Definición de descripción general de EAP-TLS, cómo funciona y sus beneficios

Radius sigue siendo uno de los sistemas más populares que las organizaciones usan para mantener su infraestructura segura. Cuenta con autorización, autenticación y capacidades de contabilidad encomiables. Sin embargo, puede tomar todo el concepto más alto al aprovechar el radio junto a EAP-TLS.

Este artículo se centra en EAP-TLS. Destacemos sus beneficios, por qué puede necesitarlo para su organización, cómo funciona EAP-TLS y qué tan seguro es.

Pero primero, definamos y comprendamos qué es EAP-TLS.

¿Qué es EAP-TLS??

Comúnmente denominado protocolo de autenticación extensible, la seguridad de la capa de transporte de transporte, EAP-TLS es un estándar abierto desarrollado por IETF y definido en RFC 5216. Proporciona autenticación mutua basada en certificados. Este protocolo de autenticación a menudo es útil para las redes WPA2-Enterprise, ya que ayuda a estas redes a ser compatibles con X.509 certificados digitales.

Este protocolo utiliza el certificado de autenticación de clave pública TLS dentro del marco EAP para entregar autenticaciones de servidor mutuo a cliente o cliente a servidor. Si bien, sin duda, es uno de los mecanismos de autenticación más ultra segundo, todavía no está tan extendido como los otros protocolos. Además, el marco de autenticación estándar de oro es viable para los procesos de incorporación de dispositivos automatizados para MDM y BYOD.

Algunas de las características de EAP-TLS como mecanismo de autenticación incluyen:

• Ofrece autenticación mutua que implica que puede proporcionar una autenticación de servidor a cliente y autenticación de cliente a servidor.
• Cuenta con un intercambio de claves para establecer teclas TKIP o teclas de WEP dinámicas.
• Puede fragmentar y volver a armar mensajes EAP extremadamente largos en caso de que haya una necesidad.
• El protocolo permite una reconexión rápida y eficiente a través de la reanudación de la sesión de TLS.

Cómo funciona EAP-TLS

A pesar de ser el estándar de oro para la seguridad de la red, EAP-TLS no es tan difícil de usar como puede pensar. El marco de autenticación no se basa en esquemas de cifrado complicados. En cambio, se basa en la fuerza de la criptografía de clave pública.

La criptografía utilizada en este mecanismo de autenticación es una criptografía asimétrica única que aprovecha los pares de claves públicas-privadas para generar la criptografía simétrica en canales inseguros. Este sistema elimina la necesidad de pasar sobre las llaves previas al intercambio.

Aunque EAP-TLS presenta una arquitectura similar a casi todos los demás tipos de EAP, requiere autenticación mutua. Además, la x.Los certificados 509 son versátiles y mejora dramáticamente la seguridad y la experiencia del usuario. Estos certificados también permiten que la configuración de SSO facilite una gama más amplia de servicios.

Y como se destacó anteriormente, este protocolo utiliza un mecanismo de autenticación mutua basado en certificados. Esto implica que tanto el cliente como el servidor requieren certificados para la autenticación. El proceso comienza con la identificación de los certificados antes de crear las claves basadas en la sesión tanto para el servidor como para el cliente para completar el proceso de inicio de sesión.

Los siguientes pasos tienen lugar:

1. Los usuarios solicitan acceso a la red a través de una aplicación de autenticador o un punto de acceso inalámbrico.
2. La aplicación Authenticator o el punto de acceso inalámbrico (AP) solicitará las credenciales de identidad del usuario.
3. El sistema transferirá la información de identidad del usuario del AP al servidor de autenticación de la red.
4. El servidor luego solicita la verificación de identificación del AP.
5. El AP obtiene la validación y envía los detalles al servidor de autenticación.
6. El sistema establece una conexión y el usuario se conectará directamente a la red.

Cómo configurar Freeradius para trabajar con EAP-TLS en Linux

Es vital notar los tipos de hardware y software que debe hacer que sea funcional para comprender este protocolo de autenticación. Entre las cosas que necesita incluye:

• Una infraestructura de clave pública
• Un punto de acceso o AP
• El protocolo de radio
• Un directorio de usuario

Y la configuración implica los siguientes pasos:

Paso 1: Instale freeradius en su sistema

Comience instalando un radio libre usando el siguiente comando:

Paso 2: crear una lista de revocación de certificados

Los certificados no vienen automáticamente. Por lo tanto, necesitarás crearlos manualmente. La mejor manera es usar los tutoriales de Freeradius. Sin embargo, aún puede lograr esto creando la lista de revocación utilizando el siguiente comando:

Paso 3: Cree un nuevo archivo para mantener los archivos revocados y los archivos de autoridad de certificado

Proceda a crear un relleno que contenga tanto los archivos de CA (Autoridad de Certificado) y revocados. El siguiente comando debe ser útil:

Paso 4: Configure el radio usando los clientes/etc/raddb/.comando

Configurar el radio. Entre las mejores cosas que debe hacer es agregar un cliente. El cliente será su AP WiFi.

Paso 5: Configurar EAP usando el comando/etc/raddb/mods-habilitado/EAP

Una vez que obtenga el archivo al escribir el comando, asegúrese de que su archivo EAP solo tenga las siguientes líneas eliminando cualquier otra cosa que no esté en esta lista:

Conclusión

EAP-TLS es, con mucho, un sistema de autenticación más seguro. Es mejor que usar WPA2 o claves previas al compartimiento que a menudo son propensas a los ataques cibernéticos. Sin embargo, es vital usar certificados separados para cada uno de sus dispositivos en la red.