet une reconnexion rapide et efficace via la reprise de la session TLS.

Comment fonctionne EAP-TLS

En dépit d'être l'étalon-or pour la sécurité du réseau, EAP-TLS n'est pas aussi difficile à utiliser que vous pouvez le penser. Le cadre d'authentification ne s'appuie pas sur des schémas de chiffrement compliqués. Au lieu de cela, il s'appuie sur la force de la cryptographie de la clé publique.

La cryptographie utilisée dans ce mécanisme d'authentification est une cryptographie asymétrique unique qui exploite les paires clés du public pour générer la cryptographie symétrique sur les canaux dangereux. Ce système élimine la nécessité de passer les clés pré-partagées.

Bien que EAP-TLS présente une architecture similaire à presque tous les autres types EAP, il nécessite une authentification mutuelle. De plus, le x.509 Les certificats sont polyvalents et améliorent considérablement l'expérience de sécurité et d'utilisateur. Ces certificats permettent également à la configuration SSO de faciliter une gamme plus large de services.

Et comme souligné précédemment, ce protocole utilise un mécanisme d'authentification mutuel basé sur un certificat. Cela implique que les côtés du client et du serveur nécessitent des certificats d'authentification. Le processus commence par l'identification des certificats avant de créer les clés basées sur la session pour le serveur et le client pour terminer le processus de connexion.

Les étapes suivantes ont lieu:

1. Les utilisateurs demandent l'accès au réseau via une application Authenticator ou un point d'accès sans fil.
2. L'application Authenticator ou le point d'accès sans fil (AP) demandera les informations d'identité de l'utilisateur.
3. Le système transférera les informations d'identité de l'utilisateur de l'AP vers le serveur d'authentification du réseau.
4. Le serveur demande ensuite la vérification d'identification de l'AP.
5. L'AP récupère la validation et renvoie les détails au serveur d'authentification.
6. Le système établit une connexion et l'utilisateur se connectera directement au réseau.

Comment configurer Freeradius pour travailler avec EAP-TLS sur Linux

Il est essentiel de noter les types de matériel et de logiciels dont vous avez besoin pour le rendre fonctionnel pour comprendre ce protocole d'authentification. Parmi les choses dont vous avez besoin, incluez:

• Une infrastructure clé publique
• Un point d'accès ou AP
• Le protocole de rayon
• Un répertoire utilisateur

Et la configuration implique les étapes suivantes:

Étape 1: Installez Freeradius dans votre système

Commencez par installer un rayon libre en utilisant la commande suivante:

Étape 2: Créer une liste de révocation de certificat

Les certificats ne viennent pas automatiquement. Ainsi, vous devrez les créer manuellement. La meilleure façon est d'utiliser les tutoriels Freeradius. Cependant, vous pouvez toujours y parvenir en créant la liste de révocation à l'aide de la commande suivante:

Étape 3: Créez un nouveau fichier pour contenir les fichiers révoqués et les fichiers d'autorité de certificat

Procéder à créer un remplissage qui contient à la fois le CA (Certificate Authority) et les fichiers révoqués. La commande suivante doit être utile:

Étape 4: Configurez le rayon à l'aide du / etc / raddb / clients.Commande de confr

Configurer le rayon. Parmi les meilleures choses que vous devriez faire, c'est ajouter un client. Le client sera votre wifi AP.

Étape 5: Configurer EAP à l'aide de la commande / etc / raddb / mods-compatiable / EAP

Une fois que vous avez obtenu le fichier lors de la saisie de la commande, assurez-vous que votre fichier EAP n'a que les lignes suivantes en supprimant quoi que ce soit d'autre qui n'est pas dans cette liste:

Conclusion

EAP-TLS est de loin un système d'authentification plus sécurisé. C'est mieux que d'utiliser WPA2 ou des clés pré-partagées qui sont souvent sujettes aux cyber-attaques. Cependant, il est essentiel d'utiliser des certificats distincts pour chacun de vos appareils dans le réseau.