Ciao, solo un paio di considerazioni personalissime: alcune documentazioni dicono che il wpa/wpa2 non supporta le smart card, altre lasciano intendere il contrario, io propendo per la prima ipotesi visto che di solito le smart card chiedono il pin per accedere alla chiave privata, il che mi sembra incompatibile con wpa che normalmente effettua numerose riautenticazioni in background. L'autenticazione del computer non l'ho mai usata, ma da quanto leggo sembra che non serva allo scopo che descrivi, in sostanza sembrerebbe una autenticazione aggiuntiva che se fallisce non impedisce all'utente di collegarsi alla rete ma se ha successo consente al dominio di assoggettare il computer alle group policy, o giù di li, un documento che ho letto descrive la cosa come "full wired experience". In ogni caso è scritto chiaramente che l'autenticazione computer, o meglio "machine authentication", è gestita da entrambi i protocolli. Un'altra cosa che leggo sul sito MS, che quindi tenderei a considerare affidabile, è che il supplicant 802.1x di MS non gestisce i certificati protetti da password, il che riporta alla mia prima considerazione ma soprattutto rende la cosa molto più debole, in quanto un certificato non protetto da password mi risulta sia facilmente esportabile, quindi forse meno sicuro di una login. PEAP è soggetto a problematiche di tipo MITM, ma solo se non imposti il check del certificato server sui client. Un altro potenziale problema con PEAP, che non dovrebbe avere TLS, è che sniffando il traffico radius è teoricamente possibile estrarre le credenziali, ma parliamo di un attacco già più complesso e comunque anche questo è neutralizzabile utilizzando ad esempio ipsec. Segnalo anche la possibilità di utilizzare dei sw che impediscono l'accesso alla rete da parte di mac address non conosciuti, sappiamo che è tutto meno che una sicurezza definitiva, ma in combinazione con tools che tengono d'occhio l'associazione mac/ip può rappresentare un bel campanello d'allarme, un esempio è questo: http://www.manageengine.com/products/wifi-manager/index.html Spero di essere stato utile e soprattutto di non aver sparato stro%%ate. Ciao, Massimo.
-----Messaggio originale----- Da: [email protected] [mailto:[email protected]] Per conto di Gabriele Scolaro Inviato: lunedì 7 settembre 2009 1.44 A: [email protected] Oggetto: [ml] EAP-TLS vs. PEAP-MSCHAPV2 Ciao a tutti, riguardo ad un'implementazione WPA2-Enterprise in ambiente Microsoft con Active Directory stavo ragionando sulla tipologia di autenticazione 802.1x da utilizzare: - EAP-TLS con certificati server-side (Radius) e client-side (user & computer) - PEAP-MSCHAPV2 con certificati server-side (Radius) e credenziali user & computer (anche computer per evitare che colleghino macchine non appartenenti al dominio) Vorrei un parere sul livello di sicurezza dei due metodi (esempio vulnerabilià tramite "eavesdropping"). EAP-TLS è nettamente più oneroso in termini di sforzo di implementazione (PKI e enrollment di certificati lato client, anche se l'autoenrollment di Windows aiuta) e in termini di costi (è richiesto il più costoso Windows 2003/2008 Enterprise per certificati v2 e autoenrollment). EAP-TLS permette di storare il certificato su di una smart-card, ma se è l'unico "plus" rispetto a PEAP-MSCHAPV2 lo sforzo "non vale la candela". In sintesi, quali possono essere i motivi/drivers che portano allo sforzo implementativo di EAP-TLS rispetto al più "semplice" PEAP-MSCHAPV2? Grazie - Gabriele. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
