Restrictions client
les clients iOS ne soutiendront pas EAP-TTLS
avec PAP
(seulement MsCHAPv2
) à moins que vous manuellement (via un ordinateur) installer un profil.
Les clients Windows ne prendront pas en charge EAP-TTLS
les produits prêts à l'emploi (vous devrez installer un logiciel tel que secure2w), sauf s'ils disposent de cartes sans fil Intel.
Android prend en charge presque toutes les combinaisons de EAP
et PEAP
.
Restrictions de la base de données de mots de passe
Ainsi, le vrai problème est de savoir comment vos mots de passe sont stockés.
S'ils sont en:
Active Directory , vous pouvez alors utiliser EAP-PEAP-MsCHAPv2
(boîtes Windows) et EAP-TTLS-MsCHAPv2
(avec les clients iOS).
Si vous stockez des mots de passe sur LDAP , vous pouvez utiliser EAP-TTLS-PAP
(boîtes Windows) mais vous serez perdu sur iOS.
Problèmes de sécurité importants
- Les deux
EAP-TTLS
et PEAP
utiliser TLS
(Transport Layer Security) sur EAP
(Extensible Authentication Protocol).
Comme vous le savez peut-être, TLS
est une version plus récente de SSL
et fonctionne sur la base de certificats signés par une autorité centrale de confiance (autorité de certification - CA).
Pour établir un TLS
tunnel, le client doit confirmer qu'il parle au bon serveur (dans ce cas, le serveur radius utilisé pour authentifier les utilisateurs). Il le fait en vérifiant si le serveur a présenté un certificat valide, émis par une autorité de certification de confiance.
Le problème est: normalement, vous n'aurez pas de certificat émis par une autorité de certification de confiance, mais un certificat émis par une autorité de certification ad hoc que vous avez créée à cette fin. Le système opérationnel se plaindra aux utilisateurs qu'il ne sait pas que l'autorité de certification et les utilisateurs (selon votre orientation) accepteront volontiers cela.
Mais cela pose un risque majeur pour la sécurité:
Quelqu'un peut configurer un AP escroc dans votre entreprise (dans un sac ou même sur un ordinateur portable), le configurer pour parler à son propre serveur Radius (fonctionnant sur son ordinateur portable ou sur son propre AP escroc).
Si vos clients trouvent que ce point d'accès a un signal plus fort que vos points d'accès, ils essaieront de s'y connecter. Verra une autorité de certification inconnue (les utilisateurs acceptent), établira un TLS
tunnel, enverra des informations d'authentification sur ce tunnel et le rayon escroc l'enregistrera.
Maintenant, la partie importante: si vous utilisez un schéma d'authentification en texte brut ( PAP
par exemple), le serveur Rogue Ray aura accès aux mots de passe de vos utilisateurs.
Vous pouvez résoudre ce problème en utilisant un certificat valide délivré par une autorité de certification à la fois iOS, Windows (et Android). Ou, vous pouvez distribuer le certificat racine de l'autorité de certification à vos utilisateurs et les informer de refuser la connexion lorsqu'ils voient des problèmes de certificat (bonne chance avec ça).