Dieser Artikel konzentriert sich auf EAP-TLS. Wir werden seine Vorteile hervorheben, warum Sie sie möglicherweise für Ihre Organisation benötigen, wie EAP-TLS funktioniert und wie sicher es ist.
Aber zuerst definieren und verstehen wir, was EAP-TLS ist.
Was ist EAP-TLS?
EAP-TLS wird häufig als erweiterbare Authentifizierungsprotokoll-Transport-Schicht-Layer-Sicherheit bezeichnet. Es ist ein offener Standard, der von IETF entwickelt und in RFC 5216 definiert wurde. Es bietet eine zertifikatbasierte gegenseitige Authentifizierung. Dieses Authentifizierungsprotokoll ist häufig für WPA2-Enterprise-Netzwerke nützlich, da es diesen Netzwerken hilft, mit X kompatibel zu werden.509 Digitale Zertifikate.
Dieses Protokoll verwendet das TLS-Authentifizierungszertifikat für öffentliche Schlüssel im EAP-Framework, um Mutual-Server-zu-Client- oder Client-to-Server-Authentifizierungen zu liefern. Während es zweifellos einer der ultra-sichersten Authentifizierungsmechanismen ist, ist es immer noch nicht so weit verbreitet wie die anderen Protokolle. Außerdem ist das Goldstandard -Authentifizierungs -Framework für automatisierte Geräte -Onboarding -Prozesse für MDM und BYOD funktionsfähig.
Einige der Merkmale von EAP-TLs als Authentifizierungsmechanismus umfassen:
Wie EAP-TLS funktioniert
Obwohl EAP-TLS der Goldstandard für die Netzwerksicherheit ist, ist sie nicht so schwer zu verwenden, wie Sie vielleicht denken. Das Authentifizierungsframework beruht nicht auf komplizierte Verschlüsselungsschemata. Stattdessen beruht es auf der Stärke der Kryptographie der öffentlichen Schlüssel.
Die in diesem Authentifizierungsmechanismus verwendete Kryptographie ist eine einzigartige asymmetrische Kryptographie, die die öffentlich-privaten Schlüsselpaare nutzt, um die symmetrische Kryptographie gegenüber unsicheren Kanälen zu generieren. Dieses System beseitigt die Notwendigkeit, über die Tasten vor dem Shared zu gelangen.
Obwohl EAP-TLS eine ähnliche Architektur wie fast alle anderen EAP-Typen enthält, erfordert sie eine gegenseitige Authentifizierung. Außerdem das x.509 Zertifikate sind vielseitig und verbessert die Sicherheits- und Benutzererfahrung dramatisch. Diese Zertifikate ermöglichen auch die SSO -Konfiguration, ein breiteres Leistungsbereich zu erleichtern.
Und wie bereits hervorgehoben, verwendet dieses Protokoll einen zertifikatbasierten gegenseitigen Authentifizierungsmechanismus. Dies bedeutet, dass sowohl die Client- als auch die Server -Seiten Zertifikate für die Authentifizierung benötigen. Der Prozess beginnt mit der Identifizierung der Zertifikate vor dem Erstellen der Sitzungsschlüssel für den Server und des Clients, um den Anmeldeprozess abzuschließen.
Die folgenden Schritte finden statt:
So konfigurieren Sie Freeradius für die Arbeit mit EAP-TLs unter Linux
Es ist wichtig, die Arten von Hardware und Software zu notieren, die Sie für die Funktionsweise dieses Authentifizierungsprotokolls machen müssen. Zu den Dingen, die Sie brauchen, gehören:
Und die Konfiguration umfasst die folgenden Schritte:
Schritt 1: Installieren Sie Freeradius in Ihr System
Installieren Sie mit dem folgenden Befehl einen freien Radius:
Schritt 2: Erstellen Sie eine Zertifikat -Widerrufsliste
Zertifikate kommen nicht automatisch. So müssen Sie sie manuell erstellen. Der beste Weg ist, die Freeradius -Tutorials zu verwenden. Sie können dies jedoch immer noch erreichen, indem Sie die Widerrufsliste mit dem folgenden Befehl erstellen:
Schritt 3: Erstellen Sie eine neue Datei, um die widerrufenen Dateien und Zertifikatberechtigungsdateien zu halten
Erstellen Sie eine Füllung, die sowohl die CA (Zertifikatsbehörde) als auch die widerrufenen Dateien enthält. Der folgende Befehl sollte hilfreich sein:
Schritt 4: Konfigurieren Sie den Radius mit dem/etc/raddb/clients.Conf -Befehl
Konfigurieren Sie den Radius. Zu den Top -Dingen, die Sie tun sollten, ist, einen Kunden hinzuzufügen. Der Kunde ist Ihr WLAN -AP.
Schritt 5: Konfigurieren Sie EAP mit dem Befehl/etc/raddb/mods-fähig/eap
Sobald Sie die Datei beim Eingeben des Befehls erhalten haben, stellen Sie sicher, dass Ihre EAP -Datei nur die folgenden Zeilen enthält, indem Sie etwas anderes löschen, das nicht in dieser Liste steht:
Abschluss
EAP-TLS ist bei weitem ein sichereres Authentifizierungssystem. Es ist besser als die Verwendung von WPA2- oder Pre-Shared-Schlüssel, die oft für Cyber-Angriffe anfällig sind. Es ist jedoch wichtig, separate Zertifikate für jedes Ihrer Geräte im Netzwerk zu verwenden.