Ciao a tutti, riguardo ad unimplementazione WPA2-Enterprise in ambiente Microsoft con Active Directory stavo ragionando sulla tipologia di autenticazione 802.1x da utilizzare: - EAP-TLS con certificati server-side (Radius) e client-side (user & computer) - PEAP-MSCHAPV2 con certificati server-side (Radius) e credenziali user & computer (anche computer per evitare che colleghino macchine non appartenenti al dominio)
Vorrei un parere sul livello di sicurezza dei due metodi (esempio vulnerabilià tramite "eavesdropping"). EAP-TLS è nettamente più oneroso in termini di sforzo di implementazione (PKI e enrollment di certificati lato client, anche se l'autoenrollment di Windows aiuta) e in termini di costi (è richiesto il più costoso Windows 2003/2008 Enterprise per certificati v2 e autoenrollment). EAP-TLS permette di storare il certificato su di una smart-card, ma se è l'unico "plus" rispetto a PEAP-MSCHAPV2 lo sforzo "non vale la candela". In sintesi, quali possono essere i motivi/drivers che portano allo sforzo implementativo di EAP-TLS rispetto al più "semplice" PEAP-MSCHAPV2? Grazie - Gabriele. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
