Ciao, riporto alcune considerazioni sul tema che spero possano aiutare.
> riguardo ad un’implementazione WPA2-Enterprise in ambiente Microsoft con > Active Directory stavo ragionando sulla tipologia di autenticazione 802.1x > da utilizzare: > - EAP-TLS con certificati server-side (Radius) e client-side (user & > computer) > - PEAP-MSCHAPV2 con certificati server-side (Radius) e credenziali user & > computer (anche computer per evitare che colleghino macchine non > appartenenti al dominio) > > Vorrei un parere sul livello di sicurezza dei due metodi (esempio > vulnerabilià tramite "eavesdropping"). > EAP-TLS è nettamente più oneroso in termini di sforzo di implementazione > (PKI e enrollment di certificati lato client, anche se l'autoenrollment di > Windows aiuta) e in termini di costi (è richiesto il più costoso Windows > 2003/2008 Enterprise per certificati v2 e autoenrollment). > > EAP-TLS permette di storare il certificato su di una smart-card, ma se è > l'unico "plus" rispetto a PEAP-MSCHAPV2 lo sforzo "non vale la candela". > In generale, riassumerei come segue: ***[EAP-TLS] - plus - standard ampiamente supportato (vasta disponibilità di implementazioni lato client e server), con maggiori possibilità di estendere (se serve) la medesima implementazione anche a piattaforme diverse dall'ambiente Microsoft ***[EAP-TLS] - minus - necessità di disporre di un certificato su ciascun Client (con i conseguenti oneri di gestione/amministrazione del parco client da te già evidenziati) - mancato supporto della cosiddetta funzione di "fast session reconnect" (utile in implementazioni wireless ove si verifichino casi di roaming da un access point ad un altro) - informazioni del client non protette durante la fase iniziale di negoziazione EAP ****[PEAP-MSCHAPV2] - plus - maggiore semplicità implementativa e gestionale (vista l'assenza di certificati digitali lato client) ****[PEAP-MSCHAPV2] - minus - lieve minore interoperabilità, con supporto per un numero minore di ambienti (soluzione la cui implementazione deriva sostanzialmente da una collaborazione Cisco/Microsoft/RSA) Darei un'occhiata anche alla tabella comparativa riportata qui: http://www.oreillynet.com/pub/a/wireless/2002/10/17/peap.html > In sintesi, quali possono essere i motivi/drivers che portano allo sforzo > implementativo di EAP-TLS rispetto al più "semplice" PEAP-MSCHAPV2? > Sulla base degli elementi forniti, personalmente mi concentrei sui seguenti elementi di valutazione: a) eventuale previsione di estendere la soluzione anche ad ambienti non-Microsoft nel breve termine (se così fosse, allora EAP-TLS presenta al momento una flessibilità un po' maggiore); b) costi ed effort collegati all'implemenetazione (se si dispone di una PKI, magari posta in esercizio per altre necessità, si possono ottenere sinergie interessanti, altrimenti ci penserei bene); c) obblighi di qualche natura che impongano di utilizzare smart card o meccanismi di autenticazione cmq più robusti della sola password (in assenza di tali obblighi, vale quanto osservato al precedente punto b) ). Per il resto, e in primis per il discorso security, PEAP-MSCHAPv2 mi sembra una scelta del tutto valida. Ciao, Sonia ----------------------------------------------------------- Sonia Valerio - CISSP, OPSA, GCFW
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
